Success Story: Cyberresilienz für das digitale Landratsamt
Das Landratsamt Heilbronn realisiert mit enthus und der Software-Suite von CONTECHNET ein integriertes Managementsystem für Informationssicherheit und IT-Notfallplanung.
Landratsamt Heilbronn
Der Landkreis Heilbronn spiegelt die ganze Vielfalt des Bundeslandes Baden-Württemberg wider. Die Region zählt zu den stärksten Wirtschaftsstandorten in Deutschland mit einem breit aufgestellten Mittelstand und mehreren Weltmarktführern. Gleichzeitig bietet der Landkreis mit seiner reizvollen Landschaft und 46 attraktiven Städten und Gemeinden eine hohe Lebensqualität. Zentrale Verwaltungsbehörde und einer der größten Arbeitgeber in der Region ist das Landratsamt Heilbronn. Rund 2.000 Mitarbeiterinnen und Mitarbeiter kümmern sich hier um die vielfältigen Anliegen der Gemeinden und der 350.000 Einwohner des Landkreises zuständig. Das Landratsamt versteht sich dabei als moderner Dienstleister, der stets im Interesse des Gemeinwohls handelt.
Weitere Informationen finden Sie unter:
www.landkreis-heilbronn.de
Die Challenge
- Wachsende Cyberrisiken in der öffentlichen Verwaltung, zum Beispiel durch Ransomware
- Keine vollständige Transparenz über bereits implementierte Sicherheitsmaßnahmen
- Kein durchgängiges Konzept zur Bewältigung von IT-Notfällen
Unser Job
- Bestandsaufnahme, Schutzbedarfsfeststellung, Risiko- und Business-Impact-Analyse
- Einführung eines Informationssicherheits-Managementsystems (ISMS) nach BSI-Standard
- Aufbau und Pflege eines prozessorientierten Notfallmanagements mit Maßnahmenplänen
- Unterstützung bei der Erstellung von Richtlinien und Entwicklung des Schulungskonzepts
Der Businessvorsprung
- Umfassende Absicherung von sensiblen Daten und Verwaltungsprozessen
- Notfallhandbuch für die schnelle Fortführung des Verwaltungsbetriebs in Krisensituationen
- Compliance mit BSI 200-1, 200-2, 200-3 (IT-Grundschutz) sowie 100-4 (Notfallplanung)
Um sich gegen wachsende Cyberrisiken zu wappnen, setzt das Landratsamt Heilbronn auf eine ganzheitliche Sicherheitsstrategie. Mit Unterstützung von enthus führt die Kreisverwaltung ein ISMS ein und kann damit alle technischen, organisatorischen und personellen Aspekte der Informationssicherheit zentral steuern. Durch eine strukturierte IT-Notfallplanung ist das Landratsamt nun auch auf Ausnahmesituationen optimal vorbereitet.
Daten und Verwaltungsprozesse besser vor Risiken schützen
Das Landratsamt Heilbronn hat sein Dienstleistungsangebot in den vergangenen Jahren Schritt für Schritt digitalisiert. Bürgerinnen und Bürger können heute viele Anliegen über Online-Formulare erledigen und beispielsweise die An- oder Ummeldung eines neuen Kraftfahrzeugs rund um die Uhr im Web beantragen. „Das bedeutet für uns aber auch, dass wir immer mehr sensible Daten digital verarbeiten und diese auch entsprechend schützen müssen“, sagt Nikolai Wörner, Informationssicherheitsbeauftragter im Landratsamt Heilbronn. „Schon in der Vergangenheit mussten wir zum Beispiel für die Auszahlung von EU-Fördermitteln nachweisen, dass unsere IT-Infrastruktur bestimmte Sicherheitsanforderungen erfüllt.“
Zuletzt häuften sich zudem Sicherheitsvorfälle und Cyberangriffe in anderen Verwaltungseinrichtungen. So wurden etwa mehrere Stadt- und Kreisverwaltungen in Deutschland durch Ransomware-Attacken komplett lahmgelegt und waren teilweise über mehrere Wochen nicht mehr online erreichbar.
Vor diesem Hintergrund entschieden sich die Verantwortlichen im Landratsamt Heilbronn, ein umfassendes Notfallkonzept für die gesamte IT umzusetzen und einheitliche Sicherheitsstandards über alle Abteilungen hinweg zu etablieren. Ziel war es, im Falle einer Attacke oder einer anderen IT-Störung schnellstmöglich wieder handlungsfähig zu sein. Strategisch wollte man sich dabei an den aktuellen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren.
„Uns war von Anfang an klar, dass wir dabei systematisch vorgehen müssen und einen kompetenten Partner für die Planung und Umsetzung brauchen“, erklärt Nikolai Wörner. „Nach einer Marktrecherche haben wir uns für die Zusammenarbeit mit enthus entschieden. Neben der großen Expertise von enthus spielte auch die vorgeschlagene Softwarelösung von CONTECHNET eine wichtige Rolle bei unserer Entscheidung.“
Mit Unterstützung von enthus haben wir mittlerweile schon große Fortschritte auf dem Weg zu einer IT-Notfallplanung und einem ISMS nach IT-Grundschutz gemacht. Diese Arbeit wird aber nie ganz abgeschlossen sein. Sobald wir alle notwendigen Prozesse implementiert haben, werden wir das System kontinuierlich aktualisieren und die einzelnen Maßnahmen regelmäßig auf ihre Wirksamkeit überprüfen. Auch dabei greifen wir auf die Expertise von enthus zurück.
Nikolai Wörner, Informationssicherheitsbeauftragter, Landratsamt Heilbronn
Die CONTECHNET Suite bildet BSI-Standards strukturiert ab
In einem ersten Kick-Off-Workshop legten die Projektpartner den Projektrahmen fest und definierten die notwendigen Schritte auf dem Weg zu einem ganzheitlichen Sicherheits- und Notfallkonzept. Die Experten von enthus führten eine umfassende Bestandsaufnahme durch und bewerteten nicht nur die vorhandenen Infrastrukturen und Sicherheitsmaßnahmen, sondern auch die Dokumentation der relevanten Prozesse.
„Eine der wichtigsten Erkenntnisse war dabei, dass es uns teilweise an Transparenz fehlte“, berichtet Nikolai Wörner. „Wir hatten bereits einige wirksame Schutzmaßnahmen implementiert, aber die Informationen darüber lagen in verschiedenen Abteilungen oder bei unterschiedlichen Personen. Um unsere Cyberresilienz zu verbessern, mussten wir also vor allem bei den Prozessen ansetzen.“
Genau dabei unterstützt die von enthus vorgeschlagene CONTECHNET Suite. Die modulare Softwarelösung bietet ein standardisiertes Vorgehensmodell zur Umsetzung von Informationssicherheit, IT-Notfallplanung und Datenschutz auf einer Plattform. Die notwendigen Informationen werden in einem zentralen Managementsystem erfasst und sind so für alle Prozesse und Aufgaben sofort nutzbar. Gleichzeitig erleichtert dieser Ansatz die Pflege und Aktualisierung der gesammelten Daten.
Das Landratsamt Heilbronn setzt in einem ersten Schritt vor allem die Softwaremodule INDITOR® BSI und INDART Professional® ein. Mit INDITOR® BSI kann die Verwaltungseinrichtung ein Informationssicherheits-Managementsystem (ISMS) auf Basis des BSI-Grundschutzes aufbauen. Alle aktuellen Anforderungen der BSI-Standards 200-1, 200-2 und 200-3 sind bereits in der Software abgebildet. Der Schutzbedarf lässt sich dabei für jeden Prozess individuell festlegen und bis auf die Ebene der einzelnen Anwendungen herunterbrechen. Die Verantwortlichen des Landratsamts können zudem alle technischen, organisatorischen und personellen Maßnahmen zentral dokumentieren und dabei auf bereits mitgelieferte Vorlagen zurückgreifen.
INDART Professional® führt Organisationen durch die Umsetzung einer IT-Notfallplanung gemäß BSI 100-4. Die Software deckt dabei in acht aufeinander aufbauenden Schritten alle wichtigen Aufgaben ab – von der Aufnahme der Kernprozesse und der Einstufung der Kritikalität bis zur Planung der Wiederanlaufprozeduren. Im Ergebnis erhält das Landratsamt Heilbronn dadurch ein prozessorientiertes Notfallhandbuch, um in Ausnahmesituationen schnell und zielgerichtet reagieren zu können.
Risiken analysieren, Schutzbedarf ermitteln, Anwender sensibilisieren
Die Experten von enthus implementierten die CONTECHNET Suite im Rechenzentrum des Landratsamts und schulten die zuständigen Mitarbeiter im Umgang mit der Software. „Die Bedienung ist wirklich sehr intuitiv, aber die Software allein kann natürlich nicht alles leisten“, sagt Nikolai Wörner. „Das Know-how und die Erfahrung von enthus haben uns geholfen, die richtigen Prioritäten zu setzen und die benötigten Informationen effizient zusammenzutragen.“
Für die Umsetzung des ISMS und des IT-Notfallkonzepts werden alle IT-Systeme, Infrastrukturkomponenten, Prozesse und Personen in der CONTECHNET Suite angelegt. Import-Tools und Standard-Schnittstellen erleichtern dabei die Integration vorhandener Datenquellen und ermöglichen eine weitgehend automatisierte Erfassung der Assets.
Darüber hinaus führt das Landratsamt mit Unterstützung von enthus umfassende Business-Impact- und Risikoanalysen durch. Dabei werden nicht nur alle Geschäftsprozesse der rund 20 Fachabteilungen erfasst, sondern auch die Gefährdungssituation und die jeweiligen Ausfallrisiken betrachtet. Wie lange darf ein Prozess höchstens ausfallen? Welche Auswirkungen hat ein längerer Ausfall auf andere Prozesse? Wie hoch ist die Eintrittswahrscheinlichkeit verschiedener Risikoszenarien? Alle diese Fragen werden im Rahmen der Analysen beantwortet.
„Der gesamte Analyseprozess wird wahrscheinlich länger als ein Jahr dauern, da wir sehr viele Einzelgespräche führen müssen“, berichtet Nikolai Wörner. „Deshalb war es wichtig, mit den sensibelsten Bereichen zu beginnen. Die Experten von enthus haben uns wertvolle Hinweise zur Risikobeurteilung gegeben und uns gezeigt, wie wir mit gezielten Maßnahmen das Sicherheitsniveau schnell erhöhen können.“
enthus
Über 500 Enthusiast:innen an 18 Standorten in Deutschland, Österreich und der Schweiz sind bei 240 Millionen Euro Jahresumsatz (2023) leidenschaftliche #erfolgreichmacher für IT und Digitalisierung. Mit innovativen IT-Lösungen, Managed Services & XaaS sowie unseren smarten Lösungen für digitale Geschäftsprozesse wollen wir #yourfirstchoice auf dem Weg ins digitale Zeitalter sein.
Denn Herausforderungen löst man am besten im Schulterschluss – partnerschaftlich und auf Augenhöhe.
Weitere Informationen finden Sie unter: www.enthus.de
Interessiert?
Wolfgang Hahl
Mitglied der Geschäftsführung
E-Mail: hallo@enthus.de
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.