Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 1
Ausschuss für Kommunikationstechnologie und Datenschutz des Abgeordnetenhauses
Anhörung zum Thema Informationssicherheit in der Berliner Verwaltung
Prof. Dr. rer. nat. Margit Scholl
13. November 2017
Technische Hochschule Wildau(Wirtschafts- und Verwaltungsinformatik;
Trainingszentrum für Informationssicherheit ̶„IT Security Arena“)
[email protected]://www.th-wildau.de/scholl
Wildau Institut für innovative Lehre,lebenslanges Lernen undgestaltende Evaluation
[email protected]://www.twz-ev.org/
Prof. Dr. Margit Scholl
Wirtschafs- und Verwaltungsinformatik• Projektmanagement inklusive E-Government und Internationalisierung.
• Prozessmanagement inklusive Akzeptanz- und Qualitätsmanagement sowie Risiko und Change.
• (Mobile) Betriebliche Anwendungen wie z. B. SAP ERP oder Dokumentenmanagement- und Vorgangs-bearbeitungssysteme (DMS/VBS) und eAkte.
• Multimedia inklusive Lerntechnologien & Lernformen und Interkultur.
Seit September 2014: 5 Jahre Forschungsprofessur mit halbem Lehrdeputat (9 SWS). Fokus „Ganzheitlicher Aufbau und partizipatives Management von Smart-Technologien des 21. Jahrhunderts“. Professorin Scholl ist mit „Verwaltungsinformatik und digitale Medien“ sowohl dem Forschungsfeld 2 (Informatik/ Telematik) als auch dem Forschungsfeld 6 (Management und Recht) zugeordnet.
Offizielle Qualifizierungsstelle• Zertifizierter Fortbildungslehrgang zur/zum IT-Sicherheitsbeauftragten (IT-SiBe) der öffentlichen Ver-
waltung über WILLE/TWZ e.V., adaptiert von der Bundesakademie für öffentliche Verwaltung (BAköV) für Kommunen und KMU
• Zertifizierter Fortbildungslehrgang zur/zum Datenschutzbeauftragten (DSB) nach EU-DSGVO über WILLE/ TWZ e.V., adaptiert von der BAköV für Kommunen und KMU
• DLGI-Prüfungsstelle für den Datenschutzführerschein und den ECDL (European Computer Driving Licence)
Veröffentlichungen: https://publister.bib.th-wildau.de/publister/public/publist/filter/author/62
2
Prof. Dr. Margit Scholl (TH Wildau)
13.11.2017
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 2
Prof. Dr. Margit Scholl
…unterstütztdurch Gesetzgebung wie z. B. das E-Government-Gesetz, ….
…modernisiertdie Prozesse in einer Organisation inklusive Verantwortlichkeiten und Zuständigkeiten
…ändertdie Rollen und notwendigen Kompetenzen (neues Wissen, neue Fähigkeiten, neue Fertigkeiten) innerhalb der Organisation und damit auch die Bedarfe an Aus-, Fort-und Weiterbildung
…fördertMobilität und Grenzen übergreifende Zusammenarbeit
…setzt vorausVertrauen der Bürger/innen in die Infrastrukturen und die Sicherheit der persönlichen Daten
…sorgtfür Unsicherheiten, Sorgen und Ängste von Akteur/innen
3
Digitalisierung…
13.11.2017
Prof. Dr. Margit Scholl
…benötigteinen strategischen Blick sowie die Berücksichtigung von ablauf- und aufbau-organisatorischen Veränderungspotenzialen
…gewährleistet
ein angemessenes IT-Sicherheitsniveau, Sicherheitsstandards und Datenschutz
…brauchtausreichend qualifiziertes Personal, das zudem Gestaltungsinteresse in komplexe Strukturen, interdisziplinäre Denk- und Arbeitsweisen, also E-Government-Kompetenzund Informationssicherheitsbewusstsein mitbringt
…erforderteinen Kulturwandel in der Organisation mit einer Neuausrichtung des Personals und mit spezifischen Kompetenzen in allen Arbeitsfeldern
…bedarfeines veränderten Personalmanagements mit kontinuierlicher, zielgruppenorientierter Fort- und Weiterbildung für alle Beschäftigten
4
Erfolgreiche Digitalisierung…
13.11.2017
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 3
Schwachstellen, Bedrohungen, Risiken
13.11.2017 10Prof. Dr. Margit Scholl
Bedrohungen
= RISIKEN
Gefährdungen
Schwachstellen
Angriffen
Schäden
in der IT und Informationsverarbeitung,
werden zu …= Lücken
in der Sicherheiteines Systems oder
in Software bzw. Anwendungen
… wenn die IT, Anwendungen, Prozesse
besitzen.
