Von der Einsatzbeamtin zur Informationssicherheitsbeauftragten

2016 begann ich meine Reise mit einem dreijährigen Studium an der nds. Polizeiakademie in Hann. Münden zur Polizeivollzugsbeamtin, angetrieben von dem Wunsch, zur Sicherheit der Menschen beizutragen. Nach vier Jahren Dienst in der Technischen Einsatzeinheit (TEE) der Zentralen Polizeidirektion Niedersachsen (ZPD) habe ich im Oktober 2023 eine spannende neue Herausforderung angenommen – die Rolle der Informationssicherheitsbeauftragten (ISB) bei der Autorisierten Stelle Digitalfunk Niedersachsen (ASDN). Eine Position, die mich unmittelbar durch die Komplexität ihrer Aufgaben und besonders durch ihre andauernde Dynamik faszinierte, denn die Informationssicherheit ist kein zu erreichender Zustand, sondern ein beständiger und fortlaufender Prozess. 

Dieser Schritt in eine ganz neue berufliche Richtung war für mich als Polizeikommissarin auf den ersten Blick überwältigend. Doch meine Motivation, mich in das vielschichtige Feld der Informationssicherheit einzuarbeiten, hat mich angetrieben, diese Herausforderung anzunehmen und zu meistern. 

Beruflicher Paradigmenwechsel – von der Polizeiarbeit zur Informationssicherheit

Aufmerksam wurde ich auf die neue Stelle durch eine interne Stellenausschreibung. Die ASDN war mir zuvor schon ein Begriff, da sich deren Räumlichkeiten ebenso auf dem Gelände der ZPD befinden, wie die der TEE, jedoch war ich mir der Bandbreite an spezifischen Aufgaben und Tätigkeitsfeldern, die dort behandelt wurden, nicht bewusst. Die ASDN stellt in den niedersächsischen Netzabschnitten sicher, dass der Digitalfunk reibungslos nach den festgelegten Standards für alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) funktioniert. Denn auch, wenn sie organisatorisch der Abteilung 4 der ZPD zugeordnet ist, konzentriert sie sich nicht nur auf die Anforderungen der Polizei, sondern aller BOS, wie z. B. Feuerwehr, Rettungsdienste und ähnliche Organisationen. In den Bereichen Netz- oder Betriebsstörung ist sie ein ebenso kompetenter Ansprechpartner, wie in der Einsatzplanung und  -bewältigung.

Als Polizeikommissarin nutzte ich den Digitalfunk als alltägliches Werkzeug, ohne mir Gedanken über dessen Funktionsweise und Sicherheitsaspekte zu machen. Doch meine Perspektive auf den Digitalfunk hat sich grundlegend verändert, seit meinem Vorstellungsgespräch bei der ASDN.

In der Rolle als ISB, in der bereits der Begriff „Sicherheit“ im Namen verankert ist, verlagerte sich mein im Studium erlernter beruflicher Fokus. Statt die Sicherheit einzelner Personen oder Personengruppen in spezifischen Einsatzszenarien zu gewährleisten, habe ich nun eine umfassendere Zuständigkeit. Ab sofort gilt es für mich, die Sicherheit aller Informationen in Zusammenhang mit dem Digitalfunk innerhalb einer großen Behörde und rund 175.000 Digitalfunknutzenden zu bewahren. Dies bringt eine erhebliche Verantwortung mit sich. 

Die Grundlagen der Informationssicherheit

In den ersten Tagen meiner neuen Rolle habe ich mich zunächst intensiv mit den Grundlagen der Informationssicherheit vertraut gemacht. Das bedeutete zunächst, mich mit der Leitlinie, den Richtlinien und den Konzepten zur Informationssicherheit der ASDN auseinanderzusetzen. Diese Schritte waren von entscheidender Bedeutung, da ich keine Vorerfahrungen in diesem Bereich hatte.

Die Leitlinie lieferte mir einen Rahmen, um die Ziele und Prioritäten in diesem Bereich zu verstehen. Sie orientiert sich an den BSI Standards 200-1 (Managementsysteme für die Informationssicherheit), 200-2 (IT-Grundschutz-Methodik) sowie 200-3 (Risikoanalyse auf Basis von IT-Grundschutz). Es war fundamental, die Grundsätze und Werte zu erfassen, die die Grundlage für alle Sicherheitsmaßnahmen bilden. 

