Der bequeme Irrtum
Es gibt Sätze, die klingen auf den ersten Blick so charmant einfach, dass man sie am liebsten glauben möchte. „Wir haben ein Informationssicherheitskonzept – damit sind wir auf der sicheren Seite.“ Fertig, abgehakt, kein Stress mehr. Und wenn es ganz besonders schnell gehen soll, wird gleich die alte TOM-Checkliste als „Konzept“ etikettiert. Zack – schon hat man Informationssicherheit zum Nulltarif. Klingt genial, ist aber leider nichts weiter als Selbstbetrug.
Der bayerische Gesetzgeber hat in Art. 43 Absatz 1 BayDiG bewusst den Plural gewählt: Informationssicherheitskonzepte. Und das aus gutem Grund. Informationssicherheit ist nicht mit einem einzigen Papier (Konzept) erledigt, sondern betrifft die Vielzahl an Assets, Verfahren und Prozessen einer Verwaltung.
Warum der Plural wichtig ist
Wer einmal in die Normen hineinschaut – sei es ISO 27001 oder die BSI-Standards – erkennt sofort: Die Grundlage ist ein Managementsystem, das Risiken systematisch erfasst, Maßnahmen organisiert und die kontinuierliche Verbesserung sicherstellt. Darunter hängen dann die spezifischen (Informationssicherheits-) Konzepte für die (wirklich wichtigen) Assets.
Ein zentrales Dokument mag hübsch aussehen, erfüllt aber allein nicht den gesetzlichen Auftrag. Ohne die Vielfalt an Teilkonzepten bleibt es eine Hülle ohne Inhalt.
Die Abkürzung, die keine ist
Warum also greifen so viele zur Abkürzung? Weil ein ISMS vermeintlich nach viel Arbeit riecht. Rollen, Verantwortlichkeiten, PDCA-Zyklus, regelmäßige Überprüfungen – das klingt nach Aufwand. Und da kommt die Versuchung ins Spiel, mit einer Checkliste oder einem Einseiter den gesetzlichen Pflichten Genüge tun zu wollen.
Doch Informationssicherheit ohne Struktur ist wie ein Bau ohne Fundament: Man kann schnell ein Dach aufstellen und behaupten, das Haus stehe. Nur wehe, der erste Sturm kommt. Dann bleibt von der schönen Illusion nicht mehr viel übrig.
Stellen wir uns eine Verwaltung als Bauprojekt vor.
- Das ISMS ist das Fundament und der Bauplan, der alles zusammenhält. Es sorgt dafür, dass Statik, Elektrik, Brandschutz und Bauaufsicht aufeinander abgestimmt sind. Ohne dieses Fundament ist jedes noch so schön geplante Detail instabil.
- Die Informationssicherheitskonzepte sind die Detailpläne für einzelne Gebäudeteile: das Brandschutzkonzept für das Treppenhaus, die Statikberechnung für die Brücke zwischen zwei Gebäudeflügeln, die Installationspläne für Strom und Wasser.
Kein Architekt käme auf die Idee, ein gesamtes Bauwerk mit nur einem einzigen Blatt Papier zu planen. Genauso unsinnig ist es, Informationssicherheit auf eine einzige Checkliste oder ein einzelnes Konzept zu reduzieren. Erst das Zusammenspiel aus Gesamtplanung und Detailkonzepten ergibt ein stabiles, nutzbares Gebäude – oder eben eine belastbare (Informations-) Sicherheitsarchitektur.
Was eine Checkliste (aka ein einzelnes Konzept) nicht leisten kann
Das Missverständnis „IS-Konzept = ISMS light“ hält sich hartnäckig. Eine TOM-Liste ist ein guter Startpunkt, mehr nicht. Sie beantwortet keine Fragen nach Schutzbedarf, sie priorisiert keine Risiken, und sie beschreibt auch keine Prozesse, wie mit neuen Gefahren umgegangen wird.
Im besten Fall ist sie eine Inventur, im schlimmsten Fall eine Nebelkerze. Wer glaubt, damit seine Pflicht erfüllt zu haben, läuft sehenden Auges in die nächste Schwachstelle.
Ein Praxisbeispiel aus der Kommune
Nehmen wir eine mittelgroße Stadtverwaltung. Dort laufen verschiedene Fachverfahren, jedes mit eigener Bedeutung und eigenem Schutzbedarf.
- Einwohnermeldewesen: Hochsensibel, da personenbezogene Daten aller Bürger verarbeitet werden. Das Konzept muss den besonderen Schutzbedarf „Vertraulichkeit“ adressieren, klare Berechtigungskonzepte vorsehen und Notfallpläne für Ausfälle enthalten.
- Personalverwaltung: Hier liegt der Schwerpunkt auf „Integrität“ und „Verfügbarkeit“. Manipulierte Gehaltsdaten oder ein Ausfall der Lohnabrechnung hätten unmittelbare Auswirkungen auf die Belegschaft.
- Technische Infrastruktur: Das Netz, die Server, Cloud-Lösungen und die Schnittstellen bilden die Grundlage für alles andere. Hier müssen die Konzepte u.a. Angriffsszenarien wie Ransomware oder DDoS abdecken und beschreiben, wie Monitoring, Firewalls und Segmentierung umgesetzt sind.
Jedes dieser Teilkonzepte ist für sich wichtig. Aber erst das übergeordnete ISMS sorgt dafür, dass sie nicht isoliert nebeneinander stehen, sondern in einem Gesamtprozess miteinander verzahnt sind. Es stellt sicher, dass Änderungen – etwa die Einführung von Homeoffice-Lösungen – nicht irgendwo im Nirwana hängenbleiben, sondern in den relevanten Konzepten nachgezogen werden.
Fazit: Der Plural ist kein Luxus
Kurz gesagt: Es gibt keinen einfachen (und für Kommunen rechtskonformen) Weg mit einem einzigen Konzept. Wer Sicherheit ernst nimmt, muss den Plural akzeptieren. Ein ISMS ist kein unnötiger Luxus, sondern der einzige Weg, die Vielzahl der einzelnen Informationssicherheitskonzepte in der Organisation in Einklang zu halten und kontinuierlich weiterzuentwickeln.
Alles andere ist Etikettenschwindel – und der fällt spätestens dann auf, wenn ein echter Vorfall die vermeintliche Sicherheit entzaubert.
Oder, etwas salopper formuliert: Eine Checkliste macht noch keinen Schutzwall. Wer seine Verwaltung wirklich sicher halten will, kommt um das Zusammenspiel von ISMS und vielen konkreten Informationssicherheitskonzepten nicht herum. Alles andere ist Schönfärberei – und davon haben wir alle schon genug gesehen.