Mitteilung zur Kenntnisnahme

Transkript

1 17. Wahlperiode Drucksache 17/ Mitteilung zur Kenntnisnahme IT-Sicherheitsbericht Drucksache 17/2600 (II.A.15.1) und Schlussbericht (vertrauliche Anlage)

2 Abgeordnetenhaus von Berlin 17. Wahlperiode Seite 2 Drucksache 17/3160

3 Senatsverwaltung für Inneres und Sport ZS C 2 Hö (0) An das Abgeordnetenhaus von Berlin über Senatskanzlei - G Sen - Mitteilung - zur Kenntnisnahme - über IT-Sicherheitsbericht - Drucksachen Nr. 17/2600 (II.A.15.1) und Schlussbericht Die Senatsverwaltung für Inneres und Sport legt nachstehende Mitteilung dem Abgeordnetenhaus zur Besprechung vor: Das Abgeordnetenhaus hat in seiner Sitzung am Folgendes beschlossen: Der Senat wird aufgefordert, im Bereich der IT-Technik folgende Maßnahmen zu ergreifen: die Aussagekraft des IT-Sicherheitsberichts zu verbessern und darüber im vorzulegenden IT-Sicherheitsbericht zu berichten. den IT-Sicherheitsbericht in Zukunft auch dem Abgeordnetenhaus vorzulegen.. Hierzu wird berichtet: Vorbemerkung Entsprechend den in der Berliner Verwaltung geltenden IT-Sicherheitsgrundsätzen ist jährlich ein IT-Sicherheitsbericht zu erstellen. Der Bericht soll mindestens Aussagen zu den Punkten Wirksamkeit durchgeführter Sicherheitsmaßnahmen, Analyse neuer Risiken und Maßnahmenvorschläge

4 enthalten und als Entscheidungsgrundlage für das Management hinsichtlich der Gewährleistung der notwendigen Sicherheit beim IT-Einsatz dienen. Der Bericht wird unter dem Titel Bericht zur Informationssicherheit (InfoSic-Bericht) vorgelegt. Damit wird verdeutlicht, dass das Ziel der IT-Sicherheit im Schutz der verarbeiteten Informationen liegt. Gemäß den Regelungen der IT-Sicherheitsgrundsätze wird der Bericht zur Informationssicherheit von der Senatsverwaltung für Inneres und Sport erstellt auf Basis der Zulieferungen aus den Senatsverwaltungen, der Senatskanzlei, deren nachgeordneten Einrichtungen (Sonderbehörden), den Bezirksverwaltungen und dem IT- Dienstleistungszentrum Berlin (ITDZ) 1. Die Angaben zum Bericht liefern die Senats- und Bezirksverwaltungen für ihren Geschäftsbereich eigenverantwortlich zu. Die Ressorts verantworten auch die entsprechende Beteiligung der im jeweiligen Geschäftsbereich vorhandenen nachgeordneten Einrichtungen (Sonderbehörden). 2 Der Staatssekretärsausschuss zur Verwaltungsmodernisierung hat den Bericht zur Informationssicherheit 2016 in seiner Sitzung vom 4. Juli 2016 zur Kenntnis genommen. Der vollständige Bericht ist als (vertrauliche) Anlage beigefügt. Wegen der darin teilweise enthaltenen detaillierten Angaben zu sicherheitsrelevanten Aspekten ist der vollständige Bericht nicht für den Druck bestimmt. Zusammenfassung der Ergebnisse Nachfolgend werden wesentliche Ergebnisse des Berichtes zur Informationssicherheit 2016 zusammengefasst dargestellt 3. Insgesamt ist festzustellen, dass vor allem in den Maßnahmenbereichen IT-Sicherheitskonzepte erstellen und umsetzen, Prozess zur Kontrolle der Umsetzung, Wirksamkeit und Beachtung von Sicherheitsmaßnahmen einrichten, Schulungsmaßnahmen zur Informationssicherheit durchführen der Umsetzungsstand in den einzelnen Behörden noch unterschiedlich ist und entsprechender Handlungsbedarf besteht. Wegen der grundsätzlichen und ständig zunehmenden Bedeutung des Themas Informationssicherheit für die ordnungsgemäße Aufgabenwahrnehmung der Verwaltung bedarf die vollständige Umsetzung geltender Regelungen zur Informationssicherheit und die Bereitstellung der dafür notwendigen Ressourcen im Rahmen der dezentralen Fach- und Ressourcenverantwortung in den Behörden der besonderen Aufmerksamkeit und Steuerung seitens der politisch Verantwortlichen. An Hand vorstrukturierter Abfragen lieferten die vom InfoSic-Bericht erfassten Einrichtungen Angaben zu den Themen IT-Sicherheitskonzepte, Prozessgestaltung, 1 Einrichtungen der mittelbaren Berliner Verwaltung werden vom Bericht daher nicht erfasst. 2 Eine Auflistung der vom Bericht 2016 erfassten Einrichtungen ist im vollständigen Bericht enthalten. 3 Detaillierte quantitative Angaben sind dem vollständigen Bericht zu entnehmen.

