Schutzbedarfsfeststellung: Öffentliche Verwaltung

In der Schutzgüteranalyse werden alle relevanten Verwaltungsbereiche und deren Informationswerte betrachtet. Für jeden Bereich werden typische Schutzgüter (Datenarten, Anwendungen, Geschäftsprozesse) identifiziert und hinsichtlich Vertraulichkeit (V), Integrität (I) und Verfügbarkeit (A) bewertet. Die Einstufung normal, hoch oder sehr hoch erfolgt gemäß den in der Methodik beschriebenen Kriterien, orientiert am potenziellen Schadensausmaß.

• Bürgerdienste (Einwohnermeldeamt und Personenstandswesen): Die Bürgerdienste verwalten die Meldedaten der Einwohner (Adressdaten, Familienstand, Ausweisdokumente) sowie Personenstandsdaten wie Geburts-, Heirats- und Sterberegister. Diese Informationen unterliegen strengen datenschutzrechtlichen Vorgaben und dem Melderecht. Unberechtigte Offenlegung könnte Persönlichkeitsrechte verletzen, Identitätsmissbrauch ermöglichen und das Vertrauen der Bürger in die Verwaltung erschüttern. Vertraulichkeit hat daher oberste Priorität (hoch). Die Integrität der Daten ist ebenfalls kritisch: Fehlerhafte oder manipulierte Meldedaten (z. B. falsche Anmeldung, fehlerhafte Personenstandseinträge) können zu Rechtsunsicherheit führen – etwa ungültigen Pässen oder Problemen bei Erbfällen – weshalb höchste Genauigkeit gefordert ist (hoch). Verfügbarkeit ist wichtig, um Bürgeranliegen fristgerecht zu bearbeiten (z. B. Wohnsitzanmeldungen, Ausstellung von Urkunden). Kurzzeitige Ausfälle könnten aufgefangen werden, aber längere Nicht-Verfügbarkeit würde gesetzliche Fristen gefährden und Bürger erheblich beeinträchtigen. Daher wird auch die Verfügbarkeit als hoch eingestuft. Schutzbedarf: V: hoch, I: hoch, A: hoch. (Insbesondere das Personenstandswesen genießt aufgrund gesetzlicher Vorgaben einen hohen Schutzbedarf und erfordert zusätzliche Maßnahmen.)

• Bauamt (Bauplanung und Genehmigungen): Das Bauamt verarbeitet Bauanträge, Baupläne, statische Berechnungen, GIS-Daten und andere Unterlagen zu Bauvorhaben. Diese enthalten teils personenbezogene Daten (Bauherrn, Eigentümer) und technische Details von Gebäuden. Die Vertraulichkeit ist hier überwiegend normal bis hoch einzustufen: Allgemeine Bauantragsdaten unterliegen zwar dem Verwaltungsvollzug, sind aber teilweise im Baugenehmigungsverfahren ohnehin öffentlich einsehbar (z. B. über Auslegungen für Beteiligte). Jedoch können bestimmte Informationen – z. B. Sicherheitsaspekte kritischer Infrastrukturen in Bauplänen oder vertrauliche Betriebsgeheimnisse bei gewerblichen Bauten – erhöhten Schutz erfordern (hoch). Die Integrität von Bau- und Planungsdaten ist essenziell (hoch), da verfälschte Pläne oder Berechnungen direkte Auswirkungen auf die Standsicherheit von Bauwerken oder die Rechtmäßigkeit von Baugenehmigungen haben könnten. Veränderungen an digitalen Bauakten müssen zuverlässig nachvollziehbar und ausgeschlossen sein. Die Verfügbarkeit der Bauamtsdaten und -anwendungen ist wichtig für fristgerechte Baugenehmigungen und Beratungen, aber kurzfristige Ausfälle (im Umfang von 1–2 Tagen) wären notfalls durch Fristverlängerungen oder manuelle Prozesse kompensierbar. Ein längerer Ausfall würde jedoch Bauprojekte verzögern und ggf. rechtliche Ansprüche auslösen. Wir bewerten die Verfügbarkeit daher als normal bis moderat, im Zweifel normal. Schutzbedarf: V: normal, I: hoch, A: normal.

• Jugendamt (Jugend- und Familienhilfe): Das Jugendamt arbeitet mit äußerst sensiblen persönlichen Sozialdaten: Informationen zu gefährdeten Minderjährigen, Sorgerechtsfällen, familiengerichtlichen Gutachten, Hilfeplänen, eventuell medizinischen oder psychologischen Befunden. Eine Offenlegung solcher Daten wäre für die Betroffenen gravierend und könnte deren Wohl gefährden. Vertraulichkeit ist daher durchgehend sehr hoch einzustufen – Sozialdaten unterliegen dem Sozialgeheimnis (§ 35 SGB I, § 65 SGB VIII) und dürfen nur autorisiert verwendet werden. Auch intern muss der Zugriff streng nach dem Need-to-know-Prinzip beschränkt sein. Die Integrität der Jugendamtsakten hat ebenfalls hohe Priorität (hoch): Verfälschte oder verlorene Informationen (z. B. zu Kindeswohlgefährdungen oder Abstimmungen mit Gerichten) könnten falsche Entscheidungen zur Folge haben und Kindern wie Familien erheblich schaden. Änderungen müssen nachvollziehbar und revisionssicher sein. Die Verfügbarkeit der Fachverfahren (etwa Software für die Wirtschaftliche Jugendhilfe, Unterhaltsvorschuss etc.) ist wichtig, damit Hilfen rechtzeitig gewährt, Gefährdungsmeldungen sofort verfolgt und Zahlungen (z. B. Pflegegeld) pünktlich ausgezahlt werden können. Ein Ausfall des Jugendamts-IT-Systems könnte im schlimmsten Fall dazu führen, dass dringende Schutzmaßnahmen für Kinder verzögert werden – was potenziell lebensbedrohliche Folgen haben kann. Daher ist auch die Verfügbarkeit als hoch einzustufen, in kritischen Teilbereichen (z. B. Kinderschutznotdienst-Daten) sogar sehr hoch. Schutzbedarf: V: sehr hoch, I: hoch, A: hoch.

• Sozialamt (Sozialhilfe und Leistungsgewährung): Das Sozialamt verwaltet Daten zu Sozialleistungen (Grundsicherung, Hilfe zum Lebensunterhalt, Asylbewerberleistungen, Wohngeld etc.) und damit umfangreiche personenbezogene Informationen über die wirtschaftliche und oft auch gesundheitliche Situation der Bürger. Diese Sozialdaten sind nach § 35 SGB I besonders geschützt. Vertraulichkeit hat höchste Priorität (hoch bis sehr hoch), da unbefugte Offenbarung – z. B. von Gesundheitsgutachten, Behinderungsgraden oder finanziellen Notlagen – die Betroffenen stigmatisieren oder benachteiligen würde. Die Integrität der Leistungsdaten muss gewährleistet sein (hoch): Fehlerhafte Berechnungen oder Manipulationen könnten zu falschen Auszahlungen führen – entweder Nachteilen für Leistungsberechtigte oder Missbrauch/Haushadung von Staatsmitteln. Besonders kritisch wäre eine unbemerkte Verfälschung (z. B. durch Malware), die zu systematischen Fehlüberweisungen führt. Daher sind Prüfsummen, Vier-Augen-Prinzip und ähnliche Kontrollen erforderlich, was die hohe Integritätsanforderung unterstreicht. Die Verfügbarkeit der Sozialamtsverfahren ist essenziell für den Lebensunterhalt vieler Menschen: Zahlungen wie Sozialhilfe oder Wohngeld müssen termingerecht erfolgen. Ein IT-Ausfall würde direkt Zahlungsläufe verzögern; bereits in realen Fällen mussten in einer Krisensituation wie Anhalt-Bitterfeld Mitarbeiter improvisierte Notzahlungen auf Grundlage alter Auskünfte leisten. Da Verzögerungen existenzbedrohend für Bedürftige sein können und der öffentliche Druck hier hoch ist, bewerten wir die Verfügbarkeit als sehr hoch. Ausfälle von mehr als 1–2 Tagen sind inakzeptabel – zur Not müsste man sofort Notfallpläne (manuelle Zahlungsanweisungen etc.) aktivieren. Schutzbedarf: V: hoch, I: hoch, A: sehr hoch.

• Ordnungsamt (Öffentliche Ordnung, Gewerbe, Waffenwesen): Das Ordnungsamt verarbeitet vielfältige Vorgänge: Meldungen und Verstöße im Bereich Gefahrenabwehr, Verkehrsordnungswidrigkeiten (Bußgelder), Erlaubnisse für Gaststätten und Gewerbe, Versammlungsanzeigen, Waffen- und Sprengstoffrechtliche Erlaubnisse etc. Vertraulichkeit: Viele Ordnungsamtsdaten sind intern und dürfen nicht unkontrolliert nach außen dringen (hoch). Besonders das Waffenregister erfordert höchste Vertraulichkeit – Informationen über private Waffenbesitzer sind Verschlusssache – Nur für den Dienstgebrauch oder vergleichbar eingestuft, da ein Leak gravierende Sicherheitsrisiken birgt (Einbruchziele für Waffendiebstahl etc.). Hier greifen klare rechtliche Vorgaben (WaffG, Bundeszentralregister) und es besteht sehr hoher Schutzbedarf für Vertraulichkeit. Andere Ordnungswidrigkeiten- oder Gewerbedaten sind weniger kritisch und oft nach Abschluss sogar öffentlich einsehbar (z. B. Gaststättenkonzessionen), so dass dort normaler Schutz genügen kann – wir orientieren uns jedoch am strengsten enthaltenen Teil und bewerten insgesamt Vertraulichkeit = hoch (mit Teilaspekten sehr hoch wie Waffenwesen). Integrität: Die Korrektheit von Ordnungsamtsdaten ist wichtig für rechtsstaatliches Handeln. Beispielsweise müssen Bußgeldbescheide, Auflagen und Untersagungen einwandfrei dokumentiert sein, damit sie Bestand haben. Manipulationen (intern oder extern) könnten etwa unberechtigte Löschungen von Delikten oder falsche Erlaubnisse bewirken – dies wäre gesetzeswidrig und würde das Vertrauen in die Behörde erschüttern. Folglich gilt Integrität durchgängig als hoch. Verfügbarkeit: Viele Ordnungsamtsprozesse sind zeitkritisch (sofort vollziehbare Anordnungen, Fristen für Bußgelder etc.), aber bei IT-Ausfällen kann man kurzzeitig auf manuelle Notverfahren (Papier, Ersatzformulare) ausweichen. Ein Ausfall von einigen Stunden wäre beherrschbar; längerfristig (>1–2 Tage) würde sich jedoch ein Rückstau bilden, der die öffentliche Sicherheit beeinträchtigen könnte (z. B. verzögerte Konzessionsentscheidungen, ausbleibende Kontrollen). Daher stufen wir Verfügbarkeit als hoch ein, insbesondere wegen kritischer Teilprozesse (Gefahrenabwehr). Schutzbedarf: V: hoch, I: hoch, A: hoch. (Anmerkung: In speziellen Bereichen wie dem Waffenwesen ist der Schutzbedarf gemäß gesetzlichen Vorgaben noch höher und durch zusätzliche Maßnahmen sicherzustellen.)

