Drucksache 17 / 17 205 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Uwe Doering (LINKE) vom 16. Oktober 2015 (Eingang beim Abgeordnetenhaus am 19. Oktober 2015) und Antwort Smart Government Berlin ? Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 1. Sieht der Senat in der Monopolstellung von Governikus bei der Nutzung von Signatur- und Authentifizierungsdiensten durch nahezu alle Bundesländer (Ausnahme Baden-Württemberg) ein Sicherheitsrisiko? Wenn nein, wie schließt der Senat aus, dass eine mögliche Sicherheitslücke bei diesem Anbieter nicht zum Totalausfall oder dem Missbrauch der darauf aufsetzenden Anwendungen führt? Zu 1.: Die Anwendung „Governikus“ des IT-Planungsrates stellt kein Sicherheitsrisiko dar. Governikus enthält zahlreiche Server- und Client-Lösungen und Komponenten, um den kompletten Prozess der elektronischen Kommunikation abzudecken: Von der elektronischen Identität – eID - (Personalausweis, Zertifikate , Token), über sicheren Datentransport (gemäß dem Standard zum Online Service Computer Interface - OSCI ), Ver- und Entschlüsselung, elektronische Signaturen und ihre Verifikation bis hin zu Komponenten für die beweiswerterhaltende Langzeitaufbewahrung. Bei der Nutzung von Signatur- und Authentisierungsdiensten ist der sichere Einsatz nicht allein abhängig von der konkreten Softwareimplementierung, sondern ist maßgeblich durch das Zusammenspiel verschiedenster Komponenten unterschiedlicher Hersteller auf Hard- und Softwareebene (Hardware-Token, Personalausweis, Trustcenter, Lesegeräte) sichergestellt. Die kontinuierliche und transparente Weiterentwicklung erfolgt nicht allein durch Vorgaben des Herstellers Governikus GmbH & Co. KG, sondern in enger Absprache mit Kundinnen und Kunden von Bund, Ländern und dem Bundesamt für Sicherheit in der Informationstechnik, die Mitglieder in den Entscheidungsgremien sind. Im regelmäßigen Erfahrungs- und Abstimmungsaustausch in den Gremien "Betreiberausschuss" und "Technikausschuss " werden gesetzliche und technische Neuerungen sowie insbesondere sicherheitstechnische Herausforderungen diskutiert und dem Lenkungsausschuss vorgelegt. In diesem Ausschuss wird zweimal jährlich über die Pflege und Weiterentwicklung der Anwendung entschieden. Die abgestimmte Weiterentwicklung soll dazu beitragen , dass die Anwendung „Governikus“ allen aktuellen und bekannten Anforderungen an Datensicherheit und Datenschutz entspricht und so Sicherheitslücken vermieden werden. Ein weiterer Beitrag zur frühzeitigen Entdeckung von Sicherheitslücken und zur Schaffung von Vertrauen in die Technik ist die Veröffentlichung des Quellcodes, wie dies im Zusammenhang mit den Governikus Komponenten für die eID-Nutzung erfolgt ist (Open Source). Auf der Grundlage der EVB-IT Pflegevertrages (Einheitliche Vertragsbedingungen IT), dem das Land Berlin beigetreten ist, sind mögliche Sicherheitslücken als Mangel durch den Auftragnehmer im Rahmen des vereinbarten Service-Level-Agreement zu beseitigen. Bei kritischen Störungen besteht derzeit eine Verpflichtung zur Mängelbeseitigung innerhalb von 16 Stunden nach Meldung der Störung. Unabhängig davon haben abhängige Verfahren in den fachverfahrensbezogenen Konzeptionen und Realisierungen in Bezug auf Datensicherheit und Datenschutz sowie den Betrieb Auswirkungen einer Störung der verfahrensunabhängigen Basiskomponente „Governikus“ eigenverantwortliche Sicherheitsmaßnahmen zu treffen. Dies gilt grundsätzlich für alle angebundenen Komponenten und IT-Dienste. 