5 Schulung, Ressourcen und IT-Sicherheitsmanagement. Aus diesen Angaben ergibt sich folgendes Bild: Behördliche IT-Sicherheitskonzepte Für 65 Behörden 4 liegt ein schriftliches IT-Sicherheitskonzept vor. In 7 Behörden wird ein IT-Sicherheitskonzept gegenwärtig erarbeitet. Prozesse, Schulung, Ressourcen und IT-Sicherheitsmanagement 49 Behörden geben an, dass die erforderlichen Schulungen mindestens teilweise durchgeführt werden. Mit Ausnahme von vier Einrichtungen ist für alle Behörden ein/eine Beauftragte/r für Informationssicherheit eingerichtet. Für 22 Behörden ist der Prozess, mit dem Umsetzung, Wirksamkeit und Beachtung von Sicherheitsmaßnahmen kontrolliert werden kann, vollständig etabliert, für weitere 45 Behörden wurde dies mit Teilweise angegeben. Ein solcher Prozess ist wesentlicher Bestandteil eines ganzheitlichen IT- Sicherheitsmanagements. Die Grundlagen für solch einen Prozess werden im Rahmen einer Leitlinie Informationssicherheit (InfoSic-Leitlinie) festgeschrieben. Eine Leitlinie für Informationssicherheit liegt nunmehr für 58 Einrichtungen vor, dies ist eine deutliche Zunahme gegenüber Die Leitlinie Informationssicherheit stellt ein strategisches Steuerungsinstrument dar, um die zu verfolgenden Sicherheitsziele und das angestrebte Sicherheitsniveau für alle Mitarbeiterinnen und Mitarbeiter zu dokumentieren. Mit der InfoSic-Leitlinie bekennt sich die Behördenleitung sichtbar zu ihrer Verantwortung für Informationssicherheit. Die Frage, ob die erforderlichen Ressourcen bereitgestellt werden, wurde für 11 Behörden mit JA beantwortet. Die überwiegende Anzahl der Behörden beantwortet die Frage mit Teilweise. In diesem Zusammenhang wird von verschiedenen Behörden auch auf die ständig zunehmende Komplexität des IT-Einsatzes sowie die wachsende Vielfalt der zum Thema Informationssicherheit gehörenden Aufgaben und die dafür benötigten (zusätzlichen) Ressourcen hingewiesen. Weitere Ergebnisse Die Wirksamkeit der IT-Sicherheitsmaßnahmen wird von den Behörden insgesamt als gut eingeschätzt. Angriffsversuche konnten durch die umgesetzten Maßnahmen erfolgreich erkannt und abgewehrt werden. Die gemeldeten Schadensereignisse beziehen sich fast ausschließlich auf Ausfälle bzw. Störungen, die zu einem Verlust bzw. zu einer Beeinträchtigung der Verfügbarkeit führten. Dazu zählen z. B. Netzwerkstörungen, Kabelschäden, Infektionen mit Schadsoftware sowie Einschränkungen der Internetnutzung durch Sicherheitslücken in Browsern. 4 Vgl. Fußnote 3

