Sachverhalt:

 

Gemäß Art. 11 Abs. 1 Bayerisches E-Government-Gesetz (BayEGovG) ist die Sicherheit der informationstechnischen Systeme der Behörden, im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Gemeinde hat zu diesem Zwecke angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Datenschutz-Grundverordnung und Art. 32 des Bayerischen Datenschutzgesetzes zu treffen.

 

Im Juli 2015 wendete sich Joachim Herrmann über die Kommunalaufsicht des Landratsamtes an die bayerischen Gemeinden und bewarb sowie informierte über die finanzielle Förderung der Einführung des aufwandsreduzierten Informationssicherheits-Managementsystems in 12 Schritten (kurz: ISIS 12) in den bayerischen Kommunen (siehe Anlage 1 – Aufruf Innenministerium), welches ein verhältnismäßiges IT-Sicherheitskonzept für Gemeinden darstellt.

 

Die Gemeinde folgte diesem Aufruf 2017 und wurde am 02.05.2019 mit dem Geltungsbereich Zentraler Verwaltungsbereich und angrenzender Bauhof ISIS 12 zertifiziert und das Informationsmanagementsystem damit nachweislich in der Gemeinde Utting am Ammersee implementiert.

 

Das ISIS 12 Zertifikat schließt das Siegel Kommunale IT-Sicherheit vom Landesamt für Sicherheit in der Informationstechnik ein – Details siehe ggfs. Gemeinde Utting am Ammersee - Informationssicherheit. Im Falle eines gravierenden Sicherheitsvorfalles stellt das ISIS 12 Zertifikat im Vergleich zum Siegel einen Haftungsausschluss der in der Gemeinde Verantwortlichen sicher.

 

Siegel und Zertifikat sind gültig bis 30.04.2022, wenn das 2019 in der Gemeinde etablierte Informationssicherheit Management System aktiv bleibt, also stetig aktualisiert, verbessert und auditiert wird.

 

Mit Regelungen im Art. 8 Abs. 1 und Art. 11 Abs. 1 BayEGovG möchte der Gesetzgeber beispielsweise vermeiden, dass bei der Gemeinde gespeicherte Daten an die Öffentlichkeit gelangen, diese Daten bösartig oder durch einen Unglücksfall unwiederbringlich vernichtet werden oder gemeindliche Rechner mit Schadsoftware verseucht werden (wie z.B. in Bayern passiert in der Stadt Dettelbach oder in Markt Schwaben oder zuletzt im Mai 2021 die TU Berlin oder Juli 2021 Landkreis Anhalt-Bitterfeld).

 

Wer personenbezogene Daten ohne ein entsprechendes IT-Sicherheitskonzept verarbeitet, erfüllt – unabhängig von bereits bestehenden datenschutzrechtlichen Bestimmungen – spätestens seit 01.01.2020 nicht mehr die gesetzlichen Anforderungen. Im Falle eines Datenlecks oder der Verletzung des Schutzes personenbezogener Daten geht neben möglichen haftungsrechtlichen Konsequenzen auch eine monetär nicht messbarer Reputationsverlust einher.

 

Die Verwaltung empfiehlt deshalb das Informationssicherheitskonzept „ISIS 12“ auch weiterhin mit Hilfe von externer Fachkompetenz in Form von Aktualisierung, Verbesserung und Auditierung aufrechtzuerhalten.

 

In Vorbereitung auf die hier anstehende Entscheidung des Gemeinderates erfolgte im Dezember 2020 eine Ausschreibung (Verhandlungsvergabe ohne Teilnahmewettbewerb) für die Funktionen von „ISIS 12 Berater und externer Informationssicherheitsberater“. Es wurden insgesamt fünf entsprechend qualifizierte und zertifizierte Firmen angeschrieben, drei davon gaben ein Angebot ab.

 

Das günstigste Angebot beträgt monatlich 350,- Euro/netto. Es wurde eine Betreuung vom 01.07.2021 – 30.06.2025 (Gültigkeit des Zertifikats bei Verlängerung ist 30.04.2025) ausgeschrieben  (der Vertrag wäre aber auch früher kündbar).

 

Der externe Informationssicherheitsberater ist Projektleiter von ISIS 12 und Leiter des Informationssicherheitsteams. Er ist, wie auch der externe Datenschutzbeauftragte Herr RA Wolfgang Schmid, der Behördenleitung direkt unterstellt. Lediglich die Koordination beider Stellen wird durch eine Mitarbeiterin des Rathauses aufgefangen (siehe ggfs. Anlage 3 – Stellenbeschreibung ISB).

 

Zu treffende Grundsatzentscheidung durch den Gemeinderat ist heute, die Klärung, ob die Gemeinde das Informationssicherheitsmanagementsystem in zwölf Schritten (ISIS 12) für weitere drei Jahre fortführt und zwar mit vorgenannter personeller Aufstellung und Kosten sowie der Auditierung (siehe dazu ggfs. Anlage 4).

 

Für das Jahr 2022 wird dafür ein Haushaltsansatz von 12.000 Euro, 2023 und 2024 von 10.000 Euro benötigt.

 

Der ISIS 12 Standard mit externer Fachkompetenz und Auditierung sollte unbedingt aufrecht erhalten werden, denn:

 

• Die IT-Bedrohungslage für Kommunen wird immer komplexer.
• Der Freistaat Bayern fördert aktuell die Implementierung von ISIS 12 bei Kommunen weiter.
• Im aktuellen Koalitionsvertrag der Regierungsparteien steht auf Seite 16 „Wir verpflichten alle staatlichen Stellen, ihnen bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen“.

Beschluss:

 

Der vorhandene Standard von ISIS 12 mit externem ISB und Auditierung wird befristet bis zum 31.12.2024 beibehalten.