Vertraulichkeit, Integrität und Verfügbarkeit

Informationssicherheit umfasst den Schutz von Informationen vor unbefugtem Zugriff, Verlust, Diebstahl oder Veränderung. Sie bezieht sich auf sämtliche Maßnahmen, die ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Vertraulichkeit bedeutet sicherzustellen, dass Informationen nur von berechtigten Personen oder Systemen eingesehen werden können. Um die Vertraulichkeit zu gewährleisten, können Maßnahmen wie Verschlüsselung und Zugriffskontrollen eingesetzt werden.  

Zudem sollten Informationen vor unbefugten Änderungen geschützt werden. Dies wird als Integrität bezeichnet, welche durch Sicherheitsmechanismen wie digitale Signaturen und Integritätsprüfungen gewährleistet wird.

Die Verfügbarkeit ist dann gegeben, wenn die Informationen jederzeit erreichbar sind, wenn sie benötigt werden. Maßnahmen zur Redundanz und Notfallwiederherstellung sind entscheidend, um die Verfügbarkeit sicherzustellen oder schnell wiederherzustellen.

Informationssicherheit ist gerade in Behörden und Organisationen mit Sicherheitsaufgaben von entscheidender Bedeutung, um sensible Daten zu schützen, rechtliche Anforderungen zu erfüllen und das Vertrauen der Bevölkerung zu wahren. Die Umsetzung effektiver Informationssicherheitsmaßnahmen erfordert eine ganzheitliche Herangehensweise, die technische, organisatorische und menschliche Aspekte berücksichtigt. 

Richtlinien und Konzepte im Fokus

Daher gibt es neben der Sicherheitsleitlinie noch verschiedenen Richtlinien und Konzepte, die von der ASDN bereits in den vergangenen Jahren ausgearbeitet und kontinuierlich weiterentwickelt wurden.

Die Richtlinien halfen mir, die spezifischen Anforderungen und Standards im Bereich der Informationssicherheit des Digitalfunks zu verstehen. Dort werden nicht mehr nur allgemeine Ziele und Grundsätze benannt, sondern es werden konkrete Anweisungen und Empfehlungen zur Umsetzung der Ziele aufgeführt.

Die Konzepte sind auf die spezifischen Anforderungen und Bedingungen der Organisation zugeschnitten. Somit bieten sie einen Rahmen für die Entwicklung maßgeschneiderter Sicherheitslösungen, die den individuellen Bedürfnissen und Risiken gerecht werden.

Richtlinien, Konzepte, deren Kenntnis und kontinuierliche Weiterentwicklung sind entscheidend, um sicherzustellen, dass eine Organisation die erforderlichen Sicherheitsstandards und rechtlichen Anforderungen erfüllt. Sie bieten klare Vorgaben, anhand derer die Einhaltung dieser Standards überprüft werden kann.

Zudem können Mitarbeitende anhand dieser klaren Vorgaben und Regelungen besser geschult und sensibilisiert werden. Sie können dadurch vermittelt bekommen, welche Sicherheitspraktiken und -verfahren in der Organisation gelten und wie sie dazu beitragen können, die Informationssicherheit zu wahren. Gemeinsam erschaffen diese Handlungsvorschriften eine kohärente Sicherheitsstruktur. Es wird garantiert, dass alle Sicherheitsmaßnahmen effizient zusammenarbeiten und eine einheitliche Verteidigung gegen Bedrohungen bieten. 

Symbiose von Technik und Organisation

Meine ersten Wochen als ISB waren geprägt von intensivem Lernen und Anpassung an neue Arbeitsweisen. Die Anforderungen, die an mich gestellt wurden, verlangtem nach einem raschen Erwerb neuer Fähigkeiten und Kenntnisse. Insbesondere war es notwendig, meine technischen und organisatorischen Fähigkeiten zu erweitern.

