Stellungnahme

Ein Cyber-Führerschein für die Berliner Verwaltung

1. Vorbemerkungen

Durch die zunehmende Digitalisierung, eine steigende Vernetzung und das wachsende Interesse an personenbezogenen Daten nimmt auch die Bedeutung von Datenschutz und IT-Sicherheit in Unternehmen und der öffentlichen Verwaltung zu. Die fortschreitende Entwicklung der informationstechnischen Möglichkeiten führt dazu, dass Organisationen insbesondere der öffentlichen Verwaltung Schwierigkeiten haben, die strengen rechtlichen Anforderungen und Pflichten zu überblicken und in der Praxis einzuhalten.

Gleichzeitig gehen zahlreiche Sicherheitsrisiken von fehlerhaften menschlichem Umgang mit den IT-Systemen aus: leicht zu erratende Passwörter, schnelle Klicks auf dubiose E-Mail-Anhänge oder Links, das im Taxi vergessene Notebook des Arbeitgebers. Leider ist es sehr schwierig, die IT-Strukturen einer Organisation gegen solche Risiken zu schützen. Der menschliche Faktor der IT-Sicherheit ist deshalb als Thema genauso wichtig sein wie ein lückenloser technischer Schutz bspw. gegen Malware.

In vielen Organisationen ist das notwendige Knowhow zur Umsetzung und Gewährleistung von Datenschutz und IT-Sicherheit jedoch nur selten vorhanden und meist nicht ausreichend. Oder die nötige Sensibilisierung und Schulung der Mitarbeiter geht in der Hektik des Alltags unter. Wirkungsvoller Datenschutz setzt deshalb bei der Schulung derjenigen Personen an, die täglich unmittelbar mit den Kunden-, Mitarbeiter- oder Gesundheitsdaten arbeiten.

Im Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik 2016 heisst es: „Die zunehmende Digitalisierung und Vernetzung (...) bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger. Die Cyber- Angriffe mit Erpressungs-Software (Ransomware) im Frühjahr 2016 haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

(...) Die Informationssicherheit in Behörden kann weiter verbessert werden, wenn das Personal sich in IT-Sicherheitsteams mit den IT-Risiken und zunehmender Komplexität kontinuierlich auseinandersetzt. Dazu gehört eine den Aufgaben angemessene personelle, technische und organisatorische Ausstattung.“

Gemeinsam mit dem Nationalen E-Government-Kompetenzzentrum e.V. (NEKZ) hat die Fachgruppe Verwaltungsinformatik der Gesellschaft für Informatik e.V. Ende Oktober 2017 das das Positionspapier „E-Kompetenz im öffentlichen Sektor“ herausgegeben. Darin wird betont, dass sich die Anforderungen an die Tätigkeit im öffentlichen Sektor verändern: „Kompetenzen zur Gestaltung von Organisation mit und durch IT werden wichtiger, ebenso wie der Umgang mit elektronisch erweiterten Kommunikationsräumen. Die Bediensteten müssen mit einem gleichermaßen breiten, wie tiefgreifendem Einsatz der IT und deren ständiger Weiterentwicklung Schritt halten. Sie müssen Modernisierungsmöglichkeiten, Nutzeranforderungen, Sicherheit, aber z. B. auch Schnittstellen jenseits des eigenen Fachsilos mitdenken und artikulieren können. Wir bezeichnen dieses Kompetenzbündel in Anlehnung an Hill1 als E-Kompetenzen.

(...) Die flächendeckende Etablierung von E-Government-Dienstleistungen bedeutet für alle Beteiligten eine ständige Herausforderung, denn die Einführung von IT in die öffentliche Verwaltung und der Umgang damit bzw. die ständige Anpassung an immer neue Programme ist kein einmaliges Projekt. Die kontinuierliche technologische Weiterentwicklung führt dazu, dass Verwaltungsdienstleistungen entsprechend angepasst werden müssen. Demzufolge müssen die beteiligten Bediensteten lernen, mit ständig neuen Technologien und geänderten Verfahren umzugehen.

Dieser Wandel setzt einen kompetenten Umgang mit IT auf allen Ebenen öffentlicher Verwaltungen voraus – sowohl auf der Managementebene, auf der die IT-gestützten Verwaltungsverfahren und -abläufe entworfen und evaluiert werden als auch auf Ebene der Bediensteten, die operativ mit den IT-Systemen umgehen müssen. Potenziale müssen erkannt und erschlossen, Risiken müssen bedacht und begegnet werden. Damit ist die „IT“ auch eine strategische Aufgabe für Führungskräfte aller Verwaltungsbereiche und kein Spezialthema der IT-Verantwortlichen.

