Beschlussvorschlag/Empfehlung:
Der Schulausschuss
beauftragt die Verwaltung, einen Maßnahmenplan zur Umsetzung des Gutachtens zur
IT-Sicherheit zu entwickeln.
Begründung:
Die
Gemeindeprüfungsanstalt NRW hat in ihrem Prüfbericht konzeptionelle Defizite im
Bereich der IT-Sicherheit festgestellt. Die Verwaltung hat infolgedessen ein
Gutachten zur Identifizierung und Kostenabschätzung von Maßnahmen der
Informationssicherheit in Schulen und Verwaltung der Stadt Rheine (Anlage 1) in
Auftrag gegeben. Erstellt wurde das Gutachten durch die ifib consult GmbH,
welche die Strukturen der Schul-IT bereits durch die Beratung zu den
Supportstrukturen sowie aktuell durch die Unterstützung bei der Fortschreibung
des Medienentwicklungsplan kennt.
Die Zuständigkeit
der Stadt Rheine für die IT-Sicherheit in den Schulen ergibt sich aus § 78 f.
Demnach ist der Schulträger verpflichtet im Rahmen der sog. äußeren
Schulangelegenheiten eine am allgemeinen Stand der Technik und
Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.
Hiermit verbunden ist dann folglich auch die Pflicht des Schulträgers, nur
solche Hard- und Software zur Verfügung zu stellen, die grundsätzlich einen
informationssicherheitskonformen Betrieb gewährleistet. Demgegenüber steht die
Verpflichtung des Landes der Umsetzung der inneren Schulangelegenheiten, welche
die unmittelbare Bildungs- und Erziehungsarbeit umfasst. In der Praxis ergibt
sich durch diese besondere Konstellation die Notwendigkeit einer guten
Zusammenarbeit zwischen Schulträger und Schulleitung bei der Umsetzung der
IT-Sicherheit.
Das Gutachten
wurde am 30. Oktober im Arbeitskreis Digitales vorgestellt. Hierzu wurden die
schulpolitischen Sprecher der Fraktionen eingeladen, damit die Belange der
Schulen angemessen berücksichtigt werden. Über die Erkenntnisse wird im
Schulausschuss berichtet.
Inhaltlich
beschäftigt sich das Gutachten zunächst mit der Ausgangslage in der Stadt
Rheine und betont die verschärfte Bedrohungslage aufgrund unterschiedlicher
Gefährdungen. Dies wird durch verschiedene aktuelle Beispiele von
Sicherheitsvorfällen, insbesondere aus öffentlichen Verwaltungseinrichtungen,
untermauert. Es wird deutlich, dass das Thema IT-Sicherheit für Kommunen von
größerer Bedeutung ist denn je.
Der Abschnitt
"Vorgehen" beschreibt die angewandte Methodik, darunter die
Dokumentenanalyse sowie Expertengespräche und Workshops, die zur
Erkenntnisgewinnung verwendet wurden. Die gewonnenen Erkenntnisse werden im
nächsten Abschnitt zusammengefasst, wobei Mängel wie veraltete
Sicherheitsrichtlinien und unzureichende Ressourcen eines
Informationssicherheitsbeauftragen (ISB) bei der Verwaltungs-IT hervorgehoben
werden. Die Schul-IT kann aktuell auf keine Ressourcen eines ISB zurückgreifen.
Das Gutachten
stellt fest, dass die strategischen Tätigkeiten zur Sicherstellung der
IT-Sicherheit zuletzt nicht angemessen ausgeführt werden konnten. Angesichts
der ständig wachsenden Bedrohungslage und der hohen Eigenständigkeit bei der
IT-Bereitstellung in der Stadt Rheine besteht ein dringender Handlungsbedarf,
um eine sichere und hochverfügbare IT-Systemlandschaft zu gewährleisten.