2. Wie ist der Stand bei der Entwicklung eines künftigen Servicekontos für Bürgerinnen, Bürger und Wirtschaft ? a. Inwiefern sind Überlegungen, dies in einer bundesländerübergreifenden Kooperation zu realisieren, fortgeschritten ? b. Sieht der Senat in einer solchen Kooperationslösung Gefährdungen der Datensicherheit? Wenn nein, wie stellt der Senat sicher, dass bei Realisierung einer solchen Kooperationslösung mögliche Hackerangriffe auf die Konten Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 205 2 in anderen Bundesländern nicht auch Auswirkungen auf die Datensicherheit Berliner Konten haben? Zu 2.: Dem Staatssekretärsausschuss zur Verwaltungsmodernisierung wurde am 01. September 2014 das Umsetzungskonzept für den Basisdienst „Service-Konto Berlin“ vorgelegt. Der Ausschuss befürwortete insbesondere den einheitlichen Ansatz für einen personalisierten Zugang zu allen Online-Angeboten der Berliner Verwaltung und die Berücksichtigung unterschiedlicher AuthentifizierungsNiveaus , um eine hohe Nutzerakzeptanz zu erreichen. Die Senatsverwaltung für Inneres und Sport wurde gebeten, das Konzept in Abstimmung mit der Senatskanzlei organisatorisch und technisch als Basisdienst umzusetzen. Wenn möglich, sollen aus Gründen der Wirtschaftlichkeit mit anderen Gebietskörperschaften Kooperationsmodelle zur gemeinschaftlichen Weiterentwicklung der Geschäftsprozesse und funktionalen Anforderungen eingegangen werden. Die Senatsverwaltung für Inneres und Sport wurde zudem gebeten, die Erkenntnisse der Arbeitsgruppe des IT-Planungsrates zur nationalen eID-Strategie und für ein interoperables Identitätsmanagement bei der Umsetzung der Berliner Konzeption einzubringen. Der Ausschuss bat bereits zu diesem Zeitpunkt alle Verfahrensverantwortlichen für E-Government-Angebote der Berliner Verwaltung, für die Anmeldefunktionalitäten zu Fachverfahren nach Verfügbarkeit auf das „ServiceKonto Berlin“ umzustellen. Für zukünftige IT-Beschaffungsmaßnahmen ist in Bezug auf ein Identitätsmanagement von Online-Verfahren der Basisdienst „ServiceKonto Berlin“ vorzugeben. Der IT-Planungsrat hat sich am 17. Juni 2015 dafür ausgesprochen, dass Servicekonten für Bürgerinnen, Bürger und Unternehmen flächendeckend eingeführt werden sollen und diese bundesweit untereinander interoperabel sind. Die Vorgaben zur Interoperabilität der Servicekonten werden unter Begleitung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Arbeitsgruppen des IT-Planungsrates erarbeitet und in eine technische Richtlinie münden. Auf der Basis dieser Beschlüsse wurde das ITDienstleistungszentrum Berlin beauftragt, einen Variantenvergleich in Bezug auf die verschiedenen Realisierungsalternativen durchzuführen. Der Variantenvergleich beinhaltet die Nutzung vorhandener Komponenten im Land Berlin, eine komplett neue Beschaffung aber auch die Nutzung vorhandener Lösung aus anderen Gebietskörperschaften (Kooperationsmodelle) und vergleicht neben den zu erwartenden Kosten auch funktionale Aspekte und bewertet die Projektrisiken. Die Ergebnisse werden dem Staatssekretärsausschuss zur Verwaltungsmodernisierung am 07. Dezember 2015 vorgelegt. Das Projekt zur Umsetzung eines IT-Basisdienstes „ServiceKonto Berlin“ soll unmittelbar danach beginnen. Im Haushalt 2016/17 wurde unter Kapitel 0505 Titel 81261 Vorsorge für die Investitionsmaßnahme des verfahrensunabhängigen und zentralen Basisdienstes getroffen. Sofern es bei der Berliner Realisierung zu einem Kooperationsmodell kommt, wird es keine bundesweite Kooperation sein. Es ist auch nicht angestrebt, ein bundesweit einheitliches Servicekonto zu realisieren. Vielmehr gilt es, die Vorgaben des IT-Planungsrates zur Interoperabilität einzuhalten, die alle Anbieterinnen und Anbieter von Servicekonten einhalten sollen, so dass jede Privatperson bzw. jede juristische Person Verwaltungsdienstleistungen bundesweit mit einem einzigen Servicekonto in Anspruch nehmen kann. Gefährdungen der Datensicherheit werden durch Kooperationslösungen nicht gesehen. Derzeit wird nicht davon ausgegangen, dass bei einem Kooperationsmodell die Verarbeitung der Daten auch beim Kooperationspartner erfolgt, sondern die Datenhaltung und Datenverarbeitung des „Service-Konto Berlin“ in Einzugsbereich der Berliner Verwaltung erfolgt und als sogenanntes „Gemeinsames Verfahren“ zentral im Land Berlin betrieben wird. In Abstimmung mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit wurde dazu bereits eine Anpassung des Berliner Datenschutzgesetzes initiiert, die im Entwurf des Berliner E-GovernmentGesetzes (EGovG Bln) enthalten ist. Bei der Umsetzung des „Service-Konto Berlin“ werden im Rahmen der eigenen Risikobetrachtung und bei der Entwicklung des erforderlichen IT-Sicherheitskonzeptes sämtliche Gefahren betrachtet, z.B. ob bei einer Kooperationslösung mögliche Hackerangriffe oder ähnliches auf die Konten in anderen Bundesländern auch Auswirkungen auf die Datensicherheit Berliner Konten haben werden. Konkretere Aussagen sind dazu derzeit noch nicht möglich. 3. Worin genau bestehen in der Schriftlichen Anfrage 17/16999 konstatierte „landesweit divergierende Anforderungen , die wirtschaftliche Angebote des ITDZ Berlin erschweren“ und inwieweit erschweren diese die wirtschaftlichen Angebote des IT-Dienstleistungszentrums Berlin (ITDZ Berlin)? Zu 3.: Die Bewertung, ob ein Angebot wirtschaftlich ist, hängt u.a. von den fachlichen und inhaltlichen Anforderungen an den IT-Einsatz und deren Umsetzung in technischen Anforderungen ab. Diese Bewertung folgt nicht immer einheitlichen Kriterien, sondern obliegt aufgrund der dezentralen Fach- und Ressourcenverantwortung den Bezirksämtern und den Ressorts. Somit existieren keine einheitlichen Kriterien zur Bewertung der Angebote des ITDZ Berlin. Anschaulich wird dieses Problem anhand der erst kürzlich durchgeführten Maßnahmen zur Serverkonsolidierung : Aufgrund eines Senatsbeschlusses wurden in einer behördenübergreifenden Arbeitsgruppe -in einem aufwändigen Arbeitsprozess- die notwendigen Einzelheiten zu Methodik und Verfahren der Kostenermittlung und Wirtschaftlichkeitsbetrachtung auf fachlicher Ebene abgestimmt werden. Erst damit wurde eine Vergleichbarkeit der Kosten für zentrale und dezentrale Serverleistungen hergestellt, allerdings lediglich für einen einzigen Prozess. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 17 205 3 Eine einheitliche und objektive Betrachtung der Wirtschaftlichkeit von Angeboten des ITDZ ist erst möglich, wenn die Bewertungen anhand von einheitlichen Kriterien vorgenommen werden können. 4. In derselben Anfrage heißt es: „Darüber hinaus hat das ITDZ Berlin bei der Neuausrichtung des Berliner EGovernment eine wichtige Rolle.“ Welche Rolle soll das sein? Welche Tätigkeiten und Dienstleistungen soll das ITDZ hier übernehmen? 5. Warum beabsichtigt die Senatsinnverwaltung, erst dem nächsten Senat eine Evaluierung des ITDZ vorzuschlagen , wenn der Senat feststellt, dass „der IT-Staatssekretär trotz seiner herausgehobenen Verantwortung für die IT- und E-Government-Entwicklung der Berliner Verwaltung nur einen äußerst geringen Einfluss auf die Geschäftspolitik des ITDZ Berlin „ hat und diesen „ nur über den ca. dreimal im Jahr tagenden Verwaltungsrat des ITDZ Berlin.“ ausüben kann . ? 6. Wenn, wie der Senat schreibt, der für eine Evaluation notwendige Untersuchungsaufwand und die möglicherweise folgenden Umsetzungsschritte so groß sind, warum beginnt der Senat nicht unmittelbar mit der konkreten Identifizierung zu evaluierender Fragestellungen? Zu 4., 5. und 6.: Die Hoffnung des Gesetzgebers von 2004, dass sich durch die Umgestaltung des früheren Landesamts für Informationstechnik zu einer Anstalt des Öffentlichen Rechts -ITDZ Berlin- mittel- und langfristig eine Konzentration der IT der Berliner Verwaltung ergibt, ist nicht eingetreten. So werden beispielsweise nur knapp 12.000 der rd. 78.000 IT-Arbeitsplätze der Berliner Verwaltung mit dem Produkt IT-Infrastrukturservice (in nicht durchgehend einheitlicher Konfiguration) des ITDZ betrieben ; nur ca. 14 % der Server der Berliner Verwaltung stehen in den beiden Rechenzentren des ITDZ. Nach Auffassung des Senats ist es daher zehn Jahre nach Errichtung des ITDZ Berlin angemessen, die Ziele, die Zielerreichung und die Effizienz der damaligen Entscheidungen im Rahmen einer Konsolidierung der Berliner IT-Landschaft auf der Basis der gesammelten Erfahrungen kritisch zu hinterfragen. Im Rahmen des Konsolidierungsprozesses wird beispielsweise angestrebt, dem ITDZ Berlin künftig eine stärkere Verantwortung nicht nur für den Betrieb von Informationstechnik, sondern vor allen für die gesamte verfahrensunabhängige IT, aber auch für die fachlich, inhaltliche Umsetzung von IT-Vorhaben zu übertragen. Auf der Basis des erarbeiteten E-Governmentgesetzes sind u.a. folgende Veränderungen der Rolle des ITDZ Berlin denkbar: Alleiniger Anbieter verfahrensunabhängiger Informations - und Kommunikationstechnik. Verringerung des Anteils von externen Vergaben durch den verstärkten Auf- und Ausbau eigener Kompetenzen zu Schwerpunktthemen und /-aufgaben. Ausbau des Angebots an IT-Dienstleistungen (Beratung und Realisierung) zur Nutzung vorhandener und künftiger IT-Basisdienste (Beispiel: Wie mache ich mein IT-Verfahren „E-Governmentfähig“?). Verstärkte Ausrichtung als Lösungsanbieter (Aktives Mitgestalten der angestrebten IT-Lösung durch den Aufbau eigenen fachlichen Know-hows). Namentliche Benennung von konkreten, auf Auftraggeberin und Auftraggeber bezogenen (nicht aufgabenbezogenen ) Ansprechpartnerinnen und Ansprechpartnern als zentrale Anlaufstelle für die ITManagerinnen und IT-Managerinnen und IT-Manager der Ressorts und der Bezirke. Aufbau einer Kooperationspartnerschaft mit der für IT zuständigen Senatsverwaltung bei der Beobachtung , Bewertung und Realisierung von aktuellen technologischen Entwicklungen. Dies ist jedoch aufgrund der voraussichtlichen Reichweite und der möglicherweise erheblichen Auswirkungen kein rein fachlicher Prozess, sondern bedarf, zumindest für die Definition der Rahmenbedingungen, eines breiteren politischen Konsenses. Mit dem Beginn der parlamentarischen Diskussion zum Berliner E-Governmentgesetz wurde dieser Prozess rechtzeitig eingeleitet. Berlin, den 23. Oktober 2015 In Vertretung Andreas Statzkowski Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 09. Nov. 2015)