Mit <kes>+ lesen

IT-Grundschutz-Profil für Finanzämter : Entwicklung, Methodik und Herausforderungen

Die Gewährleistung eines angemessenen und einheitlichen Informationssicherheitsniveaus über viele Standorte hinweg stellt Institutionen vor verschiedene Herausforderungen – dabei auch eine Vergleichbarkeit zu ermöglichen und die wirksame Umsetzung der Maßnahmen zur Gewährleistung der Informationssicherheit übergreifend nachzuverfolgen, macht diese Aufgabe nicht einfacher. Bei deren Lösung kann jedoch der Einsatz eines IT-Grundschutz-Profils wirkungsvoll unterstützen: Es bildet den Rahmen für die Erstellung einheitlicher Sicherheitskonzeptionen für bestimmte gleichartige Bereiche oder Geschäftsprozesse. Für die Finanzverwaltung in Sachsen-Anhalt wurde daher nun ein IT-Grundschutz-Profil erstellt, welches durch das BSI publiziert ist. Über die bestehenden Herausforderungen und die angewandte Methodik berichtet dieser Beitrag.

Im Rahmen des Abkommens zur Regelung der Zusammenarbeit im Vorhaben „Koordinierte neue Software-Entwicklung der Steuerverwaltung“ (KONSENS) arbeiten die Bundesländer und der Bund zusammen. Im Zuge dieser Zusammenarbeit besteht unter anderem die Verpflichtung, die im Vorhaben KONSENS entwickelten steuerlichen IT-Verfahren auch zu bestimmten Zeitpunkten in den Produktivbetrieb zu überführen.

Die Anzahl der von den Ländern zu betreuenden IT-Verfahren und deren Komplexität steigen somit stetig an. Für bestehende und künftige Verfahren werden Aufgaben, die im Zusammenhang mit der Informationstechnik der Steuerverwaltung stehen, dabei abgestimmt im Wege einer sogenannten länderübergreifenden gebündelten Verfahrensbetreuung (LGVB) durch die Steuerverwaltung jeweils eines bestimmten Landes für die Steuerverwaltungen der jeweiligen anderen Länder mit übernommen. Sofern erforderlich, sollen die Strukturen und Prozesse in den Ländern hierfür weitestgehend standardisiert und zur Erzielung eines größtmöglichen Effekts die Organisations- und Fachbereiche der Steuerverwaltungen der Länder hierbei beteiligt werden.

Die Bundesländer Bremen, Hamburg, Niedersachsen, Mecklenburg-Vorpommern, Sachsen-Anhalt und Schleswig-Holstein betreiben im Rahmen der Kooperation der Steuerverwaltungen der norddeutschen Länder (ndL) auf dem Gebiet der Informationstechnik ihre steuerlichen IT-Kernverfahren und deren Nebenverfahren im „Data Center Steuern“ (DCS) der Dataport AöR. Hierüber nutzen insgesamt 141 Finanzämter mit circa 27 500 Arbeitsplätzen die einheitlichen Fachanwendungen des KONSENS-Verbunds.

Rechtliche Grundlage dafür sind neben den entsprechenden Staatsverträgen auch Einzelverträge – sogenannte „Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen“ (EVB-IT) – zwischen den ndL und der Dataport AöR. Diese umfassen neben den originären Leistungen für Einführung und Betrieb der einschlägigen steuerfachlichen IT-Verfahren auch die Sicherstellung eines entsprechenden Informationssicherheitsniveaus für diese. Maßgebliche rechtliche Grundlage sind dabei die Vorgaben der Abgabenordnung (bes. § 30 AO – Steuergeheimnis), der Steuerdatenabrufverordnung (StDAV), der Datenschutzgrundverordnung (DSGVO) sowie – für Sachsen-Anhalt – der Landesleitlinie Informationssicherheit Sachsen-Anhalt [1].