• Personalabteilung (Personalverwaltung und -akten): Die Personalabteilung verwaltet Beschäftigtendaten der Kreisverwaltung: Bewerbungen, Personalakten, Arbeitszeit- und Gehaltsdaten, Beurteilungen, Krankenstände, ggf. Gesundheits- und Schwerbehindertendaten, Disziplinarangelegenheiten. Diese Informationen sind hochsensibel und unterliegen Arbeits- und Datenschutzrecht sowie dem Sozialgeheimnis (bei Gesundheitsdaten). Vertraulichkeit ist hier eindeutig sehr hoch: Unbefugtes Bekanntwerden von Personaldaten (z. B. Gehälter, Krankheitsdiagnosen oder interne disziplinarische Vermerke) würde die Persönlichkeitsrechte der Mitarbeiter verletzen und das Betriebsklima massiv stören. Daher sind strikte Zugriffskontrollen und Verschwiegenheitspflichten unabdingbar. Integrität: Personal- und Gehaltsdaten müssen absolut korrekt geführt werden (hoch). Fehlerhafte Berechnungen (etwa bei der Lohnabrechnung) können Zahlungsansprüche oder Rechtsstreitigkeiten nach sich ziehen. Auch Nachweise von Beschäftigungszeiten, Urlaubsansprüche etc. müssen integer bleiben, da sie für Rentenberechnung und rechtliche Ansprüche relevant sind. Eine Manipulation der Datenbank (z. B. Änderung von Kontodaten eines Mitarbeiters durch Cyberangriff) könnte zu schweren Schäden führen – entsprechend hoch ist die Integritätsanforderung. Verfügbarkeit: Die Personalabteilung muss Gehälter pünktlich auszahlen (monatliche Termine, rechtlich verankert im Arbeitsvertrag/Besoldungsrecht). Ein Ausfall der Personalsoftware kurz vor dem Zahlungslauf hätte unmittelbare Auswirkungen auf alle Beschäftigten. Allerdings gibt es i. d. R. Möglichkeiten, notfalls über Ausweichsysteme oder Abschlagszahlungen zu arbeiten. Kurzzeitige Ausfälle (<1 Woche) wären zwar störend, aber handhabbar, wenn Backups vorliegen; längere Ausfälle gefährden die fristgerechte Zahlung und könnten rechtliche Konsequenzen haben. Insgesamt wird die Verfügbarkeit hoch bewertet (die Gehaltsabrechnung ist zeitkritisch, wohingegen andere Personalprozesse wie Bewerbungsverfahren kurzzeitig aufgeschoben werden könnten). Schutzbedarf: V: sehr hoch, I: hoch, A: hoch.

• IT-Bereich (Informationstechnik und Telekommunikation): Der IT-Bereich selbst stellt die technische Infrastruktur bereit – Netzwerke, Server, Fachanwendungen, E-Mail, Internetzugang – und verwaltet sensible technische Informationen (Admin-Passwörter, Systemkonfigurationen, Zertifikate). Obwohl die IT-Abteilung nicht im klassischen Sinne Daten von Bürgern verarbeitet, sind ihre eigenen Informationen Schlüssel zum gesamten System. Vertraulichkeit: Insbesondere Administrationsdaten (z. B. Domänen-Admin-Kennwörter, Zertifikatsschlüssel, Sicherheitskonzepte) genießen sehr hohen Schutzbedarf – ein Leak würde Angreifern die Kontrolle über die gesamte Umgebung ermöglichen. Auch Protokolldaten oder Schwachstellenberichte der IT müssen intern bleiben. Generell gilt hier das Maximum-Prinzip: Da der IT-Bereich Zugriff auf alle Fachverfahren hat, muss die Vertraulichkeit seiner kritischen Informationen so hoch sein wie die höchstgeschützten Daten der Verwaltung (mindestens hoch, für manche Admin-Secrets sehr hoch). Integrität: Die Integrität der IT-Systeme ist fundamental (sehr hoch). Jede unautorisierte Änderung an zentralen Systemen (z. B. an der Domänenkonfiguration, Firewall-Regeln oder Backup-Einstellungen) kann die Sicherheit und Funktion aller Fachverfahren kompromittieren. Ein integritätsgefährdender Angriff (Malware, Konfigurationsmanipulation) könnte breite Auswirkungen haben. Daher müssen Änderungen streng kontrolliert und protokolliert werden. Verfügbarkeit: Als Querschnittseinheit beeinflusst die IT-Verfügbarkeit unmittelbar die Arbeitsfähigkeit aller Bereiche. Fällt z. B. das Netzwerk oder zentrale Server aus, steht die gesamte Verwaltung still. Die Toleranz für IT-Ausfälle ist deshalb extrem gering. Dennoch sorgt der IT-Bereich oft für Redundanzen und Notfallpläne (z. B. USV, Backup-Server), um eine hohe Verfügbarkeit sicherzustellen. Kurze Ausfälle (Minuten bis wenige Stunden) können vorkommen, länger andauernde Totalausfälle wären jedoch katastrophal (siehe eingangs geschildertes Szenario). Wir stufen die Verfügbarkeit der Kern-IT-Systeme als sehr hoch ein. Beispielsweise dürfen die zentralen Server/Datenbanken praktisch nicht länger als maximal einige Stunden ausfallen, ohne dass ein Notbetrieb möglich sein muss. Schutzbedarf: V: sehr hoch, I: sehr hoch, A: sehr hoch (für kritische IT-Komponenten; weniger kritische interne IT-Daten ggf. etwas niedriger, aber das Gesamtniveau orientiert sich an den höchsten Anforderungen).

• Archivwesen (Registratur und Archiv): Das Archivwesen bewahrt analoge und digitale Unterlagen der Kreisverwaltung dauerhaft auf, teils mit gesetzlichen Aufbewahrungsfristen (z. B. Personenstandsregister 110 Jahre, Bauakten, historische Protokolle). Hier stehen die Werte Authentizität und Langzeitverfügbarkeit im Vordergrund. Vertraulichkeit: Archivgut enthält sowohl öffentliches Schriftgut (etwa alte Beschlüsse, die nach Ablauf von Sperrfristen einsehbar sind) als auch weiterhin vertrauliche Akten (Personalakten, Sozialakten bis zum Ablauf der Schutzfristen, Verschlusssachen). Entsprechend ist die Vertraulichkeit differenziert: Für Altakten, die zur Nutzung freigegeben sind, ist Vertraulichkeit normal; für noch gesperrte oder besonders schützenswerte Archivalien gilt hoch. Beispielsweise sind Personalakten auch im Archiv bis 60 Jahre nach Ausscheiden vertraulich zu behandeln. Insgesamt wird Vertraulichkeit = hoch angesetzt, da sich stets sensible Unterlagen im Bestand befinden. Integrität: Die Integrität (bzw. Unversehrtheit) des Archivguts ist sehr hoch einzustufen. Archivdokumente sind oft Unikate und dienen als amtliche Nachweise (z. B. bei Grundstücksfragen, historische Rechtsansprüche). Jegliche Beschädigung, Zerstörung oder Verfälschung hätte unwiederbringlichen Verlust von Kulturgut oder Rechtsgrundlagen zur Folge. Insbesondere digitale Archive müssen vor Datenkorruption geschützt werden und analoge Archivstücke vor physischen Schäden (durch Feuer, Schimmel etc.). Die Integritätsanforderungen sind hier maximal; es gelten Standards wie regelmäßige Integritätsprüfungen digitaler Bestände, Klimaregulierung und Brandschutz für Magazinräume. Verfügbarkeit: Darunter ist im Archiv-Kontext v. a. die Langzeitverfügbarkeit zu verstehen. Nutzer erwarten nicht ständigen Online-Zugriff, aber das Archiv muss angefragte Unterlagen innerhalb angemessener Frist bereitstellen können. Im Notfall (z. B. nach einem Brand) können Archive häufig auf Ersatzüberlieferungen in anderen Behörden zurückgreifen oder Wiederherstellung versuchen – dennoch wäre ein Ausfall verheerend. Da die Archivbestände teilweise einmalig sind, ist ein Verlust gleichbedeutend mit dauerhafter Nicht-Verfügbarkeit. In diesem Sinne ist die Verfügbarkeit von Archivgut ebenfalls sehr hoch (insbesondere in der langfristigen Perspektive – kurzfristige Zugriffsverzögerungen sind weniger kritisch als der Erhalt an sich). Schutzbedarf: V: hoch, I: sehr hoch, A: sehr hoch.

• Finanzwesen (Haushalt, Kämmerei und Kreiskasse): Das Finanzwesen umfasst die Haushaltsplanung, Kassenführung, Zahlstellen und ggf. Steuerverwaltung (kommunale Abgaben). Vertraulichkeit: Finanzdaten der Verwaltung (Haushaltspläne, interne Kostenkalkulationen, Angebotspreise bei Ausschreibungen) sind in der Aufstellung vertraulich, werden aber nach Beschluss oft öffentlich (Haushaltssatzung). Sensible sind vor allem personen- oder unternehmensbezogene Finanzdaten, z. B. Steuergeheimnisse (bei kommunalen Steuern wie Grundsteuer, Gewerbesteuer) und Sozialversicherungsdaten (Beitragsabrechnungen), sowie Bankverbindungen von Bürgern/Lieferanten. Diese unterliegen gesetzlichen Verschwiegenheitspflichten (Abgabenordnung § 30). Insgesamt ist Vertraulichkeit = hoch angemessen, insbesondere zum Schutz von Steuer- und Zahlungsdaten. Integrität: Fehlerfreie Buchführung ist essenziell (sehr hoch). Jede Buchung im Haushalt muss korrekt sein; Manipulationen könnten zu Unstimmigkeiten, Fehlbeträgen oder sogar Betrug führen. Auch falsche Überweisungen (etwa durch Malware veränderte Kontodaten von Lieferanten) können große finanzielle Schäden und Haftungsfragen auslösen. Es besteht ein Vier-Augen-Prinzip in Kassen und ein Prüfsystem (Rechnungsprüfungsamt), was die Integritätskontrollen unterstreicht. Angriffe auf die Integrität – etwa Silent Data Corruption in Finanzdatenbanken – würden die Vertrauenswürdigkeit des Zahlenwerks erschüttern. Daher Integrität eindeutig sehr hoch. Verfügbarkeit: Zahlungen (z. B. an Lieferanten, Gehaltszahlungen – letztere betreffen Personalamt, sind aber über die Kreiskasse abgewickelt) müssen termingerecht erfolgen, um Mahnkosten oder Vertragsstrafen zu vermeiden. Ein Ausfall der Finanzsoftware oder des Online-Banking-Zugangs der Kreiskasse kurz vor Fälligkeiten kann unmittelbare finanzielle Folgen haben. Kurzfristig können aber oft Workarounds genutzt werden (manuelle Zahlungsanweisungen per Fax an die Bank etc.). Bei Haushaltsplanungssoftware ist ein Ausfall über Wochen kritisch, da Fristen zur Einreichung des Haushaltsplans bestehen und Zahlungen nur auf vorläufiger Haushaltsführung basieren könnten. Die Verfügbarkeit stufen wir als hoch ein – insbesondere für Zahlungsverkehr und Jahresabschlussphasen sind Ausfälle kaum tolerabel (>1–2 Tage). Schutzbedarf: V: hoch, I: sehr hoch, A: hoch.

