Rahmenvertrag zur IT-Sicherheit und Datenschutz

Als Grundlage zur Identifizierung, Ableitung und Umsetzung geeigneter technischer, organisatorischer, personeller und infrastruktureller Sicherheitsmaßnahmen zur Prävention, Detektion und Reaktion bei IT-Angriffen verweist die Förderrichtlinie des PÖGD explizit auf den BSI IT-Grundschutz. Dieser liefert Anleitungen, Empfehlungen und Maßnahmen für Behörden, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen müssen. Für den öffentlichen Gesundheitsdienst existiert noch kein explizites Grundschutz Profil. Als Orientierungshilfe kann jedoch das Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ dienen. Dieses IT-Grundschutz-Profil basiert auf dem BSI-Standard 200-2 "IT-Grundschutz-Methodik" und definiert die Mindestsicherheitsmaßnahmen, die auf Ebene der Kommunalverwaltung, hier konkret der Gesundheitsämter, umzusetzen sind, um ein angemessenes Schutzniveau zu erreichen. Formale Audits gemäß gängiger Zertifizierungsstandards wie DIN ISO 27001 sind jedoch häufig zu komplex für einzelne Kommunen und deren Gesundheitsämter. Um die IT-Sicherheit in den Gesundheitsämtern wirksam zu steigern sollen Prüfungen gemäß Leitfaden Cyber-Sicherheits-Checks (Version 2, ISACA Germany Chapter) durchgeführt werden. Ebenfalls sollen die Dimensionen IT-Sicherheit und Software, Interoperabilität, Daten Subdimension Datenschutz des PÖGD Reifegradmodells bewertet werden. Ausgehend von den Prüfungen sollen den Einrichtungen Handlungsempfehlungen gegeben werden und sowohl individuell als auch übergreifend Berichte zu den Ergebnissen erstellt werden.

Zur Gewährleistung der Cybersicherheit in Einrichtungen des ÖGD ist die Sensibilisierung der Mitarbeitenden entscheidend. Diesbezüglich wird die Konzeption und Entwicklung eines innovativen, digitalen Lernangebotes im Bereich der Cyber-Sicherheit und des Datenschutzes, die speziell auf die Bedürfnisse von Mitarbeitenden in Gesundheitsämtern zugeschnitten sind angestrebt. Diese Maßnahmen kann z.B. in Form eines Serious Games oder E-Learning Kursen umgesetzt werden. Ziel ist es, das Bewusstsein und das Wissen der Mitarbeitenden der ÖGD-Einrichtungen in Bezug auf Cyber-Sicherheit und den Datenschutz zu erhöhen. Die Mitarbeitenden sollen in die Lage versetzt werden, potenzielle Sicherheitsrisiken zu erkennen und adäquat darauf zu reagieren. Um eine hohe Motivation und Akzeptanz der Mitarbeitenden zu erreichen, sollen die Maßnahmen interaktiv, praxisnah und leicht zugänglich sein. Da die Entwicklungsleistungen aus einem öffentlichen Förderprogramm finanziert werden müssen die Ergebnisse allgemein zugänglich sein und sowohl den anderen Bundesländern als auch dem Bund zur weiteren Nutzung, etwa als Open Source, bereitgestellt werden. Im Projekt entwickelte Wissens- oder Lernplattform-Tools müssen mindestens LTI (Learning Tools Interoperability Standard) und bei den verwendeten Formaten mindestens SCORM (Sharable Content Object Reference Model) unterstützen.

Zur Gewährleistung der IT-Sicherheit und des Datenschutzes in Einrichtungen des ÖGD ist die Sensibilisierung der Mitarbeitenden entscheidend. Um dies zu erreichen, sollen interaktive Schulungen im Themenfeld IT-Sicherheit und Datenschutz angeboten werden. Ziel der Schulungen ist es Mitarbeitende auf allen Ebenen der ÖGD-Einrichtungen für die Bedeutung und Relevanz von IT-Sicherheit und des Datenschutzes zu sensibilisieren. Durch praxisorientierte und theoretische Inhalte sollen die Mitarbeitenden in die Lage versetzt werden, potenzielle Bedrohungen zu erkennen, zu bewerten und adäquat darauf zu reagieren. Ein Schwerpunkt liegt dabei auf dem Erkennen von Phishing-Versuchen, der sicheren Nutzung von IT-Ressourcen und dem Umgang mit Gesundheitsdaten. Durch die Schulungen soll das Risiko von Sicherheitsvorfällen minimiert werden. Gesucht wird ein Dienstleister für die Durchführung von interaktiven Schulungen, die von einem Trainier geleitet werden. Die Schulungen sollen sowohl virtuell, über online Videokonferenzen, als auch als Präsenzschulungen stattfinden. Vorgefertigte Videos über reine Self-Learning Angebote sind nicht gesucht. Die Schulungen werden somit nach Bedarf virtuell oder in Präsenz in den Räumlichkeiten der ÖGD-Einrichtungen durchgeführt. Ebenfalls soll eine Multiplikatorenschulung im Bereich IT-Sicherheit und Datenschutz angeboten werden. Diese zielt darauf ab, Mitarbeitende aus den ÖGD-Einrichtungen zu schulen, die dann ihr Wissen und ihre Fähigkeiten an andere Mitarbeitende weitergeben.

Für die Umsetzung der Maßnahmen des PÖGD benötigen die ÖGD-Einrichtungen allgemeine Beratungsleistungen im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz. Der Auftragnehmer soll Beratungsleistungen insbesondere in den Bereichen Entwicklung von Strategie und Konzepten und bei der Vorbereitung von Informationssicherheitszertifizierungen und Audits erbringen.

Im Rahmen des Förderprogramms werden in den Einrichtungen des ÖGD auf Landes- bzw. auf kommunaler Ebene neue digitale Anwendungen eingeführt bzw. bestehende IT-Systeme ergänzt und verändert. Vor diesem Hintergrund ist beabsichtigt Prüfungen bzw. Tests zur Erhöhung der IT-Sicherheit aus Angreiferperspektive durchzuführen. Penetrationstests (kurz Pen Tests) simulieren dabei einen Cyberangriff auf ein dezidiertes Computersystem, Netzwerk oder eine Webanwendung der ÖGD-Einrichtung um Sicherheitslücken zu identifizieren und zu bewerten. Ziel ist es, Schwachstellen zu finden, bevor sie von realen Angreifern ausgenutzt werden können. Mögliche Prüfobjekte sind z.B. Fachanwendungen der ÖGD-Einrichtungen wie OctoWare, Mikropro, Kollaborationslösungen wie Nextcloud, E-Learning Plattformen wie Moodle, Business-Intelligence Anwendungen oder Webseiten der ÖGD-Einrichtungen. Im Rahmen des Förderprogramms ist dem Projektträger ebenfalls ein Nachweis vorzulegen, dass ein umfassender IT-Sicherheitstest, z.B. in Form eines Penetrationstests, für geförderte Anwendungen durchgeführt wurde.