Logo PTI Logo FedCSIS

Communication Papers of the 17th Conference on Computer Science and Intelligence Systems

Annals of Computer Science and Information Systems, Volume 32

Information security management in German local government

, ,

DOI: http://dx.doi.org/10.15439/2022F162

Citation: Communication Papers of the 17th Conference on Computer Science and Intelligence Systems, M. Ganzha, L. Maciaszek, M. Paprzycki, D. Ślęzak (eds). ACSIS, Vol. 32, pages 183189 ()

Full text

Abstract. The growing importance of information security in organizations is undisputed. This is particularly true of local governments, because modern administrative action is no longer conceivable today without electronic communication media and IT procedures. The complexity of information technology, the increasing degree of networking (also with citizens) and the dependence of the administration on IT-supported procedures has led to the fact that the security of information technology and associated processes must be given a higher priority and a corresponding cybersecurity strategy must be substantiated. Existing approaches either fall short or cannot be applied to the context of local government without revision and adaptation. In this article, case studies of implementations of IT security projects in local government are examined. Specific focus is on the differences between information security management system (ISMS) implementations of different hierarchical levels of governmental organizations. The results show current challenges in increasing the resilience of the local government.

References

  1. A. Schönbohm, „Flexibilität und Unabhängigkeit - Rahmenbedingungen für eine gesellschaftliche Cyber-Sicherheit“, in Digitalisierung im Spannungs-feld von Politik, Wirtschaft, Wissenschaft und Recht, Bd. 1, C. Bär, T. Gräd-ler, und R. Mayr, Hrsg. Berlin: Springer Gabler, 2018.
  2. S. Mierowski, Datenschutz nach DS-GVO und Informationssicherheit gewährleisten: eine kompakte Praxishilfe zur Maßnahmenauswahl: Prozess ZAWAS 4.0. Wiesbaden: Springer Vieweg, 2021.
  3. H. Gulden, „Digitalisierung und IT-Sicherheit“, in Digitalisierung im Spannungsfeld von Politik, Wirtschaft, Wissenschaft und Recht, Bd. 1, C. Bär, T. Grädler, und R. Mayr, Hrsg. Berlin: Springer Gabler, 2018.
  4. VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES. 2016. Zugegriffen: 27. Oktober 2021. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02016R0679-20160504&from=DE
  5. OZG - Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen. Zugegriffen: 27. Oktober 2021. [Online]. Verfügbar unter: https://www.gesetze-im-internet.de/ozg/
  6. EGovG - Gesetz zur Förderung der elektronischen Verwaltung. Zugegriffen: 27. Oktober 2021. [Online]. Verfügbar unter: https://www.gesetze-im-internet.de/egovg/BJNR274910013.html
  7. D. C. Leeser, Digitalisierung in KMU kompakt: Compliance und IT-Security. Berlin [Heidelberg]: Springer Vieweg, 2020. http://dx.doi.org/10.1007/978-3-662-59738-5.
  8. N. Pohlmann, „Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung“, in Digitalisierung im Spannungsfeld von Politik, Wirtschaft, Wissenschaft und Recht, Bd. 1, C. Bär, T. Grädler, und R. Mayr, Hrsg. Berlin: Springer Gabler, 2018.
  9. I. Henseler-Unger und A. Hillebrand, „Aktuelle Lage der IT-Sicherheit in KMU: Wie kann man die Umsetzungslücke schließen?“, Datenschutz Daten-sicherheit - DuD, Bd. 42, Nr. 11, S. 686–690, Nov. 2018, http://dx.doi.org/10.1007/s11623-018-1025-y.