Diese Schwächenin der IT werden ausgenutzt von
Diese Angriffe führen zu
= RISIKEN
nichtvernachlässigbar
Nachteilen,Verlusten …
…dann werdenBedrohungenzu Risiken…
= Umstände bzw. Ereignisse, durch die Werte wie Vermögen, Wissen, Gegenstände oder die Gesundheit einen Schaden erleiden können.
= höhere Gewalt, org. Mängel, menschl. Fehlverhalten, techn. Versagen, vorsätzl. Handlungen)
Maßnahmen für höhere Sicherheit …
• … bedeuten Aufwand (persönlich und durch qualifiziertes Personal)
• … benötigen Zeit
• … kosten Geld ...
13.11.2017 11Prof. Dr. Margit Scholl
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 4
Prof. Dr. Margit Scholl
Sensibilisierungs- und Schulungsmaßnahmensind zwingend notwendig.Hier muss auch die Leitungsebene einbezogen sein, damit das Wissen um die Gefährdun-gen für Informationssicherheit (Risikobewusstsein) und die Fähigkeit, angemessen mit ihnen umzugehen (Risikomündigkeit), in einer Organisation nachhaltig verankert werden.
ZielDie Wahrnehmung aller Beschäftigten für Informationssicherheitsrisiken ist zu schärfen und die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten sind zu vermitteln.
Elementare Gefährdungen nach IT-Grundschutz (BSI):Ausspähen von Informationen/Spionage, Abhören, Offenlegung schützenswerter Informationen, Zerstörung von Geräten und Datenträgern, Verstoß gegen Gesetze und Verordnungen, Unberechtigte oder fehlerhafte Nutzung oder Administration von Geräten und Systemen, Missbrauch von Berechtigungen, Identitätsdiebstahl, Abstreiten von Handlungen, Missbrauch personenbezogener Daten, Social Engineering, Datenverlust, Integritätsverlust schützenswerter Informationen.
18
Sicherheitsgerechtes Verhalten
13.11.2017
Quelle: BAköV-Handbuch, 2016.
Prof. Dr. Margit Scholl
Technische SicherheitAngesichts der gewachsenen Gefährdungslage wird zwar verstärkt in technische Informa-tionssicherheit investiert und über die Risiken informiert, doch reicht das nicht aus.
Mangelnde SensibilitätBefragungen zu den Belangen der Informationssicherheit in Organisationen belegen nach wie vor eine mangelhafte Sensibilisierung.
Sicherheitsgerechtes Verhaltenist bei allen Beschäftigten notwendig und erfordert das Wissen um und ein Gefühl für die Risiken, ebenso wie die Fähigkeit und das Wollen, sach- und sicherheitsgerecht mit Daten, Informationen und Informationstechnik (IT) umzugehen.
Vorgegebene Regelungensind eine Voraussetzung dafür, sich adäquat zu verhalten, und sollten eindeutig formu-liert, allgemein bekannt und auf Einhaltung hin kontrolliert werden. Regelungen allein langen jedoch nicht – sie müssen auch gelebt werden.
Vorschriftenkönnen leichter eingehalten werden, je informierter die Beschäftigten über die Sach-verhalte sind und je besser sie die Motive dafür verstehen.
19
Sicherheitsgerechtes Verhalten
13.11.2017
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 5
Spirale der transformativen Wechselwirkung
13.11.2017 20Prof. Dr. Margit Scholl
Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.
Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017.
Prof. Dr. Margit Scholl
Was wird in Zeiten umfassender Digitalisierung gebraucht?Situative, erlebnisorientierte, teamorientierte, interdisziplinäre, pragmatische Lösungsfindung eingebettet in eine strategische Ausrichtung der Informationssicherheit.
Warum benötigen wir Innovationen?• Es geht um die Gestaltung unserer demokratischen Zukunft.• Um die Nutzung der Potenziale der Digitalisierung, bei gleichzeitiger Bewältigung der
Herausforderungen.
Wie entsteht Innovation heute?Vor allem im kreativen Team, durch sozialen Dialog und Zusammenarbeit. • Wie können Innovationen begünstigt werden?• Wie kann ein „kreatives Milieu“ herbeigeführt werden?• Wie können Freiräume zum Denken und Handeln sowie zum Experimentieren eingeräumt
werden?
