Die Antwort auf Ihre Frage können Sie auf unterschiedlichem Weg finden:

1. Über die Funktion "Suchbegriff eingeben" rechts oben
3. Über die Stichwortliste "Kirchenrecht von A-Z"
4. Über die alphabetisch geordneten Rechtsgebiete in der Menüleiste links.

Ihre Ansprechpartner/innen "IT-Sicherheit"

Erna Dörenbecher
Blumenstraße 1-7    
76133 Karlsruhe  
Tel: 0721-9175-611    
Fax: 0721-9175-25-611
 
Stellvertreterin:      
N.N.               
Blumenstraße 1-7               
76133 Karlsruhe               
Tel: 0721-9175-               
Fax: 0721-9175-25-               
Mail:            
                           
Im Sekretariat:
Gabriele Hartnegg      
Blumenstraße 1-7          
76133 Karlsruhe          
Tel: 0721-9175-614          
Fax: 0721-9175-25-614          

IT Sicherheit

Quelle: M. Wejwer

Hinweise zum IT-Sicherheitskonzept für Kirchengemeinden und andere kirchliche Einrichtungen

 
I. Einleitung

Gemäß dem Datenschutzgesetz der EKD (§ 9 Abs. 2 DSG-EKD[1] ab 24. Mai 2018 DSG-EKD - neu) ist jede kirchliche Stelle verpflichtet, IT-Sicherheit zu gewährleisten. Das Nähere wird durch den Rat der EKD durch Rechtsverordnung geregelt. Die Rechtsverordnung zur Sicherheit der Informationstechnik der EKD[2] sieht vor, dass jede kirchliche Einrichtung ein IT-Sicherheitskonzept erstellt und kontinuierlich fortschreibt. Die erstmalige Erstellung des IT-Sicherheitskonzepts hatte in Grundzügen bis zum 31. Dezember 2015 zu erfolgen; die Umsetzung dieser Grundzüge bis zum 31. Dezember 2017. Unter dem Begriff „kirchliche Einrichtung“ werden sämtliche der Landeskirche zugeordneten Werke und Einrichtungen ohne Rücksicht auf ihre Rechtsform sowie rechtsfähige kirchliche Stiftungen des bürgerlichen Rechts verstanden.

 II. Zielsetzung

Durch die Erstellung eines IT-Sicherheitskonzepts für die entsprechende Einrichtung soll dafür gesorgt werden, dass die Schutzziele der IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit), die dem Datenschutzrecht entstammen, gewahrt werden.

Vertraulichkeit

Vertraulichkeit bedeutet, dass die Daten nur von hierfür autorisierten Benutzern gelesen oder modifiziert werden. Dieser Grundsatz gilt sowohl für den Zugriff auf gespeicherte Daten als auch während der Datenübertragung. Hierfür muss festgelegt werden, wer die Befugnis hat, auf welche Daten zuzugreifen. Es ist ein Rechte- und Rollenkonzept für das jeweilige IT-System zu erstellen. Zielsetzung ist, dass eine unbefugte Preisgabe von Daten nicht erfolgt.

Integrität

Unter Integrität wird verstanden, dass die Daten nicht unbemerkt verändert werden dürfen. Es müssen alle Änderungen nachvollziehbar sein. Es muss ausgeschlossen sein, dass eine unbefugte oder unkontrollierte Veränderung von Daten, Software und Hardware geschieht.

Verfügbarkeit

Es muss der Zugriff auf Daten innerhalb eines vereinbarten Zeitrahmens zur Aufgabenerfüllung gewährleistet werden. Systemausfälle sind zu verhindern.

Damit diese Schutzziele gewahrt werden können, sind sowohl geeignete technische als auch organisatorische Maßnahmen zu treffen. Der Hintergrund ist nach dem Datenschutzgesetz der Schutz und die Wahrung des grundrechtlich geschützten informationellen Selbstbestimmungsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Dieses ist das Recht eines jeden Einzelnen, selbst über die Preisgabe und Verwendung seiner Daten zu entscheiden. Der Datenschutz soll dafür sorgen, dass durch die Verarbeitung und den Umgang mit personenbezogenen Daten keine Beeinträchtigung in diesem Recht stattfindet.