  10. D. Kammerloher, „Cybersecurity: Ein sicheres Fundament für den digitalen Staat“, Datenschutz Datensicherheit - DuD, Bd. 45, Nr. 10, S. 649–653, Okt. 2021, http://dx.doi.org/10.1007/s11623-021-1508-0.
  11. Gernot Heller, „Immer mehr Cyberangriffe: IT-Sicherheitsbehörde BSI schlägt Alarm - Professionalität steigt: IT-Sicherheitsbehörde BSI schlägt Alarm - Professionalität steigt“, Passau. Neue Presse Vom 22102021, Okt. 2021, Zugegriffen: 28. Oktober 2021. [Online]. Verfügbar unter: https://www.wiso-net.de/document/PNP__29 91743112
  12. T. Kuhn, „Warum deutsche Kommunen so anfällig für Cyberattacken sind: ‚Das kannst Du doch keinem erklären‘“, Wirtsch. Online 21102021, Okt. 2021, Zugegriffen: 28. Oktober 2021. [Online]. Verfügbar unter: https://www.wiso-net.de/document/WWON__WW 27723492
  13. A. Schönbohm, Die Lage der IT-Sicherheit in Deutschland 2021. Bonn: BSI.
  14. A. R. Hevner, S. T. March, J. Park, und S. Ram, „Design Science in Information Systems Research“, MIS Q., Bd. 28, Nr. 1, S. 75–105, 2004, http://dx.doi.org/10.2307/25148625.
  15. F. Moses, K. Sandkuhl, und T. Kemmerich, „Empirical Study on the State of Practice of Information Securty Maturity Management in Local Government.“, in Human Centred Intelligent Systems 2022 - Proceeding of the 15th International Conference on Human Centred Intelligent Systems (KES-HCIS-22). Smart Innovation, Systems and Technologies., A. Zimmermann, Hrsg. Springer. Accepted for publication. To appear June 2022., 2022.
  16. R. K. Yin, „The Case Study Crisis: Some Answers“, Adm. Sci. Q., Bd. 26, Nr. 1, S. 58, März 1981, http://dx.doi.org/10.2307/2392599.
  17. K. M. Eisenhardt, „Building Theories from Case Study Research“, Acad. Manage. Rev., Bd. 14, Nr. 4, S. 532–550, Okt. 1989, http://dx.doi.org/10.5465/amr.1989.4308385.
  18. T. Wilde und T. Hess, „Methodenspektrum der Wirtschaftsinformatik: Über-blick und Portfoliobildung“.
  19. P. Schubert und K. Bhaskaran, „The eXperience Methodology for Writing IS Case Studies“, AMCIS 2007 Proc., S. 16, 2007.
  20. A. Weber u. a., „Sichere IT ohne Schwachstellen und Hintertüren“, TATuP - Z. Für Tech. Theor. Prax., Bd. 29, Nr. 1, S. 30–36, Apr. 2020, http://dx.doi.org/10.14512/tatup.29.1.30.
  21. K. Weber, M. Christen, und D. Herrmann, „Bedrohung, Verwundbarkeit, Werte und Schaden: Cyberattacken und Cybersicherheit als Thema der Technikfolgenabschätzung“, TATuP - Z. Für Tech. Theor. Prax., Bd. 29, Nr. 1, S. 11–15, Apr. 2020, http://dx.doi.org/10.14512/tatup.29.1.11.
  22. W. Aman und J. A. Shukaili, „A Classification of Essential Factors for the Development and Implementation of Cyber Security Strategy in Public Sec-tor Organizations“, Int. J. Adv. Comput. Sci. Appl., Bd. 12, Nr. 8, 2021, http://dx.doi.org/10.14569/IJACSA.2021.0120820.
  23. S. U. Ahmad, S. Kashyap, S. D. Shetty, und N. Sood, „Cybersecurity During COVID-19“, in Information and Communication Technology for Competitive Strategies (ICTCS 2020), Bd. 191, A. Joshi, M. Mahmud, R. G. Ragel, und N. V. Thakur, Hrsg. Singapore: Springer Singapore, 2022, S. 1045–1056. http://dx.doi.org/10.1007/978-981-16-0739-4_96.