Dies bedeutete sich u. a. mit Themen wie Firewalls, Verschlüsselung und Datenschutzverfahren auseinanderzusetzen. Als Einsatzbeamtin hatte ich zuvor nur rudimentäre Kenntnisse in diesen Bereichen. Primär die Verschlüsselungstechnologien wurden schnell zu einem zentralen Punkt meiner neuen Arbeit. Denn um zu gewährleisten, dass vertrauliche Daten vor unbefugtem Zugriff geschützt werden, sind sie unerlässlich.

Ebenso entscheidend wie die technischen Facetten sind die organisatorischen Fähigkeiten. Die Koordination und Planung von Sicherheitsmaßnahmen erfordert eine sorgfältige Organisation und Struktur. Neben der bereits erwähnten Entwicklung und Optimierung von Richtlinien und analogen Vorschriften, schließt dies die Einrichtung von Schulungen für Mitarbeitende sowie die Kommunikation und Kooperation mit verschiedenen Abteilungen der Organisation ein. Sicherheitsbelange müssen klar und verständlich vermittelt und das Bewusstsein für Informationssicherheit gefördert werden. Dies erfordert eine ausgeprägte kommunikative Kompetenz und die Fähigkeit, auf unterschiedliche Bedürfnisse und Anforderungen einzugehen.

Die Balance zwischen technischem Wissen und organisatorischem Geschick ist somit von zentraler Bedeutung. Insbesondere die technischen Aspekte der Informationssicherheit zu verstehen, stellten für mich eine Herausforderung dar, aber ich war, und bin noch immer entschlossen, mir das notwendige Wissen anzueignen. Dazu wird es obligat sein, nicht nur Lehrgänge zu absolvieren und verschiedenste Dokumente zu studieren, sondern vorrangig aktiv auf alle Mitarbeitenden meiner Organisation zuzugehen, um von ihrem Fachwissen zu profitieren. 

Teamarbeit – der Schlüssel zum Erfolg

Die Unterstützung und das Verständnis meiner Vorgesetzten und meiner Kolleginnen und Kollegen waren wesentlich für meine Anfangszeit in meiner neuen Position. Ein gegenseitiges Vertrauen und eine gute Kommunikation werden mir auch in Zukunft die Arbeit maßgeblich erleichtern und sind ebenso von entscheidender Bedeutung, denn Informationssicherheit ist ein kollektives Bestreben.

Es wird meine Aufgabe sein, ein Sicherheitsbewusstsein und ein Verständnis für die Richtlinien und Konzepte zu schaffen. Dafür ist eine gute Kommunikation unerlässlich.

Die Relevanz eines offenen und vertrauensvollen Kommunikationsklimas wird noch relevanter, wenn es um die Meldung von Sicherheitsvorfällen geht. Sicherheitsprobleme müssen unverzüglich an die ISB gemeldet werden, sodass eine frühzeitige Behebung erfolgen kann. Dies wird jedoch nur dann eintreten, wenn die Mitarbeitenden, auch wenn sie die Ursache gesetzt haben, keine Angst vor negativen Konsequenzen fürchten müssen. 

Lehrgang IT-Grundschutz-Praktiker – erste Schritte zur Informationssicherheit

Im Streben nach kontinuierlicher beruflicher Weiterentwicklung und der Erfüllung meiner Verantwortung als ISB, habe ich mich dazu entschlossen, den Lehrgang „IT-Grundschutz-Praktiker“ zu absolvieren. Dieser Lehrgang bietet eine tiefgehende Schulung über die Inhalte und die Umsetzung der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf die ich im Folgenden kurz eingehen werde.

Der Lehrgang begann mit einer umfassenden Einführung in das Sicherheitsmanagement. Hier erlernte ich das Fundament und die Prinzipien, die für die Entwicklung und Implementierung eines robusten Informationssicherheitsmanagementsystems unerlässlich sind. Dieser Teil des Kurses half mir, die Bedeutung der Sicherheitsrichtlinien, Risikobewertung und Compliance zu verstehen.

Ein weiterer wichtiger Aspekt war die Strukturanalyse und die Feststellung des Schutzbedarfs. An praktischen Beispielen haben wir gelernt, wie Organisationen ihre IT-Systeme und Informationen analysieren, um potenzielle Schwachstellen und Schutzbedarfe zu identifizieren. Dies war von entscheidender Bedeutung, um maßgeschneiderte Sicherheitsmaßnahmen zu entwickeln.

