• 1000

Die Digitalisierung von Verwaltungsleistungen und deren Bereitstellung über das Internet birgt vielfältige Risiken. Einerseits werden im Rahmen der Verwaltungsleistungen vertrauliche und personenbezogene Informationen verarbeitet. Diese bilden ein lohnendes Ziel für Cyber-Kriminelle. Andererseits bietet der Onlinezugang neue Angriffsflächen, über die Informationen abgeschöpft, in Behörden eingedrungen oder Verwaltungsleistungen kompromittiert werden können. Darüber hinaus entstehen weitere Abhängigkeiten von Dienstleistenden, insbesondere von Strom-, Netz- und Webdienstanbietern. Ein potenzieller Ausfall dieser Dienstleistenden gefährdet die Bereitstellung der Verwaltungsleistungen.

Diesen Gefahren wird im Onlinezugangsgesetz (OZG) durch direkte Anforderungen an Cyber Security und Datenschutz Rechnung getragen. Aber auch aus Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG), länderspezifischen Datenschutzgesetzen und dem Telemediengesetz (TMG) ergeben sich für OZG-Vorhaben diverse zu beachtende Pflichten. 

Zugleich bildet die Skepsis von Nutzenden der neuen Verfahren, also Verwaltungsmitarbeitenden, Bürgerinnen und Bürgern und Unternehmen ein weiteres Risiko in der OZG-Umsetzung.

In dieser Gemengelage den regulatorischen und fachlichen Gegebenheiten genüge zu tragen, gleichzeitig alle Stakeholder frühzeitig und transparent einzubinden und Änderungen in Hard- und Software umzusetzen, stellt Organisationen vor beträchtliche Herausforderungen.

Wilhelm Dolle

Wilhelm Dolle

Partner, Consulting, Head of Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 30 2068 2323 Wilhelm Dolle Telefonnummer
Angebotsanfrage (RfP) einreichen

Vor dem Hintergrund dieser Herausforderungen müssen Vertraulichkeit, Integrität und Verfügbarkeit der OZG-Verwaltungsleistungen sowie der darin verarbeiteten Informationen frühzeitig im Prozess eingeplant und bis zuletzt gelebt werden, um einen angemessenen Schutz sicherstellen zu können. Personenbezogene Daten, insbesondere sensible personenbezogene Daten, bedürfen darüber hinaus zusätzlichen Schutz hinsichtlich Transparenz, Nichtverkettung, Intervenierbarkeit und Datenminimierung. Services für Bürgerinnen und Bürger und Unternehmen als auch Backend-Prozesse müssen stabil laufen und die wichtigsten Dienste auch in Notfällen und Krisen unter Wahrung der Vertraulichkeit und Integrität zur Verfügung stehen.

KPMG steht Ihnen mit langjähriger Expertise zur Seite und bietet Ihnen individuelle Beratung und Lösungen zur Informationssicherheit gemäß BSI IT-Grundschutz und ISO 27001, zum Business Continuity Management mit BSI 200-4 und ISO 22301, als auch zum Datenschutz gemäß DSGVO sowie den Bundes- und Landesdatenschutzgesetzen. Wir blicken auf eine Vielzahl von Projekten und auf Jahre der Umsetzung auf Bundes- und Landesebene zurück. Unsere nach BSI und ISO zertifizierten Mitarbeitenden kombinieren Fach- mit Branchenwissen und begleiten Sie tagtäglich in Ihren Herausforderungen.

Sicherheit als zentrales Element der Nutzerzufriedenheit

Sicherheitsanforderungen

An erster Stelle steht das Vertrauen der Nutzerinnen und Nutzer Ihrer OZG-Leistungen. Dazu ist es wichtig, einen umfassenden Sicherheitsprozess zu etablieren, der den gesamten Lebenszyklus Ihrer Projekte und OZG-Leistungen befähigt: Früh im Projekt werden Sicherheitsanforderungen identifiziert und eingeplant. Mittels Stakeholder-Analysen und Workshops werden Sicherheitsbedenken und Risiken identifiziert und ihnen begegnet. Security-Quality-Gates werden für das Projekt und für den anschließenden Betrieb geschaffen. In der Umsetzung des Projekts unterstützen wir Sie mit Konzeption, Abstimmung und Umsetzung von Sicherheitsmaßnahmen. Dabei sorgen die zuvor definierten Quality-Gates für eine hohe Qualität und Transparenz des Projektfortschritts. Vor dem Produktivgang der OZG-Leistungen werden notwendige Prozesse geschaffen, um Sicherheitsaspekte weiterhin im Betrieb zu berücksichtigen: Dafür werden die OZG-Leistungen in Ihre Prozesse für das Berechtigungs- und Patchmanagement integriert, aber auch das Systemmonitoring und die Überwachung von der Cyber-Informationslage ist dabei ein wichtiger Aspekt.

Grafik

Die Berücksichtigung der Cyber-Sicherheit in allen Phasen eines OZG-Vorhabens ist ein wesentlicher Aspekt zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Geschäftsprozessen, Anwendungen, IT-Systemen, IT-Services und der zugehörigen Informationen und Daten. Ein Informationssicherheits-Managementsystem (ISMS) bildet hierfür die strukturierte Grundlage, Ihre organisatorischen, personellen und technischen Informationssicherheitsmaßnahmen risiko- und bedarfsorientiert zu ermitteln und umzusetzen, damit Ihre Vorhaben heute und in Zukunft effizient und sicher gestaltet werden können.

Seien es digitale Bürgerservices, Backend-Prozesse wie die E-Akte, die E-Laufmappe, der E-Rechnungsworkflow, seien es Anforderungen des BSI IT-Grundschutzes aus den Koordinationsgruppen der Bundesländer zu Informationssicherheit oder die Umstellung der IT im Rahmen der IT-Konsolidierung  - mit unserem Team aus zertifizierten Informationssicherheitsexpertinnen und -experten unterstützen wir Sie gerne.