• Katastrophenschutz (Krisenmanagement): Der Bereich Katastrophenschutz umfasst den Stab für außergewöhnliche Ereignisse, Zivilschutzplanungen, Warnsysteme und die Zusammenarbeit mit Feuerwehr, Technischem Hilfswerk, Polizei etc. In friedenszeitlichen Lagen ruht vieles davon, aber im Ernstfall (Naturkatastrophe, Großschadenslage) muss die Verwaltungsführung handlungsfähig sein. Vertraulichkeit: Teile der Katastrophenschutzplanung sind sicherheitsrelevant oder als Verschlusssache eingestuft (z. B. Lagekarten kritischer Infrastrukturen, Notfallkommunikationspläne, personenbezogene Daten von Einsatzkräften oder evakuierten Personen). Unbefugtes Bekanntwerden könnte Missbrauch erleichtern oder Panik verursachen. Wir bewerten Vertraulichkeit je nach Inhalt hoch (für öffentlich kritische Informationen) bis sehr hoch (für als geheim eingestufte Dokumente, falls vorhanden). Integrität: Absolute Korrektheit der Informationen ist überlebenswichtig (sehr hoch). Falsche oder manipulierte Angaben (etwa zur Ausbreitung eines Gefahrstoffs, zur Verfügbarkeit von Notunterkünften) würden zu Fehlentscheidungen mit potentiell tödlichen Konsequenzen führen. Auch die Integrität der Kommunikationsmittel (z. B. Warn-Apps, Sirenensteuerung) ist kritisch – ein Sabotageakt, der falschen Alarm auslöst oder echten Alarm verhindert, wäre katastrophal. Verfügbarkeit: Hier ist der Anspruch maximal: Die Systeme und Daten des Katastrophenschutzes müssen im Ereignisfall sofort verfügbar sein. Ein Ausfall genau dann, wenn eine Großschadenslage eintritt (z. B. Unwetter, Terroranschlag), würde die Koordination erheblich beeinträchtigen. Daher sind Notfall-Leitzentralen oft redundant ausgelegt (Notstrom, unabhängige Kommunikationswege). Verfügbarkeit wird als sehr hoch klassifiziert. (Außerhalb von Krisen kann der Bereich wochenlang inaktiv sein, aber man muss jederzeit aktivieren können – dieser spezielle Charakter erfordert maximale Vorsorge für den Ernstfall.) Schutzbedarf: V: hoch, I: sehr hoch, A: sehr hoch.

• Schulverwaltung (Schulorganisation und -IT): Die Schulverwaltung betreut die Schulen in Trägerschaft des Kreises, insbesondere organisatorische Daten wie Schülerzahlen, Lehrmittelverwaltung, ggf. Schülerbeförderung und Schul-IT. Vertraulichkeit: Personendaten von Schülern (Name, Adresse, Leistungsdaten, besondere Förderbedarfe) sind schützenswert, da es sich um Minderjährige handelt. Auch Lehrer- und Zeugnisdaten sowie ggf. psychosoziale Informationen (Beratungsprotokolle, schulpsychologische Gutachten) erfordern Vertraulichkeit. Insgesamt ist Vertraulichkeit hoch. (Schulnoten werden zwar den Schülern mitgeteilt, aber nicht der Öffentlichkeit; besondere Kategorien wie Lernbehinderungen unterliegen dem Sozialdatenschutz.) Integrität: Schulische Daten – etwa Prüfungsnoten, Versetzungsentscheidungen, Abschlusszeugnisse – müssen korrekt und unverfälscht sein (hoch). Ein Verlust oder eine Manipulation könnte die Bildungsbiografie Einzelner beeinträchtigen (z. B. falsche Noten auf dem Zeugnis). Auch organisatorische Daten (Klasseneinteilungen, Stundenpläne) sollen zuverlässig sein, wobei ein Fehler hier weniger gravierend ist als bei Zeugnissen. Verfügbarkeit: Die Schulverwaltungssysteme (z. B. Schülerverwaltung, Stundenplan-Software) sollten während des Schulbetriebs verlässlich laufen. Kurzfristige Ausfälle können meist durch analoge Notlösungen (Papierlisten, schwarze Bretter) überbrückt werden. Ein längerer IT-Ausfall würde jedoch die Schulorganisation stören (kein Zeugnisdruck, keine digitalen Lernplattformen). Da bei Ausfällen keine unmittelbare Gefährdung von Leib und Leben droht und sich Fristen (z. B. Zeugnisdruck) im Notfall etwas verschieben lassen, stufen wir Verfügbarkeit hier als normal bis hoch ein. Bei kritischen Terminen (z. B. zentraler Abschlussprüfungsdruck) temporär hoch, im Regelbetrieb eher normal. Zur Sicherheit nehmen wir eine Einstufung hoch an, um digitalen Unterricht und Verwaltung im Pandemie- oder Hybridunterrichtsfall abzusichern. Schutzbedarf: V: hoch, I: hoch, A: hoch.

• Verwaltungsleitung (Führungs- und Steuerungsbereich): Die Verwaltungsleitung (Bürgermeister/Landrat, Dezernate, Rechtsamt, Kreistag-Geschäftsstelle) verarbeitet Informationen hoher strategischer und politischer Bedeutung. Vertraulichkeit: Hierunter fallen z. B. vertrauliche Kommunalverhandlungsvorgänge, noch nicht öffentliche Beschlussvorlagen, personenbezogene Daten aus Petitionen oder Beschwerden sowie sensible interne Kommunikation. Eine unbefugte Offenlegung könnte politische Auswirkungen haben oder die Position der Verwaltung schwächen (z. B. vor Vertragsverhandlungen). Daher wird Vertraulichkeit als hoch bewertet. (Bestimmte Unterlagen können sogar als Verschlusssachen eingestuft sein, z. B. in Sicherheitsfragen, dann entsprechend sehr hoch). Integrität: Die Leitung muss sich auf die Richtigkeit der Informationen verlassen können, sei es bei Haushaltszahlen, juristischen Einschätzungen oder Lageberichten. Jede Manipulation könnte zu Fehlentscheidungen an höchster Stelle führen – mit potenziell weitreichenden Konsequenzen. Integrität wird somit hoch angesetzt. Verfügbarkeit: Die Führungsebene muss im Krisenfall jederzeit kommunizieren und handlungsfähig sein. Doch selbst bei IT-Ausfall gibt es Ausweichkanäle (Telefon, physische Treffen). Ein kurzfristiger Ausfall von E-Mail oder Vorlagensystemen ist zwar hinderlich, aber man kann in begrenztem Umfang improvisieren. Kritisch wäre ein Ausfall genau in einer Katastrophenlage – hier greifen jedoch die Notfallregelungen des Katastrophenschutzes (separate Kommunikationsmittel). Im Normalbetrieb ist eine vorübergehende Nicht-Verfügbarkeit einzelner Systeme tolerierbar (etwa wenn ein Gremieninformationssystem kurz ausfällt, werden Sitzungen verschoben). Insgesamt stufen wir Verfügbarkeit als normal ein. Schutzbedarf: V: hoch, I: hoch, A: normal.

Die folgende Tabelle fasst die Schutzbedarfseinstufungen aller betrachteten Bereiche übersichtlich zusammen. Dabei steht normal für begrenzten, hoch für beträchtlichen und sehr hoch für existenzbedrohlichen Schutzbedarf je Schutzziel. (Wo innerhalb eines Bereichs differenzierte Werte vorkommen, wurde der höchste relevante Schutzbedarf angesetzt, gemäß dem BSI-Maximumprinzip.)

Tabelle 1: Schutzbedarfsmatrix der Kreisverwaltung – Einstufung je Schutzziel (V=Vertraulichkeit, I=Integrität, A=Verfügbarkeit).

Diese Schutzbedarfsmatrix zeigt, dass insbesondere personenbezogene Daten aus sozialen Bereichen, sicherheitsrelevante Informationen (z. B. Waffenregister, Katastrophenschutzpläne) sowie die zentralen IT-Komponenten der Verwaltung höchste Schutzkategorien aufweisen. Aber auch in fast allen anderen Bereichen besteht wenigstens hoher Schutzbedarf in mindestens einer Dimension – ein Hinweis darauf, dass die Informationssicherheit in der Fläche verstärkt werden muss und keine Fachaufgabe der Verwaltung als trivial eingestuft werden kann. Im nächsten Schritt werden mögliche Bedrohungen betrachtet, die diese Schutzgüter gefährden, um darauf aufbauend gezielte Maßnahmen abzuleiten.

Auf Grundlage der ermittelten Schutzbedarfe wurde eine Bedrohungsanalyse durchgeführt. Sie umfasst typische Gefährdungen für die Informationssicherheit einer Kreisverwaltung. Dabei wurden sowohl unbeabsichtigte Ereignisse (z. B. technische Ausfälle, menschliche Fehler) als auch vorsätzliche Angriffe berücksichtigt.