Lösungsansatz Grundschutzprofil

Auch wenn der überwiegende Teil des Steuerfachverfahrens zentral in den BSI-zertifizierten Infrastrukturen des DCS betrieben wird, so verbleibt dennoch ein nicht unerheblicher Teil von in den Finanzämtern konkret umzusetzenden Sicherheitsmaßnahmen in der Verantwortung des Landes und somit in der Zuständigkeit Management und Wissen IT-Grundschutz. Die Gewährleistung eines angemessenen und einheitlichen Informationssicherheitsniveaus über viele Standorte hinweg stellt Institutionen vor verschiedene Herausforderungen – dabei auch eine Vergleichbarkeit zu ermöglichen und die wirksame Umsetzung der Maßnahmen zur Gewährleistung der Informationssicherheit übergreifend nachzuverfolgen, macht diese Aufgabe nicht einfacher. Bei deren Lösung kann jedoch der Einsatz eines IT-Grundschutz-Profils wirkungsvoll unterstützen: Es bildet den Rahmen für die Erstellung einheitlicher Sicherheitskonzeptionen für bestimmte gleichartige Bereiche oder Geschäftsprozesse. Für die Finanzverwaltung in Sachsen-Anhalt wurde daher nun ein IT-Grundschutz-Profil erstellt, welches durch das BSI publiziert ist. Über die bestehenden Herausforderungen und die angewandte Methodik berichtet dieser Beitrag. IT-Grundschutz der Finanzverwaltung des Landes Sachsen-Anhalt. Hierzu wurde für die Finanzverwaltung des Landes Sachsen-Anhalt eine Lösung in Form eines IT-Grundschutzprofils entwickelt.

Eine solche Vorgehensweise bietet sich für die derzeit 14 Finanzämter des Landes Sachsen-Anhalt an, da diese entsprechend den bestehenden rechtlichen Vorgaben landeseinheitlich eine identische Aufbau- und Ablauforganisation aufweisen.

In diesem Kontext stellt ein IT-Grundschutz-Profil eine Schablone für einen ausgewählten Informationsverbund oder Geschäftsprozess dar, mithilfe dessen sich die IT-Grundschutz-Umsetzung für diesen Bereich konkretisieren lässt. Über ein IT-Grundschutz-Profil werden verschiedene Schritte des Informationssicherheitsprozesses für einen definierten Anwendungsbereich so aufbereitet, dass man es als Rahmen für Sicherheitskonzepte adaptieren kann. Diese Konzepte lassen sich dann anschließend in einer Vielzahl gleichartig strukturierter Zielumgebungen effizient anwenden.

Herangehensweise und Methodik der Erstellung

Für die Erstellung eines IT-Grundschutz-Profils stellt das BSI eine Anleitung [2] bereit. Diese beschreibt das grundsätzliche Vorgehen und soll der Vereinheitlichung von Profilen dienen, wobei jedoch ausreichend Freiheitsgrade bei der Erstellung verbleiben.

Für das IT-Grundschutz-Profil der Einnahmeverwaltung wurde sich an der Anleitung orientiert und die darin enthaltenen Empfehlungen wurden weitestgehend umgesetzt. Um die Struktur des IT-Grundschutz-Profils in gängigen IT-Grundschutz-Tools abbilden zu können, folgt der Aufbau des Profils dem Auditierungsschema gemäß ISO 27001 [3]. Ausgehend vom Schema existiert ein Manteldokument, welches publiziert ist [4].

Struktur

Darauf aufbauend bilden die strukturierten Dokumente den klassischen Aufbau eines Sicherheitskonzepts ab, wobei die nachfolgend beschriebene Struktur zur Anwendung kommt:

A.1 Strukturanalyse

In der Strukturanalyse werden die identifizierten Kommunikationsverbindungen, IT-Systeme, Fachanwendungen, Gebäude und Räume berücksichtigt. Dies lässt es zu, dass Standortspezifika angemessen einbezogen werden können. Es gibt beispielsweise unterschiedliche Eigentumsverhältnisse bezüglich der Dienstgebäude an den jeweiligen Finanzamtsstandorten und somit auch unterschiedliche Dienstleister für verschiedene Bereiche. Die Geschäftsprozesse sind entsprechend der aufgabenbezogenen Gliederungsvorgaben für die Finanzämter zentral festgelegt.

