Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 1

Ausschuss für Kommunikationstechnologie und Datenschutz des Abgeordnetenhauses

Anhörung zum Thema Informationssicherheit in der Berliner Verwaltung

Prof. Dr. rer. nat. Margit Scholl

13. November 2017

Technische Hochschule Wildau(Wirtschafts- und Verwaltungsinformatik;

Trainingszentrum für Informationssicherheit ̶„IT Security Arena“)

margit.scholl@th-wildau.dehttp://www.th-wildau.de/scholl

Wildau Institut für innovative Lehre,lebenslanges Lernen undgestaltende Evaluation

wille@twz-ev.dehttp://www.twz-ev.org/

Prof. Dr. Margit Scholl

Wirtschafs- und Verwaltungsinformatik• Projektmanagement inklusive E-Government und Internationalisierung.

• Prozessmanagement inklusive Akzeptanz- und Qualitätsmanagement sowie Risiko und Change.

• (Mobile) Betriebliche Anwendungen wie z. B. SAP ERP oder Dokumentenmanagement- und Vorgangs-bearbeitungssysteme (DMS/VBS) und eAkte.

• Multimedia inklusive Lerntechnologien & Lernformen und Interkultur.

Seit September 2014: 5 Jahre Forschungsprofessur mit halbem Lehrdeputat (9 SWS). Fokus „Ganzheitlicher Aufbau und partizipatives Management von Smart-Technologien des 21. Jahrhunderts“. Professorin Scholl ist mit „Verwaltungsinformatik und digitale Medien“ sowohl dem Forschungsfeld 2 (Informatik/ Telematik) als auch dem Forschungsfeld 6 (Management und Recht) zugeordnet.

Offizielle Qualifizierungsstelle• Zertifizierter Fortbildungslehrgang zur/zum IT-Sicherheitsbeauftragten (IT-SiBe) der öffentlichen Ver-

waltung über WILLE/TWZ e.V., adaptiert von der Bundesakademie für öffentliche Verwaltung (BAköV) für Kommunen und KMU

• Zertifizierter Fortbildungslehrgang zur/zum Datenschutzbeauftragten (DSB) nach EU-DSGVO über WILLE/ TWZ e.V., adaptiert von der BAköV für Kommunen und KMU

• DLGI-Prüfungsstelle für den Datenschutzführerschein und den ECDL (European Computer Driving Licence)

Veröffentlichungen: https://publister.bib.th-wildau.de/publister/public/publist/filter/author/62

2

Prof. Dr. Margit Scholl (TH Wildau)

13.11.2017

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 2

Prof. Dr. Margit Scholl

…unterstütztdurch Gesetzgebung wie z. B. das E-Government-Gesetz, ….

…modernisiertdie Prozesse in einer Organisation inklusive Verantwortlichkeiten und Zuständigkeiten

…ändertdie Rollen und notwendigen Kompetenzen (neues Wissen, neue Fähigkeiten, neue Fertigkeiten) innerhalb der Organisation und damit auch die Bedarfe an Aus-, Fort-und Weiterbildung

…fördertMobilität und Grenzen übergreifende Zusammenarbeit

…setzt vorausVertrauen der Bürger/innen in die Infrastrukturen und die Sicherheit der persönlichen Daten

…sorgtfür Unsicherheiten, Sorgen und Ängste von Akteur/innen

3

Digitalisierung…

13.11.2017

Prof. Dr. Margit Scholl

…benötigteinen strategischen Blick sowie die Berücksichtigung von ablauf- und aufbau-organisatorischen Veränderungspotenzialen

…gewährleistet

ein angemessenes IT-Sicherheitsniveau, Sicherheitsstandards und Datenschutz

…brauchtausreichend qualifiziertes Personal, das zudem Gestaltungsinteresse in komplexe Strukturen, interdisziplinäre Denk- und Arbeitsweisen, also E-Government-Kompetenzund Informationssicherheitsbewusstsein mitbringt

…erforderteinen Kulturwandel in der Organisation mit einer Neuausrichtung des Personals und mit spezifischen Kompetenzen in allen Arbeitsfeldern

…bedarfeines veränderten Personalmanagements mit kontinuierlicher, zielgruppenorientierter Fort- und Weiterbildung für alle Beschäftigten

4

Erfolgreiche Digitalisierung…

13.11.2017

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 3

Schwachstellen, Bedrohungen, Risiken

13.11.2017 10Prof. Dr. Margit Scholl

Bedrohungen

= RISIKEN

Gefährdungen

Schwachstellen

Angriffen

Schäden

in der IT und Informationsverarbeitung,

werden zu …= Lücken

in der Sicherheiteines Systems oder

in Software bzw. Anwendungen

… wenn die IT, Anwendungen, Prozesse

besitzen.