  24. S. Alagarsamy, K. Selvaraj, V. Govindaraj, A. A. Kumar, S. HariShankar, und G. L. Narasimman, „Automated Data analytics approach for examining the background economy of Cybercrime“, in 2021 Third International Con-ference on Inventive Research in Computing Applications (ICIRCA), Coim-batore, India, Sep. 2021, S. 332–336. http://dx.doi.org/10.1109/ICIRCA51532.2021.9544845.
  25. J. P. Kesan und L. Zhang, „An Empirical Investigation of the Relationship between Local Government Budgets, IT Expenditures, and Cyber Losses“, IEEE Trans. Emerg. Top. Comput., Bd. 9, Nr. 2, S. 582–596, Apr. 2021, http://dx.doi.org/10.1109/TETC.2019.2915098.
  26. K. Bouzoubaa, Y. Taher, und B. Nsiri, „Predicting DOS-DDOS Attacks: Re-view and Evaluation Study of Feature Selection Methods based on Wrapper Process“, Int. J. Adv. Comput. Sci. Appl., Bd. 12, Nr. 5, 2021, http://dx.doi.org/10.14569/IJACSA.2021.0120517.
  27. N. Müller, „Es muss nicht kompliziert sein“, Tech. Sicherh., Bd. 10, Nr. 03, S. 16–18, 2020, http://dx.doi.org/10.37544/2191-0073-2020-03-16.
  28. S. S. Alhashim und M. M. H. Rahman, „Cybersecurity Threats in Line with Awareness in Saudi Arabia“, in 2021 International Conference on Infor-mation Technology (ICIT), Amman, Jordan, Juli 2021, S. 314–319. http://dx.doi.org/10.1109/ICIT52682.2021.9491711.
  29. A. Andreasson, H. Artman, J. Brynielsson, und U. Franke, „A Census of Swedish Public Sector Employee Communication on Cybersecurity during the COVID-19 Pandemic“, in 2021 International Conference on Cyber Situ-ational Awareness, Data Analytics and Assessment (CyberSA), Dublin, Ire-land, Juni 2021, S. 1–8. http://dx.doi.org/10.1109/CyberSA52016.2021.9478241.
  30. B. W. Wirtz und J. C. Weyerer, „Cyberterrorism and Cyber Attacks in the Public Sector: How Public Administration Copes with Digital Threats“, Int. J. Public Adm., Bd. 40, Nr. 13, S. 1085–1100, Nov. 2017, http://dx.doi.org/10.1080/01900692.2016.1242614.
  31. S.-K. Park, S.-H. Lee, T.-Y. Kim, H.-J. Jun, und T.-S. Kim, „A performance evaluation of information security training in public sector“, J. Comput. Vi-rol. Hacking Tech., Bd. 13, Nr. 4, S. 289–296, Nov. 2017, http://dx.doi.org/10.1007/s11416-017-0305-7.
  32. M. A. Alharbe, „Measuring the Influence of Methods to Raise the E-Awareness of Cybersecurity for Medina Region Employees“, in Advances on Smart and Soft Computing, Bd. 1188, F. Saeed, T. Al-Hadhrami, F. Mo-hammed, und E. Mohammed, Hrsg. Singapore: Springer Singapore, 2021, S. 403–410. http://dx.doi.org/10.1007/978-981-15-6048-4_35.
  33. L. Coppolino, S. D’Antonio, G. Mazzeo, L. Romano, und L. Sgaglione, „How to Protect Public Administration from Cybersecurity Threats: The COMPACT Project“, in 2018 32nd International Conference on Advanced Information Networking and Applications Workshops (WAINA), Krakow, Mai 2018, S. 573–578. http://dx.doi.org/10.1109/WAINA.2018.00147.
  34. J. Drmola, F. Kasl, P. Loutocký, M. Mareš, T. Pitner, und J. Vostoupal, „The Matter of Cybersecurity Expert Workforce Scarcity in the Czech Republic and Its Alleviation Through the Proposed Qualifications Framework“, in The 16th International Conference on Availability, Reliability and Security, Vi-enna Austria, Aug. 2021, S. 1–6. http://dx.doi.org/10.1145/3465481.3469186.
  35. M. Lehto, ECCWS 2020 19th European Conference on Cyber Warfare: Warfare and Security. 2020.
