15. Prinzip des Servicestandards

Quelle: Pixabay

Prinzip 15: IT-Sicherheit und Support

Die Zuverlässigkeit, Ausfallsicherheit und IT-Sicherheit der digitalen Angebote sind integraler Bestandteil der Entwicklung und im kontinuierlichen Betrieb. Für mögliche Stör- und Ausfälle gibt es Support- und Notfallkonzepte. Die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz sind bei der Entwicklung von Applikationen einzuhalten. Das für den Betrieb verantwortliche Rechenzentrum sollte vollumfänglich BSI-zertifiziert sein.

Warum ist es wichtig

Jederzeit sicher, erreichbar und ausfallsicher: Werden diese Faktoren bei Onlinediensten nicht durchgehend gewährleistet und geprüft, wird deren Nutzung infrage gestellt. Der Anspruch von Bürgerinnen und Bürgern sowie Unternehmen ist, dass digitale Angebote rund um die Uhr verfügbar, sicher und technisch zuverlässig sind. Auch ein schnell ansteigendes Nutzeraufkommen, z. B. durch tagesaktuelle Ereignisse, kann so bedient werden. Ebenso ist die Datensicherheit, d. h. Schutz vor Datenmissbrauch im Sinne der IT-Sicherheit, ein absolutes Muss auch im Sinne der Betrugsprävention.

Wie Sie das Prinzip umsetzen

Datenschutz- und IT-Sicherheitskonzepte sollten bereits als Rahmendokumente einer Strategie folgend vorhanden sein. In der Konzeptionsphase – unter Berücksichtigung der rechtlichen Vorgaben und der technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – sollen diese dann umgesetzt werden. Stimmen Sie sich diesbezüglich eng mit dem IT-Dienstleister ab. Sollten Sie Ihren Onlinedienst über ein Verwaltungsportal anbieten, z. B. das Bundesportal, werden die Themen Datenschutz und IT-Sicherheit ggf. bereits zentral im Portal berücksichtigt.

Checkliste

 Testkonzept, Infrastrukturkonzept und Betriebsführungskonzept erstellen

 Entwicklung, Betrieb und Support vertraglich festlegen

 Ausfall- und IT-Sicherheit zusammen mit dem IT-Dienstleister gewährleisten

BSI-Grundschutzcheck avisieren

1. Zuverlässigkeit: Testkonzept, Infrastrukturkonzept und Betriebsführungskonzept erstellen

  • Koordinieren Sie mit dem IT-Dienstleister die Erstellung eines IT-Testkonzepts mit den folgenden Inhalten: Testplan, Testspezifikation, Testfallbeschreibung.
  • Überprüfen Sie das vom IT-Dienstleister vorgelegte Infrastruktur- und Betriebsführungskonzept und passen sie dies ggf. an Ihre Anforderungen an.
  • Implementieren Sie einen Datenschutz- und IT-Sicherheits-Lifecycle für Ihren Onlinedienst.
  • Lassen Sie die IT-Umgebung (Entwicklung bis Betrieb) gegen interne und externe Angriffe untersuchen, eventuell auch in Zusammenarbeit mit dem BSI.

2. Verfügbarkeit: Entwicklung, Betrieb und Support vertraglich festlegen

  • Planen Sie die Absprache zwischen Auftraggeber und IT-Dienstleister, um Verträge aufzusetzen, die sowohl die Phase der initialen Entwicklung als auch den anschließenden Betrieb und Support festschreiben.
  • Treten Sie rechtzeitig mit der testenden Behörde in Kontakt, um Tests zu planen und schließen Sie hierfür entsprechende Verträge. Sobald die technisch orientierten Tests mit Testdaten absolviert sind, sollten Behörden für die nächsten anstehenden Nutzertests gefunden werden. Geschäftsprozesse, die letztendliche Nutzersicht sowie Echtdaten müssen hier verifiziert und getestet werden. Sobald der Status erreicht ist, dass mit den Behörden zusammen getestet wird, werden die Tests in die Geschäftsprozesse integriert und diese bei Bedarf auf Basis der neuen Erkenntnisse angepasst. Es wird mit echten Daten und echten Anwendungsfällen gearbeitet. Da hier Datensicherheit und Datenschutz sowie die Beteiligung der Behörde essenziell sind, ist ein Vertrag mit dieser Behörde auch hierüber notwendig. Dieses Vorgehen ergänzt die empfohlene frühe Einbindung von Nutzenden durch Nutzertests von ersten (Klick-)Prototypen bereits in der Konzeptionsphase.
  • Verwenden Sie gemäß Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) entsprechend zutreffende Datenschutzmodelle.

3. Sicherheit: Ausfall- und IT-Sicherheit zusammen mit dem IT-Dienstleister gewährleisten

  • Prüfen Sie die Erstellung eines Architekturkonzepts, die Bereitstellung einer Testumgebung sowie Berücksichtigung einer zukunftsorientierten Plattform durch den IT-Dienstleister. Gemeint ist hier u. a. der Betrieb moderner Betriebssysteme sowie deren Architektur, Sicherheit und Interoperabilität für bestimmte Anwendungsfälle.
  • Kommunizieren Sie mit dem IT-Dienstleister zu diesen Themen, um die Berücksichtigung sicherzustellen. Außerdem ist der kontinuierliche Blick auf Veränderungen und Neuerungen bei diesen Aspekten wichtig.
  • Koordinieren Sie mit dem IT-Dienstleister die Erstellung eines IT-Sicherheitskonzepts und legen Sie einen regelmäßigen Turnus zur Überprüfung der IT-Sicherheit fest. Weitere Informationen zum IT-Sicherheitskonzept finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI, s. unten).

Weiterführende Ressourcen:

IT-Sicherheitsmaßnahmen gemäß BSI-Standard 200-2 (IT-Grundschutz)

IT-Sicherheitsmaßnahmen gemäß BSI-Standard 200-3 (Risikomanagement)

Praxistool zur Ermittlung des erforderlichen Vertrauensniveaus

Prinzipien des Servicestandards

  1. Erhebung und Bewertung von Nutzeranforderungen
  2. Einfache und intuitive Nutzung
  3. Barrierefreiheit, Bürgernähe und Genderneutralität
  4. Once-Only-Prinzip
  5. Datenschutz
  6. Förderung digitaler Nutzung
  7. Rechtliche Änderungsbedarfe
  8. Agiles Vorgehen
  9. Integration Portalverbund
  10. Ebenenübergreifende Zusammenarbeit
  11. Entwicklungsgemeinschaften
  12. Offene Standards
  13. Open Source
  14. Wiederverwendung und Nachnutzung
  15. IT-Sicherheit und Support
  16. Interoperabilität
  17. Technologische Evaluation
  18. Evaluation der Nutzerzufriedenheit
  19. Nutzerzentrierte Weiterentwicklung

Bei Fragen oder Feedback zum Servicestandard wenden Sie sich gerne an: ozg@bmi.bund.de

Zum Thema