Drucksache 17 / 12 178 Kleine Anfrage 17.17. Wahlperiode Kleine Anfrage des Abgeordneten Dr. Simon Weiß (PIRATEN) vom 05. Juni 2013 (Eingang beim Abgeordnetenhaus am 06. Juni 2013) und Antwort IT-Sicherheit in Berlin II: Sicherheitsbereich Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Kleine Anfrage wie folgt: 1. Welche Behörden sind mit einem schriftlichen Si- cherheitskonzept im IT-Sicherheitsbericht des Landes Berlin erfasst? Zu 1.: Der jährliche Bericht zur Informationssicherheit (IS-Bericht) wird von der Senatsverwaltung für Inneres und Sport auf Basis der Zulieferungen aus der Hauptver- waltung (Senatsverwaltungen, Senatskanzlei und nachge- ordnete Behörden), den Bezirksverwaltungen und dem IT-Dienstleistungszentrum Berlin (ITDZ) erstellt. Für das Jahr 2012 weist der aktuelle IS-Bericht aus, dass für 61 Behörden ein schriftliches IT-Sicherheitskon- zept vorliegt. In 8 Behörden (drei Bezirke und fünf nach- geordnete Behörden) wird ein anforderungsgerechtes, schriftliches IT-Sicherheitskonzept gegenwärtig erarbei- tet. 2. Wie verteilen sich diese Sicherheitskonzepte auf die Jahre ihrer letzten Aktualisierung? Zu 2.: Die vorliegenden schriftlichen IT-Sicherheits- konzepte wurden mehrheitlich in den letzten zwei Jahren aktualisiert. Eine genaue Aufschlüsselung findet sich in der nachfolgenden Tabelle. Jahr der letzten Aktualisierung Anzahl der IT-Sicher- heitskonzepte 2012 29 2011 20 2010 3 Vor 2010 6 Keine Angabe 3 3. Welche Schritte werden unternommen, um zu prü- fen, ob entsprechende Meldungen von Behörden zutref- fen, ob die Sicherheitskonzepte aktuell sind, den IT-Stan- dards des Landes Berlin genügen und tatsächlich umge- setzt werden? Zu 3.: Der Senatsverwaltung für Inneres und Sport ob- liegt die Aufgabe, die notwendigen landesweiten Re- gelungen bzgl. IT-Sicherheit zu erstellen und fortzu- schreiben und die behördenübergreifenden Prozesse zu koordinieren. Die Umsetzung der notwendigen Maßnahmen in den einzelnen Behörden liegt gemäß der dezentralen Fach- und Ressourcenverantwortung in Verantwortung der ein- zelnen Senats- und Bezirksverwaltungen. Dazu zählt auch das Erstellen, Umsetzen und Fortschreiben des jeweiligen behördlichen IT-Sicherheitskonzeptes. Im Rahmen ihrer Verantwortung erstellt die Senats- verwaltung für Inneres und Sport den jährlichen IS-Be- richt aus den Zulieferungen der Behörden. Die Angaben zum IS-Bericht liefern die Behörden in eigener Verant- wortung. Eine gezielte Überprüfung dieser Angaben ist nicht Aufgabe der Senatsverwaltung für Inneres und Sport und stünde auch im Widerspruch zu geltenden Regelun- gen. 4. Durch wen wird der IT-Sicherheitsbericht für wel- che Zwecke ausgewertet und welche Anforderungen an seine Aussagekraft muss er dafür nach Ansicht des Senats erfüllen? Zu 4.: Gemäß den Festlegungen in den IT-Sicher- heitsgrundsätzen enthält der jährliche IS-Bericht insbe- sondere Aussagen zu den Punkten  Umsetzung geltender Regelungen  Wirksamkeit durchgeführter Sicherheitsmaßnahmen,  Analyse neuer Risiken und  Maßnahmenvorschläge und dient als Entscheidungsgrundlage für das dezent- rale Management hinsichtlich der Gewährleistung der notwendigen Sicherheit beim IT-Einsatz. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 12 178 2 Er stellt als verwaltungsinterner Bericht ein wichtiges Steuerungs- und Controllinginstrument bzgl. der Infor- mationssicherheit in der Berliner Verwaltung dar. Seine Ergebnisse werden u. a. von der Arbeitsebene im Rahmen der behördenübergreifenden AG IT-Sicherheit genutzt, um neue Maßnahmenvorschläge zu bestehenden Risiken zu erarbeiten. Der IS-Bericht dient auch als Grundlage, um jederzeit den aktuellen Sachstand zur Informationssi- cherheit im Land Berlin ohne zusätzlichen Recherche- aufwand darstellen zu können. 5. Welche sachlichen Gründe sprechen gegen eine Veröffentlichung des IT-Sicherheitsberichts, zumal er nur statistische Angaben und keine Informationen zu einzel- nen Behörden enthält? Zu 5.: Der IS-Bericht enthält verschiedene Aussagen (z. B. IT-Sicherheitsvorfälle, Wirksamkeit vom Maßnah- men), die in ihrer derzeitigen – auf die verwaltungsinterne Verwendung ausgerichteten - Darstellung nicht für eine Veröffentlichung geeignet sind. Gleichwohl erscheint es möglich, aus der jetzigen Form eine Fassung zu erstellen, die auch für eine Veröffentlichung geeignet wäre. 6. Im Hinblick auf die Aussage der Senatsverwaltung für Inneres und Sport, die Aussagekraft des IT-Sicher- heitsberichts könne verbessert werden (zitiert im Jahres- bericht 2013 des Landesrechnungshofs): Welche Schritte sind dafür konkret geplant? Zu 6.: Im Rahmen der bestehenden Regelungen wer- den kontinuierlich Schritte unternommen, um die Aussa- gekraft des IS-Berichtes weiter zu verbessern. So wird z. B. seit drei Jahren auch das Jahr der letzten Aktualisie- rung des behördlichen IT-Sicherheitskonzeptes abgefragt (vgl. Tz. 2). Nach Einschätzung der Senatsverwaltung für Inneres und Sport könnte die Aussagekraft noch weiter verbessert werden, wenn Informationssicherheit in allen Behörden noch stärker als politisches Thema unter Steuerung der Behördenleitung betrachtet und dabei die im Rahmen dieser behördlichen Steuerung notwendige Erfolgskon- trolle mit den jährlichen Zulieferungen der Behörden zum IS-Bericht verknüpft wird. Berlin, den 24. Juni 2013 In Vertretung Andreas Statzkowski Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 11. Juli 2013)