ITDZ Berlin – Perpetuum mobile der Informationssicherheit
Als einer der ersten öffentlichen IT-Dienstleister wurde das ITDZ Berlin mit dem BSI-Zertifikat ISO 27001 auf Basis von IT-Grundschutz für seine Informationssicherheit zertifiziert. Cassini begleitete den IT-Partner der Berliner Verwaltung auf dem Weg dorthin. Neben der Steuerung des Gesamtvorhabens hat Cassini fachlich beraten und seine Sicherheitsexpertise eingebracht. Ein Prozess der kontinuierlichen Verbesserung wurde in Gang gesetzt.
Im ITDZ Berlin schlägt das digitale Herz der Berliner öffentlichen Verwaltung. Hochsensible Bürger- und Verwaltungsdaten liegen im Rechenzentrum des zentralen IT-Dienstleisters der Hauptstadt. Sämtliche Geschäftsprozesse sowie der Schutz der Informationen und Daten müssen deshalb höchste Sicherheitsmaßstäbe erfüllen.
Wie können wir unsere Sicherheit über den Status quo hinaus nachhaltig stärken und noch besser werden? Gemeinsam mit dem IT-Sicherheitsbeauftragten initiierte der Vorstand des ITDZ Berlin die Sicherheitszertifizierung seines Hauses. Die Informationssicherheit im ITDZ Berlin sollte ganzheitlich geprüft werden, angefangen von Geschäftsprozessen bis hin zur technischen Absicherung von IT-Komponenten. Das Ziel war die offizielle Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Cassini, über zentrale Rahmenverträge mit dem ITDZ Berlin verbunden, sollte die Erlangung des Zertifikats ISO 27001 auf Basis von IT-Grundschutz im engen Schulterschluss mit der Unternehmensführung und der Stabsstelle für Informationssicherheit in Angriff nehmen.
Cassini leitet universelles Vorgehen ein. Entsprechend umfassend war der Ansatz von Cassini. Neben dem internen IT-System zur Abwicklung aller kaufmännischen Prozesse wurden alle wesentlichen IT-Komponenten und Dienste in die Analyse mit einbezogen. Dem High Security Data Center und den Dienstgebäuden galt ebenso das Augenmerk wie der Beleuchtung der kritischen Geschäfts- und Sicherheitsprozesse. Dabei unterstützte Cassini das ITDZ Berlin auch fachlich auf breiter Ebene. Um IT-Grundschutz zu etablieren, prüfte und bewertete Cassini im Austausch mit den einzelnen Fachbereichen Risiken, entwickelte gezielte Sicherheitsmaßnahmen und führte begleitende Coachings durch. Der wichtigste Fokus neben der Gesamtbetrachtung der Abläufe und Technik lag jedoch auf der Einbindung und Sensibilisierung der Beschäftigten. Sie mitzunehmen und aktiv einzubinden war ein wesentlicher Erfolgsfaktor des Vorhabens.
Was Cassini in die Wege leitete, sollte das Denken und Handeln des ITDZ Berlin langfristig prägen. Elementare Verbesserungen fassen dauerhaft Fuß: Aus den Steuerungskreisen, die Cassini im Zuge der Projektsteuerung zur Zertifizierung einrichtete, wurde eine feste Institution. Hier tagen Vorstand, IT-Sicherheitsbeauftragter sowie die Abteilungs- und zentralen Fachbereichsleiter regelmäßig zu strategischen und aktuellen Sicherheitsfragen. Was an Rahmenbedingungen und Maßnahmen für ein integriertes strategisches, taktisches und operatives Informationssicherheitsmanagement (ISMS) definiert wurde, wird laufend weiterentwickelt. Verantwortlichkeiten und Abläufe sowie die Absicherung der Gesamtorganisation und der IT erfolgen nun auf Basis von IT-Grundschutz. Auch die Berliner Verwaltung profitiert maßgeblich von dem hohen Sicherheitsstandard.
Das BSI bescheinigte dem ITDZ Berlin im Juli 2015 initial die Umsetzung der Anforderungen des IT-Grundschutzes. Bis heute wurde jährlich bestätigt, dass die Sicherheitsstandards im ITDZ Berlin nicht nur eingehalten werden, sondern dass sich das Sicherheitsniveau auch weiter erhöht hat: Zeugnis für den Anspruch des ITDZ Berlin, Informationssicherheit als wesentlichen Bestandteil der Digitalisierung und fortlaufenden Prozess der Verbesserung zu begreifen. Cassini begleitete auch den jüngsten Re-Zertifizierungsweg: Im Sommer 2018 übereichte BSI-Präsident Arne Schönbohm das bundesweit erste Zertifikat nach modernisiertem Grundschutz an das ITDZ Berlin.