Ziel ist es, dass im ständigen Austausch die Kirchengemeinden sich selbstständig um die Erstellung und Umsetzung ihres IT-Sicherheitskonzepts kümmern.

Es sollen das Vertrauen der Kirchenmitglieder in die Sicherheit ihrer Daten aufrechterhalten und die Einheitlichkeit und Effizienz der IT-Sicherheit gefördert werden.

III. Kontaktpersonen

Jede Kirchengemeinde und kirchliche Einrichtung ist somit für die IT-Sicherheit verantwortlich. Damit ein Überblick erreicht werden kann, wer in welcher Kirchengemeinde für die IT-Sicherheit zuständig ist, werden die Kirchengemeinden und die kirchlichen Einrichtungen gebeten, dem Evangelischen Oberkirchenrat mitzuteilen, welche Person dies jeweils ist, sofern dies nicht bereits erfolgt ist. Es ist auch möglich, dass sich Kirchengemeinden und Verwaltungs- und Serviceämter (VSAs) zusammenschließen bei der Bestellung eines IT-Sicherheitsbeauftragten.  

IV. Wahl des passenden Konzeptes für die Kirchengemeinden bzw. VSAs

Es werden verschiedene Muster von Sicherheitskonzepten der EKD unter https://datenschutz.ekd.de zur Verfügung gestellt. Es gibt das Muster-IT-Sicherheitskonzept für kleine und das für mittlere und große Einrichtungen. Bei der Entscheidung für eines der Konzepte kommt es darauf an, ob es sich bei der Kirchengemeinde bzw. dem VSA um eine kleine oder eine mittlere bzw. große Einrichtung handelt. Hierbei ist auf die Größe, die Art der Verwaltung und die Versorgung mit IT-Spezialisten zu achten.

In der Regel ist von folgender Situation auszugehen:

Kleine Organisationen:

- kein geschultes Personal vorhanden
- es gibt nur eine minimale Infrastruktur
- die Datenhaltung ist überwiegend dezentral
- z.T. gibt es zentrale Anwendungen (Melde-, Finanz- und Personalwesen)
- teilweise gibt es keine ausreichende Abgrenzung zu privaten Räumen und
  Geräten
- i.d.R. gibt es weder IT-Standards (Datensicherung, Kennwortregelungen)
  noch Server

Mittlere und große Einrichtungen:

- es existiert eigenes geschultes IT-Personal oder externe Mitarbeitende
- eine professionelle IT-Infrastruktur mit eigenen Servern ist vorhanden
- i.d.R. bestehen bereits unterschiedlich ausgeprägte IT-Standards (bspw. 
  Datensicherung, Kennwortregelungen, Protokollierung)
- teilweise existieren Dienstleistungen, die durch Outsourcing betrieben
  werden

V. Checklisten

Die Muster-IT-Sicherheitskonzepte (Vergleiche Nummer IV.) enthalten auch Checklisten. Diese sollten mehrfach im Jahr überprüft und angepasst werden. Sie sind regelmäßig weiter fortzuschreiben und auch mit dem/der zuständigen IT-Sicherheitsbeauftragte/en abzustimmen.

VI. Verfahren

Damit sich nicht jede Kirchengemeinde selbst um jede einzelne Fragestellung kümmern muss, bietet der Evangelische Oberkirchenrat die Möglichkeit der Information und des Austausches der für die Umsetzung des IT-Sicherheitskonzeptes Verantwortlichen. Mittels dieser Hinweise soll eine erste Information der Kirchengemeinden erfolgen, damit in diesen ein IT-Sicherheitskonzept erstellt werden kann.

Weiterhin soll ein regelmäßig stattfindender Austauschkreis durch den Evangelischen Oberkirchenrat Karlsruhe etabliert werden, bei welchen Themen hinsichtlich der rechtlichen und technischen Handhabung behandelt werden. Weiterhin kommt die Einrichtung eines sog. Teamraums im Intranet der EKIBA in Betracht.


 

[1] Das DSG-EKD ist abrufbar unter www.kirchenrecht-baden.de, Ordnungsnummer 140.500.

[2] § 2 Abs. 1 der IT-Sicherheitsverordnung ITSVO-EKD vom 29. Mai 2015, abrufbar unter: www.kirchenrecht-ekd.de, Ordnungsnummer 1.13.5.