Drucksache 17 / 12 474 Kleine Anfrage 17. Wahlperiode Kleine Anfrage des Abgeordneten Dr. Simon Weiß (PIRATEN) vom 29. Juli 2013 (Eingang beim Abgeordnetenhaus am 31. Juli 2013) und Antwort Nachfragen zur IT-Sicherheit in Berlin Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Kleine Anfrage wie folgt: 1. Ist die Antwort auf Frage 6 in der Kleinen Anfrage 17/12177 so zu verstehen, dass dem Senat nicht bekannt ist, welcher Senatsverwaltung vom Landesrechnungshof vorgeworfen wird, mit Hilfe falscher Angaben IT-Dienste des ITDZ in Anspruch genommen zu haben? a) Falls ja, warum hat der Senat dies nicht in Erfah- rung gebracht? b) Falls nein, warum wurde die Frage dann nicht be- antwortet? Zu 1.: Dem Senat ist bekannt, auf welche Senatsver- waltung sich die im Jahresbericht 2013 des Rechnungsho- fes (Tz. 101) enthaltene Feststellung bezieht, eine Senats- verwaltung habe mit Hilfe falscher Angaben IT-Dienste des IT-Dienstleistungszentrums Berlin (ITDZ) in An- spruch genommen. Diese Feststellung des Rechnungshofes ist nicht zu- treffend. Die von der betreffenden Senatsverwaltung gemachten Angaben entsprachen zum Zeitpunkt der Be- antragung der Nutzung des IT-Dienstes dem aktuellen Sachstand. 2. Welche Teile des IT-Sicherheitsberichts hält der Senat nicht für eine Veröffentlichung geeignet (siehe Kleine Anfrage 17/12178, Frage 5) und warum jeweils? Zu 2.: Wie bereits in der Antwort zur Kleinen Anfrage 17/12178, Frage 5 dargestellt, enthält der Bericht zur Informationssicherheit (IS-Bericht) u. a. auch Aussagen zu IT-Sicherheitsvorfällen und der Wirksamkeit von Maßnahmen, die in ihrer derzeitigen – auf die verwaltungsinterne Verwendung ausgerichteten – detaillierten Darstellung nicht für eine Veröffentlichung geeignet sind, da sich aus diesen Angaben möglicherweise nützliche Informationen für potentielle externe Angreifer ableiten lassen, die für gezielte Angriffe auf die IT-Systeme der Berliner Verwaltung genutzt werden könnten. 3. Ist die Antwort auf Frage 3 der Kleinen Anfrage 17/12179, in welchen Behörden Sicherheitsbeauftragte der IT-Stelle unterstellt sind ("in einigen"), so zu verste- hen, dass der Senat keine Informationen zu Anzahl und Identität dieser Behörden hat? Zu 3.: Wie bereits in der Antwort auf Frage 3 der Kleinen Anfrage 17/12179 ausgeführt, obliegt die kon- krete organisatorische Zuordnung von IT-Sicherheitsbe- auftragten der Organisationshoheit der jeweiligen Behör- den. Dementsprechend werden im Rahmen des jährlichen Berichtes zur Informationssicherheit keine detaillierten Angaben zur jeweiligen dezentralen organisatorischen Zuordnung der Rolle des IT-Sicherheitsbeauftragten er- fasst. 4. In wie vielen der 60 Behörden, die über einen IT- Sicherheitsbeauftragten verfügen (siehe Antwort auf Kleine Anfrage 12/12179), wird diese Rolle so wie in der Senatsverwaltung für Inneres und Sport über einen Ver- trag mit dem ITDZ besetzt? Zu 4.: Bisher hat keine der 60 Behörden, die über ei- nen IT-Sicherheitsbeauftragten verfügen, das ITDZ Berlin mit der Stellung eines IT-Sicherheitsbeauftragten explizit beauftragt. Das ITDZ Berlin ist jedoch gern bereit, in seiner Funktion als zentraler IT-Dienstleister die Behörden des Landes bei diesen Aufgaben zu unterstützen und nach einer vorangegangenen Beauftragung entsprechende Auf- gaben im Bereich der IT-Sicherheit zu übernehmen, so- fern das ITDZ Berlin explizit dazu beauftragt wird. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 12 474 2 Im Rahmen des vom ITDZ Berlin mit der Senatsver- waltung für Inneres und Sport abgeschlossenen Dienst- leistungsvertrags „IT-Service“ werden vom ITDZ Berlin insbesondere folgende Leistungen mit Bezug zur IT-Si- cherheit erbracht: - Das ITDZ Berlin gewährleistet bei sämtlichen durchzuführenden Maßnahmen die Sicherheits- richtlinien des Landes Berlin (IT-Sicherheits- grundsätze sowie die IT-Sicherheitsstandards) so- wie die Bestimmungen des Bundesamtes für Si- cherheit in der Informationstechnik (BSI) in der jeweils aktuellen Fassung. - Das ITDZ Berlin überprüft im Zusammenhang mit dem Dienstleistungsvertrag „IT-Service“ alle erforderlichen Patches auf Kompatibilität und spielt diese ggf. ein. - Das ITDZ Berlin erstellt im Rahmen des Dienstleistungsvertrags „IT-Service“ ein Infrastrukturund Sicherheitskonzept, wobei die Umsetzung des daraus resultierenden Maßnahmenkatalogs von der Senatsverwaltung für Inneres und Sport zu bestäti- gen ist. - Das ITDZ Berlin betreibt die im Dienstleistungsvertrag beschriebenen Firewall-Leistungen. 5. Welche personellen Ressourcen stehen für die Wahrnehmung dieser Rollen beim ITDZ zur Verfügung? Zu 5.: Das ITDZ Berlin hat einen IT-Sicherheitsbe- auftragten (ein Mitarbeitender) für die Belange des ITDZ Berlin und die von ihm betriebene IT-Infrastruktur für das Land bestellt. Darüber hinaus verfügt das ITDZ Berlin in seinem Consultingbereich über zwei Mitarbeitende, welche die Kunden des ITDZ Berlin aus der Berliner Verwaltung in Fragen der IT-Sicherheit beraten und bei der Erstellung von Sicherheitskonzepten unterstützen. Darüber hinaus können über die vom ITDZ Berlin ge- haltenen Rahmenverträge Dienstleistungen von externen Firmen aus dem Bereich der IT-Sicherheit von den Kun- den des ITDZ Berlin aus der Berliner Verwaltung abgeru- fen werden. Berlin, den 21. August 2013 Frank Henkel Senator für Inneres und Sport (Eingang beim Abgeordnetenhaus am 11. Sep. 2013)