Österreich
Secure Your Business
 


Wien ist erste Stadtverwaltung mit
Security-Zertifikat nach ISO 27001

 

E-Government-Dienste und BürgerInnendaten nach internationalem Standard gesichert:
mittels Riskmanagement und Awareness-Programm

 

(Dez 2012) - Als erste Stadtverwaltung in Österreich erreichte der Magistrat Wien die Zertifizierung nach ISO/IEC 27001 für Informationssicherheit. Damit ist Wien auch bei Datenschutz und Informationssicherheit „anders“ – ein Pionier der regionalen öffentlichen Verwaltung. „Wir verarbeiten enorme Datenmengen von mehr als 1,7 Millionen Bürgerinnen und Bürgern. Dazu gehören Gewerberegister, Melde- und Passdaten, Beihilfen oder Familienurkunden bis hin zu Baubeing wolfgang steinerwilligungen“, berichtet Ing. Wolfgang Steiner, Leiter des Fachbereichs Security und Compliance in der Magistratsabteilung 14 – Automatisierte Datenverarbeitung, Informations- und Kommunikationstechnologie. „Das Vertrauen der Bürgerinnen und Bürger ist uns immens wichtig – vor allem weil auch E-Government-Dienste immer häufiger genutzt werden.“ Die Motivation, sich einer Zertifizierung nach dem internationalen Information-Security-Standard ISO/IEC 27001 zu unterziehen, beschreibt Wolfgang Steiner so: „Wir wollen die Verwaltung der IKT-Infrastruktur und aller damit verbundenen Informationen so sicher wie möglich gestalten. Unser Ziel war es, mittels externer Überprüfung durch die Zertifizierungsorganisation CIS zu bestimmen, wo wir stehen und wo es Verbesserungspotenzial gibt. Schwachstellen, die man aus der eigenen Betriebssicht heraus übersehen könnte, wollten wir damit systematisch ausschalten.“ Dass die Zertifizierung im ersten Anlauf erreicht wurde, führt Steiner auf das hohe Sicherheitsniveau in der MA 14 zurück. Die Zertifizierung ist ein Beleg für den sicheren Umgang mit den Daten der Bürgerinnen und Bürger.

 

70 Abteilungen und 22 Ämter
Der Geltungsbereich des ISO/IEC-27001-Zertifikats umfasst die MA 14 mit rund 450 Mitarbeiterinnen und Mitarbeitern. Hier werden zentral die Daten der 70 Magistratsabteilungen und 22 Bezirksämter verwaltet. Zu den Kunden der MA 14 gehören auch einige Stadt-Wien-nahe Organisationen, die insgesamt mehr als 20.000 MitarbeiterInnen beschäftigen. „Diese Organisationen dürfen ihre Service Provider selbst am Markt wählen und legen großen Wert auf Informationssicherheit. Mit der Zertifizierung haben wir daher auch unsere Position als professionelle IKT-Dienstleisterin bestätigt“, erklärt Mag. Manuel Stecher, der als Risikobeauftragter der MA 14 für die Implementierung des Informationssicherheits-Managementsystems (ISMS) verantwortlich zeichnet.

 

Risikoanalysen per Erlass02_Wien Rathaus_web
Um eine derart dezentrale Organisation wie den Magistrat der Stadt Wien auf einem optimalen Sicherheitsniveau zu halten, ist dieses Thema auf höchster Ebene angesiedelt. Per Sicherheitserlass der Magistratsdirektion sind alle Dienststellen wie Bezirksämter und Magistratsabteilungen verpflichtet, angemessene Risikoanalysen durchzuführen. „Jedes Amt und jede Abteilung muss für den eigenen Arbeitsbereich die spezifischen Sicherheitsrisiken definieren, aus denen Sicherheitsmaßnahmen abgeleitet und umgesetzt werden“, erklärt Stecher. Darüber hinaus regelt der Erlass generell relevante Aspekte wie den Umgang mit USB-Sticks oder mobilen Endgeräten. Im zertifizierten Bereich, der gesamten MA 14, gelten darüber hinaus die dort erarbeiteten Policys und Richtlinien gemäß ISO/IEC 27001. Maßgeschneiderte Handlungsanweisungen unterscheiden spezifisch nach Tätigkeiten und Job-Positionen. Manuel Stecher: „Auf diese Weise erhalten die IKT-MitarbeiterInnen in übersichtlicher Form genau jene sicherheitsrelevanten Informationen, die sie für ihre Aufgaben benötigen. Überfrachtete Richtlinien wären kontraproduktiv.“

 

Gefühltes Risiko versus Berechnung
Die Ergebnisse aus den Risikoanalysen der einzelnen Dienststellen werden zentral zusammengeführt, klassifiziert und priorisiert. In einem nächsten Schritt lassen sich Risikogruppen bilden und Spitzenrisiken identifizieren. „Der Vorteil der Risikogruppen-Bildung ist, dass man oft mit einer gezielten Maßnahme gleich ein ganzes Bündel von theoretischen Einzelrisiken adressieren kann“, erläutert Manuel Stecher. „Auf einen derart dichten Risiko-Katalog kommt man nur durch strukturiertes Vorgehen anhand des ISO/IEC-27001-Frameworks. Hieraus können dann Sicherheitsmaßnahmen sehr gezielt gebündelt und damit auch kosteneffizient umgesetzt werden“, betont Stecher. Die Bewertung der wichtigen Risiken erfolgt mittels Kombination aus qualitativen Einschätzungen von MitarbeiterInnen und rechnerischer Gewichtung – gefühltes Risiko kombiniert mit errechnetem Risiko. Bei jedem Review kommen neue Aspekte hinzu, da sich sowohl Technologien als auch Anforderungen kontinuierlich ändern. Das sei der große Vorteil an dem Prozessverbesserungsmodell der ISO/IEC 27001, betont Manuel Stecher: „Durch den Zyklus aus Analyse, Maßnahmen, Kontrolle und Verbesserung entsteht ein flexibles Managementsystem, mit dem die Informationssicherheit ständig an steigende Anforderungen angepasst wird.“

 

Awareness über Blog & Co
Um die Informationssicherheit im Magistrat Wien praxisnah an den Mann und an die Frau zu bringen, zählen Kreativität, Kontinuität und die „Politik der kleinen Schritte“, wie Mag. Ines Fohringer, Fachbereichsleiterin für Personal und Kommunikation der MA 14, berichtet. Mit einer Kombination aus einer Plakat-Kampagne und dem Train-the-Trainer-Prinzip wurde zunächst eine breite Informationsbasis geschaffen. Für die kontinuierliche Awareness-Bildung kommen verschiedene Instrumente zum Einsatz. Dazu gehört der magistratsweite Security-Blog, auf dem aktuelle Sicherheitshinweise wie Warnungen vor im Umlauf befindlichen Viren oder aktuellen Spam-Mail-Attacken zu finden sind. „Wir informieren die Mitarbeiterinnen und Mitarbeiter auch über andere Kanäle stetig in kleinen Häppchen über aktuelle Security-Themen“, skizziert Ines Fohringer die Awareness-Strategie. Ein wichtiger Kanal ist auch die periodische MitarbeiterInnenzeitschrift, die flächendeckend an alle Ämter und Abteilungen ergeht. Hier werden sehr praktische Security-Themen wie das Telefonieren im öffentlichen Raum oder der sichere Umgang mit Laptop und mobilen Datenträgern aufgegriffen.

 

wien.team
Und nicht zuletzt bietet das Intranet immer wieder News und Facts zu Security-Aspekten. Ein Highlight ist wien.team, eine Art „Magistrats-Facebook“ mit seiner eigenen IKT-Gruppe. Besonders jüngere MitarbeiterInnen nutzen diesen Informationskanal gerne und häufig. Definierte ModeratorInnen können Inhalte posten, auf Kommentare der wien.team-Community reagieren oder Fragen der User beantworten. Fohringer: „Unser Ziel ist es, dass Security-relevante Handlungen und Einstellungen für alle tagtäglich selbstverständlich sein sollen.“ Als Impulsgeber für das Informationssicherheits-Managementsystem fungieren regelmäßige interne und externe Audits. Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, betont: „Der Unterschied zwischen einer Zertifizierung und “nur nach der Norm arbeiten“ besteht genau in diesen motivierenden Kontrollen von außen: Unsere AuditorInnen führen in zertifizierten Organisationen einmal pro Jahr eine Überprüfung durch. Dies ist ein enormer Ansporn für alle Beteiligten, das Niveau des Security-Systems nicht nur zu halten, sondern auch zu optimieren.“ Nur mit derartigem Engagement seien höchste Sicherheit und Schutz gegen Attacken oder Datenpannen langfristig zu gewährleisten.

 

 02_zert_wien_web

 

Zertifikatsübergabe durch CIS-Auditor Peter Wörgötter Msc. (Mitte): v.l.n.r.: Ing. Wolfgang Steiner, Fachbereichsleiter Security; Ing. Mag. Manuel Stecher MSc. BSc., Risikobeauftragter MA 14; Ing. Dr. Johann Klar, Abteilungsleiter MA 14; Mag. Wolfgang Müller MBA, Magistratsdirektor-Stellvertreter.
(Fotohinweis: Gerhard Kodym/MA 14)

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB