Drucksache 17 / 13 180 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Dr. Simon Weiß (PIRATEN) vom 04. Februar 2014 (Eingang beim Abgeordnetenhaus am 06. Februar 2014) und Antwort IT-Sicherheit in den Berliner Jobcentern Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: Die Fragen 1-6 betreffen Sachverhalte, die der Senat nicht aus eigener Zuständigkeit und Kenntnis beantworten kann. Daher hat der Senat die Regionaldirektion Berlin- Brandenburg der Bundesagentur für Arbeit um Auskunft gebeten. 1. Welche Richtlinien und andere Vorgaben gelten in den Berliner Jobcentern im Bereich der IT-Sicherheit? Zu 1.: Die Berliner Jobcenter sind Bestandteil der In- formationsinfrastruktur der Bundesagentur für Arbeit (BA). Somit gelten für die Berliner Jobcenter dieselben IT-Sicherheitsrichtlinien wie für die gesamte BA. Insbesondere sind das folgende IT-Sicherheits- richtlinien: • Klassifizierung von Geschäftsinformationen • Mobiles Arbeiten • Multifunktionsgeräte • Nutzung von E-Mail • Nutzung Internet • Nutzung Intranet • Schutz vor Schadensprogrammen • Telefonie • Umgang mit Geschäftsinformationen • Zugang- und Zugriffsschutz 2. Gibt es für alle Berliner Jobcenter IT-Sicherheits- konzepte? Zu 2.: Gemäß der Regelung der Informationssicher- heit der BA sind für zentral betriebene IT-Verfahren IT- Sicherheitskonzepte erstellt worden. Diese werden an- lassbezogen bzw. einmal im Jahr geprüft und aktualisiert. Darüber hinaus zu erstellende IT-Sicherheits- dokumentationen, in der lokale Gegebenheiten betrachtet bzw. behandelt werden müssen, liegen in der Verantwor- tung der jeweiligen lokalen Geschäftsführung des Jobcen- ters. 3. Gibt es für alle IT-Fachverfahren, die in den Berli- ner Jobcentern verwendet werden, IT-Sicherheitskon- zepte? Zu 3.: Für zentral betriebene IT-Verfahren der BA sind IT-Sicherheitskonzepte vorhanden. Wenn darüber hinaus weitere lokale IT-Fachverfahren in den Berliner Jobcentern im Einsatz sind, ist es Sache der lokalen Ge- schäftsführungen der Jobcenter, im Rahmen ihrer Ver- antwortung die Erstellung von weiteren IT-Sicherheits- konzepten zu veranlassen. 4. Wie aktuell sind die in Frage 2 und 3 genannten IT- Sicherheitskonzepte und berücksichtigen sie die Ein- führung der eAkte in der Bundesagentur für Arbeit? Zu 4.: Die für die zentral betriebenen IT-Verfahren er- stellten IT-Sicherheitskonzepte werden regelmäßig durch die Verantwortlichen auf ihre Aktualität hin überprüft und bei Änderungen des IT-Verfahrens aktualisiert. Für das IT-Verfahren eAkte ist ein IT-Sicherheitskonzept für den Rechtskreis SGB III vorhanden. Dieses wird anlassbezo- gen aktualisiert. Im Umfeld des Rechtkreises SGB II ist ein Einsatz des IT-Verfahrens eAkte derzeit nicht gege- ben. 5. Gibt es in den Berliner Jobcentern IT- Sicherheitsbeauftragte und wenn ja, mit welchem jeweili- gen Zeitanteil? Zu 5.: In der BA ist die Rolle des/der IT-Sicher- heitsbeauftragten der BA und die Rolle des/der IT-Sicher- heitsbeauftragten des IT-Systemhauses eingerichtet. Da- bei umfasst der Zuständigkeitsbereich des/der IT-Sicher- heitsbeauftragten der BA alle Verwaltungsebenen nach § 367 SGB III und in beratender Funktion die Organisati- onseinheiten nach SGB II. Der Zuständigkeitsbereich des/der IT-Sicherheitsbeauftragten des IT-Systemhauses umfasst das IT-Systemhaus der BA. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 13 180 2 Wie in allen Jobcentern und Dienststellen der BA wurden auch in den Berliner Jobcentern im Rahmen des Aufbaus einer ganzheitlichen IT-Sicherheitsorganisation der/die BA IT-Sicherheitsverantwortliche etabliert. Sei- ne/Ihre Aufgaben sind wie folgt beschrieben: • erste Ansprechpartnerin/erster Ansprechpartner für Kolleginnen und Kollegen zu IT-Sicher- heitsfragen • Durchführung von IT-Sicherheits-Kontrollaufgaben vor Ort nach zentraler Vorgabe mit- tels Checkliste • direkte Ansprechpartnerin/direkter Ansprechpartner bei IT-Sicherheitsvorfällen vor Ort (Eskalation) • Schaffung, Erhaltung und Steigerung des ITSicherheitsbewusstseins vor Ort • Vermittler/in von IT-Sicherheitsbotschaften im Rahmen von Sensibilisierungsmaßnahmen zum Thema IT-Sicherheit (Awareness-Initiative) • Erstellen von IT-Sicherheitsberichten für die Dienststelle bzw. gemeinsamen Einrichtungen Zur Ermittlung des zeitlichen Aufwandes wurde eine Maßstabsdienststelle der BA mit 500 Mitarbeitern und Mitarbeiterinnen angenommen. Der geschätzte zeitliche Aufwand beläuft sich auf ca. 7-10 Stunden im Monat. 6. Gab es seit 2010 IT-sicherheitsrelevante Vorfälle in den Berliner Jobcentern und wenn ja, welcher Art (bitte einzeln auflisten)? Zu 6.: IT-Sicherheitsvorfälle werden in der BA ver- traulich behandelt und gelangen intern nur Mitarbeitern und Mitarbeiterinnen zur Kenntnis, die im Rahmen ihrer Aufgabenerledigung Kenntnis von den IT-Sicherheits- vorfällen bekommen müssen. Von 2010 bis zum 1. Halbjahr 2013 sind durch das Berichtwesen der Berliner Jobcenter 45 IT-Sicherheits- vorfälle erfasst worden, von denen 64% die Verletzung der Vertraulichkeit, 33% die Verletzung der Integrität und 27% die Verletzung der Verfügbarkeit betrafen. Dabei handelte es sich nach definierter Klassifizierung um ein- fache IT-Sicherheitsvorfälle mit geringer beziehungswei- se keiner Außenwirkung. Berlin, den 27. Februar 2014 In Vertretung Barbara L o t h Senatsverwaltung für Arbeit, Integration und Frauen (Eingang beim Abgeordnetenhaus am 06. Mrz. 2014)