Die weitere Entwicklung sollte nicht wie bisher technikgetrieben, d. h., weil es Anwendungen gibt, sondern fachlich getrieben erfolgen, um Aufgaben besser erledigen zu können. Dies bedeutet im Umkehrschluss, dass die Rollenbilder innerhalb der Verwaltung sowie die benötigten Kompetenzen einem kontinuierlichen Wandel und Veränderungsdruck unterworfen sind.“

1 Hill, H. (2011): E-Kompetenzen. In: Blanke, B., Nullmeier, F., Reichard, C., Wewer, G. (Hrsg.) Handbuch zur Verwaltungsreform. 4. Auflage. VS Verlag. S. 385 - 392.

2. Stellungnahme

Vor diesem Hintergrund begrüßt die Gesellschaft für Informatik e.V. (GI) den Antrag „IT-Sicherheit durch Aus-, Fort- und Weiterbildung gewährleisten – Ein Cyber-Führerschein für die Berliner Verwaltung“, der eine kurzfristige Maßnahme zur Sensibilisierung aller Beschäftigten der Berliner Behörden hinsichtlich möglicher Cyber-Gefahren, der Informationssicherheit und des persönlichen Datenschutzes vorsieht. Die GI begrüßt insbesondere webgestützte Aus-, Fort- und Weiterbildung für alle Beschäftigten in Form eines „Cyber-Führerscheins“ als wirkungsvolles Instrument, da papierbasierte IT-Sicherheitsbelehrungen, zwar ihre Berechtigung haben, den erhöhten Anforderungen an die IT-Sicherheit und den Datenschutz aber nicht gerecht werden.

Darüber hinaus begrüßt die GI den Vorschlag einer modularen Struktur eines solchen „Cyber-Führerscheins“ mit einem Basis-Modul, einen Advanced-Modul und einem Professional-Modul, das mit einer zertifizierten Prüfung abgeschlossen werden soll.

Gleichzeitig weist die GI darauf hin, dass in einem solchen „Cyber- Führerschein“ nicht nur das Thema IT-Sicherheit sondern der Datenschutz teil eins solchen Führerscheins sein muss, insbesondere vor dem Hintergrund der im Mai 2018 in Kraft tretenden Europäischen Datenschutzgrundverordnung (DSGVO).

Gleichzeitig weist die GI darauf hin, dass eine effektive, nachhaltige und langfristige Aus-, Fort- und Weiterbildung nicht ausschließlich online funktionieren kann, sondern auch Präsenzphasen und Schulungen erfordert. Die GI empfiehlt die Entwicklung der E-Kompetenzen der Mitarbeiter grundlegender zu adressieren. Das reicht von strategischen Überlegungen zur Weiterbildung des Personals und bis hin zur Sensibilisierung und Steigerung der Akzeptanz der Führungskräfte für die Schulung bzw. Weiterentwicklung von E-Kompetenzen.

Denn laut dem NEGZ/GI-Positionspapier stellt das zu gering geschätzte Potenzial von Fortbildungen besonders im Hinblick auf die Digitalisierung eines der großen Hemmnisse auf dem Weg zu digital kompetenten Bediensteten dar: „Die Rolle der Führungskräfte muss darin bestehen, visionär zu denken und zum Wegbereiter der Digitalisierung zu werden. Dafür müssen Führungskräfte so früh wie möglich, idealerweise bereits bei ihrer Ausbildung, aber auch durch Schulungen und Workshops für dieses Thema sensibilisiert werden. Es muss zudem ein grundlegendes Verständnis geschaffen werden, das konstant auf den aktuellen Stand gebracht wird, sodass Führungskräfte als gutes Beispiel vorangehen können und den Bediensteten vorleben, was eine Verwaltung im digitalen Zeitalter leisten kann.“

Zudem bedarf es aus Sicht der GI nicht nur grundsätzlicher Überlegungen zur Verbesserung der E-Kompetenz bei den Mitarbeitern, gleichzeitig muss die Verwaltung als Institution attraktiv für nachrückende Talente sein, sich entsprechend als „Marke“ auf dem durch Nachfrageüberhang zu charakterisierenden Arbeitsmarkt positionieren. Auch die mittel- und langfristige Bindung von Experten und v. a. das Fördern und Fordern der Bereitschaft zur Fortbildung spielen eine wichtige Rolle beim sog. Employer Branding. Die neue Arbeitgebermarke „Hauptstadt machen“ könnte bei der Anwerbung von Experten und Nachwuchskräften mit der entsprechenden IT-Expertise eine wichtige Rolle spielen.

Die GI empfiehlt zudem, alle neuen Mitarbeiter der Berliner Behörden an den Aus-, Fort- und Weiterbildungsmaßnahmen zu beteiligen, egal ob sich diese in der Ausbildung oder im höheren Dienst befinden. Denn die Besonderheit u.a. der DSGVO besteht darin, dass zum einen die Aufsichtsbehörden für den Datenschutz völlig unabhängig werden – die Bundesregierung hat dies mit der Änderung des Bundesdatenschutzgesetzes (BDSG) 2017 bezüglich der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bereits umgesetzt – und wesentlich empfindlichere Sanktionen im Falle von Datenschutzverstößen verhängen können.

Gleichzeitig weist die GI darauf hin, dass es bereits vielfältige Angebote in diesem Bereich gibt und „das Rad nicht neu erfunden“ werden muss. Um schnell in die Umsetzung zu kommen, empfiehlt die GI die Aufsetzung bspw. einer Arbeitsgruppe, die die bestehenden Angebote am Markt evaluiert und zeitnah einen für die Berliner Behörden gangbaren Weg erarbeitet.

Mit dem Europäischen Computer-Führerschein (ECDL - European Computer Driver License) steht u.a. bereits ein Europäischer und von der Stiftung Warentest empfohlener Standard für die Vermittlung von IT- Anwenderkompetenzen zur Verfügung, der insbesondere die Themen „IT- Sicherheit“ und „Datenschutz“ adressiert.

Die GI empfiehlt darüber hinaus den Datenschutz-Führerschein, mit dem bereits ein Standard für Grund- und Aufbauschulungen mit Zertifizierung zum Datenschutz und zur Datensicherheit existiert. Mit dem Datenschutz- Führerschein steht ein Online-Lernsystem mit fünf Modulen zu allen wesentlichen Regelungen und Schutzmaßnahmen für den Einsatz in der Unternehmens- und Behördenschulung bereit.

Die GI bietet gemeinsam mit der DLGI an, den Datenschutz-Führerschein weiterzuentwickeln, zu erweitern und auf die Bedürfnisse der Berliner Landesverwaltung anzupassen unter Berücksichtigung der Spezifika der unterschiedlichen Landesbehörden.

3. Die Gesellschaft für Informatik und die Dienstleistungsgesellschaft für Informatik

Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik.

In der GI befassen sich insbesondere der Fachbereich „Sicherheit – Schutz und Zuverlässigkeit“ und der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ mit Fragen des Datenschutzes und der IT-Sicherheit. Der Fachbereich „Informatik in der Ausbildung / Didaktik der Informatik“ und Beirat „IT-Weiterbildung“ der GI beschäftigen sich u.a. mit der Analyse des IT-Weiterbildungsbedarfs für Berufstätige und der Entwicklung digitaler Kompetenzen in verschiedenen Anwendungsbereichen. 

Insbesondere der Fachbereich „Informatik in Recht und öffentlicher Verwaltung“, dem auch die Fachgruppe „Verwaltungsinformatik“ angehört zielt auf den Synergieeffekt durch Verknüpfung der gewachsenen Kultur im öffentlichen Handeln mit der Sprach- und Denkwelt der Informatik ab. Aus den Wechselwirkungen der tragenden Disziplinen Politikwissenschaft, Rechtswissenschaft, Verwaltungswissenschaft, Organisationswissenschaft und Arbeitswissenschaft einerseits und Informatik andererseits haben sich die anwendungsorientierten Disziplinen Rechtsinformatik und Verwaltungsinformatik entwickelt. Weitere Informationen finden Sie unter fb-rvi.gi.de.

Die Dienstleistungsgesellschaft für Informatik (DLGI) engagiert sich für Digitale Bildung, Computer Grundkompetenzen und insbesondere in den Bereichen Datenschutz und IT-Sicherheit. Die DLGI ist Servicegesellschaft der GI und zugleich die nationale Zertifizierungsorganisation des ECDL in Deutschland. Sie wurde 1997 von der GI mit der Umsetzung des ECDL in Deutschland beauftragt. Mit über 1500 Prüfungszentren verfügt sie über ein dichtes Netzwerk digitaler Bildungspartner. Die DLGI vertritt den ECDL in Deutschland und ist als Partner der Initiative "Mint Zukunft schaffen" für die IT-Bildung im schulischen Bereich engagiert. Weitere Informationen unter www.ecdl.de und www.dlgi.de.

4. ECDL: European Computer Driver License

Mit mehr als 14 Millionen Kandidaten auf der ganzen Welt ist der Europäische Computer-Führerschein ECDL der anerkannteste Nachweis für Computerkennnisse in Unternehmen. Der ECDL bietet eine große Auswahl an Modulen – von Computer Grundlagen über Office bis hin zu IT-Sicherheit und Datenschutz. Der ECDL kombiniert das qualitätsgesicherte Programm zudem mit kostenfreien E-Learning-Inhalten Original ECDL Lernmaterial von ECDL Deutschland.

