Informationssicherheit in der Landesverwaltung

Denkschrift 2016, Beitrag Nr. 8 (Mehrere Einzelpläne)

Der Rechnungshof zeigte mit einer Orientierungsprüfung zur IT-Sicherheit am Beispiel der allgemeinen Innenverwaltung verschiedene Schwachstellen auf. Sie betrafen die vom Land eingerichtete Organisation zur Einrichtung und Aufrechterhaltung der Informationssicherheit genauso wie die konkreten, in der Prüfung angetroffenen Defizite. Sie wurden besonders in den Regierungspräsidien mit ihrer Vielzahl an Fachverfahren deutlich.

Die Landesregierung hatte 2013 im IT-Planungsrat die Leitlinie für Informationssicherheit in der öffentlichen Verwaltung mit beschlossen. Damit hatte sie sich verpflichtet, bis spätestens 2018 grundlegende Strukturen und Maßnahmen zur Informationssicherheit einzurichten bzw. definierte Meilensteine zu erreichen. Bisher hatte die Landesregierung nur im Innenministerium einen Informationssicherheitsbeauftragten des Landes bestellt. Er kam den Aufgaben zur Informationssicherheit nur im Nebenamt nach.

Bei der Prüfung in den Regierungspräsidien wurde zudem deutlich, dass sie eine Vielzahl von IT-Verfahren für die Bewältigung fachlicher Aufgaben einsetzen und einsetzen müssen. Die Vorgaben der Fachressorts unterschieden sich dabei stark, notwendige Sicherheitskonzepte lagen nur in seltenen Fällen vor.

Der Rechnungshof empfahl, Organisation und Maßnahmen der Informationssicherheit mit Nachdruck aufzubauen und anzugehen. Die bislang erreichten Zwischenergebnisse reichten nicht aus. Durch E- und Open-Government und die damit eintretende Verflechtung von landeseigenen und fremden IT-Infrastrukturen würden entsprechende Anforderungen und Bedrohungen aber stetig weiter zunehmen. Ein Ausfall der verwaltungsinternen IT würde zwischenzeitlich sehr schnell zu einer weitgehenden Handlungsunfähigkeit des Staates führen.

Parlamentarische Behandlung

Der Landtag hat die Landesregierung gebeten, ein Informationssicherheitsmanagement auf der Grundlage der Informationssicherheitsleitlinie des IT-Planungs-rats und den Empfehlungen des Rechnungshofs fristgerecht einzuführen und fortzuführen. Des Weiteren sollte für die Durchführung von Audits und Zertifizierungen von Maßnahmen der Informationssicherheit die Wirtschaftlichkeit beachtet werden.

Reaktion der Landesregierung

Die Landesregierung hat mitgeteilt, dass die Verwaltungsvorschrift Informationssicherheit nach der Veröffentlichung am 31. Mai 2017 in Kraft getreten sei. Für die Einführung und Fortführung eines Informationssicherheitsmanagementsystems (ISMS) seien Stellen besetzt worden. Angemessene Wirtschaftlichkeitsberechnungen würden schon frühzeitig bei den Planungen berücksichtigt werden.

Parlamentarische Erledigung

Der Landtag hat den Bericht der Landesregierung zur Kenntnis genommen und das parlamentarische Verfahren am 12.10.2017 beendet.

Letzte Änderung dieses Artikels: 19.02.2018