• IT-Ausfälle und technisches Versagen: Hardware-Defekte, Softwarefehler oder Infrastrukturstörungen können die Verfügbarkeit der Verwaltungs-IT beeinträchtigen. Beispiele sind der Ausfall von Servern oder Netzwerktechnik (etwa durch Überspannungsschäden, Festplattencrash, Speicherfehler) und Unterbrechungen der Stromversorgung oder Telekommunikation. Ohne Vorsorge (Redundanz, USV, Backup-Systeme) können solche Ausfälle komplette Fachverfahren stilllegen. Auch Cloud- oder Rechenzentrums-Dienstleister der Kommune können technische Störungen erleiden. Ein besonderes Risiko stellen zentrale Komponenten dar – z. B. ein Ausfall des Domain Controllers oder der Datenbankserver kann bereichsübergreifend die Arbeit lahmlegen. Die Analyse ergab, dass bei unvorbereiteten Verwaltungen selbst einfachere IT-Ausfälle zu erheblichen Betriebsstörungen führen können.

• Datenschutzverstöße und Datenlecks: Hierunter fallen unbeabsichtigte oder fahrlässige Verletzungen der Vertraulichkeit personenbezogener Daten. Ein klassisches Szenario ist das Versenden einer E-Mail mit vertraulichen Anhängen an falsche Empfänger (z. B. sensible Sozialdaten gelangen versehentlich an Unbefugte). Auch das Verlieren eines unverschlüsselten USB-Sticks oder Aktenordners mit Bürgerdaten zählt dazu. Solche Vorfälle können erhebliche rechtliche Konsequenzen nach sich ziehen (Meldepflicht bei der Datenschutzaufsicht, Benachrichtigung der Betroffenen gemäß Art. 33/34 DSGVO) und das Vertrauen der Öffentlichkeit erschüttern. In der Bedrohungsanalyse wurde berücksichtigt, dass in der Hektik des Verwaltungsalltags menschliche Fehlleistungen vorkommen – insbesondere in Bereichen mit hohem Bürgerkontakt oder großem Dokumentenvolumen (Bürgerbüro, Sozialamt). Interne Datenschutzverstöße können auch durch unzureichende Berechtigungskonzepte begünstigt werden, wenn etwa Mitarbeiter auf Daten zugreifen, die sie nicht für ihre Arbeit benötigen (Neugierdeprinzip). Auch bewusste Datenschutzverletzungen (z. B. ein Mitarbeiter verkauft Datenlisten) gehören hierzu, wobei solche Fälle glücklicherweise selten sind. Die potenziellen Schäden (für Bürgerrechte und für die Verwaltung in Form von Vertrauensverlust) sind erheblich.

• Sabotage und Innentäter: Darunter versteht man vorsätzliche Handlungen von Personen mit Schadabsicht, die die Informationssicherheit beeinträchtigen. Ein Szenario ist der Innentäter – ein unzufriedener (oder bestochener) Mitarbeiter, der absichtlich Daten manipuliert, löscht oder entwendet. Beispielsweise könnte ein Administrator heimlich Spyware installieren, um vertrauliche Informationen auszuleiten, oder ein gekündigter Beschäftigter könnte vor seinem Ausscheiden absichtlich Datenbestände löschen. Physische Sabotage ist ebenfalls denkbar, etwa das Zerstören von Serverhardware oder das Legen eines Feuers im Aktenarchiv. Auch externe Dienstleister mit Innensicht könnten sabotieren, z. B. ein Techniker, der Hintertüren in Systemen lässt. Diese Bedrohungen sind schwierig zu entdecken, da die handelnden Personen berechtigten Zugang haben. Die Analyse berücksichtigte insbesondere Bereiche mit hohem Konfliktpotenzial (Personalmaßnahmen, Ordnungswidrigkeiten) und kritische IT-Privilegien. Sabotageakte können gravierende Folgen haben – vom Verlust wichtiger Daten bis zur kompletten Lähmung der Verwaltungsabläufe. Ein Beispiel war der mutmaßliche Innentäterfall im LKA Berlin 2020, wo vertrauliche Daten absichtlich gelöscht wurden; auf Kommunalebene sind wenige Fälle öffentlich, aber das Risiko ist vorhanden.

• Naturereignisse und höhere Gewalt: Extreme Wetterereignisse, Brände, Überschwemmungen, aber auch Unglücke wie Wasserrohrbrüche oder längere Stromausfälle gehören zu dieser Kategorie. Solche Ereignisse können Gebäude der Verwaltung beschädigen oder unzugänglich machen und dabei IT-Infrastruktur und Akten zerstören. Beispiel: Bei der Flutkatastrophe im Juli 2021 (Ahrtal) wurden auch Behördenstandorte überflutet, was zur Zerstörung von Hardware und Archiven führte. Unsere Analyse prüfte die Gefährdung des Rechenzentrums und der Archive durch Feuer (Brandlast, Löschanlagen), Wasser (Lage in Keller, Flussnähe) oder Sturm. Auch flächendeckende Stromausfälle wurden betrachtet: Fehlen Notstromaggregate, wären Server nach wenigen Minuten offline und Kommunikationsmittel (Telefon, Internet) tot. Solche Ereignisse sind selten, aber potentiell katastrophal – sie können gleichzeitig Verfügbarkeit, Integrität und Vertraulichkeit (wenn z. B. Akten unkontrolliert weggespült werden) massiv beeinträchtigen. Ein realer Vorfall ist z. B., dass durch Blitzschlag Archive abbrennen (wie 2014 im Stadtarchiv Strausberg geschehen). Entsprechend flossen solche Risiken in die Bewertung ein, mit Fokus auf Schadenbegrenzungs- und Notfallmechanismen.

• Interne Fehler und Organisationsmängel: Neben individuellen Bedienfehlern zählen hierzu fehlende oder unzureichende Prozesse, die Sicherheitsvorfälle begünstigen. Beispielsweise die fehlende Umsetzung des Vier-Augen-Prinzips in der Zahlstelle, wodurch ein Mitarbeiter unbemerkt Gelder umlenken könnte, oder mangelnde Protokollauswertung in der IT, sodass schwelende Probleme unerkannt bleiben. Organisatorische Schwächen wie das Fehlen regelmäßiger Backups oder Notfallpläne sind an sich noch kein Schaden, können aber im Ernstfall die Folgen dramatisch verschlimmern. Ein häufiges Beispiel ist auch ungenügende Patch-Organisation: Wenn Software-Updates nicht zeitnah eingespielt werden, bleiben bekannte Sicherheitslücken offen – was dann vom Gegner ausgenutzt werden kann. Ebenso problematisch ist unzureichende Schulung: Mitarbeiter, die Phishing-Mails nicht erkennen, oder Administratoren, die keine Sicherheitsrichtlinien befolgen, erhöhen das Risiko von Vorfällen. In der Analyse wurde daher auch der Reifegrad der Sicherheitsorganisation betrachtet. Werden kritische Aufgaben wie Berechtigungsverwaltung, Backup, Monitoring konsequent und regelgebunden durchgeführt? Fehlende Regeln oder Nachlässigkeit in der Umsetzung stellen ein Querschnittsrisiko dar, das alle Schutzgüter betreffen kann.

• Gezielte Angriffe auf Verwaltungsprozesse (Cyberangriffe, Social Engineering): Öffentliche Verwaltungen sind zunehmend im Visier professioneller Angreifer – von Cyberkriminellen (Ransomware-Banden) bis zu staatlich gesteuerten Hackern. Die größte aktuelle Bedrohung stellt Ransomware dar: Schadsoftware, die in das System eindringt, dort Daten verschlüsselt und Lösegeld erpresst. Laut Bundeslagebild gab es 2021 durchschnittlich zwei Ransomware-Angriffe pro Monat auf deutsche Kommunalverwaltungen. Solche Angriffe können die IT wochenlang lahmlegen und immense Kosten verursachen. Ein besonders eindrücklicher Fall war der bereits erwähnte Landkreis Anhalt-Bitterfeld, dessen gesamte Verwaltung nach einem Hackerangriff über Monate im Notbetrieb arbeiten musste. Angreifer nutzen häufig Phishing als Einstieg – etwa täuschend echt aussehende E-Mails, um Mitarbeitende zur Preisgabe von Passwörtern oder zum Klick auf infizierte Anhänge zu verleiten. Auch Social Engineering wird beobachtet, z. B. geben sich Betrüger telefonisch als IT-Administrator oder als Kollege aus, um Zugänge zu erlangen (Pretexting). Verwaltungsprozesse können zudem durch sog. Business Email Compromise attackiert werden: Angreifer manipulieren den E-Mail-Verkehr, um z. B. Zahlungsanweisungen an eigene Konten umzuleiten (in Kommunen vorstellbar bei Lieferantenrechnungen oder Fördermittelüberweisungen). Ebenfalls kritisch ist Denial-of-Service: Überlastungsangriffe auf Online-Dienste (Bürgerportale, Terminvergabesysteme) könnten die Verfügbarkeit für Bürger einschränken – etwa im Melderegister oder Impf-Terminportalen (wie während der Corona-Pandemie gesehen). Schließlich gibt es gerichtete Angriffe auf politische Prozesse: Etwa das Hacken der E-Mail-Konten von Mandatsträgern oder das Manipulieren von Ratsinformationssystemen, um an interne Informationen zu gelangen oder diese zu leaken. Solche Bedrohungen sind real und haben in jüngerer Zeit zugenommen; das BSI warnt, dass Verwaltungen inzwischen zu den bevorzugten Zielen gehören. Die Auswirkungen reichen vom Diebstahl vertraulicher Daten (und deren Veröffentlichung, was politisch peinlich sein kann) bis hin zum kompletten Ausfall essentieller Dienste für Bürger.

Zusammenfassend zeigt die Bedrohungsanalyse, dass die Kreisverwaltung einem breiten Spektrum von Gefahren ausgesetzt ist – von alltäglichen Pannen bis zu hochprofessionellen Attacken. Besonders hervorzuheben ist, dass Cyberangriffe (inklusive Ransomware) mittlerweile kein Szenario der Fiktion mehr sind, sondern realistische Bedrohungen, auch für kleinere Behörden. Ebenso dürfen klassische Risiken wie Feuer oder menschliches Versagen nicht vernachlässigt werden, da sie nach Erfahrung der Schadenstatistiken sogar häufiger eintreten als gezielte Angriffe. Für jeden identifizierten Bedrohungstyp wurden Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe eingeschätzt, sodass sich ein priorisiertes Risikobild ergab. Dieses fließt direkt in die folgenden Maßnahmenempfehlungen ein: Ressourcen werden vorzugsweise auf die Risiken mit hohem und sehr hohem Schadpotenzial verwendet, um die größten Verwundbarkeiten abzustellen.