Diese Schwächenin der IT werden ausgenutzt von

Diese Angriffe führen zu

= RISIKEN

nichtvernachlässigbar

Nachteilen,Verlusten …

…dann werdenBedrohungenzu Risiken…

= Umstände bzw. Ereignisse, durch die Werte wie Vermögen, Wissen, Gegenstände oder die Gesundheit einen Schaden erleiden können.

= höhere Gewalt, org. Mängel, menschl. Fehlverhalten, techn. Versagen, vorsätzl. Handlungen)

Maßnahmen für höhere Sicherheit …

• … bedeuten Aufwand (persönlich und durch qualifiziertes Personal)

• … benötigen Zeit

• … kosten Geld ...

13.11.2017 11Prof. Dr. Margit Scholl

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 4

Prof. Dr. Margit Scholl

Sensibilisierungs- und Schulungsmaßnahmensind zwingend notwendig.Hier muss auch die Leitungsebene einbezogen sein, damit das Wissen um die Gefährdun-gen für Informationssicherheit (Risikobewusstsein) und die Fähigkeit, angemessen mit ihnen umzugehen (Risikomündigkeit), in einer Organisation nachhaltig verankert werden.

ZielDie Wahrnehmung aller Beschäftigten für Informationssicherheitsrisiken ist zu schärfen und die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten sind zu vermitteln.

Elementare Gefährdungen nach IT-Grundschutz (BSI):Ausspähen von Informationen/Spionage, Abhören, Offenlegung schützenswerter Informationen, Zerstörung von Geräten und Datenträgern, Verstoß gegen Gesetze und Verordnungen, Unberechtigte oder fehlerhafte Nutzung oder Administration von Geräten und Systemen, Missbrauch von Berechtigungen, Identitätsdiebstahl, Abstreiten von Handlungen, Missbrauch personenbezogener Daten, Social Engineering, Datenverlust, Integritätsverlust schützenswerter Informationen.

18

Sicherheitsgerechtes Verhalten

13.11.2017

Quelle: BAköV-Handbuch, 2016.

Prof. Dr. Margit Scholl

Technische SicherheitAngesichts der gewachsenen Gefährdungslage wird zwar verstärkt in technische Informa-tionssicherheit investiert und über die Risiken informiert, doch reicht das nicht aus.

Mangelnde SensibilitätBefragungen zu den Belangen der Informationssicherheit in Organisationen belegen nach wie vor eine mangelhafte Sensibilisierung.

Sicherheitsgerechtes Verhaltenist bei allen Beschäftigten notwendig und erfordert das Wissen um und ein Gefühl für die Risiken, ebenso wie die Fähigkeit und das Wollen, sach- und sicherheitsgerecht mit Daten, Informationen und Informationstechnik (IT) umzugehen.

Vorgegebene Regelungensind eine Voraussetzung dafür, sich adäquat zu verhalten, und sollten eindeutig formu-liert, allgemein bekannt und auf Einhaltung hin kontrolliert werden. Regelungen allein langen jedoch nicht – sie müssen auch gelebt werden.

Vorschriftenkönnen leichter eingehalten werden, je informierter die Beschäftigten über die Sach-verhalte sind und je besser sie die Motive dafür verstehen.

19

Sicherheitsgerechtes Verhalten

13.11.2017

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 5

Spirale der transformativen Wechselwirkung

13.11.2017 20Prof. Dr. Margit Scholl

Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.

Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017.

Prof. Dr. Margit Scholl

Was wird in Zeiten umfassender Digitalisierung gebraucht?Situative, erlebnisorientierte, teamorientierte, interdisziplinäre, pragmatische Lösungsfindung eingebettet in eine strategische Ausrichtung der Informationssicherheit.

Warum benötigen wir Innovationen?• Es geht um die Gestaltung unserer demokratischen Zukunft.• Um die Nutzung der Potenziale der Digitalisierung, bei gleichzeitiger Bewältigung der

Herausforderungen.

Wie entsteht Innovation heute?Vor allem im kreativen Team, durch sozialen Dialog und Zusammenarbeit. • Wie können Innovationen begünstigt werden?• Wie kann ein „kreatives Milieu“ herbeigeführt werden?• Wie können Freiräume zum Denken und Handeln sowie zum Experimentieren eingeräumt

werden?