6 Auch im Jahr 2015 wurde wieder eine Vielzahl von Sicherheitslücken in den Produkten unterschiedlicher Hersteller entdeckt. Als Beispiel sei hier auf die Meldungen zu Sicherheitslücken bei bestimmten Verschlüsselungsverfahren (TLS), beim Adobe Flash Player sowie beim Internet-Explorer verwiesen. Gezielte, spezifisch auf bestimmte Behörden der Berliner Verwaltung ausgerichtete Angriffe aus dem Internet (Cyberattacken) wurden in 2015 nicht festgestellt. Die größten Risiken werden (in dieser Reihenfolge) in den Bereichen Irrtum/Nachlässigkeit eigener Mitarbeiter Software-bedingte Fehler / Qualitätsmängel Schadenssoftware (Viren usw.) gesehen. In den Zulieferungen vieler Bezirke wird auf Risiken bzgl. der Sicherheit von IT- Verfahren hingewiesen. Diese werden u. a. in fehlenden/veralteten IT- Sicherheitskonzepten sowie veralteten Technologien mit Sicherheitslücken gesehen. Zukünftig muss daher die Sicherheit bei IT-Verfahren verstärkt Beachtung finden. Berlin-CERT Das im ITDZ Berlin eingerichtete Berlin-CERT hat entsprechend den Vorgaben des IT-Planungsrates den Aufbau der ersten Phase mit Warn- und Informationsdienst und Bearbeitung/Erfassung von IT-Sicherheitsvorfällen abgeschlossen. Die Dienstleistungen des Berlin-CERT entsprechen den Vorgaben des Verwaltungs-CERT- Verbundes. Auf Grundlage der in 2015 aufgebauten Dienstleistungen erfolgt seit der plangemäße vollumfängliche Betrieb des Berlin-CERT mit weiteren Dienstleistungen. Verbesserung der Aussagekraft des Berichtes zur Informationssicherheit Durch das E-Government-Gesetz Berlin (EGovG Bln GVBl. S. 282 ff.) vom 30. Mai 2016 wird der sichere Einsatz der Informations- und Kommunikationstechnik (IKT) massiv gestärkt. Entsprechende Regelungen zur IKT-Sicherheit finden sich an verschiedenen Stellen des Gesetzes. 23 Abs.1 EGovG Bln enthält die Verpflichtung für alle Behörden, ein Informations-Sicherheits-Management-System (ISMS) gemäß den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufzubauen und weiterzuentwickeln. In 23 Abs. 2 EGovG Bln werden die an das Berliner Landesnetz angeschlossenen Behörden und Einrichtungen verpflichtet, sicherheitsrelevante Vorfälle unverzüglich dem vom ITDZ betriebenen Berlin-CERT zu melden. Diese Regelungen sind mit sofortiger Wirkung umzusetzen. Gemäß 21 Abs. 2, Satz 2 Nr.4 EGovG Bln zählt zu den Aufgaben der IKT- Staatssekretärin oder des IKT-Staatssekretärs die fortlaufende Weiterentwicklung und Festsetzung der zentralen IKT-Sicherheitsarchitektur und der Standards für die IKT-Sicherheit in der Berliner Verwaltung und deren Unterstützung und Überwachung bei der Umsetzung der IKT-Sicherheits-Standards.

7 Auf Basis der Regelungen des EGovG Bln zur IKT-Sicherheit wird auch der Bericht zur Informationssicherheit zukünftig neu ausgerichtet und sich auf die Umsetzung der gesetzliche Vorgaben fokussieren. Ich bitte, den Beschluss bzgl. der Vorlage des IT-Sicherheitsberichtes für 2016 als erledigt anzusehen. Berlin, den 10. August 2016 Frank Henkel Senator für Inneres und Sport