Aus der Schutzbedarfs- und Bedrohungsanalyse ergibt sich ein konkreter Handlungsbedarf, um die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit in allen Bereichen der Kreisverwaltung zu gewährleisten. Die nachfolgenden Maßnahmenempfehlungen sind in drei Kategorien unterteilt – technische, organisatorische und rechtliche Maßnahmen – wobei es Überschneidungen gibt (viele organisatorische Maßnahmen beruhen auf rechtlichen Pflichten, und technische Maßnahmen müssen organisatorisch eingebettet werden). Alle Vorschläge orientieren sich am aktuellen Stand von Wissenschaft und Technik sowie an bewährten Best Practices im öffentlichen Sektor. Sie sind so konzipiert, dass sie den identifizierten Risiken wirksam begegnen und den festgestellten Schutzbedarf decken. Zugleich wurde auf Verhältnismäßigkeit geachtet: insbesondere für normale Schutzbedarfe werden Basisschutzmaßnahmen vorgeschlagen, während für hohe und sehr hohe Schutzbedarfe zusätzliche und verstärkte Maßnahmen erforderlich sind.

• Netzwerksegmentierung und Firewalling: Die IT-Infrastruktur der Kreisverwaltung sollte in logisch getrennte Segmente aufgeteilt sein (z. B. internes Verwaltungsnetz, extern zugängliche Webserver-Zone, getrennte VLANs für Schulen, kritische Systeme wie Waffenregister auf isolierten Netzen). Durch eine sorgfältige Segmentierung wird im Falle eines Angriffs die seitliche Bewegung von Schadsoftware erschwert. An den Segment-Grenzen und zum Internet hin müssen Firewalls mit strikten Regelwerken stehen, die nur notwendige Verbindungen erlauben. Besonders sensible Bereiche (z. B. Sozial- und Jugendamt oder Personalbereich) sollten abgeschottet sein, und der Zugriff auf deren Datenbanken nur über definierte Applikationsserver erfolgen. Moderne Next-Generation-Firewalls mit Intrusion Detection/Prevention (IDS/IPS) können Angriffsversuche (z. B. ungewöhnliche Port-Scans, bekannte Exploits) frühzeitig erkennen und blockieren.

• System-Härtung und Patch-Management: Alle Serversysteme, Clients und mobilen Geräte der Verwaltung sind nach dem Prinzip des Minimalprinzips zu härten. Das bedeutet: Deaktivierung unnötiger Dienste, Entfernen nicht benötigter Software, restriktive Konfiguration (z. B. nur sichere Protokolle). Sicherheitsupdates (Patches) für Betriebssysteme, Anwendungssoftware und Firmware müssen zeitnah – idealerweise automatisiert und zentral gesteuert – eingespielt werden. Ein konsequentes Patch-Management schließt bekannte Schwachstellen, bevor Angreifer sie ausnutzen können. Dies gilt insbesondere für allgemein verbreitete Software wie Webbrowser, Office-Programme, aber auch für Fachverfahren. Das BSI empfiehlt hier, maximal innerhalb von 14 Tagen nach Veröffentlichung kritische Updates einzuspielen. Wo möglich, sollte eine automatische Aktualisierung aktiviert sein (z. B. bei Clients und Standardsoftware), und für komplexe Systeme ein Testprozess existieren, damit Patches zügig freigegeben werden.

• Malware-Schutz und Endpoint Security: Jeder Client und Server ist mit aktueller Antivirensoftware bzw. einem umfassenden Endpoint-Protection-System auszustatten. Dieses soll bekannte Schadsoftware anhand von Signaturen erkennen, aber auch via Verhaltensanalyse neue oder getarnte Malware entdecken (z. B. durch Erkennung verdächtiger Aktionen wie Massenverschlüsselung von Dateien, was auf Ransomware hindeutet). Zentral gemanagte Virenschutzlösungen ermöglichen ein Monitoring: Bei einem Virenfund oder einem befallenen Rechner wird die IT-Abteilung sofort alarmiert. Ergänzend sollten Application-Whitelisting oder restriktive Ausführungsrichtlinien eingesetzt werden, damit nur freigegebene Anwendungen laufen können. So würde z. B. verhindert, dass ein Kryptotrojaner, der als unbekannte .exe-Datei auf einen Rechner gelangt, überhaupt ausgeführt wird. Auch E-Mail-Filter am Gateway sind wichtig: Sie sollten Anhänge und Links auf Schadcode prüfen (Sandboxing, URL-Filtering) und Spam/Phishing möglichst abfangen. Dies reduziert das Risiko, dass Mitarbeiter überhaupt auf bösartige Mails hereinfallen.

• Starke Authentifizierung und Zugriffssteuerung: Zur Wahrung von Vertraulichkeit und Integrität muss der Zugang zu Systemen streng geregelt sein. Benutzeraccounts sind nach dem Prinzip ein Benutzer – ein Konto aufzusetzen, Mehrfachnutzungen oder generische Logins sind zu vermeiden. Alle privilegierten Zugänge (Administratoren, Datenbank-DBAs, etc.) sollen individuelle Accounts mit Protokollierung besitzen. Wo möglich, ist Mehr-Faktor-Authentifizierung (MFA) einzusetzen, zumindest für besonders schützenswerte Bereiche und Remote-Zugänge. Beispielsweise sollte der VPN-Zugang ins Verwaltungsnetz oder der Zugriff auf das Backend von Fachverfahren nur mit MFA (etwa Passwort + Einmalcode oder Smartcard) gestattet werden. Auch interne hochkritische Anwendungen (Personalakten-System, Waffenregister) profitieren von MFA zur Absicherung gegen gestohlene Passwörter. Berechtigungskonzepte sollen sicherstellen, dass jeder Mitarbeitende nur auf die Daten zugreifen kann, die er für seine Aufgabe benötigt (Need-to-know). Die Implementierung erfolgt durch rollenbasierte Zugriffssteuerung (Role-Based Access Control) und regelmäßige Überprüfung der Berechtigungen (Recertification). Administratorrechte sind nach Möglichkeit aufgeteilt (Vier-Augen-Prinzip bei sicherheitskritischen Änderungen) und temporär zuteilbar (Privilege Elevation für definierte Aufgaben). Durch diese Maßnahmen wird das Risiko von Datenabfluss oder -manipulation durch kompromittierte Konten erheblich reduziert.

• Kryptographie und sichere Datenübertragung: Alle vertraulichen Informationen müssen verschlüsselt gespeichert und übertragen werden, um Vertraulichkeit zu gewährleisten. Beispielsweise sind Datenbanken mit sensiblen Bürgerdaten auf Storage-Ebene zu verschlüsseln (Full-Disk-Encryption oder datenbankspezifische Verschlüsselung); Zugriffe erfolgen nur für berechtigte Prozesse, und im Ruhezustand (at rest) sind die Daten geschützt, falls Datenträger in falsche Hände geraten. Für Backups gilt analog, insbesondere wenn sie extern gelagert werden. Bei der Übertragung von Daten – sei es via E-Mail, Webanwendungen oder Schnittstellen – ist stets ein aktuelles kryptographisches Protokoll (TLS 1.2/1.3 oder Nachfolger) zu nutzen. Verwaltung und Schulen sollten ein sicheres E-Mail-Gateway betreiben, das alle ausgehenden Mails automatisch TLS-verschlüsselt verschickt, sofern das Gegenüber es zulässt. Für besonders schützenswerte Inhalte (z. B. interne Personalangelegenheiten, Gesundheitsdaten) sollte Ende-zu-Ende-Verschlüsselung (z. B. S/MIME oder PGP) vorgesehen werden. Darüber hinaus sind digitale Datenträger oder Laptops mit Behördengeheimnissen grundsätzlich zu verschlüsseln (z. B. BitLocker für Windows-Notebooks), um einen Verlust abzusichern. Moderne Kryptolösungen nach Stand der Technik (mindestens 256-Bit AES, RSA-2048/3072 etc.) sind zu verwenden und regelmäßig auf dem neuesten Stand zu halten (Vorbereitung auf Post-Quanten-Kryptographie perspektivisch beachten).

• Logging, Monitoring und Anomalieerkennung: Zur Wahrung der Integrität und zur schnellen Reaktion im Fall von Angriffen ist ein umfangreiches Protokollierungs- und Überwachungssystem nötig. Wichtige Komponenten (Server, Firewalls, Anwendungen) sollen sicherheitsrelevante Ereignisse loggen: Login-Versuche, Konfigurationsänderungen, Datenzugriffe auf sensible Datensätze, Fehlermeldungen etc. Diese Logs sind zentral in einem SIEM (Security Information and Event Management) zu sammeln und auszuwerten. Ein SIEM kann Korrelationen herstellen – z. B. wenn innerhalb kurzer Zeit mehrere fehlgeschlagene Admin-Logins auftreten oder Daten aus dem Sozialamt ungewöhnlich massenhaft abgezogen werden, alarmiert es das IT-Personal. Auch Anomalieerkennung mittels KI kann eingesetzt werden, um ungewöhnliche Nutzungsprofile zu erkennen (z. B. ein Mitarbeiterkonto, das nachts plötzlich große Datenmengen transferiert). Wichtig ist, dass Logs manipulationssicher aufbewahrt werden (Schreibschutz, getrennte Instanz) und ausreichend lange vorgehalten werden, um auch retrospektiv Vorfälle untersuchen zu können. Im Kontext DSGVO ist zu beachten, dass Logging zwar personenbezogene Mitarbeiterdaten enthalten kann (z. B. Nutzerkennungen), aber zum Zwecke der Sicherheit zulässig und notwendig ist – hier ist ein Transparenzhinweis im Verzeichnis der Verarbeitungstätigkeiten ratsam. Insgesamt ermöglicht intensives Monitoring, Angriffe frühzeitig zu entdecken (oder im Nachgang forensisch aufzuklären) und begrenzt so den Schaden.

• Datensicherung und Notfallwiederherstellung (Backup/Recovery): Um Ausfällen und Datenverlust vorzubeugen, sind umfassende Backup-Konzepte umzusetzen. Alle kritischen Datenbestände (Bürgerdaten, Finanzdaten, Dokumentenarchive, Konfigurationsdaten der IT) sollen in regelmäßigen Abständen gesichert werden. Es gilt der 3-2-1-Grundsatz: Drei Kopien der Daten, auf mindestens zwei verschiedenen Medien, davon eine außerhalb des Hauptstandorts. Mindestens wöchentliche Voll-Backups und tägliche inkrementelle Sicherungen sind für die meisten Systeme angemessen; bei hochkritischen Systemen (z. B. Finanzbuchhaltung zum Jahresabschluss oder Echtzeitdatenbanken) auch kürzere Intervalle bis hin zu Live-Replikation. Wichtig: Offline-Backups vorhalten, um im Falle eines Ransomware-Befalls eine saubere Kopie zu haben, auf die der Schadcode nicht zugreifen kann (z. B. Bandarchive oder Cloud-Backup mit immutability-Funktion). Ebenso sollen Backup-Medien an einem ausgelagerten, sicheren Ort gelagert werden (feuer- und einbruchsicher, geographisch getrennt, z. B. im benachbarten Kreishaus oder einem Bunker des Landesarchives). Neben der Datensicherung ist ein Notfallwiederanlaufplan (Disaster Recovery Plan) zu entwickeln: Dieser definiert, in welcher Reihenfolge ausgefallene Dienste wiederhergestellt werden, welche Ressourcen dazu nötig sind und wie lange dies maximal dauern darf (Recovery Time Objective). Regelmäßige Tests der Wiederherstellung (mindestens jährlich) sind durchzuführen, um sicherzustellen, dass Backups im Ernstfall tatsächlich funktionieren und das Personal mit den Abläufen vertraut ist. Dadurch wird die Verfügbarkeit auch nach schweren Störungen wiederherstellbar sein und Datenintegrität bleibt gewahrt.