Wir unterstützen Sie auch gerne bei weiteren Themen der Informationssicherheit: 

  • Konzeptionierung, Umsetzung und Weiterentwicklung Ihres ISMS nach BSI IT-Grundschutz oder ISO 27001,
  • Vorbereitung und/oder Begleitung einer ISMS-Zertifizierung,
  • Erstellung der Informationssicherheitskonzeption,
  •  Durchführung von IS-Revisionen und IS-Audits,
  • Definition und Implementierung Ihrer IS-Aufbau- und -Ablauforganisation,
  • Definition und Unterstützung bei der Implementierung von Informationssicherheitsleitlinien,
  • Richtlinien und -Konzepten,
  • Erarbeitung eines risiko- und bedarfsorientierten IS-Schulungs- und Sensibilisierungsprogramms,
  • Prüfung von Informationssicherheitskonzepten und Erarbeitung von Verbesserungspotenzialen zur Realisierung eines kontinuierlichen Verbesserungsprozesses,
  • Realisierungsplanung und Umsetzungsbegleitung von Informationssicherheitsmaßnahmen.

Das Standard-Datenschutzmodell (SDM) und die ISO27701 bieten geeignete Mechanismen, um alle datenschutzrechtlichen Anforderungen des OZG und der DSGVO zu erfüllen und geeignete technische und organisatorische Maßnahmen (TOMs) abzuleiten. Das Datenschutz-Managementsystem (DSMS) ist ein Instrument, um Anforderungen zu planen, umzusetzen, zu steuern und kontinuierlich zu verbessern. Das DSMS umfasst abgestimmte Prozesse und Maßnahmen sowie eine eingespielte Datenschutzorganisation, eingebettet in die Organisationsstruktur Ihrer Institution bzw. Behörde.

Wir greifen auf unsere Erfahrung aus intensiven Austauschen mit den Aufsichtsbehörden in Deutschland sowie internationalen Datenschutznetzwerken zurück und unterstützen Sie mit unseren zertifizierten Datenschutzbeauftragten bei der

  • Konzeptionierung, Umsetzung und Weiterentwicklung Ihres DSMS,
  • Definition und Unterstützung bei der Implementierung von Datenschutzleitlinien, -Richtlinien und -Vorlagen,
  • Definition und Unterstützung bei Datenschutzrisikoanalysen und Datenschutzfolgeabschätzungen
  • Erarbeitung eines Datenschutz-Schulungs- und -Sensibilisierungsprogramms,
  • Prüfung von Datenschutzkonzepten und Erarbeitung von Verbesserungspotenzialen zur Realisierung eines kontinuierlichen Verbesserungsprozesses,
  • Durchführung von DS-Audits,
  • Realisierungsplanung und Umsetzungsbegleitung von Datenschutzmaßnahmen.

Für eine umfassende und strukturierte Notfallvorsorge empfehlen wir die Umsetzung eines Business- Continuity-Managementsystems (BCMS). Die Standards ISO 22301 und BSI 200-4 bieten hierfür eine erprobte und anerkannte Grundlage.

Wir stehen Ihnen mit zertifizierten BCM-Experten und Auditoren zur Seite und unterstützen Sie bei der 

  • Konzeptionierung und Implementierung einer BCMS-Aufbau- und Ablauforganisation,
  • Identifikation Ihrer kritischen Prozesse und Dienstleistungen,
  • Bestimmung der tolerierten Ausfallzeiten und der Wiederanlaufparameter
  • Durchführung von Risikoanalysen hinsichtlich der Verfügbarkeit Ihrer wichtigsten Ressourcen,
  • Entwicklung von Notfallvorsorgemaßnahmen und Notfallplänen,
  • Definition einer Notfallorganisation, 
  • Planung, Durchführung und Überwachung von Notfallübungen.

Weitere Informationen zu unserem Leistungsangebot im Kontext Cyber Security und Datenschutz finden Sie hier.

Je nach Ihrem individuellen Bedarf erhalten Sie im Ergebnis spezifische und passgenau Leistungen zur erfolgreichen Durchführung der OZG-Umsetzung in Ihren Projekten, unter Sicherung der Informationssicherheit, des Datenschutzes und der Notfallvorsorge. Wünschen Sie eine umfassende, dauerhafte und zukunftsorientierte Lösung in diesen Themengebieten, erhalten Sie im Ergebnis ein Informationssicherheits-Managementsystem, ein Datenschutz-Managementsystem, ein Business-Continuity-Managementsystem oder ein kombiniertes, integriertes Managementsystem.

Unsere Berater und Beraterinnen unterstützen Sie mit langjähriger Expertise aus vergangenen und vergleichbaren OZG-Projekten und der Umsetzung von Cyber-Security-Anforderungen in Behörden und Wirtschaft. Gemeinsam schaffen wir einen umfassenden Schutz der verarbeiteten Informationen und Verfahren Ihrer OZG-Verwaltungsleistungen vor Angriffen und Ausfällen. Sie erhalten Detektions- und Reaktionsfähigkeiten, um auch in kritischen Situationen handlungsfähig zu bleiben. Mit uns stellen Sie die Einhaltung aller relevanter regulatorischer Anforderungen in Cyber Security, Datenschutz und Notfallvorsorge sicher. Indem wir früh im Prozess ansetzen, steigern Sie langfristig Vertrauen von Verwaltungsmitarbeitenden, Bürgerinnen und Bürgern und Unternehmen in Sie als Organisation und Ihre OZG-Fähigkeiten.

Mitautor: Sascha Hauch

OZG-Framework Bausteine