  36. M. Phelps, „The role of the private sector in counter-terrorism: a scoping re-view of the literature on emergency responses to terrorism“, Secur. J., Bd. 34, Nr. 4, S. 599–620, Dez. 2021, http://dx.doi.org/10.1057/s41284-020-00250-6.
  37. I. Choi, J. Lee, T. Kwon, K. Kim, Y. Choi, und J. Song, „An Easy-to-use Framework to Build and Operate AI-based Intrusion Detection for In-situ Monitoring“, in 2021 16th Asia Joint Conference on Information Security (AsiaJCIS), Seoul, Korea, Republic of, Aug. 2021, S. 1–8. http://dx.doi.org/10.1109/AsiaJCIS53848.2021.00011.
  38. R. Dreyling, E. Jackson, und I. Pappel, „Cyber Security Risk Analysis for a Virtual Assistant G2C Digital Service Using FAIR Model“, in 2021 Eighth International Conference on eDemocracy & eGovernment (ICEDEG), Quito, Ecuador, Juli 2021, S. 33–40. http://dx.doi.org/10.1109/ICEDEG52154.2021.9530938.
  39. C. Mironeanu, A. Archip, C.-M. Amarandei, und M. Craus, „Experimental Cyber Attack Detection Framework“, Electronics, Bd. 10, Nr. 14, S. 1682, Juli 2021, http://dx.doi.org/10.3390/electronics10141682.
  40. R. Savold, N. Dagher, P. Frazier, und D. McCallam, „Architecting Cyber Defense: A Survey of the Leading Cyber Reference Architectures and Frameworks“, in 2017 IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud), New York, NY, USA, Juni 2017, S. 127–138. http://dx.doi.org/10.1109/CSCloud.2017.37.
  41. L. Maglaras, G. Drivas, N. Chouliaras, E. Boiten, C. Lambrinoudakis, und S. Ioannidis, „Cybersecurity in the Era of Digital Transformation: The case of Greece“, in 2020 International Conference on Internet of Things and Intelli-gent Applications (ITIA), Zhenjiang, China, Nov. 2020, S. 1–5. http://dx.doi.org/10.1109/ITIA50152.2020.9312297.
  42. A. Bendiek, M. Schallbruch, und Stiftung Wissenschaft Und Politik, „Eu-rope’s third way in cyberspace: what part does the new EU Cybersecurity Act play?“, SWP Comment, 2019, http://dx.doi.org/10.18449/2019C52.
  43. A. A. Garba, M. M. Siraj, und S. H. Othman, „An Explanatory Review on Cybersecurity Capability Maturity Models“, Adv. Sci. Technol. Eng. Syst. J., Bd. 5, Nr. 4, S. 762–769, 2020, http://dx.doi.org/10.25046/aj050490.
  44. K. N. Zakaria, A. Zainal, S. H. Othman, und M. N. Kassim, „Feature Extrac-tion and Selection Method of Cyber-Attack and Threat Profiling in Cyberse-curity Audit“, in 2019 International Conference on Cybersecurity (ICoCSec), Negeri Sembilan, Malaysia, Sep. 2019, S. 1–6. http://dx.doi.org/10.1109/ICoCSec47621.2019.8970786.
  45. „BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578 (zugegriffen 26. Februar 2022).
  46. DIN ISO/IEC 27001. DIN, 2018.
  47. R. Studier und epubli GmbH, Sozialgesetzbuch Fünftes Buch (SGB V) Ge-setzliche Krankenversicherung. 2021.
  48. P. Mayring, Qualitative Inhaltsanalyse: Grundlagen und Techniken, 12., Überarb. Aufl. Weinheim Basel: Beltz, 2015.
  49. U. Pfeiffer, „Eine starke Unternehmenskultur minimiert Cyberrisiken“, Digit. Welt, Bd. 6, Nr. 1, S. 24–27, 2022, http://dx.doi.org/10.1007/s42354-022-0429-x.
  50. T. Meuche, „Dilemmata und Wege zur Digitalisierung der öffentlichen Ver-waltung“, Gr. Interakt. Organ. Z. Für Angew. Organ. GIO, 2022, http://dx.doi.org/10.1007/s11612-021-00612-7.
  51. „BSI-Standard 200-3: Risikomanagement“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620 (zugegriffen 26. Februar 2022).
  52. F. Moses und T. Rehbohm, „<kes> Die Zeitschrift für Informations-Sicherheit“, Nr. 1, 38. Jahrgang, 2022.