IT-Sicherheit und Vergaberecht: Was kann beachtet werden?

0
4568

Jede Verwaltung kennt das Problem, der Bedarf ist da – eine Ausschreibung mitsamt der Vergabe notwendig. Aber: “Bereits vor der eigentlichen Ausschreibung haben sie ein Sicherheitsrisiko”, betont Dr. Andreas Mück. Der IT-Leiter des Bayerischen Staatsministeriums für Wirtschaft plädiert für ein Informationssicherheitsmanagementsystem (ISMS) und weitere IT-Standards, damit die Vergabe sicherer gestaltet wird. (15.03.2018)

“Vergaberecht regelt, wie sie etwas beschaffen”, sagte Prof. Dr. Manfred Mayer, Rechtsanwalt und Geschäftsführer von Mayburg mbH. Bereits im zweiten Schritt einer Vergabe, nämlich der Markterkundung, seien mehrere Mitarbeiter beteiligt. Diese könnten aus der IT oder der Rechts- sowie Haushaltsabteilung stammen. Aber dementsprechend seien dies mögliche Schlupflöcher für Informationen nach außen. Deshalb sei einer der ersten Schritte die Sensibilisierung der Mitarbeiter, so Mücke. Außerdem fährt er fort: “Die Verwaltung kann sich dem digitalen Wandel nicht verschließen. Sie müssen sich darum kümmern, wie sie Prozesse in ihrem Haus managen.”

Standardisiertes Riskmanagement ist unerlässlich

Beispielsweise sei es während der Leistungsausschreibung sinnvoll, Bedenkenträger wie Datenschützer und Beschaffer mit in den Planungskreis zu holen, um zukünftige Konflikte zu vermeiden. “Aber dann entsteht das nächste Problem: Wie bewerten wir die Leistung? Nun, es braucht ein Risikomanagement wie das ISMS nach ISO 27001 oder 27005 sowie ISIS12. Denn diese sind häufig standardisiert und hilfreich”, erläutert der IT-Leiter. Die Inhalte könnten gleichzeitig als Kriterien zur Bewertung von Leistungen der Anbieter dienen. Auch könnten Verwaltungen die IT-Sicherheitsvorgaben für die Dienstleister festschreiben. Aber: “Überwachen sie diese auch, sonst ist es nutzlos”, so Mück auf den IKT-Beschaffertagen des Behörden Spiegels in Zusammenarbeit mit Mayburg.

Ergänzend dazu äußert sich Lars Hoppmann, stellv. Geschäftsführer des Kommunalen Rechenzentrums Minden-Ravensberg/Lippe: “Achten sie darauf, dass ihre Anbieter möglichst zertifiziert sind. Hat aber ein Anbieter kein Zertifikat, dann sollten sie sich wirklich alles nachverfolgbare zeigen lassen, um sicher zu gehen.” Außerdem solle darauf geachtet werden, dass die Sicherheitszertifikate ganzheitlich vorhanden sind und nicht nur auf einzelne Fachanwendungen beziehungsweise Dienstleistungen.

Weiter sei es hilfreich, die Rollen und die Verantwortlichkeiten festzulegen und sie qualifiziert zu besetzen, so Mück. Der IT-Leiter dürfe nicht gleichzeitig der Datenschutzbeauftragte sein. “Trennen sie die Rollen und planen ihre Personalkapazität sorgfältig”, betont er. Zusätzlich müssten, so der bayerische IT-Leiter, Schwachstellen identifiziert und ausgemerzt werden. Dies seien tragende Erfolgsfaktoren für die IT-Sicherheit und Verträge.