• Redundanz und Ausfallsicherheit: Für Bereiche mit sehr hohem Verfügbarkeitsbedarf muss die Technik redundant ausgelegt sein. Konkret sollte das Rechenzentrum der Kreisverwaltung über redundante Stromversorgung (USV, evtl. Notstromaggregat) und Klimatisierung verfügen, um einen Single-Point-of-Failure zu vermeiden. Wichtige Server (Domänencontroller, Mailserver, zentrale Datenbanken) sollten in hochverfügbare Cluster oder zumindest in Master-Slave-Setups mit automatischer Übernahme bei Ausfall eingebunden werden. Netzwerkkomponenten (Switche, Router) müssen notfalls durch parallele Geräte abgesichert werden – im Kernnetz ist eine doppelte Backbone-Struktur sinnvoll. Die Internetanbindung sollte über zwei Provider oder zwei getrennte Leitungen erfolgen, damit bei Ausfall einer Verbindung die andere greift (gerade relevant, wenn Webdienste für Bürger bereitgestellt werden). Des Weiteren empfiehlt sich die Vorsorge für Notbetriebsszenarien: z. B. kann man für den absoluten Notfall einige Laptops vorrätig halten, die unabhängig vom Domain-Netz betrieben werden können und die wichtigsten Fachverfahren (ggf. mit lokal installierter Software und Daten vom letzten Backup) bereitstellen, um zumindest eingeschränkt weiterzuarbeiten. Für den Katastrophenschutzbereich könnte man Reserve-Funktechnik und Backup-Kommunikationsgeräte vorhalten (z. B. Satellitentelefone, wenn Telefon/Handy-Netze ausfallen). Diese Maßnahmen stellen sicher, dass selbst im Falle schwerwiegender Vorfälle die Kernaufgaben der Verwaltung nicht vollständig zum Erliegen kommen.

• Physische Sicherheitsmaßnahmen: Die beste IT-Sicherheitsarchitektur nützt wenig, wenn Angreifer physisch an die Systeme gelangen oder Katastrophen ungehindert Schäden anrichten können. Deshalb sind auch physische Kontrollen und Schutztechniken wichtig. Serverräume und Bereiche mit kritischer Infrastruktur (Netzwerkverteiler, Archivmagazine) sollten zugangsbeschränkt sein (Schlüsselkarte oder Zahlencode, nur für authorisiertes IT-Personal bzw. Archivpersonal zugänglich). Eine Protokollierung der Zutritte ist sinnvoll. Brandschutz muss den einschlägigen Normen entsprechen: Brandfrüherkennung (Rauchmelder) und automatische Löschanlagen (idealerweise Gaslöschung im Rechenzentrum, um Wasserschäden zu vermeiden) sind zu installieren. Archive benötigen feuerfeste Türen und Wände gemäß den Archivschutzvorschriften, um Dokumente zumindest eine gewisse Zeit vor Feuer zu bewahren. Gegen Einbruchdiebstahl helfen Alarmanlagen und stabile Schließsysteme; insbesondere portable Geräte mit sensiblen Daten (Laptops, externe Festplatten) sollten in Tresoren eingeschlossen werden, wenn sie nicht in Gebrauch sind. Für den Fall von Stromausfällen müssen USV-Anlagen kritische Systeme überbrücken und geordnete Shutdowns ermöglichen; bei längerem Ausfall ist das erwähnte Notstromaggregat wichtig (für Verwaltungssitz mit Katastrophenschutzzentrale fast ein Muss). Schließlich ist an Klimarisiken zu denken: In hochwassergefährdeten Gebieten sollten Serverräume nicht im Keller liegen, und Archive ebenfalls in höher gelegenen Stockwerken oder mit speziellen Wasserschutzbehältern ausgestattet sein. Insgesamt minimieren diese physischen Maßnahmen die Eintrittswahrscheinlichkeit und Auswirkung von Umgebungsgefahren und unbefugtem Zugriff erheblich.

• Informationssicherheits-Management und Leitlinie: Als übergreifende Maßnahme sollte die Kreisverwaltung ein formales Informationssicherheits-Managementsystem (ISMS) etablieren. Dies beginnt mit der Verabschiedung einer Informationssicherheitsleitlinie durch die Verwaltungsleitung. In dieser Leitlinie werden die Bedeutung der Informationssicherheit, die Geltungsbereiche (alle Ämter, Schulen etc.) und die grundlegenden Ziele und Verantwortlichkeiten definiert. Die Leitlinie signalisiert allen Mitarbeitern, dass IT-Sicherheit Chefsache ist und verbindliche Priorität hat. Aufbauend darauf sind konkrete Sicherheitsprozesse zu implementieren: Risikoanalyse (wie diese Schutzbedarfsfeststellung) als fortlaufender Prozess, regelmäßige Überprüfung der Maßnahmen, kontinuierliche Verbesserung. Das ISMS kann sich an einem Standard wie BSI IT-Grundschutz oder ISO 27001 orientieren – wichtig ist Skalierung auf kommunale Bedürfnisse. Der Behördenleiter (Landrat/Kämmerer) trägt die Gesamtverantwortung; zur operativen Steuerung ist ein:e Informationssicherheitsbeauftragte:r (ISB) zu bestellen. Diese Person (oder Team) koordiniert alle Aktivitäten, berät die Fachämter und berichtet direkt an die Führung. Falls intern kein:e geeignete:r ISB verfügbar ist, kann diese Aufgabe auch an externe Dienstleister oder einen kommunalen Zweckverband ausgelagert werden, solange Unabhängigkeit und nötiger Sachverstand gewährleistet sind. Wichtig ist, dass in der Organisation klare Zuständigkeiten benannt werden: neben dem ISB auch Administratoren, Fachverantwortliche, das Notfall-Team etc., mit jeweils definierten Rollen im Sicherheitsprozess. Eine gute Praxis ist die Einrichtung eines Informationssicherheitsteams mit Vertretern aus allen relevanten Bereichen (IT, Organisation, Datenschutz, Personal, ggf. einzelne Fachämter), das regelmäßig tagt, um Sicherheitsvorfälle zu besprechen, neue Bedrohungen zu evaluieren und Maßnahmen vorzuschlagen.

• Sensibilisierung und Schulung (Security Awareness): Menschen sind oft das schwächste Glied der Sicherheitskette. Daher muss die Belegschaft fortlaufend für Risiken sensibilisiert und im sicheren Umgang mit Informationen geschult werden. Konkret sollte es regelmäßige Schulungen für alle Mitarbeiter geben – mindestens jährlich eine verpflichtende Unterweisung, z. B. als Online-Kurs oder Präsenzseminar. Inhalte sind u. a.: Erkennen von Phishing-E-Mails, sichere Passwortgestaltung (und warum Passwörter nicht auf Zetteln am Monitor kleben sollten), Meldewege bei verdächtigen Vorfällen, richtige Nutzung von USB-Sticks, Verschlüsselung und Umgang mit personenbezogenen Daten etc. Ergänzend helfen Awareness-Kampagnen im Alltag: z. B. Infografiken am Schwarzen Brett („IT-Sicherheitstipps des Monats“), Phishing-Testaktionen (bei denen simulierte Angriffe an die Belegschaft gesendet werden, um das Erkennen zu trainieren), oder die Verteilung von Merkblättern. Führungskräfte sollen das vorleben – wenn der Amtsleiter selbst auf IT-Sicherheit achtet, färbt das ab. Insbesondere neue Mitarbeiter benötigen eine Sicherheits-Einweisung beim Onboarding, um von Anfang an die Verhaltensregeln (z. B. Hausrichtlinie für Informationssicherheit, Clean-Desk-Policy) zu kennen. Ein oft vernachlässigter Aspekt ist die Sensibilisierung von Verantwortlichen und Mandatsträgern (Bürgermeister, Dezernenten, Kreistagsabgeordnete) – auch sie nutzen IT-Systeme, erhalten vertrauliche Informationen per Mail und sollten grundlegende Sicherheitsregeln kennen (z. B. Verschwiegenheit, keine privaten Geräte ohne Freigabe, Achtung vor Social Engineering). Schulung und Awareness sind gem. Art. 32 DSGVO übrigens auch explizit gefordert als organisatorische Maßnahme. Eine informierte und aufmerksame Mitarbeiterschaft reduziert spürbar das Risiko erfolgreicher Angriffe und sorgt dafür, dass im Ernstfall richtig reagiert wird.

• Notfallmanagement und Notfallübungen: Basierend auf der vorher durchgeführten Risikoanalyse muss ein Notfallhandbuch für die IT und zentrale Prozesse erstellt werden. Darin sind klare Verfahrensanweisungen für verschiedene Störfallszenarien beschrieben – z. B. „Server X ausgefallen“, „Ransomware-Befall festgestellt“, „Gebäudebrand im Rechenzentrum“, „Datenschutzpanne entdeckt“. Für jedes Szenario sind Eskalationsstufen definiert: Wer alarmiert wen? Wo ist das Krisenteam (z. B. der behördeninterne IT-Krisenstab) zu erreichen? Wie wird die Kommunikation intern und nach außen gehandhabt? Gerade für Kommunen empfiehlt es sich, in schweren IT-Notfällen das Landes-CERT oder BSI um Unterstützung zu bitten – die Kontaktdaten gehören ins Handbuch. Neben den Plänen sollten Notfallübungen in regelmäßigen Abständen stattfinden. Das kann eine technische Übung sein (Disaster-Recovery-Test im IT-Bereich: aus Backup eine Systemwiederherstellung probeweise durchführen) oder eine organisatorische (Simulation eines Hackerangriffs mit Durchspielen der Kommunikationswege, vielleicht als Planspiel an einem Nachmittag). Solche Übungen decken Schwachstellen in der Vorbereitung auf (z. B. merkt man, dass die Telefonliste nicht aktuell ist, oder dass niemand genau weiß, wie man den Notbetrieb im Sozialamt auf Papier durchführt). Insbesondere für den Katastrophenschutz sind regelmäßige Stabsrahmenübungen vorgeschrieben, was sich hiermit verzahnen lässt. Das Ziel ist, im Ernstfall nicht kopflos reagieren zu müssen, sondern auf eingeübte Routinen zurückgreifen zu können. Im Nachgang jeder Übung sollten Lessons Learned dokumentiert und ins Notfallkonzept eingearbeitet werden.