Welche Lernprozesse brauchen wir?Lernen und Denken erfolgt nicht isoliert im Gehirn, sondern geschieht im ganzen Körper und mit allen Sinnen. Auch der äußere Raum prägt das innere Denken und Handeln. Denken kommt zudem in Bewegung, wenn der Körper sich bewegt.
21
Innovationsförderung
13.11.2017
Quelle: Hill, 2017.
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 6
Erlebnisorientierte Sensibilisierung
13.11.2017 22Prof. Dr. Margit Scholl
Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.
Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017. Fuhrmann, Koppatz, Edich & Scholl, 2017.
Prof. Dr. Margit Scholl
Das Leben ist analog auch bei digitaler Umgebung!Situative, erlebnisorientierte, teamorientierte, interdisziplinäre, pragmatische Lösungs-findung eingebettet in eine strategische Ausrichtung der Informationssicherheit.
Haptische Erlebnisse können das Denken und die Kreativität anregen:• Dies erlaubt auch Repräsentationen und Projektionen von Modellen und
Simulationen.• Machen Gedanken und Dinge konkret sowie Lösungen sichtbar und greifbar.• Erzeugen eine Ganzheitlichkeit.• Motivieren die/den Einzelne/n im Team.• Binden die Beteiligten emotional.• Erzeugen Aufmerksamkeit.
KulturwandelDie Digitalisierung erfordert einen Kulturwandel aller Organisationen, so auch der öffentlichen Verwaltungen. Das bedeutet jedoch nicht, nur noch digital zu lernen.
23
Analoge (haptische) Erlebnisse
13.11.2017
Quelle: s. a. Hill, 2017.
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 7
Vorschlag: Landeskonzept Awareness
Ein Cyber-Führerschein für die Berliner Verwaltung …
… ist ein guter Anfang, kann jedoch nur ein kleiner Baustein sein.
Benötigt wird ein
neues, strategisches
Landeskonzept
Awareness(Sensibilisierung für Informationssicherheit).
Dazu müssen Haushaltsmitteleingeplant werden.13.11.2017 30Prof. Dr. Margit Scholl
BAköV-Handbuch: Schulungsinhalte
1. Grundlagen der Informationssicherheit
2. Informationssicherheit am Arbeitsplatz
3. Gesetze und Regularien
4. Sicherheitskonzept der Organisation
5. Risikomanagement
6. Informationssicherheitsmanagement
7. IT-Systeme
8. Operativer Bereich
9. Technische Realisierung von Sicherheitsmaßnahmen
10. Notfallvorsorge/Notfallplanung
11. Neue Entwicklungen im IT-Bereich
12. Betriebswirtschaftliche Seite der Informationssicherheit
13. Infrastruktur-Sicherheit
13.11.2017 31Prof. Dr. Margit Scholl
p. 121f
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 8
BAköV-Handbuch
• Seite 123: Table 4: Zielgruppen und Schulungsmodule
Und mit welchen Methoden?
13.11.2017 Prof. Dr. Margit Scholl 32
Prof. Dr. Margit Scholl
Ein Cyber-Führerschein für die Berliner Verwaltung?
Ja,als Beginn einer umfassenden Sensibilisierung für Cyber-/Informationssicherheit, jedoch langt es nicht.
Ziel: IT-Sicherheit durch Aus-, Fort- und Weiterbildung gewährleistenbedeutet eine strategisch abgesicherte und kontinuierliche sowie zielgruppenorientierte Kompetenzentwicklung für E-Government und die Erhöhung des Informationssicherheitsbewusstseins.
Ziel: IT-Sicherheit in die Prozesse und Projekte und in den Arbeitsalltag integrierenSensibilisierungs- und Schulungsmaßnahmen bedürfen kreativer Methoden in einem systemischen Ansatz, der über die reine Wissensvermittlung hinausgeht, emotionalisiertund motiviert, Vorgaben zu beachten, sowie soziale Interaktion im Team ermöglicht.
33
Cyber-Führerschein?
13.11.2017
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 9
Schritt für Schritt …
• Von Null auf 100 geht nurkontinuierlich,
• mit Austausch und Zusammenarbeit,
• mit Erfahrung in Awareness-Maßnahmen.