Die Finanzverwaltung ist als Teil der öffentlichen Verwaltung mit der Zuständigkeit für die Festsetzung und Erhebung von Steuern in der Bundesrepublik Deutschland zwischen Bund und Ländern aufgeteilt. Der Aufbau der Finanzverwaltung ergibt sich aus dem Gesetz über die Finanzverwaltung (Finanzverwaltungsgesetz, FVG) – diesem nachfolgend regelt die Geschäftsordnung für die Finanzämter (FAGO) bundeseinheitlich die Grundsätze der Organisation bei den Finanzämtern. Die funktionale, also aufgabenbezogene Gliederung der Finanzämter ist hingegen nicht bundeseinheitlich geregelt und zum Teil auch sehr unterschiedlich, jedoch innerhalb eines konkreten Bundeslandes üblicherweise wiederum einheitlich ausgestaltet.

Die Steuerungsprozesse werden durch das Ministerium der Finanzen des Landes Sachsen-Anhalts vorgegeben. Die Unterstützungsprozesse (Haushalt, Informations- und Kommunikationstechnik, Personal und Organisation) werden individuell, aber gleichartig in jedem Finanzamt erbracht und sind ebenso beschrieben (vgl. Abb. 1).

Abbildung 1 Prozesslandkarte der Finanzverwaltung des Landes Sachsen-Anhalt
Abbildung 1: Prozesslandkarte der Finanzverwaltung des Landes Sachsen-Anhalts

A.2 Schutzbedarfsfeststellung

Der Schutzbedarf für ein individuelles Finanzamt wird durch Vererbung des Schutzbedarfs der mit Steuerclient und Steuerfachverfahren im Rahmen der Leistungsprozesse verarbeiteten Steuerdaten nach dem Maximumprinzip bestimmt. Der Schutzbedarf hierfür wurde anhand der unter Berücksichtigung der im Abschnitt „Einordnung und Rahmenbedingungen aufgeführten spezialgesetzlichen Regelungen von allen nDL einheitlich definierten Schutzbedarfskategorien für alle drei Schutzziele der Informationssicherheit mit „hoch“ festgelegt.

A.3 Modellierung

Bei der Modellierung erfolgt das Vorgehen standardgemäß. Es ist aber herausgearbeitet worden, dass sich nicht alle identifizierten Zielobjekte mit bestehenden Bausteinen aus dem IT-Grundschutz-Kompendium modellieren lassen. Hierzu zählen Papierarchive und die Sicherheitstechnik (z. B. Zutrittskontrolle und Einbruchmeldeanlage). Somit bestand die Notwendigkeit, hierfür benutzerdefinierte Bausteine zu schaffen, welche im Rahmen der Modellierung herangezogen worden.

Gerade im Bereich der Steuerung von technischer Gebäudeausstattung (TGA) sowie Sicherheitstechnik (Einbruch- und Brandmeldeanlagen/Gefahrenmeldeanlage) weist das IT-Grundschutz-Kompendium deutliche Defizite auf. Die Möglichkeit der Erstellung von benutzerdefinierten Bausteinen löst diese Problematik zwar im individuellen Ansatz erst einmal auf – das IT-Grundschutz-Kompendium sollte die Anwender hier jedoch stärker entlasten.

A.4 IT-Grundschutz-Checks

Die IT-Grundschutz-Checks bilden nur die Anforderungen gemäß den Bausteinen ab – der individuelle Check ist jedoch für jedes Zielobjekt und jeden Standort durchzuführen.

