Drucksache 17 / 12 177 Kleine Anfrage 17.17. Wahlperiode Kleine Anfrage des Abgeordneten Dr. Simon Weiß (PIRATEN) vom 05. Juni 2013 (Eingang beim Abgeordnetenhaus am 06. Juni 2013) und Antwort IT-Sicherheit in Berlin I: Landesnetz Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Kleine Anfrage wie folgt: 1. Welche Berliner Behörden sind an das vom ITDZ betriebene Berliner Landesnetz angeschlossen? Zu 1.: An das vom IT-Dienstleistungszentrum Berlin (ITDZ) betriebene Berliner Landesnetz sind derzeit fol- gende Behörden angeschlossen:  die Senatsverwaltungen (einschließlich Senatskanzlei ),  die Verwaltung des Abgeordnetenhauses,  der Rechnungshof von Berlin,  der Berliner Beauftragte für Datenschutz und Informationsfreiheit ,  die Bezirksämter,  nachgeordnete Behörden der unmittelbaren Landesverwaltung und  Teile einzelner Einrichtungen der mittelbaren Landesverwaltung. 2. Kann der Senat versichern, dass alle an das Lan- desnetz angeschlossene Behörden ein umgesetztes be- hördliches IT-Sicherheitskonzept gemäß Nr. 2.10 der IT- Sicherheitsgrundsätze des Landes Berlin haben? 3. Wie wird vor dem Anschluss einer Behörde ge- prüft, ob ein solches Sicherheitskonzept existiert, ob es den nötigen Anforderungen entspricht und ob es tatsäch- lich umgesetzt wird? Zu 2. und 3.: In den IT-Sicherheitsgrundsätzen (Nr. 2.10 Abs. 3) sind die von einer Behörde zu erfüllenden Voraussetzungen für die Nutzung des Berliner Landesnet- zes (BeLa) festgelegt: „Voraussetzung für die Nutzung der landeseinheitlichen IT-Infrastruktur und IT-Dienste durch eine Behörde… ist die Beachtung des entsprechenden IT-Sicherheitskonzepts für diesen Dienst und ein um- gesetztes behördliches IT-Sicherheitskonzept“. Es obliegt der jeweiligen Behörde, diese Vorausset- zungen (z. B. behördliches IT-Sicherheitskonzept) zu schaffen und gegenüber dem ITDZ zu bestätigen. Eine gezielte Überprüfung dieser dezentralen Umsetzung (z. B. durch Prüfung entsprechender Unterlagen) ist weder Auf- gabe des ITDZ noch der Senatsverwaltung für Inneres und Sport und stünde nicht im Einklang mit geltenden Regelungen. 4. Existieren Behörden, die an das Berliner Landes- netz angeschlossen sind, ohne im IT-Sicherheitsbericht des Landes Berlin das Vorhandensein eines Sicherheits- konzepts gemeldet zu haben? a. Wenn ja, wie viele und welche? b. Wäre es nach Ansicht des Senats möglich bzw. sinnvoll, eine solche Meldung zur Voraussetzung für den Anschluss an das Landesnetz zu machen? c. Wäre es nach Ansicht des Senats möglich bzw. sinnvoll, die Vorlage eines Sicherheitskonzepts zur Prü- fung durch das ITDZ zur Voraussetzung für den An- schluss an das Landesnetz zu machen? Zu 4.: Im aktuellen Bericht zur Informationssicherheit (IS-Bericht) haben 7 Behörden, die an das Berliner Lan- desnetz angeschlossen sind (drei Bezirke und vier nach- geordnete Behörden) gemeldet, dass derzeit kein anforde- rungsgerechtes schriftliches IT-Sicherheitskonzept vor- liegt, sondern gegenwärtig erarbeitet wird. Die Behörden haben auch mitgeteilt, dass – unabhängig vom derzeit noch nicht vorhandenen vollständigen schriftlichen IT-Sicherheitskonzept – wesentliche Sicherheitsmaßnahmen für eine sichere Nutzung des Berliner Landesnetzes (z. B. Schutz vor Schadsoftware, dezentrale Firewall) umgesetzt sind. Die Senatsverwaltung für Inneres und Sport wird prü- fen, ob und in welcher Weise bei der nächsten Fortschrei- bung der IT-Sicherheitsgrundsätze die bisher bestehenden Regelungen zu den Anschlussvoraussetzungen an das Berliner Landesnetz so fortgeschrieben werden können, dass die derzeit noch bestehenden Umsetzungsdefizite besser erkannt und behoben werden können. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 12 177 2 Dabei wird auch eine mögliche Verknüpfung mit den Angaben aus dem IS-Bericht berücksichtigt werden. Eine Prüfung des behördlichen Sicherheitskonzeptes durch das ITDZ wird nicht als sinnvoll angesehen. 5. Existiert ein Gesamtsicherheitskonzept für das Berliner Landesnetz? a. Wenn ja, welche Anforderungen ergeben sich dar- aus für die daran angeschlossenen Behörden und wie werden diese überprüft? Zu 5.: Für die vom ITDZ Berlin betriebene Infrastruk- tur des Berliner Landesnetzes liegen entsprechende Si- cherheitskonzepte vor. Für die behördlichen IT-Sicherheitskonzepte gelten gemäß den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Anforderungen des IT- Grundschutzes und der diesbezüglichen Grundschutzkata- loge. Sofern im Einzelfall der IT-Grundschutz nicht aus- reicht, sind im behördlichen IT-Sicherheitskonzept auf Basis einer entsprechenden Risikoanalyse ggf. weitere Maßnahmen zu berücksichtigen. 6. Im Jahresbericht 2013 des Landesrechnungshofs wird festgestellt, dass eine Senatsverwaltung mit Hilfe falscher Angaben IT-Dienste des ITDZ in Anspruch ge- nommen habe. Um welche Verwaltung und welche Dienste soll es sich dabei handeln und wie nimmt der Senat Stellung zu diesem Vorwurf? Zu 6.: Im Jahresbericht 2013 des Rechnungshofes ist nicht ausgeführt, auf welche Senatsverwaltung sich die entsprechende Aussage bezieht. Der Senat wird sich in seiner Stellungnahme zum Jahresbericht des Rechnungs- hofes zu dem Vorwurf äußern. Berlin, den 24. Juni 2013 In Vertretung Andreas Statzkowski Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 11. Juli 2013)