Der Lehrgang führte mich auch in die Konzepte der Modellierung gemäß IT-Grundschutz und den IT-Grundschutz-Check ein. Hierbei handelt es sich um bewährte Methoden zur Umsetzung von Sicherheitsmaßnahmen und zur Überprüfung der Sicherheitsstandards. Diese Werkzeuge sind von unschätzbarem Wert für die Umsetzung und Kontrolle von Sicherheitsmaßnahmen.

Ein weiterer Höhepunkt des Seminars war die Risikoanalyse. Ich erlernte, wie man Risiken in Bezug auf Informationssicherheit identifiziert, bewertet und priorisiert. Dies ermöglicht es Organisationen, proaktiv auf potenzielle Bedrohungen zu reagieren. Die Umsetzungsplanung, die in diesem Kontext behandelt wurde, half mir, einen klaren Weg zur Implementierung von Sicherheitsmaßnahmen zu entwickeln.

Themenübergreifend wurde die Notwendigkeit der kontinuierlichen Aufrechterhaltung und Verbesserung der Informationssicherheit erörtert. Dieser Aspekt betonte die Bedeutung von Sicherheitsüberprüfungen, Audits und die Anpassung von Sicherheitsmaßnahmen an sich ändernde Bedrohungen.

Insgesamt war der Lehrgang „IT-Grundschutz-Praktiker“ eine intensive und äußerst lehrreiche Erfahrung. Die erworbenen Kenntnisse und Fähigkeiten sind von unschätzbarem Wert und werden in Zukunft eine Schlüsselrolle spielen, wenn es darum geht, die Informationssicherheit der ASDN weiterhin auf einem hohen Niveau zu halten.

Diese Schulung markiert den ersten Schritt von insgesamt drei aufeinander aufbauenden Lehrgängen. Für die kommenden Jahre plane ich die Absolvierung der Lehrgänge „IT-Grundschutz-Berater“ und „IT-Grundschutz-Auditor“. Diese Weiterbildungen werden es mir ermöglichen, meine Fähigkeiten und Kenntnisse im Bereich der Informationssicherheit weiter zu vertiefen und eine noch aktivere Rolle in der Sicherung unserer Organisation und ihrer Daten zu übernehmen. 

Bund und Länder vereint – Gremiensitzungen in Berlin

Eine weitere wichtige Aufgabe als ISB wird die Teilnahme an Gremiensitzungen verschiedener Arbeits- und Expertengruppen sein. Diese Treffen ziehen Teilnehmerinnen und Teilnehmer aus Bund und Ländern an und dienen der Diskussion und Festlegung von Sicherheitsstrategien auf höchster Ebene der BOS.

Die zukünftigen Sitzungen werden geprägt sein von intensiven Gesprächen über aktuelle Sicherheitsfragen, Herausforderungen und strategische Ansätze. Ich bin der Überzeugung, dass mir dort noch einmal verdeutlicht werden wird, wie komplex und vielschichtig die Sicherheitslandschaft ist und wie wichtig die Kooperation zwischen den Bundesländern und dem Bund ist, um gemeinsame Sicherheitsziele zu erreichen. Ich freue mich sehr über die Möglichkeit, auf diese Weise meinen Horizont zu erweitern. 

Proaktiv zur sicheren Zukunft

Ich bin zuversichtlich, dass ich mich in den nächsten Monaten und Jahren weiterentwickeln und einen wertvollen Beitrag zur Sicherheit unserer Organisation leisten werde.

Die Anfangsphase war anspruchsvoll. Ich bin motiviert, meine Fähigkeiten und Kenntnisse in der Informationssicherheit kontinuierlich zu verbessern. Dies ist in dieser Position auch erforderlich, denn:

Die Informationssicherheit ist kein Zustand, der erreicht werden kann, sondern ein Prozess, der sich stets wandelt und in Bewegung ist.

Ich freue mich auf die Herausforderungen, die diese Position mit sich bringt, und darauf, einen positiven Einfluss auf die Sicherheit unserer Organisation auszuüben. Dieser neue berufliche Weg ist eine aufregende Reise, die ich bereit bin, mit aller Entschlossenheit fortzusetzen.