Das Modul „IT-Sicherheit“ des ECDL beinhaltet die wichtigsten Begriffe und Konzepte für den sicheren Umgang mit Informations- und Kommunikationstechnologie, sowie die Kenntnisse und Fertigkeiten, die erforderlich sind, um eine sichere Netzwerkverbindung herzustellen, sich im Internet gefahrlos zu bewegen, und um sachgerecht mit Daten und Informationen umgehen zu können:

  • verstehen, dass es wichtig ist, Informationen und Daten sicher aufzubewahren, und allgemeine Grundlagen des Datenschutzes, der Speicherung und Kontrollmechanismen kennen,
  • Bedrohungen der persönlichen Sicherheit erkennen können, von Identitätsdiebstahl bis hin zu potentieller Bedrohung von Daten durch die Verwendung von Cloud-Computing,
  • in der Lage sein, Passwörter und Verschlüsselung zu verwenden, um Dateien und Daten zu schützen,
  • die Bedrohung durch Malware verstehen und in der Lage sein, Computer, mobile Geräte und Netzwerke vor Malware zu schützen, und Probleme durch Malware-Attacken zu beheben,
  • allgemeine Sicherheitstypen von Netzwerken und Drahtlosverbindungen kennen, und in der Lage sein, eine persönliche Firewall und persönliche Hotspots zu verwenden,
  • einen Computer oder andere mobile Geräte vor unberechtigtem Zugriff schützen können, und in der Lage sein, Passwortaktualisierungen sicher zu handhaben,
  • geeignete Einstellungen im Web-Browser vornehmen können, und wissen, wie man sicher im Internet surft,
  • verstehen, welche Sicherheitsprobleme bei der Kommunikation, z.B. mit E-Mail, sozialen Netzwerken, VoIP, Instant Messaging und bei mobilen Geräten auftreten können,
  • Daten auf lokalen Speichern oder in der Cloud sichern und zurückspielen können
  • Daten löschen, sowie Daten und Geräte sicher vernichten und entsorgen

Das Modul „Datenschutz“ des ECDL richtet sich an Personal, das regelmäßig mit Kunden-, Mitarbeiter-oder Gesundheitsdaten arbeitet und dient dem Nachweis von grundlegenden Datenschutzkenntnissen:

  • grundlegende Prinzipien und Regeln des Datenschutzes im Umgang mit personenbezogenen Daten kennen und anwenden können,
  • rechtliche Anforderungen und Pflichten verschiedener Personengruppen in Bezug auf personenbezogene Daten kennen,
  • Aufgaben, inklusive Rechte und Pflichten, von betrieblichen Datenschutzbeauftragten kennen,
  • wissen, wann ein Datenschutzverstoß vorliegt und mögliche Sanktionen bei Verstößen gegen den Datenschutz kennen,
  • wissen, welche Rechte Betroffene bei Datenschutzverstößen haben.

Für die Module „Datenschutz“ und „IT-Sicherheit“ des ECDL stellt die DLGI für alle Kandidaten, die sich zur Prüfung angemeldet haben, eine kostenlose Lernplattform in Internet (Moodle) zur Verfügung.

Mit dem Datenschutz-Führerschein hat die DLGI ein Online-Lernsystem mit fünf Modulen zu allen wesentlichen Regelungen und Schutzmaßnahmen für den Einsatz in der Unternehmens- und Behördenschulung entwickelt:

  • Modul 1: Datenschutz - Grundbegriffe
  • Modul 2: Datenschutz in der Kommunikation
  • Modul 3: Schutz von Kundendaten
  • Modul 4: Schutz von Beschäftigtendaten
  • Modul 5: Schutz von Gesundheitsdaten

Jedem Modul liegt ein sorgfältig abgestimmter und auf Praxisrelevanz, Aktualität und Validität geprüfter und getesteter Lernzielkatalog (Syllabus) zugrunde. Die Lernplattform erläutert die Inhalte allgemeinverständlich mit Beispielen, Vertiefungshinweisen und Querverweisen auf die Rechtsgrundlagen.

Der Datenschutz-Führerschein wurde von der Dienstleistungsgesellschaft für Informatik mbH (DLGI) gemeinsam mit dem Konzerndatenschutz der Daimler AG als allgemeiner Standard für Grund- und Aufbauwissen in Datenschutz und Datensicherheit entwickelt. Er wurde vom Bundesministerium für Bildung und Forschung gefördert und mit Experten aus Wirtschaft und Forschung sowie Aufsichtsbehörden qualitätsgesichert und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen: https://www.allianz-fuer- cybersicherheit.de/ACS/DE/_/angebote/2014_DLGI-Datenschutz.html