A.5 Risikoanalyse

Aufbauend auf den A.0-Dokumenten (Basisdokumente) wird anhand der von der Hausleitung gebilligten Maßstäbe zur Bewertung von Risiken eine Risikoanalyse durchgeführt.

A.6 Realisierungsplan

Der Realisierungsplan richtet sich nach den gefundenen Abweichungen. Die daraus resultierenden Aufwände sind in der Haushaltsplanung zu berücksichtigen.

Einordnung und Herausforderungen

Diese Struktur ermöglicht ein einheitliches, reproduzierbares und vergleichbares Vorgehen und zahlt demnach direkt auf die Methodik für IT-Grundschutz-Profile [2] ein.

Bei der Erstellung des IT-Grundschutzprofils ergaben sich die nachfolgend dargestellten Herausforderungen. Diese sind zu unterscheiden hinsichtlich Erstellung des Profils und Anwendbarkeit des Profils (siehe auch Kasten „Besonderheiten des Outsourcings“).

  • Abgrenzung der Informationsverbünde: Aufgrund der vorhandenen Informationsverbünde für den Steuerclient und das Steuerfachverfahren sowie die Verfahrensbereitstellung beim IT-Dienstleister gestaltete sich die Abgrenzung herausfordernd. Im Ergebnis entstand ein konsistenter und modularisierter Informationsverbund, welcher die Freiheitsgrade für eine standortindividuelle Ausgestaltung zulässt (vgl. Abb. 2).
  • Verantwortung im Betrieb: Aufgrund der vorhandenen Dienstleisterstruktur ergaben sich Herausforderungen bei der Zuweisung von Verantwortlichkeiten, Befugnissen und Zuständigkeiten. Vor allem bei der Detailbetrachtung der individuellen IT-Grundschutz-Bausteine wurde deutlich, dass die Zuständigkeiten teilweise auf Anforderungsebene oder sogar innerhalb einer Anforderung (bei mehreren Teilsätzen) variieren. Dies führt dazu, dass die Erstellung von IT-Grundschutz-Checks sehr eng zwischen den jeweils zuständigen Informationssicherheitsbeauftragten abgestimmt werden muss, um konsistente Ergebnisse zu erzielen.

Ausgehend vom geschilderten Vorgehen und den identifizierten Herausforderungen ließ sich eine konsistente Vorlagen- und Dokumentenbasis entwickeln, welche für die standortindividuelle Ausgestaltung in Form von dedizierten Sicherheitskonzepten verwendet werden kann.

Abbildung 2 Abgrenzung der beteiligten Informationsverbünde
Abbildung 2: Abgrenzung der beteiligten Informationsverbünde

Anwendung und Erkenntnisse

Durch die entwickelte Lösung in Form eines IT-Grundschutz-Profils werden die Finanzämter im Bereich der Informationssicherheit erheblich entlastet, da diese sich zur Sicherstellung der Informationssicherheitsziele nicht mehr mit Analyse, Planung und Auswahl der erforderlichen Maßnahmen aus dem vollständigen BSI-Grundschutz-Kompendium und der Ableitung einer entsprechenden Sicherheitskonzeption befassen müssen.

Der Geltungsbereich und der Schutzbedarf sowie die wesentlichen Elemente in der Strukturanalyse – Anwendungen, IT-Infrastruktur, Räume und Gebäude – sind bereits durch das IT-Grundschutz-Profil für die 14 Finanzämter vordefiniert. Darauf aufbauend muss jedes Finanzamt dann individuell als eigenständiger Informationsverbund definiert und zukünftig gepflegt werden.