• Regelungen für den Umgang mit Informationen (Policies): Es sollten verbindliche Dienstanweisungen bzw. Richtlinien zu sicherheitsrelevantem Verhalten existieren. Beispiele: Eine klare Passwortrichtlinie, die fordert, dass Passwörter eine gewisse Länge/Komplexität haben, regelmäßig (aber nicht zu häufig, gemäß aktuellen Empfehlungen) geändert werden und nie weitergegeben werden dürfen. Eine E-Mail- und Internet-Nutzungsrichtlinie, die verbietet, dienstliche E-Mails an private Konten weiterzuleiten oder unbekannten E-Mail-Anhängen ungeprüft zu öffnen. Richtlinien zum Umgang mit mobilen Geräten (Laptop-Verschlüsselung, kein Verbinden fremder USB-Sticks) und zur Bürosicherheit (Clean Desk: abends keine Akten offen liegen lassen, Bildschirmsperre bei Abwesenheit etc.). Ebenso relevant: Vorgaben für die Datenklassifizierung und Handhabung von Verschlusssachen – d.h. wenn Dokumente als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft sind, müssen Umschläge, Safeverwahrung und besondere Transportwege vorgeschrieben sein. Auch der Umgang mit persönlichen Token (z. B. Zertifikats-Chipkarten für die qualifizierte elektronische Signatur) sollte geregelt sein. Diese Policies sind allen Beschäftigten bekannt zu machen (z. B. per Intranet und Schulungen) und Verstöße sanktionierbar. Wichtig ist, die Regeln praxisnah zu gestalten, damit sie akzeptiert und befolgt werden – z. B. keine überzogene Passwortwechsel-Intervalle, die Nutzer nur zu unsicheren Workarounds verleiten. Die Verwaltung sollte zudem Prozesse etablieren, wie mit Änderungen in der IT-Landschaft umzugehen ist (Change Management): etwa dass jede Einführung neuer Software durch den ISB bzw. IT-Sicherheitsverantwortlichen begleitet und auf Risiken geprüft wird, bevor sie in Produktion geht. Insgesamt schaffen solche organisatorischen Regelungen einen Rahmen, der sicheres Verhalten zur Norm macht und Risiken proaktiv minimiert.

• Datenschutzorganisation und Schnittstelle zum Informationssicherheitsmanagement: Da viele Schutzgüter personenbezogene Daten sind, muss die Datenschutzorganisation mit der Informationssicherheit Hand in Hand arbeiten. Die Kreisverwaltung hat gemäß Art. 37 DSGVO einen behördlichen Datenschutzbeauftragten (DSB) zu benennen. Dieser DSB sollte eng mit dem ISB kooperieren – idealerweise sitzt er im erwähnten Sicherheitsteam. Jeder neue Prozess oder IT-Anwendung, die personenbezogene Daten verarbeitet, ist auf Datenschutz-Folgen abzuschätzen (Stichwort Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei hohem Risiko). Hier bringt der DSB Anforderungen ein (z. B. Datenminimierung, Transparenz), die oft technisch-organisatorische Maßnahmen bedingen (wie Zugriffsbeschränkung, Pseudonymisierung). Organisatorisch sollte geregelt sein, dass vor Einführung neuer Verfahren eine Prüfung der TOMs (technisch-organisatorischen Maßnahmen) erfolgt und eine Abnahme durch ISB/DSB stattfindet. Auch Vorfälle müssen koordiniert behandelt werden: Ein Datenschutzvorfall (z. B. verloren gegangene Bürgerakte) ist zugleich ein Sicherheitsvorfall – hier sind Meldewege so abzustimmen, dass sowohl ISB als auch DSB informiert sind und ihre jeweiligen Pflichten erfüllen (BSI für IT-Sicherheitsvorfälle, Aufsichtsbehörde für Datenschutzvorfälle). Durch diese Verzahnung werden die teils getrennten gesetzlichen Anforderungen aus DSGVO/BDSG und BSIG/IT-Sicherheitsgesetzen gemeinsam erfüllt und Doppelarbeit vermieden.

• Überprüfung und Auditierung: Um sicherzustellen, dass die Sicherheitsmaßnahmen wirken und Richtlinien eingehalten werden, sind regelmäßige Überprüfungen/Audits einzuplanen. Intern kann dies durch den ISB oder Revisoren erfolgen – z. B. jährlich eine Prüfung ausgewählter Aspekte wie Berechtigungsmanagement (werden Accounts ehemaliger Mitarbeiter zeitnah deaktiviert? Stimmen die Rollen noch mit den Aufgaben überein?) oder Backup-Wiederherstellungstest. Zusätzlich sind externe Penetrationstests bzw. Sicherheitsüberprüfungen wertvoll, speziell auf der technischen Seite: Beauftrage IT-Sicherheitsexperten können durch kontrollierte Angriffe Schwachstellen in Webportalen, im Netzwerk oder in Konfigurationen aufdecken, bevor echte Angreifer sie finden. Auch sog. Social Engineering Tests (z. B. Versuch, ohne Ausweis ins Gebäude zu kommen, oder Test-Phishingmails) können sinnvoll sein, um die Human Firewall zu testen. Sollten Kommunen sich einem Zertifizierungsverfahren unterziehen (z. B. nach ISO 27001-Grundschutz), wird ein regelmäßiges Audit vorgeschrieben sein. Unabhängig davon trägt die fortlaufende Kontrolle zur Nachhaltigkeit bei: Sicherheitsniveau ist kein statischer Zustand – es muss gepflegt und verbessert werden. Prüfberichte sollten der Leitung vorgelegt werden und konkrete Maßnahmen nach sich ziehen (Follow-up der Findings). Verantwortlichkeiten zur Behebung gefundener Mängel sind festzulegen und der Fortschritt nachzuverfolgen. Damit schließt sich der Regelkreis des ISMS (Plan-Do-Check-Act), was letztlich die Sicherheit stetig erhöht. Erfahrungsaustausch mit anderen Kommunen oder übergeordneten Stellen (z. B. Landes-CERTs, kommunale Rechenzentren) ist ebenfalls Teil einer guten Sicherheitskultur. Das BSI und Landesämter bieten dazu Plattformen an – die Verwaltung sollte diese nutzen, um von Vorfällen anderswo zu lernen und Best Practices zu übernehmen.

• Personal und Ressourcenplanung: Eine wichtige organisatorische Maßnahme ist die angemessene Ausstattung mit Personal und Budget für die IT-Sicherheit. Kommunen – insbesondere kleinere – haben oft begrenzte Mittel und kein eigenes Security-Team. Dennoch darf IT-Sicherheit nicht „nebenbei“ laufen. Es sollte geprüft werden, welche Ressourcen nötig sind (z. B. eine zusätzliche Stelle für IT-Sicherheit oder Auslagerung bestimmter Dienste an einen kompetenten Dienstleister). Einige Bundesländer fördern kommunale IT-Sicherheitsprojekte (z. B. das bayrische LSI-Siegel-Programm nach Art. 11 BayEGovG). Die Verwaltungsspitze muss hier Prioritäten setzen: Ausreichende finanzielle Mittel für aktuelle Sicherheitslösungen und Weiterbildung des Personals sind ein Muss, auch wenn dies im Konkurrenzkampf mit anderen Haushaltspositionen steht. Letztlich ist jeder Euro in Prävention gut investiert, da ein einzelner Vorfall (Ransomware z. B.) sehr hohe Kosten verursachen kann – wie Fälle zeigen, oft im sechs- bis siebenstelligen Bereich an IT-Forensik, Systemwiederherstellung und ggf. Ersatzbeschaffungen. Organisatorisch sollte auch geregelt sein, wie im Notfall schnell externe Unterstützung geholt werden kann (z. B. Rahmenverträge mit IT-Sicherheitsfirmen, Incident Response Retainer).

• Compliance mit Datenschutzgesetzen (DSGVO/BDSG): Viele der oben genannten technischen und organisatorischen Maßnahmen erfüllen bereits Anforderungen aus der DSGVO, insbesondere Art. 32 (Sicherheit der Verarbeitung). Dennoch sind einige spezifische rechtliche Pflichten gesondert zu adressieren. Die Verwaltung muss sicherstellen, dass ein:e Datenschutzbeauftragte:r formal bestellt und der Aufsichtsbehörde gemeldet ist. Ferner ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem alle Prozesse mit personenbezogenen Daten samt Schutzmaßnahmen dokumentiert sind (Art. 30 DSGVO) – dies überschneidet sich mit der Schutzbedarfsanalyse und sollte entsprechend gepflegt werden. Bei neuen oder geänderten Verfahren mit hohem Risiko für Rechte der Bürger ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Das betrifft etwa ein geplantes Data-Mining auf Sozialdaten oder den Einsatz von KI in Entscheidungsprozessen. In so einer DSFA sind Risiken zu identifizieren und es sind Abhilfemaßnahmen (z. B. zusätzliche Pseudonymisierung, Protokollierung, Überprüfung durch Menschen) festzulegen. Rechtlich ist auch relevant, dass für alle Auftragsverarbeiter (IT-Dienstleister, Cloud-Anbieter, Software-Wartungsfirmen), die Zugriff auf personenbezogene Daten der Verwaltung haben, schriftliche Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen werden. Diese Verträge müssen klare Sicherheitsanforderungen an den Dienstleister stellen (z. B. Zertifizierungen, Meldung von Vorfällen, Unterauftragsnehmer nur mit Zustimmung etc.). Die Einhaltung dieser Vereinbarungen ist gelegentlich zu prüfen (Audits oder Berichtsanforderungen). Da öffentliche Stellen in Deutschland von DSGVO-Bußgeldern ausgenommen sind, drohen der Kreisverwaltung zwar keine Geldstrafen bei Verstößen, aber andere Konsequenzen: Die Aufsichtsbehörde kann verbindliche Anordnungen treffen (bis hin zum Untersagen einer Datenverarbeitung) und es besteht eine Staatshaftung bei Datenschutzverletzungen (Betroffene könnten Schadensersatz nach Art. 82 DSGVO i. V. m. § 839 BGB fordern, falls die Verwaltung grob fahrlässig Pflichten verletzt). Im rechtlichen Fazit bedeutet das: Die getroffenen Maßnahmen (Zugriffsschutz, Verschlüsselung, Mitarbeiterschulung etc.) dienen nicht nur der Sicherheit, sondern sind zugleich notwendig, um den gesetzlichen Datenschutzpflichten nachzukommen.