Im Abschnitt
"Maßnahmen" wird ein gestaffeltes Vorgehen zur Verbesserung der Informationssicherheit
vorgeschlagen. Zum einen müssen geeignete organisatorischen Strukturen
aufgebaut werden und zum anderen Maßnahmen zur Stärkung der IT-Sicherheit
umgesetzt werden.
Für die
Verbesserung der organisatorischen Strukturen wird die Schaffung der Funktion
eines Informationssicherheitsbeauftragten (ISB) vorgeschlagen. Dieser ISB soll
die strategische Ausrichtung für die gesamte Stadtverwaltung verantworten und
ein zeitgemäßes Informationssicherheitsmanagement aufbauen. Es ist zu klären,
ob diese Position intern in der Stadtverwaltung besetzt werden soll oder ob die
Funktion als Dienstleistung eingekauft wird. Das Gutachten zeigt Vor- und
Nachteile beider Varianten auf.
Das Gutachten
nennt bereits konkrete Maßnahmen zur Optimierung der IT-Sicherheit. Diese sind
·
Dokumentationslage
verbessern,
·
Schulungen
und Sensibilisierungsmaßnahmen durchführen,
·
Notfallmanagement
aufbauen und etablieren.
Dabei sind die
Schulen mit ihrer besonderen Struktur stets zu berücksichtigen. Dies wird zum
Beispiel bei der Sensibilisierung der heterogenen Zielgruppe in den Schulen (u.
a. Lehrpersonal, Schülerinnen und Schüler, städtisches Personal) deutlich. Bei
der Einführung von neuen Fachverfahren oder Änderungen von Arbeitsabläufen sind
die Auswirkungen auf die IT-Sicherheit automatisch zu betrachten.
Die operativen
Aufgaben im Bereich IT-Sicherheit bleiben weiterhin in den Fachabteilungen.
Diese Aufgaben umfassen Benutzerverwaltung, Risikoanalyse, das Einspielen von
Sicherheitspatches, Notfallmanagement, die Reaktion auf Sicherheitsvorfälle,
Schulungsprogramme und regelmäßige Überprüfungen. Mit der Aufwertung der
Funktion des ISB steigt auch die Verantwortung für die technische Umsetzung von
Maßnahmen. Das Gutachten empfiehlt, für die Schul-IT 0,5 Stellenanteile vorzusehen.
Dies ist keine zeitlich begrenzte Projektaufgabe, sondern ein dauerhafter
Bedarf, um die technische Umsetzung der IT-Sicherheit sicherzustellen. Die
vorgeschlagene Erhöhung der Stellenanteile wurde daher im Rahmen der
Haushaltsplanberatung im Budget der Schul-IT beantragt. Eine Entscheidung
erfolgt im Rahmen der Stellen- und Haushaltsplanberatungen 2024.
Die Verwaltung
schlägt vor, der Empfehlung im Gutachten aufgeführten Maßnahmen zu folgen und
diese in einem Zeithorizont von ca. 4 Jahren anzugehen. Im Ergebnis soll ein
gesamtstädtischer Maßnahmenplan zur Etablierung und dauerhaften Sicherstellung
der IT-Sicherheit erstellt werden. Der Maßnahmenplan wird sowohl einen
Vorschlag zur Umsetzung der organisatorischen Strukturen als auch konkrete
Maßnahmen enthalten. Die Verwaltung wird hierzu die Empfehlungen des Gutachtens
aufgreifen, weiter ausführen und unter der Berücksichtigung des Risikos sowie
der Wahrscheinlichkeit von Schäden priorisieren, eine Zeitplanung erstellen und
jeweils personelle und finanzielle Auswirkungen der Maßnahmen darstellen.
Die Verwaltungs-IT
wird eine inhaltsgleiche Vorlage für den kommenden Haupt-, Digital- und
Finanzausschuss vorbereiten.
Anlagen:
Anlage 1: Ergebnisbericht Identifizierung und Kostenabschätzung von Maßnahmen der Informationssicherheit in Schulen und Verwaltung der Stadt Rheine
Anlage 2: Präsentation der ifib consult GmbH im AK Digitales