Auch im Rahmen der Anwendung beziehungsweise Umsetzung unterstützt das IT-Grundschutz-Profil, da Randbedingungen und Vorgaben definiert wurden, welche den Fokus innerhalb des Geltungsbereichs halten und trotzdem den notwendigen Freiheitsgrad zulassen, um individuelle Aufgaben (Prozesse), Systeme (z. B. besondere Räumlichkeiten) und Dienstleister (z. B. Sicherheitsfirmen) angemessen abbilden zu können. Dies kann dann innerhalb der Modellierung Berücksichtigung finden – mit den entwickelten benutzerdefinierten Bausteinen ist hier zudem die Grundlage geschaffen worden, um die Gegebenheiten möglichst vollständig mit relevanten Anforderungen belegen zu können.

Abbildung 3 Abgrenzung der Dienstleistungsunternehmen
Abbildung 3: Abgrenzung der Dienstleistungsunternehmen

Besonderheiten des Outsourcings

In der öffentlichen Verwaltung herrscht für spezifische nicht-hoheitliche Aufgaben häufig ein konsequentes Outsourcing beziehungsweise Outtasking vor – dieser Ansatz ist auch im Bereich der Finanzämter zu beobachten. Der wesentliche Anteil der IT-Dienstleistungen und der Betrieb der IT-Systeme des Landes Sachsen-Anhalt sind an den zentralen IT-Dienstleister des Landes vergeben, der Planung, Bereitstellung und Betrieb übernimmt. Dies ist durch entsprechende Verträge mit jeweils dedizierten Leistungsbeschreibungen geregelt. Dies setzt sich bei der Bereitstellung von Netzdiensten und dem Betrieb des Gebäudes (Facility-Management) fort. Im Sinne der Informationssicherheit ergeben sich hieraus besondere Anforderungen bei der Betrachtung, was im Ansatz des IT-Grundschutz-Profils besonders einzubeziehen ist. Hierzu erfolgte eine veranschaulichende Abgrenzung, die in Abbildung 3 dargestellt ist. Anhand der Abbildung wird deutlich, dass die Finanzämter als Sub-Informationsverbund betrachtet werden und dass unterschiedliche Dienstleister zum Einsatz kommen. Diese Dienstleister werden teilweise zentral (z. B. für IT-Dienstleistungen) oder auch dezentral eingesetzt. Diese Dezentralität folgt aus den individuellen Besonderheiten des Standorts des Finanzamts, den Eigentumsverhältnissen und der Aufgabenverteilung vor Ort, welche durch das Finanzamt in eigener Zuständigkeit organisiert beziehungsweise bestimmt wird. Dies muss im IT-Grundschutz-Profil abgebildet werden. Es wird demnach deutlich, dass das Outsourcing einen besonderen und hohen Stellenwert im IT-Grundschutz-Profil einnimmt. Die Abgrenzung zwischen Dienstleistern kann auch herangezogen werden, um die Tätigkeiten von Landesbetrieben oder Aufgaben von Verwaltungseinheiten darzustellen.

Im entwickelten IT-Grundschutz-Profil sind dementsprechend auch nur die für die 14 Finanzämter bedeutsamen Sicherheitsanforderungen enthalten, welche vor Ort konkret durch Umsetzung der entsprechenden Maßnahmen zu erfüllen sind.

Im Rahmen des IT-Grundschutz-Checks werden die übergeordneten Bausteine (z. B. ORP) mitgeprüft. Hierbei wird eine Vielzahl an Anforderungen zentral aufseiten der zuständigen obersten Landesbörde erfüllt. Resultierende Betrachtungen von Anforderungen, die im Finanzamt verbleiben, werden vorausgefüllt und demnach mit einer Erwartungshaltung an eine Maßnahme für die Anforderung versehen.

Aus einer übergeordneten Perspektive hilft die Anwendung des IT-Grundschutz-Profils durch einheitliche Vorgaben und Rahmenbedingungen somit deutlich bei der Erstellung und Pflege von konsistenten Sicherheitskonzepten für eine Vielzahl von zu betrachtenden und nahezu gleichartig strukturierten sowie ausgestatteten Behördenstandorten.