Welche Lernprozesse brauchen wir?Lernen und Denken erfolgt nicht isoliert im Gehirn, sondern geschieht im ganzen Körper und mit allen Sinnen. Auch der äußere Raum prägt das innere Denken und Handeln. Denken kommt zudem in Bewegung, wenn der Körper sich bewegt.

21

Innovationsförderung

13.11.2017

Quelle: Hill, 2017.

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 6

Erlebnisorientierte Sensibilisierung

13.11.2017 22Prof. Dr. Margit Scholl

Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.

Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017. Fuhrmann, Koppatz, Edich & Scholl, 2017.

Prof. Dr. Margit Scholl

Das Leben ist analog auch bei digitaler Umgebung!Situative, erlebnisorientierte, teamorientierte, interdisziplinäre, pragmatische Lösungs-findung eingebettet in eine strategische Ausrichtung der Informationssicherheit.

Haptische Erlebnisse können das Denken und die Kreativität anregen:• Dies erlaubt auch Repräsentationen und Projektionen von Modellen und

Simulationen.• Machen Gedanken und Dinge konkret sowie Lösungen sichtbar und greifbar.• Erzeugen eine Ganzheitlichkeit.• Motivieren die/den Einzelne/n im Team.• Binden die Beteiligten emotional.• Erzeugen Aufmerksamkeit.

KulturwandelDie Digitalisierung erfordert einen Kulturwandel aller Organisationen, so auch der öffentlichen Verwaltungen. Das bedeutet jedoch nicht, nur noch digital zu lernen.

23

Analoge (haptische) Erlebnisse

13.11.2017

Quelle: s. a. Hill, 2017.

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 7

Vorschlag: Landeskonzept Awareness

Ein Cyber-Führerschein für die Berliner Verwaltung …

… ist ein guter Anfang, kann jedoch nur ein kleiner Baustein sein.

Benötigt wird ein

neues, strategisches

Landeskonzept

Awareness(Sensibilisierung für Informationssicherheit).

Dazu müssen Haushaltsmitteleingeplant werden.13.11.2017 30Prof. Dr. Margit Scholl

BAköV-Handbuch: Schulungsinhalte

1. Grundlagen der Informationssicherheit

2. Informationssicherheit am Arbeitsplatz

3. Gesetze und Regularien

4. Sicherheitskonzept der Organisation

5. Risikomanagement

6. Informationssicherheitsmanagement

7. IT-Systeme

8. Operativer Bereich

9. Technische Realisierung von Sicherheitsmaßnahmen

10. Notfallvorsorge/Notfallplanung

11. Neue Entwicklungen im IT-Bereich

12. Betriebswirtschaftliche Seite der Informationssicherheit

13. Infrastruktur-Sicherheit

13.11.2017 31Prof. Dr. Margit Scholl

p. 121f

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 8

BAköV-Handbuch

• Seite 123: Table 4: Zielgruppen und Schulungsmodule

Und mit welchen Methoden?

13.11.2017 Prof. Dr. Margit Scholl 32

Prof. Dr. Margit Scholl

Ein Cyber-Führerschein für die Berliner Verwaltung?

Ja,als Beginn einer umfassenden Sensibilisierung für Cyber-/Informationssicherheit, jedoch langt es nicht.

Ziel: IT-Sicherheit durch Aus-, Fort- und Weiterbildung gewährleistenbedeutet eine strategisch abgesicherte und kontinuierliche sowie zielgruppenorientierte Kompetenzentwicklung für E-Government und die Erhöhung des Informationssicherheitsbewusstseins.

Ziel: IT-Sicherheit in die Prozesse und Projekte und in den Arbeitsalltag integrierenSensibilisierungs- und Schulungsmaßnahmen bedürfen kreativer Methoden in einem systemischen Ansatz, der über die reine Wissensvermittlung hinausgeht, emotionalisiertund motiviert, Vorgaben zu beachten, sowie soziale Interaktion im Team ermöglicht.

33

Cyber-Führerschein?

13.11.2017

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 9

Schritt für Schritt …

• Von Null auf 100 geht nurkontinuierlich,

• mit Austausch und Zusammenarbeit,

• mit Erfahrung in Awareness-Maßnahmen.

• Eine Zusammenarbeit mit Hochschulen könnte über neue Fördermittel ermöglicht werden. Zielstellung: Erstellung qualitätsgesicherter Konzepte, Ermittlung des Reifegrades auf Basis von Kontrollzielen, Fortschreibung nach dem Stand der Technik und Rechtsentwicklung …

13.11.2017 34Prof. Dr. Margit Scholl

Erlebnisorientierte Sensibilisierung

13.11.2017 35Prof. Dr. Margit Scholl

Forschungsprojekt SecAware4job:Informationssicherheitsbewusstseinfür den Berufseinstieg, 2015-2017.

Quelle: Scholl (Hrsg.), Abschlussbericht SecAware4job, 2017. Scholl, Fuhrmann & Pokoyski, 2016.

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 10

Ist Informationssicherheit im Fokus?

• Erfährt die Informationssicherheit die selbe Aufmerksamkeit wie Arbeitsschutz oder Gesundheitsmanagement?

Oft eher nicht: „… auch das noch …“, „… dafür habe ich jetzt keine Zeit …“, „… das soll die IT-Abteilung für mich machen …“

Aber: Informationssicherheit geht alle an, beruflich und privat!

• Bei gleichzeitig zahlreich neuer fachlicher Aufgaben und Ver-änderungen im Zeitalter der umfangreichen Digitalisierung ist Informationssicherheit immer zu beachten und bleibt eine Herausforderung für alle.

13.11.2017 36Prof. Dr. Margit Scholl

Austausch / Diskussion

• Fragen?

Prof. Dr. Margit Scholl 3713.11.2017

Anhörung zum Thema "Informationssicherheit in der Berliner Verwaltung" am 13.11.2017

Prof. Dr. Margit Scholl 11

Prof. Dr. Margit Scholl

• BSI-Standards 200-1, 200-2, 200-3, 100-4.

• BAköv-Handbuch, IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung, Version 5.0, 2016.

• Scholl, M., Fuhrmann, F., & Pokoyski, D. (2016). Information Security Awareness 3.0 forJob Beginners In J. E. Quintela Varajão, M. M. Cruz-Cunha, R. Martinho, R. Rijo, N. Bjørn-Andersen, R. Turner, & D. Alves (Eds.), Conference on ENTERprise Information Systems (CENTERIS), Porto, Portugal, 433-436.

• Scholl, M. (Hrg.). Fuhrmann, F., Scholl, M., Edich, D., Koppatz, P., Scholl, L., Leiner, K., et al. (2017). Informationssicherheitsbewusstsein für den Berufseinstieg: Abschlussbericht Projekt SecAware4job. Aachen: Shaker.

• VM Verwaltung & Management, Zeitschrift für moderne Verwaltung, 5/2017

– Lück-Schneider, Dagmar & Schuppan, Tino: Gestaltungskompetenzen für die Öffent-liche Verwaltung im digitalen Zeitalter, S. 236-244.

– Fuhrmann, Frauke/ Koppatz, Peter/ Edich, Denis/ Scholl, Margit: Sicher unterwegs in der digitalen Welt – spielend begreifend, S. 263-266.

– Hill, Hermann: Wie geht Innovation? Ein Beitrag zur verhaltensorientierten Innova-tionsförderung, S. 270-279.

38

Genutzte Literatur

13.11.2017

Ausgewählte Projekte:• Gendersensible Studien- und Berufsorientierung für den Beruf Security Spezialistin (Security)

(2017-2019) http://security.wildau.biz/

• Skill Up: Matching graduates´skills and labour world demands through authentic learningscenarios (2016-2019) http://skill-up-project.eu/

• SecAware4job: Informationssicherheitsbewusstsein für den Berufseinstieg (2015-2017)secaware4job.th-wildau.de

• TechPedia: European Virtual Learning Platform for Electrical and Information Engineering(2014-2017) http://techpedia.fel.cvut.cz/de/home/blocks

• iBaMs: Barrierereduzierte Maschinen in innovativer Interaktion (2014) ibams.th-wildau.de

• IT- Sicherheit@KMU: Technische Investition einer mobilen Sensibilisierungsinitiative für KMU(2013-2014)

• Interkulturelle Weiterbildung für, mit und in KMU: kmu-interkomp20.th-wildau.de

• TEDS-Evaluationstool für Informationssysteme (Systemintegration in die E-Learning-Plattform Moodle der TH Wildau) (2012-2013)

• Labor - Infrastrukturveränderungen zur technischen Modernisierung als Basis von project- andproblem-based Blended Learning (PPBBL) (2012-2013)

• Virtu: Modernisierungspilot innovations- und technologieorientierter Infrastruktur zur Hoch-schuldidaktik für interaktive Lehre (2011-2012)

Prof. Dr. Margit Scholl 39

Prof. Dr. Margit Scholl & Team

13.11.2017