• Eine Zusammenarbeit mit Hochschulen könnte über neue Fördermittel ermöglicht werden. Zielstellung: Erstellung qualitätsgesicherter Konzepte, Ermittlung des Reifegrades auf Basis von Kontrollzielen, Fortschreibung nach dem Stand der Technik und Rechtsentwicklung …
13.11.2017 34Prof. Dr. Margit Scholl
Erlebnisorientierte Sensibilisierung
13.11.2017 35Prof. Dr. Margit Scholl
Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.
Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017. Scholl, Fuhrmann & Pokoyski, 2016.
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 10
Ist Informationssicherheit im Fokus?
• Erfährt die Informationssicherheit die selbe Aufmerksamkeit wie Arbeitsschutz oder Gesundheitsmanagement?
Oft eher nicht: „… auch das noch …“, „… dafür habe ich jetzt keine Zeit …“, „… das soll die IT-Abteilung für mich machen …“
Aber: Informationssicherheit geht alle an, beruflich und privat!
• Bei gleichzeitig zahlreich neuer fachlicher Aufgaben und Ver-änderungen im Zeitalter der umfangreichen Digitalisierung ist Informationssicherheit immer zu beachten und bleibt eine Herausforderung für alle.
13.11.2017 36Prof. Dr. Margit Scholl
Austausch / Diskussion
• Fragen?
Prof. Dr. Margit Scholl 3713.11.2017
Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017
Prof. Dr. Margit Scholl 11
Prof. Dr. Margit Scholl
• BSI-Standards 200-1, 200-2, 200-3, 100-4.
• BAköv-Handbuch, IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung, Version 5.0, 2016.
• Scholl, M., Fuhrmann, F., & Pokoyski, D. (2016). Information Security Awareness 3.0 forJob Beginners In J. E. Quintela Varajão, M. M. Cruz-Cunha, R. Martinho, R. Rijo, N. Bjørn-Andersen, R. Turner, & D. Alves (Eds.), Conference on ENTERprise Information Systems (CENTERIS), Porto, Portugal, 433-436.
• Scholl, M. (Hrg.). Fuhrmann, F., Scholl, M., Edich, D., Koppatz, P., Scholl, L., Leiner, K., et al. (2017). Informationssicherheitsbewusstsein für den Berufseinstieg: Abschlussbericht Projekt SecAware4job. Aachen: Shaker.
• VM Verwaltung & Management, Zeitschrift für moderne Verwaltung, 5/2017
– Lück-Schneider, Dagmar & Schuppan, Tino: Gestaltungskompetenzen für die Öffent-liche Verwaltung im digitalen Zeitalter, S. 236-244.
– Fuhrmann, Frauke/ Koppatz, Peter/ Edich, Denis/ Scholl, Margit: Sicher unterwegs in der digitalen Welt – spielend begreifend, S. 263-266.
– Hill, Hermann: Wie geht Innovation? Ein Beitrag zur verhaltensorientierten Innova-tionsförderung, S. 270-279.
38
Genutzte Literatur
13.11.2017
Ausgewählte Projekte:• Gendersensible Studien- und Berufsorientierung für den Beruf Security Spezialistin (Security)
(2017-2019) http://security.wildau.biz/
• Skill Up: Matching graduates´skills and labour world demands through authentic learningscenarios (2016-2019) http://skill-up-project.eu/
• SecAware4job: Informationssicherheitsbewusstsein für den Berufseinstieg (2015-2017)secaware4job.th-wildau.de
• TechPedia: European Virtual Learning Platform for Electrical and Information Engineering(2014-2017) http://techpedia.fel.cvut.cz/de/home/blocks
• iBaMs: Barrierereduzierte Maschinen in innovativer Interaktion (2014) ibams.th-wildau.de
• IT- Sicherheit@KMU: Technische Investition einer mobilen Sensibilisierungsinitiative für KMU(2013-2014)
• Interkulturelle Weiterbildung für, mit und in KMU: kmu-interkomp20.th-wildau.de
• TEDS-Evaluationstool für Informationssysteme (Systemintegration in die E-Learning-Plattform Moodle der TH Wildau) (2012-2013)
• Labor - Infrastrukturveränderungen zur technischen Modernisierung als Basis von project- andproblem-based Blended Learning (PPBBL) (2012-2013)
• Virtu: Modernisierungspilot innovations- und technologieorientierter Infrastruktur zur Hoch-schuldidaktik für interaktive Lehre (2011-2012)
Prof. Dr. Margit Scholl 39
Prof. Dr. Margit Scholl & Team
13.11.2017