0 Präambel

Der digitale Wandel stellt den Staat¹ vor neue Herausforderungen:

Die Ausübung der verfassungsrechtlich garantierten Aufgaben der judikativen, legislativen und exekutiven Staatsgewalten setzt einen sicheren und zuverlässigen Betrieb der Informationssysteme des Staates voraus.

Die Gewährleistung eines effektiven Rechtsschutzes gegen Akte der öffentlichen Gewalt nach Artikel 19 Abs. 4 GG und des Rechtsstaatsprinzips nach Artikel 20 Abs. 3 GG erfordern in der öffentlichen Verwaltung eine lückenlose und gegen Manipulationen geschützte Kommunikation und eine Dokumentation des Verwaltungshandelns.

Das Vertrauen der Bürger und Unternehmen in die Integrität des digitalen Staates wird erschüttert, wenn dieser seinen Aufgaben wegen funktionsunfähiger Informationssysteme nicht mehr nachkommen kann. Die Informationssysteme in den Staatsgewalten sind dadurch zu kritischen Infrastrukturen für das Gemeinwesen geworden.

Aktuelle Berichterstattungen in den Medien über nationale und internationale Cyber-Kriminalität zeigen, dass die Sicherheit von Daten gefährdet und das staatliche Gemeinwesen neuartigen Gefährdungslagen ausgesetzt ist.

Die elektronische Verwaltungsarbeit geht mit der Speicherung von elektronischen Daten in Netzwerken, E-Mail-Systemen und Dokumentenmanagementsystemen einher. Aktuelle Sicherheitsgefährdungen wie Schadsoftware können die unberechtigte Kenntnisnahme, Veränderung und Löschung von Daten und Einschränkungen der Verfügbarkeit elektronischer Systeme zur Folge haben. Aktuelle Studien schätzen den weltweiten Schaden durch Cyber-Kriminalität in der Größenordnung von 600 Milliarden US-Dollar. Die wirtschaftlichen Schäden durch Cyberkriminalität betragen mittlerweile fast das Dreifache der Schäden durch Naturkatastrophen. Die Europäische Kommission geht davon aus, dass sich die wirtschaftlichen Auswirkungen von Cyber-Kriminalität zwischen 2013 und 2017 verfünffacht haben². Mit dem fortschreitenden digitalen Wandel in den Staatsgewalten entwickeln sich parallel dazu die Hackerangriffe weiter. Ohne ein darauf ausgerichtetes Informationssicherheitsmanagement³ (ISM) bzw. eingerichtete Informationssicherheitsmanagementsysteme (ISMS) könnte dies die Staatsgewalten in ihren Handlungen einschränken bzw. handlungsunfähig machen. Dies gilt umso mehr, je weiter in der Verwaltung die Einführung von elektronischen Akten voranschreitet. Wird das Dokumentenmanagementsystem in einem zentralen Rechenzentrum betrieben, so befindet sich auf diesem das gesammelte Verwaltungswissen der angeschlossenen Organisationseinheiten. Der digitale Verwaltungsvollzug und die damit verbundenen erheblichen Investitionen der öffentlichen Verwaltungen in ihre IT-Ausstattungen sind ohne ausreichende Informationssicherheit gefährdet. Angemessene Informationssicherheit ist daher auch ein Gebot der Wirtschaftlichkeit.

Die Schaffung eines angemessenen Maßes an Informationssicherheit ist mit personellen und finanziellen Aufwänden verbunden. Daher ist bei der Auswahl und Umsetzung geeigneter Maßnahmen darauf zu achten, dass das notwendige Sicherheitsniveau auch wirtschaftlich erreicht wird. Einerseits muss den bestehenden Gefährdungen wirkungsvoll begegnet werden, andererseits müssen die Maßnahmen auch am tatsächlichen Schutzbedarf und der Gefährdung ausgerichtet sein.

Die Rechnungshöfe haben daher das Thema Informationssicherheit in den vergangenen Jahren immer wieder aufgegriffen und eine Weiterentwicklung des Informationssicherheitsmanagements aktiv begleitet und befördert. Mit dem vorliegenden Grundsatzpapier und dessen Anlagen werden die Prüfungserkenntnisse der Rechnungshöfe zusammengefasst und zu ausgewählten Aspekten Empfehlungen für eine zukünftige Ausgestaltung der ISMS in Bund, Ländern und Kommunen abgegeben. Dieses Papier ergänzt damit die Mindestanforderungen der Rechnungshöfe zum Einsatz von Informations- und Kommunikationstechnik. Darüber hinaus stellen die Rechnungshöfe Empfehlungen für die Prüfung der Informationssicherheit bereit.

1. Die unmittelbare und mittelbare Staatsverwaltung und alle seine Untergliederungen.
2. KOM Cyber Security Factsheet: Resilience, Deterrence and Defence: Building strong cybersecurity in Europe, September 2017, ec.europa.eu/newsroom/document.cfm
3. Unter Informationssicherheitsmanagement bzw. dem Informationssicherheitsmanagementsystem wird der Teil des gesamten Managementsystems verstanden, welcher auf Basis eines Risikoansatzes die Festlegung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.