• Einhaltung der E-Government-Vorgaben: Bund und Länder haben E-Government-Gesetze erlassen, die neben der Förderung elektronischer Verwaltungsangebote auch Sicherheitsanforderungen enthalten. So verlangt das Bundes-EGovG und diverse Landesgesetze (etwa das BayDiG/BayEGovG) ausdrücklich ein angemessenes Sicherheitsniveau in Behörden-IT. In Bayern z. B. ist seit 2020 jede Kommune verpflichtet, ein Informationssicherheitskonzept nach Stand der Technik einzuführen. Ähnliches gilt in Niedersachsen (Nds. Digitalisierungs- und Informationssicherheitsgesetz) und anderen Ländern. Die hier vorgestellte Schutzbedarfsfeststellung ist Teil eines solchen Konzepts. Rechtlich empfiehlt es sich, dieses Dokument vom Kreistag bzw. Landrat offiziell beschließen zu lassen und so die Verbindlichkeit herzustellen. Dadurch kann im Konfliktfall (etwa wenn eine Maßnahme Kosten verursacht) immer auf den politischen Beschluss verwiesen werden. Zudem sollte geprüft werden, ob die Kreisverwaltung unter die Regelungen zu Kritischen Infrastrukturen (KRITIS) fällt. Nach aktueller Gesetzeslage (BSI-KritisV i. V. m. BSIG) gelten Verwaltungen selbst zwar nicht als KRITIS-Sektor, aber ihre Betriebe könnten dazugehören – z. B. wenn der Kreis eigene Krankenhäuser, Energie- oder Wasserversorger betreibt, die definierte Schwellen überschreiten. In diesem Fall müssten diese Einrichtungen zusätzliche Pflichten erfüllen, etwa regelmäßige Sicherheitsaudits nach § 8a BSIG und Störungsmeldungen an das BSI nach § 8b BSIG. Auch wenn die Kernverwaltung formal kein KRITIS-Betreiber ist, wird dringend angeraten, sich an den KRITIS-Maßstäben zu orientieren, sobald kritische Dienstleistungen für die Bevölkerung betroffen sind (z. B. könnten große kreiseigene Kliniken unter das IT-SiG 2.0 fallen, und deren Ausfall träfe den Kreis unmittelbar). Die rechtlichen Vorgaben hier sind komplex und im Fluss (Stichwort NIS2-Richtlinie der EU, die evtl. in Zukunft größere Kommunen einbezieht). Die Verwaltung sollte daher die Gesetzeslage kontinuierlich beobachten und bei Bedarf juristischen Rat einholen, um neue Compliance-Pflichten frühzeitig umzusetzen.

• Geheim- und Sabotageschutz (VS-Anwendungen, SÜG): Sollte die Kreisverwaltung Umgang mit Verschlusssachen (VS) haben – etwa Einstufungen wie "VS-NfD" (Nur für den Dienstgebrauch) oder höher – sind spezielle rechtliche Regelwerke zu beachten. Die sogenannte Geheimschutzordnung (Verschlusssachenanweisung des Bundes bzw. Landes) gibt detaillierte Vorgaben zum Umgang, die hier in die Praxis übertragen werden müssen: Registrierung jeder VS, abschließbare VS-Schränke der Stufe B/C, Protokollierung von Einsichtnahmen, Nutzung von durch das BSI zugelassenen VS-IT-Systemen (für VS-VERTRAULICH aufwärts). Ebenso ist das Sicherheitsüberprüfungsgesetz (SÜG) relevant: Mitarbeiter, die Zugang zu als "GEHEIM" oder "STRENG GEHEIM" eingestuften Informationen hätten, müssen zuvor einer erweiterten Sicherheitsüberprüfung unterzogen werden (inkl. Überprüfung durch den Verfassungsschutz). In der Kreisverwaltung dürfte der Umgang mit solchen Hochstufen selten sein – allenfalls im Bereich Katastrophenschutz oder Staatsschutz (z. B. im Ordnungsamt bei Versammlungsbedrohungslagen) könnten eingestufte Informationen von Polizei/Innenministerium temporär vorliegen. Sollte dies der Fall sein, ist sicherzustellen, dass Verfahrensweisen für Umgang mit VS etabliert sind und nötiges geprüftes Personal vorhanden ist. Selbst die niedrigste VS-Stufe "Nur für den Dienstgebrauch" erfordert Kennzeichnung, Abschirmung vor Unbefugten und bestimmte Versandwege. Rechtlich betrachtet muss die Verwaltung hier eng mit den zuständigen Landesbehörden zusammenarbeiten (Regierungspräsidium oder Innenministerium), die oft zentrale Leitfäden bereitstellen. Auch das Thema Sabotageschutz ist gesetzlich verankert (BSI-Gesetz und Landesgesetze): Kritische Einrichtungen müssen technische und organisatorische Sabotageprävention betreiben – viele der oben genannten Maßnahmen (Zugangskontrolle, Alarmanlage, Überprüfen des Personals) zahlen darauf ein. Es ist empfehlenswert, einen Geheimschutzbeauftragten zu benennen, der die wenigen Fälle solcher Art koordiniert und als Ansprechpartner fungiert.

• Verwaltungsverfahrensrechtliche und kommunalrechtliche Vorgaben: Die Gewährleistung der Informationssicherheit ist letztlich auch Voraussetzung für die Rechtmäßigkeit des Verwaltungshandelns insgesamt (Art. 20 Abs. 3 GG, Rechtsstaatsprinzip). Nur wenn Daten korrekt und verfügbar sind, können Verwaltungsverfahren ordnungsgemäß durchgeführt und Bescheide rechtssicher erlassen werden. Das Verwaltungsverfahrensgesetz (VwVfG) und landesrechtliche Ausführungen fordern z. B. Aktenführungspflicht – elektronische Akten müssen vollständig, geordnet, unverfälscht und sicher geführt werden. Unsere Maßnahmen zur Integrität und regelmäßigen Datensicherung erfüllen diese Pflicht. Kommunalrecht (etwa die Landkreisordnung) legt Wert auf eine wirtschaftliche und sichere Verwaltung der öffentlichen Mittel – IT-Sicherheit ist auch Mittel der Wirtschaftlichkeit, denn Prävention vermeidet Schadenskosten und Haftungsrisiken. Zudem haben die Gemeinde- und Landkreisordnungen oft Regelungen zur Amtshilfe und Zusammenarbeit: Im Krisenfall (z. B. Cyberangriff) kann der Kreis Hilfe vom Land oder benachbarten Kommunen anfordern; umgekehrt sollte er anderen helfen können. Hier sollte vorab geklärt sein, wie das rechtlich abläuft (Stichwort interkommunale Zusammenarbeit, Verwaltungsvereinbarungen für Notfälle). Nicht zu vergessen: Archivrecht (Landesarchivgesetz) verpflichtet die Verwaltung, Unterlagen ordnungsgemäß zu archivieren. Ein unwiederbringlicher Verlust von Daten (etwa durch mangelhaftes Backup oder Ransomware ohne Entschlüsselungsmöglichkeit) könnte einen Verstoß gegen die archivrechtliche Überlieferungspflicht darstellen. Unsere technischen Maßnahmen (Backups, Offline-Kopien) sorgen dafür, dass Archivdaten langfristig erhalten bleiben, was diese Pflicht erfüllt.

• Verträge und Beschaffung unter Sicherheitsaspekten: Eine rechtliche Querschnittsaufgabe ist die Integration von Sicherheitskriterien in alle Beschaffungs- und Verträge der Verwaltung. Bei der Vergabe von IT-Systemen oder Dienstleistungen muss im Lastenheft bereits IT-Sicherheit berücksichtigt werden (z. B. Forderung nach bestimmten Zertifizierungen wie BSI-Grundschutz oder ISO 27001 bei Dienstleistern, Lieferung von Quellcode für Sicherheitsanalysen oder Verpflichtung zur EU-DSGVO-Konformität). Jeder Vertrag mit externen IT-Dienstleistern sollte klare SLA (Service Level Agreements) zu Verfügbarkeit, Reaktionszeiten bei Störungen und Berichtswegen bei Sicherheitsvorfällen enthalten. Zudem sind Haftungsregelungen im Vertrag sinnvoll, die den Dienstleister in die Pflicht nehmen, wenn durch Versäumnisse seinerseits ein Sicherheitsvorfall entsteht. Beim Einsatz von Cloud-Diensten ist besonders auf die Rechtslage zu achten: Wenn personenbezogene Daten in die Cloud ausgelagert werden, muss der Serverstandort gemäß DSGVO in der EU liegen oder ein angemessenes Datenschutzniveau nachgewiesen sein. Hier sollten rechtliche Prüfungen (durch den DSB und ggf. Juristen) vorab erfolgen. Für Open-Source-Software sollte man Nutzungsbedingungen und eventuelle Lizenzpflichten (z. B. Offenlegen von eigenen Anpassungen) prüfen, wobei Sicherheitsrelevanz hier eher gering ist. Ein oft übersehener Punkt: Cyber-Versicherung – die Verwaltung könnte erwägen, eine spezielle Versicherung gegen Cyberrisiken abzuschließen. Einige Kommunen haben solche Policen, die z. B. Kosten für Forensik, Datenwiederherstellung und Haftpflicht bei Datenschutzverletzungen abdecken. Rechtlich ist das kein Muss, aber es kann Teil der Risikovorsorge sein. Allerdings sollten Versicherer Anforderungen stellen (wie bestimmte Schutzmaßnahmen umgesetzt sein müssen), was wiederum die Einhaltung und Dokumentation unserer Maßnahmen fördert.

Zusammengefasst untermauern die rechtlichen Maßnahmen, dass Informationssicherheit kein optionales Extra, sondern eine Pflichtaufgabe der Verwaltung ist. Zahlreiche Gesetze, von der DSGVO über Landesvorschriften bis hin zu Spezialgesetzen, verlangen ein hohes Schutzniveau für Daten und Prozesse. Die vorgeschlagenen Maßnahmen sorgen dafür, dass die Kreisverwaltung diese Pflichten erfüllt und im Falle von Prüfungen (etwa durch den Landesrechnungshof oder die Datenschutzaufsicht) die Compliance nachweisen kann.