Als Vorteil dieses Ansatzes ist zu betrachten, dass in allen Finanzämtern nach Maßnahmenumsetzung ein durchgehend einheitliches, vergleichbares und prüffähiges Informationssicherheitsniveau erreicht wird, welches nicht von möglicherweise unterschiedlich stark ausgeprägten Fachkenntnissen und Bewertungsmaßstäben im Bereich der Informationssicherheit vor Ort abhängig ist.

Ein angemessenes Maß an Informationssicherheit zu schaffen, ist immer mit personellem und finanziellem Aufwand verbunden. Daher ist bei der Auswahl und Umsetzung geeigneter Maßnahmen darauf zu achten, dass das notwendige Sicherheitsniveau wirtschaftlich erreicht wird. Einerseits muss den bestehenden Gefährdungen wirkungsvoll begegnet werden, andererseits müssen die Maßnahmen aber auch am tatsächlichen Schutzbedarf und an der Gefährdung ausgerichtet sein.

Mit dem entwickelten Grundschutzprofil werden zudem die hierzu von den Rechnungshöfen des Bundes und der Länder in den Veröffentlichungen „IT-Mindestanforderungen“ [5] und „Grundsatzpapier zum Informationssicherheitsmanagement“ [6] niedergelegten Prüfungsmaßstäbe angemessen berücksichtigt.

 

Dipl.-Ing. Philipp Frenzel verantwortet die Geschäftsfeldentwicklung für Cybersecurity für den öffentlichen Sektor bei der Bechtle Systemhaus Holding AG, berät dazu die öffentliche Verwaltung sowie kritische Infrastrukturen und begleitet Auditierungen und Zertifizierungen im Kontext der Informationssicherheit. Er hat einen Lehrauftrag an der Westsächsischen Hochschule Zwickau inne.

Christian Ortholf, M.Sc. ist Ressort-IT-Sicherheitsbeauftragter des Bundesministeriums der Justiz und war in einer früheren Verwendung mehrere Jahre Informationssicherheitsbeauftragter des Ministeriums der Finanzen des Landes Sachsen-Anhalt. Er brachte während dieser Zeit als externer Lehrbeauftragter an der
Hochschule Harz im Fachbereich Verwaltungswissenschaften zudem auch Erfahrungen und Erkenntnisse auf dem Gebiet der Informationssicherheit aus der Praxis in die Lehre ein.

Literatur

[1] Ministerium der Finanzen Sachsen-Anhalt, Leitlinie zur Informationssicherheit in der unmittelbaren Landesverwaltung Sachsen-Anhalt (Informationssicherheitsleitlinie Sachsen-Anhalt – LISL LSA), September 2018, www.landesrecht.sachsen-anhalt.de/perma?j=VVST-200000-MF-20180925-SF

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Profile – Strukturbeschreibung, Version 1.0, Oktober 2018, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Strukturbeschreibung.html

[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Auditierungsschema, Version 2.4, Februar 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Auditierungsschema_Kompendium.html

[4] Ministerium der Finanzen Sachsen-Anhalt, IT-Grundschutz-Profil der Einnahmeverwaltung des Ministeriums der Finanzen Sachsen-Anhalt, September 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_Einnahmeverwaltung.html

[5] Rechnungshöfe des Bundes und der Länder, Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik – Leitlinien und gemeinsame Maßstäbe für IT-Prüfungen, August 2020, www.bundesrechnungshof.de/SharedDocs/Downloads/DE/ver%C3%B6ffentlichungen_brh_lrh/itmindestanforderungen.html

[6] Rechnungshöfe des Bundes und der Länder, Grundsatzpapier zum Informationssicherheitsmanagement, Mai 2020, www.bundesrechnungshof.de/SharedDocs/Downloads/DE/ver%C3%B6ffentlichungen_brh_lrh/informationssicherheitsmanagement.html

Diesen Beitrag teilen: