Antwort der Landesregierung auf die Große Anfrage der Abg. Holschuh, Löber (SPD) und Fraktion vom 23. Februar 2017 betreffend Informationstechnik, Datenschutz und Datensicherheit im Bereich der Landesregierung und der Landesbehörden Drucksache 19/4584 Eingegangen am 12. März 2018 · Eilausfertigung am 13. März 2018 Drucksache 19/6154 12. 03. 2018 Eilausfertigung 19. Wahlperiode HESSISCHER LANDTAG 1 Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 24 Feb. 2014 Millionenfacher Identitätsdiebstahl (geringfügige Betroffenheit der Landesverwaltung, überwiegend veraltete Adressen) April 2014 Veröffentlichung von Polizei-Mail-Adressen bei Pastebin Veröffentlichung von E-Mail-Adressen und Passwörtern (geringe Betroffenheit HMWK, keine Schadsoftware) Verstärkte Heart-Bleed-Angriffe (keine Schäden) Mai 2014 kompromittierte FTP-Zugangsdaten (zu einem Server im Bereich Geo-Daten) Juni 2014 Verdacht auf Schadsoftware beim HRH, dem Landtag und der HAVS Juli 2014 Zeus-Infektion im Landesnetz (1 Client) Sep. 2014 Hinweis auf Typo-Squatting-Domains Dez. 2014 Schadsoftware-Vorfall bei Hessen Forst (eine befallenes Terminal Server-Profil) 18.12.2014 dDOS-Angriff gegen das Landesnetz 22.12.2014 dDOS-Angriff gegen das Landesnetz 15.01.2015 Verdacht auf Schadsoftware (Geodo) im Landesnetz (3 Arbeitsplätze) 05.02.2015 Veröffentlichung von Mail-Adressen aus dem Landesnetz aufgrund eines Datenlecks bei einem Bekleidungshersteller 23.02.2015 Schadsoftware-Infektion im LUSD-Netz (Schulen, 1 Arbeitsplatz) Feb. 2015 Verdacht auf Abfluss von Systemdaten in der HZD (XML-Datentransport einer Entwickler-Software zum Hersteller), unkritisch 12.03.2015 größerer Datenabfluss in der Anwendung Stud.IP bei der Uni Gießen 16.03.2015 Veröffentlichung von 16 Mio. E-Mail-Adressen und Passwörter, geringe Betroffenheit in der Landesverwaltung Mai 2015 FTP-Account-Missbrauch auf www.schulserver.hessen.de Welle von Mails mit als Fax-Anhang getarnter Schadsoftware (keine Schäden) Welle von gefälschten Umfragen mit Bezug zur HZD (kein Schaden) Juni 2015 Verdacht auf Schadsoftware Dyre im Landesnetz (Fehlalarm) Nov. 2015 dDOS-Angriff mit 90 minütiger Beeinträchtigung des Internetzugangs der Landesverwaltung Dez. 2015 Ransomware-Vorfälle im HAVS und im Amtsgericht Fürth (TESLA-Virus) 25.02.2016 Locky-Ransomware, 4 gemeldete Fälle im Landesnetz Aug. 2016 drei schwere dDOS-Angriffe auf polizei.hessen.de (14./21./26.08.) Verdacht auf Schadsoftware-Infektion im HCC, der sich bei näherer Untersuchung nicht bestätigt hat 25.11.2016 Sicherheitsvorfall im Verfahren SUPRA 25.11.2016 Mailserver der hess. Landesverwaltung blacklisted 28.11.2016 Angriffe des Mirai Botnetzes auf Port 7547 Großflächige Störung von DSL Internet-Zugängen deutsche Telekom 06.12.2016 Virenbefall AG Wiesbaden u. Darmstadt - IM-2286657 06.12.2016 Meldung IT-Sicherheitsvorfall durch HSL (CryptoLocker/GoldenEye) 06.12.2016 Sicherheitsvorfalls: Virenbefall mit Cryptolocker: IM-2287103, IM-2287042 07.12.2016 „GoldenEye"-Trojaner Infektion auf einem Rechner des Kultusressorts 07.12.2016 Info - aktuell eingehende Ransomware 07.12.2016 Meldung Cryptotrojaner 2 07.12.2016 Ransomware-Befall z.N. OFD Frankfurt am Main 12.12.2016 Phishing-Test im Innenressort als Sensibilisierungsmaßnahme für alle Benutzer 12.12.2016 MELDUNG - Sicherheitsvorfall am 8. Dezember 2016 "Verschlüsselungstrojaner" an der Hochschule Fulda 14.12.2016 Kryptoransomware (Goldeneye) z.N. Wasserversorgung Rheinhessen 16.12.2016 Kritex Übung 2016 20.12.2016 [CERT-rlp#2016122051001028] Webserver der Justus-von-Liebig-Schule in Wiesbaden kompromittiert 04.01.2017 LKA Anfrage zu erpresserischen E-Mails 10.01.2017 [NETZ][MA] [CERT-HESSEN][SOFORT] Schadsoftware im Hessen-Netz (Fehlalarm) Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 1 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) STK STK Ja IT-Sicherheitskonzept der Behörde IT-Sicherheitskonzepte sind auf aktuellem Stand und beinhalten sämtliche Infrastruktur, Netze, IT-Systeme und Anwendungen. Die Dokumentation erfolgt im BSI GS-Tool. Dieses Konzept wird aktuell durch einen externen IT-Sicherheitsdienstleister einem Audit unterzogen. STK Ressortübergreifend Ja hessenNorm (eGesetz) Erstellung des IT-Sicherheitskonzeptes ist in Zusammenarbeit mit einen externen IT-Sicherheitsdienstleister in Arbeit. vorhanden STK Ressortübergreifend Ja eKIS Erstellung des IT-Sicherheitskonzeptes ist in Zusammenarbeit mit einem externen IT-Sicherheitsdienstleister in Arbeit. vorhanden (Stand 2004) STK HLZ Ja IT-Sicherheitskonzept der Behörde und für verschiedene statistische Fachverfahren IT-Sicherheitskonzept ist auf aktuellem Stand und beinhaltet sämtliche Infrastruktur, Netze, IT-Systeme und Anwendungen. Die Dokumentation erfolgt im BSI GS-Tool. Dieses Konzept wird aktuell durch einen externen IT-Sicherheitsdienstleister einem Audit unterzogen. vorhanden STK HSL Ja IT-Sicherheitskonzept der Behörde und für verschiedene statistische Fachverfahren Im Grundsatz vorhanden; entsprechende Schutzbedarfsfeststellungen werden aktuell durchgeführt und die IT-Sicherheitskonzepte gemäß BSI sukzessive erstellt. Über den Ablageort kann aus Sicherheitsgründen keine konkrete Angabe erfolgen . vorhanden STK Landesvertr. Berlin Ja IT-Sicherheitskonzept der Behörde IT-Sicherheitskonzept ist auf aktuellem Stand und beinhaltet sämtliche Infrastruktur, Netze, IT-Systeme und Anwendungen. Die Dokumentation erfolgt im BSI GS-Tool. Dieses Konzept wird aktuell durch einen Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 2 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) externen IT-Sicherheitsdienstleister einem Audit unterzogen. HKM HKM und alle dem HKM nachgeord-neten Behörden Ja LUSD für den Informationsverbund LUSD liegen aktuelle Sicherheitskonzepte vor Vorhanden HKM HKM und alle dem HKM nachgeord-neten Behörden Ja Weitere HKM-spezifische Verfahren, die von der HZD betrieben werden. siehe HZD siehe HZD HKM HKM und alle dem HKM nachgeord-neten Behörden Ja Übergreifende Verfahren wie HeDok und SAP. siehe HZD siehe HZD HMdJ HMdJ und Geschäftsbereich ja, für jede Behörde ist ein zuständiger IT-SiB benannt Justiz-spezifische Fachverfahren Im Geschäftsbereich der Justiz sind eigen- und verbundentwickelte Fachverfahren im Einsatz. Der ITSiB-Justiz leitet und überwacht die Entwicklung von Sicherheitskonzepten für diese Verfahren. Hinsichtlich der eigenentwickelten Verfahren ist die Erstellung der Sicherheitskonzepte nahezu vollständig abgeschlossen. Die Verbundverfahren werden zusammen mit anderen Bundesländern entwickelt, sodass sich ein erhöhter Abstimmungsaufwand für die Sicherheitskonzepte ergibt. Auch hier ist aber die Erstellung der Sicherheitskonzepte fortgeschritten. Das HMdJ wirkt über den ITSiB-Justiz auf einen zügigen Abschluss der Arbeiten hin. Ziel ist, dass für alle weitergenutzten Justiz- spezifischen Fachverfahren Sicherheitskonzepte vorliegen. Neue Fachverfahren werden nur noch Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 3 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) eingeführt, wenn ein Sicherheitskonzept für das Verfahren vorliegt. HMUKLV HMUKLV Ja für das Ministerium sowie für das Ressort Die am 01.08.2016 im Staatsanzeiger veröffentlichte neue Informationssicherheitsleitlinie für die Hessische Landesverwaltung beschreibt Perspektiven, Ziele und Maßnahmen der ressort-gemeinsamen Informationssicherheit. Die Umsetzung der Leitlinie ist jedoch nur schrittweise möglich, da zusätzliches Personal und finanzielle Mittel erforderlich sind. Der Kapazitätsaufbau der notwendig gewordenen neuen IT-Sicherheitsorganisation kann nur sukzessive erfolgen. Deshalb liegt eine Dokumentation in Form von vollständigen und aktuellen Sicherheitskonzepten für die hohe Anzahl an Verfahren im Ressort nur für wenige Verfahren bzw. Bereiche vor. Im Laufe d.J. wird deshalb zunächst eine Umsetzungsplanung für einen ressortweit standardisierten IT-Sicherheitsprozess erarbeitet. Es wurden keine Zertifizierungen durchgeführt. HMUKLV Landesbetrieb HessenForst Ja Das Sicherheitskonzept Für HessenForst mit Stand 2006 muss aktualisiert werden. Aufgrund der Einführung der Mindeststandards, der neuen Informationssicherheitsleitlinie sowie der Modernisierung des IT-Grundschutzes bei gleichzeitigem Wegfall des GS-Tools wurde bisher die Überarbeitung zurückgestellt. keine HMUKLV HLNUG Ja s.o. Ausführung des HMUKLV keine HMUKLV LHL Ja s.o. Ausführung des HMUKLV bisher keine Personalkapazitäten vorhanden keine HMUKLV LLH Ja s.o. Ausführung des HMUKLV keine Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 4 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) HMWEVL Ministerium Ja alle Mit der Erstellung der Sicherheitskonzepte wurde 2017 begonnen. HMWEVL Hessen Mobil Ja Activity in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja Bestand UI (Unterhaltung und Instandsetzung) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja DORA (Dyn. Ortung von Arbeitsstellen) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja HERMAN Systems (Hess. Recherche Manager) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja HÜL BPS (Haushaltsüberwachungsliste und Bauprogrammsteuerung) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja INKA (Infrastrukturkataster Kanäle und Haltungen) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 5 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) HMWEVL Hessen Mobil Ja IPB (Integriertes Planungs- und Bauprogramm) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja LOB (Lohnabrechnung Meistereien) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja RMS (Rechnungsmanage-mentsystem) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja SAS (Schadensabwicklung Straße) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja SIB Bauwerke (Bauwerksinformationsdatenbank) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja Slotmanagement (Baustellenmanagement) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja SIB (Straßeninformationsdatenbank) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 6 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) HMWEVL Hessen Mobil Ja ZME (Zeit- und Mengenerfassung) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL Hessen Mobil Ja ZULI21 / VIFBox (Verkehrsinfrastrukturförderung) in Arbeit (Schutzbedarfsfeststellung durchgeführt; aktuell Durchführung Basissicherheitscheck nach Strukturanalyse und Modellierung); Verinice-DB Hessen Mobil vorhanden, Überarbeitung/Prüfung anstehend HMWEVL HVBG Ja Siehe Sicherheitskonzept Es liegen in der HVBG IT-Sicherheitskonzepte für IT-Verfahren sowie für die gesamte Verwaltung vor. Innerhalb dieser IT-Sicherheitskonzepte wurden die eingesetzten Systeme erfasst. Es wurden die Standard-Sicherheitsmaßnahmen der Qualifizierungsstufe A nach IT-Grundschutz betrachtet. Das IT-Sicherheitsmanagementteam der HVBG hält die in der Qualifizierungsstufe A (Einstieg) beschriebenen essentiellen Standard-Sicherheitsmaßnahmen vorerst für ausreichend, da für die HVBG ein normaler Schutzbedarf ermittelt wurde und kein Auditor-Testat und kein ISO 27001-Zertifikat angestrebt wird. Eine Betrachtung der B- und C-Maßnahmen ist für die nächste Revision vorgesehen. Die einzelnen Stände können unten entnommen werden. Die Hinterlegung der IT-Sicherheitskonzepte erfolgt im HeDok sowie im GSTOOL. Die einzelnen Verfahrensverzeichnisse können unten entnommen werden. Die Hinterlegung erfolgt beim Datenschutzbeauftragten des HLBG. HMWEVL HVBG Ja V001_HVBG STA und MOD umgesetzt, BSC und REAL in Bearbeitung Teilkomponenten, wie z.B. Zeit-/Zutritterfassung Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 7 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) HMWEVL HVBG Ja V002_3D-/RDMS STA, MOD und BSC umgesetzt, REAL in Bearbeitung entbehrlich HMWEVL HVBG Ja V003_AFIS STA und MOD umgesetzt, BSC und REAL in Bearbeitung entbehrlich HMWEVL HVBG Ja V004_ALKIS STA und MOD umgesetzt, BSC und REAL in Bearbeitung Ja HMWEVL HVBG Ja V005_ATKIS STA und MOD umgesetzt, BSC und REAL in Bearbeitung entbehrlich HMWEVL HVBG Ja V006_DIGIRISS STA, MOD und BSC umgesetzt, REAL in Bearbeitung Entbehrlich HMWEVL HVBG Ja V007_FNO STA und MOD umgesetzt, BSC und REAL in Bearbeitung Komponente AB/NB und Komponente LEFIS je im Entwurf HMWEVL HVBG Ja V008_GEOON Das IT-Sicherheitskonzept liegt im Verantwortungsbereich der HZD Ja HMWEVL HVBG Ja V009_GPH STA und MOD umgesetzt, BSC und REAL in Bearbeitung Entwurf HMWEVL HVBG Ja V010_GER Das IT-Sicherheitskonzept liegt im Verantwortungsbereich der HZD entbehrlich HMWEVL HVBG Ja V011_GISAK STA, MOD und BSC umgesetzt, REAL in Bearbeitung Entwurf HMWEVL HVBG Ja V012_INGRADA STA, MOD und BSC umgesetzt, REAL in Bearbeitung Entwurf HMWEVL HVBG Ja V013_SAPOS STA und MOD umgesetzt, BSC und REAL in Bearbeitung Ja HMWEVL HVBG Ja V014_STBO STA, MOD, BSC und REAL umgesetzt entbehrlich HMWEVL HVBG Ja V015_CRM STA und MOD umgesetzt, BSC und REAL in Bearbeitung Ja HMWEVL HED Ja Fachverfahren (WinDeich) Sicherheitsanalyse durchgeführt, liegt im Verantwortungsbereich von Dataport - HMWEVL HED Ja sonstige IT-Systeme nein - Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 8 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) HMWK Ja, Alle Dienststellen des HMWK haben einen IT-Sicherheitsbeauftragten benannt. Grundlagen für die Erstellung von IT-Sicherheitskonzepten sind durchgängig geschaffen. Der Bearbeitungsstand ist unterschiedlich. Teilweise standen in der Vergangenheit finanzielle und personelle Kapazitäten nicht zur Verfügung. Insofern können erst nach Zuweisung der eigens geschaffenen Stellen und dafür vorgesehenen Mittel im Haushalt 2017 und 2018 die notwendigen Maßnahmen eingeleitet werden. Neben den formalen Elementen der IT-Sicherheit wurden vorrangig die organisatorisch-technischen Aspekte, wie Kennwortschutz für Berechtigungen, sparsame Berechtigungsvergabe, Verschlüsselung, Firewalls, Backups, Virenschutz, regelmäßige Updates, redundante Systeme, abschließbare Räume etc. realisiert. Zertifizierungen sind bisher nicht erfolgt. HMSI Ja Fachverfahren eKiföG Ein Sicherheitskonzept mit Stand April 2015 liegt im Ministerium vor. HMdIS Ressort Ja , für jede Behörde ist ein zuständiger IT-SiB benannt. Das HMdIS arbeitet an der Umsetzung der Vorgaben der Informationssicherheitsleitlinie. Die Erstellung fehlender Sicherheitskonzepte kann jedoch nur schrittweise im Rahmen der personellen Ressourcen erfolgen, deshalb liegen vollständige und aktuelle Sicherheitskonzepte derzeit nur für einen Teil der zahlreichen Verfahren des Innenressorts vor. Die für die Stärkung des IT-Sicherheitsmanagements gewährten Stellen werden derzeit besetzt. Parallel Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 9 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) wurde mit der Erstellung der priorisierten IT-Sicherheitskonzepte begonnen. HMdF Für alle Dienst-stellen (HMdF, OFD, OFD-HCC, HZD, LBIH, SZROF) sind IT-Sicherheitsbeauftragte ernannt. In den Finanz-ämtern und Aus-senstellen des LBIH sind jeweils Ansprechpartner benannt, die für die Aufgaben-stellungen im Be-reich der IT-Sicherheit zur Verfügung stehen. Die IT-Sicherheitsbeauftragte des HMdF ist entsprechend Tz. 6.4 der Infor-mationssicherheitsleitlinie 2016 auch die IT- Im Finanzressort werden ca. 180 IT-Fachverfahren betrieben. Hiervon zu unterscheiden sind die darüber hinaus von den IT-Dienstleistern (HZD und OFD-HCC) betriebenen Querschnitts- und SAP-Verfahren für die hessische Landesverwaltung. Sofern noch nicht für alle Fachverfahren IT-Sicherheitskonzepte erstellt und umgesetzt worden sind, wurde in jeder Dienststelle ein Konzept zur nachträglichen Erstellung von IT-Sicherheitskonzepten erarbeitet, welches aktuell umgesetzt wird. Für alle Verfahren, die personenbezogene Daten im Sinne des Hessischen Datenschutzgesetzes (HDSG) verarbeiten, liegen Verfahrensverzeichnisse gem. § 6 HDSG vor. Im Übrigen verweise ich auf die Antwort zu Frage 1. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 33 10 Ressort Behörde ist ein zuständiger IT-Sicherheitsbeauftragter benannt Verfahren Sicherheitskonzept (Stand, wo hinterlegt) Verfahrensverzeichnis (Stand) Sicherheitsbeauftragte für das gesamte Ressort. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 1 Geschäftsbereich Ministerpräsident Behörde STK, LV Brüssel, HSL, HLZ Externe Zertifizierungen geplant? Ja, partiell Wenn ja, bis wann? Eine konkrete Planung erfolgt nach der Umsetzung des Grundschutzes. Wenn ja, wer ist beteiligt? Externer Berater Wenn nein, warum nicht? Keine Verpflichtung zur Zertifizierung. Aktuell werden die Sicherheitskonzepte der Stk, LV sowie der HLZ einem Audit durch externe IT-Sicherheitsdienstleister unterzogen. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? ./. Geschäftsbereich HMdIS Behörde alle Behörden des Geschäftsbereichs Externe Zertifizierungen geplant? Partiell (z.B. EU-Zahlstellen) Wenn ja, bis wann? regelmäßig Wenn ja, wer ist beteiligt? Externe Prüfer (für EU-Zahlstellen: die WIBA) Wenn nein, warum nicht? Partiell: keine Verpflichtung zur Zertifizierung. Priorisierung des Ressourceneinsatzes auf die Erstellung und Umsetzung der IT-Sicherheitskonzepte Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? durch personelle Verstärkung des zentralen IT-Sicherheitsmanagements im HMdIS, Stärkung der zentralen Kontrolle durch das Ministerium Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 2 Geschäftsbereich HMdF Behörde Alle Behörden des Finanzressorts Externe Zertifizierungen geplant? Aktuell sind keine externen Zertifizierungen geplant. Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Derzeit werden in den Dienststellen des Finanzressorts priorisiert IT-Sicherheitskonzepte für alle Anwendungen erstellt bzw. aktualisiert und umgesetzt. Erst im Anschluss daran bietet sich eine Überprüfung des Erfordernisses von Zertifizierungen an. Im Übrigen werden im HMdF, in der HZD und im LBIH TÜV- oder gemäß ISO/IEC 27001 und BSI-Grundschutz zertifizierte IT-Sicherheitsbeauftragte eingesetzt Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Eine Zertifizierung von Anwendungen ist in der IT-Sicherheitsleitlinie nicht gefordert. Mit der derzeit aktuellen Erstellung und Umsetzung von IT-Sicherheitskonzepten gemäß BSI-Grundschutz werden wesentliche Anforderungen aus der IT-Sicherheitsleitlinie erfüllt. Zudem berichten die IT-Sicherheitsbeauftragten der Dienststellen der IT-Sicherheitsbeauftragten im Ressort einmal jährlich zum Stand der Informationssicherheit. Des Weiteren findet eine laufende ressortinterne Abstimmung von Maßnahmen zur Verbesserung der Informationssicherheit, beispielsweise zur Umsetzung der Mindestanforderungen ausgewählter Themen zur IT-Sicherheit, statt. Im Übrigen werden die Informationssicherheitsmanagementsysteme in den Dienststellen weiter ausgebaut. In Einzelfällen ist eine ISMS-Auditierung nach BSI-Vorgaben geplant. Geschäftsbereich HMWK Behörde ./. Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Keine Verpflichtung zur Zertifizierung Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Verweis auf die Antwort zur Frage 22 Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 3 Geschäftsbereich HMUKLV Behörde Ministerium Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Es besteht keine Notwendigkeit einer Zertifizierung. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Die Informationssicherheitsleitlinie erwähnt keine Zertifizierung. Es gibt auch kein bekanntes Zertifikat, welches die Konformität zur Leitlinie prüft. Nach 6.10 der Leitlinie ist die Einhaltung der Informationssicherheit auf der Grundlage der jeweiligen Informationssicherheitskonzepte zu überprüfen. Geschäftsbereich HMUKLV Behörde Landesbetrieb Hessen Forst Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Die Überarbeitung bzw. Neuerstellung der IT-Sicherheitskonzepte unter Verwendung von zurzeit vom HMUKLV erarbeiteten Rahmenkonzepten hat Priorität. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Nach Fertigstellung aller IT-Sicherheitskonzepte wird landesbetriebsintern über eine externe Zertifizierung beraten und entschieden. Vor dem Hintergrund knapper Ressourcen sind dabei auch die Vorteile einer externen Zertifizierung von IT-Sicherheitskonzepten, die sich am BSI-Standard orientieren und unter Verwendung von auf Ressortebene erarbeiteten Rahmenkonzepten erstellt wurden, zu betrachten. Die Weiterbildungs- und Sensibilisierungsmaßnahmen der Zentralen Fort-bildung sollen bei Verfügbarkeit entsprechend beworben und genutzt werden. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 4 Geschäftsbereich HMUKLV Behörde HLNUG Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Vor dem Hintergrund knapper Ressourcen wurde die Erstellung von IT-Sicherheitskonzepten sowohl für IT-Systeme als auch IT-Verfahren und die weitere Umsetzung der Mindestanforderungen an die IT-Sicherheit im HLNUG priorisiert. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Nach erfolgter positiver Validierung der einzelnen IT-Sicherheitskonzepte des HLNUG wie bspw. IT-Anwenderrichtlinie zur Nutzung der IT-Infrastruktur, IT- Sicherheitsrichtlinie für die Nutzung von mobilen Endgeräten und Richtlinie zur Nutzung von E-Mail- und Internetdiensten in der Hessischen Landesverwaltung werden durch deren Umsetzung die in der IT-Sicherheitsleitlinie geforderten Maßnahmen gewährleistet. Wöchentliche Sitzungen des ITSM-Kernteams dienen der Kontrolle der vorhandenen Sicherheitskonzepte und aller technischen Sicherheitsmechanismen sowie deren Adaption an die sich rasch entwickelnde IT-Struktur im HLNUG. Die MA werden über sicherheitsrelevante Themen und akute Risiken regelmäßig informiert. Dies erfolgt in akuten Fällen über Popup-Benachrichtigungen, über Mitteilungen im MAP und zusätzlich über unregelmäßige Informationen über die Abteilungsleiterrunde in die Abteilungen hinein. Intensivere Schulungen wurden für die IT-Mitarbeiterinnen und Mitarbeiter durchgeführt und IT-Awareness-Schulungen für die Mitarbeiterinnen und Mitarbeiter des Hauses wurden an allen Standorten der Dienststelle angeboten. Diese Maßnahmen werden kontinuierlich fortgeführt. Die Information neuer MA, aber auch alle anderen Personen, denen Zugang zu IT-Systemen des HLNUG gestattet wird, werden in einer Checkliste abgefragt und IT-technisch dokumentiert. Niemand erhält die Möglichkeit des Zugriffs, ohne vorherige Kenntnisnahme und Akzeptanz. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 5 Geschäftsbereich HMUKLV Behörde LHL Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Keine Ressourcen Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Ressortweites Sicherheitskonzept befindet sich im Aufbau. Geschäftsbereich HMUKLV Behörde LLH Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? Wenn nein, warum nicht? Der LLH lässt keine eigene externe Zertifizierung durchführen, da die Maßnahmen zur Informationssicherheit über die HZD im HCN geregelt werden. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Der LLH ist in die entsprechenden Arbeitsgruppen durch das HMUKLV eingebunden und setzt die erarbeiteten Vorgaben um. Geschäftsbereich HKM Behörde alle dem HKM zugeordneten Behörden Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Keine verpflichtende Vorgabe für externe Zertifizierung: Priorisierung des Ressourceneinsatzes auf die Erstellung und Umsetzung der IT-Sicherheitskonzepte Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Stärkung des zentralen IT-Sicherheitsmanagements Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 6 Geschäftsbereich HMWEVL Behörde Hessen Mobil Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Zum Thema der Zertifizierung - ob durch interne oder externe Instanzen - ist bislang keine Festlegung im Land Hessen getroffen worden. Aus diesem Grund wird bei Hessen Mobil keine Zertifizierung angestrebt. Darüber hinaus ist eine externe Zertifizierung mit Kosten verbunden, die bislang nicht eingeplant sind. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Der Informationssicherheitsprozess von Hessen Mobil wird bereits durch externe Dienstleister mit entsprechendem Sachverstand unterstützt. Zudem erfolgt eine enge Abstimmung im Ressort und mit den Landesgremien. Geschäftsbereich HMWEVL Behörde HVBG Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Im Vordergrund steht zurzeit die Erstellung der IT-Sicherheitskonzepte mit Betrachtung der Standard-Sicherheitsmaßnahmen der Qualifizierungsstufe A nach IT-Grundschutz. Das IT-Sicherheitsmanagementteam der HVBG hält die in der Qualifizierungsstufe A (Einstieg) beschriebenen essentiellen Standard-Sicherheitsmaßnahmen vorerst für ausreichend, da für die HVBG ein normaler Schutzbedarf ermittelt wurde. Eine Betrachtung der B- und C-Maßnahmen – und damit der Voraussetzung für eine Zertifizierung nach IT-Grundschutz - ist für die Revision der IT-Sicherheitskonzepte im Jahr 2019 vorgesehen. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Durch eine Zertifizierung wird nachgewiesen, dass in einem IT-Verbund die Maßnahmen nach IT-Grundschutz umgesetzt wurden. Eine Überprüfung der Umsetzung erfolgt zurzeit durch die IT-Sicherheitsbeauftragte der HVBG im Zuge der Erstellung der IT-Sicherheitskonzepte bzw. nach gemeldeten Umsetzungen von ermittelten offenen Maßnahmen sowie innerhalb der im Jahr 2019 geplanten Revision. Die Überprüfung auf Einhaltung der Informationssicherheitsleitlinie innerhalb der HVBG liegt im Aufgabenbereich der IT-Sicherheitsbeauftragten der HVBG. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 7 Geschäftsbereich HMWEVL Behörde HED Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Eine Zertifizierung erachten wir nicht als sinnvoll. Nach Erstellung der IT-Sicherheitskonzepte und Prüfung auf deren Wirksamkeit sollte durch die Landesverwaltung die zu zertifizierenden Bereiche, unter Beachtung einer Risikoanalyse für das Gesamt -IT-System festgelegt werden. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Zurzeit werden die durch das Land Hessen vorgegebenen Sicherheitskonzepte umgesetzt. Diese werden durch ressortinterne Abstimmungen und Vorgaben ergänzt. Dies beinhaltet auch die IT-Sicherheitserkenntnisse der Schwesterverwaltungen im Ressort. Durch die zukünftige Besetzung der Stelle des IT-Sicherheitsbeauftragten wird die Umsetzung der Informationssicherheitsleitlinie zusätzlich ergänzt. Geschäftsbereich HMWEVL Behörde Ministerium Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Eine Zertifizierung wird derzeit nicht angestrebt. Der Fokus liegt auf der Erstellung von IT-Sicherheitskonzepten und deren Überprüfung auf Wirksamkeit. Die IT-Sicherheitskonzepte richten sich am IT-Grundschutz des BSI und der Sicherheitsleitlinie des Landes aus. Eine formale Zertifizierung nach ISO 27000 oder BSI-Grundschutz bringt nicht zwangsläufig einen (technischen) Sicherheitsgewinn. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Die Überprüfung auf Einhaltung der Informationssicherheitsleitlinie innerhalb des HMWEVL liegt im Aufgabenbereich des IT-Sicherheitsbeauftragten. Eine Überprüfung der Umsetzung von Maßnahmen nach IT-Grundschutz erfolgt durch den IT-Sicherheitsbeauftragten im Zuge der Erstellung der IT-Sicherheitskonzepte bzw. nach erfolgter Umsetzung von ermittelten offenen Maßnahmen. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 34 8 Geschäftsbereich HMSI Behörde Ministerium Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Das Hess. Ministerium für Soziales und Integration befindet sich durch den bevorstehenden Umzug in eine neue Liegenschaft im Umbruch. Die neue Liegenschaft soll nach derzeitigen Planungen im 1. Quartal 2018 bezogen werden. Aus hiesiger Sicht macht daher eine externe Zertifizierung keinen Sinn und ist deshalb nicht geplant. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Auf die Einhaltung der IT-Sicherheitsleitlinie wird derzeit im Rahmen der praktischen täglichen Arbeit des IT-Referates geachtet. Hierfür steht auch der IT-Sicherheitsbeauftragter ein. Geschäftsbereich HMdJ Behörde Alle Dienststellen sowie HMdJ Externe Zertifizierungen geplant? Nein Wenn ja, bis wann? ./. Wenn ja, wer ist beteiligt? ./. Wenn nein, warum nicht? Zertifizierungen nach den Standards BSI und DIN ISO 27001 ff sind aufgrund der Empfehlungen der von der Justiz im Bereich der IT-Sicherheit beschäftigten Beratungsfirmen wegen des Missverhältnisses von Aufwand und Ertrag bei Zertifizierungsverfahren, die zudem regelmäßig wiederholt werden müssen, weder erfolgt noch geplant. Wenn nein, wie ist der weitere Umgang geplant, wie wird sichergestellt, dass die IT-Sicherheitsleitlinie eingehalten wird? Die Einhaltung der Vorgaben der IT-Sicherheitsleitlinie - die in einem Zertifizierungsverfahren im Unterschied zu den Standards nicht Prüfungsmaßstab wären - wird gewährleistet u.a. durch: • Regel- und Anlassberichte (an den ITSiB, die Ressortleitung, den CISO), • regelmäßige Kontrollen durch Audits, Penetrationstests und Geschäftsprüfungen • Meldepflichten aller Funktionsträger und Nutzer an den ITSiBJ sowie • regelmäßige Effektivitätsprüfung und Aktualisierung aller Normen, Konzepte und Notfallpläne im IT-Sicherheits-Management. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 36 1 Maßnahme Schulungsinhalt Personengruppe Kurzunterweisung aller neuen Beschäftigten, die länger als sechs Monate in der Behörde eingesetzt werden, durch den IT-Sicherheitsbeauftragten. Überblick über wesentliche Regelungen zur Informationssicherheit, allgemeine Grundsätze der IT-Nutzung (Trennung dienstlich und private Nutzung etc.), Maßnahmen aus dem Bereich Zugang, Zutritt und Zugriffskontrolle, Passwortsicherheit, Datenablage, Umgang mit vertraulichem Schriftgut, Umgang mit Datenträgern, Umgang mit Dritten, Besonderheiten bei der E-Mail und Internetnutzung, Nutzung von Fernwartung, Virenschutz, Sicherheit bei der Nutzung von Multifunktionsgeräten, Verhalten bei Störungen. alle Newsletter / Informationen im MAP / E-Mails aktuelle Themen wie SPAM-Problematik, Erinnerung an die behördeninternen Regelungen Unter anderem: - Verbot privater Hard- und Software - E-Mail-Nutzung zu dienstlichen und privaten Zwecken - Nutzung des Internet zu dienstlichen und privaten Zwecken - Amtsverschwiegenheit - Nutzung mobiler IT-Endgeräte - Verwendung von USB-Speichersticks am Standardarbeitsplatz alle Wahrnehmung von Angeboten der Zentralen Fortbildung Seminar "Internet und Urheberrecht": Nutzungsrechte und Lizenzen, Recht am eigenen Bild, Linkrecht und Disclaimer, Abmahnungen und der weitere Gang von Rechtsstreitigkeiten; Zielgruppe: Führungskräfte und Beschäftigte ohne Führungsaufgaben Seminar "IT-Sicherheit und Datenschutz": Hessisches Datenschutzgesetz Aufgaben, Rollen, Verantwortlichkeiten in der Dienststelle, IT- Zielgruppe: alle Führungskräfte Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 36 2 Maßnahme Schulungsinhalt Personengruppe Sicherheitsleitlinie des Landes, IT-Sicherheitsleitlinie des Bundes und der Länder, IT-Sicherheitskonzept Vorabkontrolle, Schutzbedarfsfeststellung, Ziele, Inhalte, Adressaten, Praktische Beispiele; IT-Sicherheit in der privaten Nutzung Kolloquium: „Die Bedeutung der Digitalisierung für die neue Verwaltung“: Gibt es eine Verwaltung 4.0? Was bedeutet es für die öffentliche Verwaltung, wenn die Gesellschaft „digitaler“ wird? Wie werden verwaltungstechnische Prozesse, die Organisation und das kulturelle Verständnis künftig aussehen? Müssen wir weg vom intern getriebenen „Wie kann man das noch günstiger machen?“-Effizienzgedanken, hin zu den Bedürfnissen der Nutzer? Zielgruppe : Führungskräfte mit strategischen Steuerungsaufgaben, Führungskräfte mit unmittelbarer Personalsteuerung „Die Hacker kommen! Tatsachen Techniken und Tipps – eine Roadshow zur Informationssicherheit“: Gefährdungen durch die Nutzung der modernen Informations- und Kommunikationstechnik: Tücken der Internetnutzung, Trojanische Pferde und „böse“ Webseiten, Mobilität mit Tücken, Handys, Datenträger und die Gefahr „Öffentlichkeit“, Der Mensch als Angriffsziel von Hackern, Soziale Netze und Social Engineering, Digitale Identitäten, Passwörter, Digitale Türsteher und Co. Zielgruppe: Führungskräfte und Beschäftigte ohne Führungsaufgaben Inhouse-Seminar "IT-Sicherheit und Datenschutz": Hessisches Datenschutzgesetz Aufgaben, Rollen, Zielgruppe: Alle Führungskräfte Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 36 3 Maßnahme Schulungsinhalt Personengruppe Verantwortlichkeiten in der Dienststelle, IT-Sicherheitsleitlinie des Landes, IT-Sicherheitsleitlinie des Bundes und der Länder, IT-Sicherheitskonzept Vorabkontrolle, Schutzbedarfsfeststellung, Ziele, Inhalte, Adressaten, Praktische Beispiele; IT-Sicherheit in der privaten Nutzung Kolloquium: "Cybersicherheit und Privatsphärenschutz": Erweiterung der Kenntnisse über Chancen und Risiken des Internets, über die Auswirkungen der technologischen Entwicklungen auf unser Alltagsleben und auf (gesellschafts-)politische Entwicklungen. Zielgruppe: Alle Führungskräfte Ressortinterne Besprechungen der IT-Sicherheitsbeauftragten Anlassbezogene Themen IT-Sicherheitsbeauftragte Ausbildung der IT-Sicherheitsbeauftragten Rechtliche und organisatorische Rahmenbedingungen für Informationssicherheit • Standards und Zertifizierung • Sicherheitsmanagement und Leitlinien zur Informationssicherheit • Informationssicherheit nach IT-Grundschutz • Sensibilisierungs- und Schulungskonzept • Behandlung von Sicherheitsvorfällen und Notfallvorsorge • Aufrechterhaltung der Informationssicherheit und Revision IT-Sicherheitsbeauftragte Berücksichtigung im Rahmen der Ausbildung Datenschutz/Datensicherheit Auszubildende und Anwärter/innen Veranstaltung von behördeninternen Workshops z.B. zu HEDOK Outlook Aktenführung (Datenschutz) Alle Mitarbeiterinnen und Mitarbeiter Erstellung und Bekanntgabe von behördenspezifischen IT-Sicherheitshinweisen sicherer Umgang mit Passwörtern, E-Mail und Internet sowie der sichere Alle Mitarbeiterinnen und Mitarbeiter Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Frage 36 4 Maßnahme Schulungsinhalt Personengruppe Umgang mit mobilen Endgeräten und mobilen Datenträgern, Aspekte der Datensicherung, der Telearbeit und des Verhaltens bei IT-Sicherheitsvorfällen, Thematisierung des "Social Engineering" Simulation eigener Phishing-Attacken Nutzung der gängigen Phishing-Methoden, um die Mitarbeiterinnen und Mitarbeiter zu sensibilisieren Alle Mitarbeiterinnen und Mitarbeiter Veranstaltung von IT-Security-Awareness-Tagen Variierende Inhalte, z.B. Passwortsicherheit, WLAN-Sicherheit, Angriffsszenarien auf Standardsoftware und Betriebssystem, Hardwarehacks (z.B. manipulierte USB-Sticks), Email-Sicherheit, Angriffsszenarien auf MobileDevices (z.B. QR-Codes) Alle Mitarbeiterinnen und Mitarbeiter Individuelle Einführung durch den IT- Bereich in die elektronischen Kommunikationsmittel Datenschutz und Datensicherheit Behördenleitung Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 1 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen STK STK Fehlanzeige STK HLZ Fehlanzeige STK HSL Keine SW-Produkte > 250.000 € beschafft! Sämtliche Beschaffungen erfolgen über die HZD. STK Landes-vertr. Berlin Fehlanzeige HKM HKM, Z.5 Fehlanzeige HKM II.3 Fehlanzeige HMdJ Im gesamten Berichtszeit-raum und auch schon vor Gründung der IT-Stelle im Jahr 2012 ist für die Beschaffung von Software-produkten (auch über 250.000 €) der Landesdienst-leister HZD Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 2 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen zuständig gewesen, der die Beschaffung über eigene Rahmen-verträge im Auftrag der für die Lizenz-verwaltung zuständigen IT-Stelle der hessischen Justiz vornimmt. HMUKLV In den Dienststellen des Umweltressorts wurden in den letzten 10 Jahren keine Software-produkte mit Anschaffungs-kosten über 250.000 € gekauft. HMWEVL Minis-terium keine Software-produkte über 250.000 € HMWEVL Hessen Mobil Office 2007 2007 1000 Landes-RV mit Dienst-stelle nein 680.000 Rechnung ja / aktuell Umstellung ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 3 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Micro-soft auf Office 2016 HMWEVL Hessen Mobil Vmware 2012 150 Software-RV Dienst-stelle nein 280.000 Rechnung ja ja HMWEVL Hessen Mobil Vmware 2016 150 Software-RV Dienst-stelle nein 285.000 Rechnung ja ja HMWEVL HLBG Landentwick-lungsfach-informations-system "LEFIS" 2011 unbe-grenzt Landes-lizenz für Auf-gaben der Flur-neu-ordnung HLBG Unzerti-fizierte Fachsoft-ware Gesamt-kosten 2.434.740 inklusive Mehrwert-steuer, davon 405.790 hessischer Anteil Die Beschaffung erfolgte im Rahmen eines Vergabe-verfahrens durch das Land Brandenburg im Auftrag einer Implementierungs-gemeinschaft von 6 Bundesländern (Brandenburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz und Sachsen-Anhalt) Die Betriebs-ein-führung der Fachsoft-ware befindet sich noch im Projekt-status. Die Produk-tionsauf-nahme ist für den 01.07.2017 vorge-sehen. HMWEVL HLBG Microsoft Server-Betriebssystem 2007 Data-center-lizenz (unbe-schränkt) Server-Lizenzen für den Server-betrieb der Fachver- HLBG Hessen-Standard 250.000 / Jahr Jahresrechnung der Lizenzen liegen jährlich vor Ja das Produkt wird eingesetzt Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 4 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen fahren in der HVBG HMWEVL HLBG Microsoft Client-Betriebssystem und Office 2007 2100 Client-Lizenzen für den Server-betrieb der Fachver-fahren in der HVBG HLBG Hessen-Standard 150.000 / Jahr Jahresrechnung der Lizenzen liegen jährlich vor nein Das Produkt wurde bis 2013 eingesetzt Produkt wurde durch das Landeslizenzmodell HessenPC (Gebühr je Einheit) abgelöst. HMWEVL HED keine Software-produkte über 250.000 € HMWK Hes-sisches Minis-terium für Wissen-schaft und Kunst Hessisches BAföG- und AFBG-Verfahren (HeBAV), basierend auf der Software "BAFSYS" der Fa. Datagroup IT Solutions GmbH 2011, Pro-duktiv ab Mai 2012 Fachver-fahren BAFSYS als unbe-grenzte Landes-lizenz, erforder-liche Standard- (MS Office) und Betriebs-software (MS Unbe-fristete Landes-lizenz des Fachver-fahrens BAFSYS und bedarfs-abhängig für Standard- und Betriebs-soft-ware HMWK zusam-men mit IT-Dienst-leister Fa. Data-group keine 2.300.000 Grundlage für die angegebenen Gesamtkosten sind das Preisblatt zum Angebot im Rahmen des Vergabeverfahrens und die daraus resultierenden Verträge nebst funktionellen Erweiterungen im Einführungs-projekt. Sie umfassen im Wesentlichen die Kosten für die Fachja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 5 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Server, Backup, Viren-schutz etc.) variabel und bedarfs-abhängig (aktuell z. B. MS Office und CAL für 250 "Named User") und Betriebs-Software, Hardware, Installation und Einrichtung Test- und Produktivsystem, Wartung und Pflege, Schulungen aller Ämter für Ausbildungs-förderung, begleitende Werbemaß-nahmen des Onlineantrages (Plakate und Flyer) und einmalige Kosten für die IT-Ertüchtigung in den Studentenwerken. Nicht enthalten sind die laufenden Betriebskosten. HMWK Univer-sität Kassel Cisco VoIP-Telefonanlage 2012 3000 Nutzer-basiert IT-Service-zentrum ca. 1.000.000 inkl. Hardware ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 6 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMWK Frankfurt Univer-sity of Applied Sciences, Abtei-lung Campus IT SAP-SLCM 2008 10.780 SAP ERP Devel-oper User; SAP ERP Profes-sional User; SAP Ed. Serv. F. Higher Edu-cation & Re-search; Sonder-nutzer Organi-sations-einheit Digitaler Campus Schnitt-stellen-zerti-fizierung SAP-SLCM/ SAP-FI (Seit Start 2008) 6.300.000 (ohne interne Kosten) Externe Evaluation des Projektes „Digitaler Campus“ ja ja HMWK Hoch-schule Geisen-heim HIS-GX/ HISinOne 2012 Hoch-schul-lizenz Anzahl der Studie-renden Hoch-schule Geisen-heim 494.000 Aus der Buchhaltung ja ja HMWK Goethe-Univer-sität Frankfurt Software zur Datensicherung – Backup Landeslizenz IBM Spectrum Protect Laufzeit 11/2014-11/2019 Für alle Uni-Ange-hörige Hoch-schul-rechen-zentrum (HRZ) Anteil der Goethe Universität 450.000 (Miete der Software) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 7 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMWK Justus-Liebig-Univer-sität Gießen IBM SPSS Version 19 Statistikpaket für Arbeitsplatz-PCs (Landeslizenz-vertrag für hessische Hochschulen) 2010 3500 Unbe-fristet JLU Gießen nein, Einzel-platz-produkt zur Analyse von Daten 371.673 Lizenz- und Wartungskosten über 5 Jahre, inkl. Mehrwertsteuer nein, in 2015 durch Folgever-trag ersetzt ja HMWK Justus-Liebig-Univer-sität Gießen IBM SPSS Version 23 Statistikpaket für Arbeitsplatz-PCs (Landeslizenz-vertrag für hessische Hochschulen) 2015 4144 Unbe-fristet JLU Gießen nein, Einzel-platz-produkt zur Analyse von Daten 682.007 Lizenz- und Wartungskosten über 5 Jahre, inkl. Mehrwertsteuer ja ja HMWK Justus-Liebig-Univer-sität Gießen Forschungs-informations-system "Converis" für mehrere hessischen Hochschulen (Universitäten Gießen und Marburg, TH Mittelhessen, HS Fulda, Hochschule Geisenheim 2014 Unbe-grenzt/ Campus Unbe-fristet JLU Gießen nein 1.850.165 Lizenzkosten, externe Beratung, Personal- und Sachmittel Einführungsprojekt inkl. Eigenanteil der Hochschulen, Reisekosten, Wartungskosten, inkl. Mehrwertsteuer ja, Ein-führungs-projekte laufen in Vorbe-reitung Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 8 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen University, Frankfurt University of Applied Science) HMWK TU Darm-stadt Datenlotsen 2014 TU Weit Campus Vertrag TU Darm-stadt 2.405.888 Rechnung ja ja HMSI Es wurden keine Software-produkte mit Anschaffungs-kosten über 250.000 € in den letzten 10 Jahren gekauft. HMdIS LPP Kriminalitäts-Lagebild (KLB) 2009 Koopera-tions-produkt Koopera-tions-produkt Ko-opera-tion „Ty-pische“ Zertifizie-rungen externer Stellen (BSI, TÜV etc.) und Testate (im Sinne von Beschei-nigungen von Wirt-schafts-prüfungs-gesell- 2.446.100 Die Gesamtkosten wurden nach den geltenden Koop-Schlüssel der IT-Koop (damals IPCC) ermittelt. Es wurde in reine Projektkosten und Landeskosten unterschieden und umgelegt. An dem Projekt waren nur Hamburg und Hessen beteiligt. Die Gesamtkosten wurden zum ja ja entfällt Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 9 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen schaften und Wirt-schafts-prüfern für rechn-ungsle-gungs-nahe Software) liegen nicht vor. 30.09.2011 abgerechnet und betrugen 3.118.800 €. Als Gesamtkosten werden hier die Projektkosten und landesspezifischen Kosten bis zum Abrechnungstag gewertet. Danach wurde der Regelbetrieb aufgenommen. HMdIS LPP Elektronische Bildverarbeitung (EBV) 2008 Kooperations-produkt Kooperations-produkt Kooperation siehe oben 1.440.000 Über die Aktivitäten im Projekt zur Einführung. ja ja entfällt HMdIS LPP OSiP (Online- Sicherheits-prüfung) 2016 Koopera-tions-produkt Koopera-tions-produkt Koope-ration siehe oben 284.000 Durch Nordrhein-Westfalen; die Kosten für Hessen (Spalte I) ergaben sich aus dem Königsteiner Schlüssel. ja nein derzeit noch im Pilotbetrieb HMdIS LPP SÜP (Sicherheits-überprüfung) 2007 Koopera-tions-produkt Koopera-tions-produkt Koope-ration siehe oben 1.101.405 Durch damaliges Projekt. ja ja entfällt HMdIS PTLV Software, HessenPC Client Lizenzen Standard und 2015 13.678 Betriebs-lizenzen HSG 36 (Infra-struktur) siehe oben 2.403.824 HSG 12 (Beschaffung) ja ja entfällt Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 10 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Software, HessenPC Client Lizenz Office Pro L + SA HMdIS PTLV McAfee Active Virus Defense (gesonderte Lizensierung bis zum Übergang in den HessenPC in 2016) 2008 > 10.000 Betriebs-lizenzen SG 333 (Tech-nische Koordi-nation) siehe oben 282.650 HSG 12 (Beschaffung) ja ja entfällt HMdIS PTLV "Browser in the Box" der Fa. Rohde & Schwarz 2016 14.000 Volumen-lizenz PTLV siehe oben 953.822,90 Angebotsanfrage an den zentralen IT-Dienstleister der Hessischen Landesverwaltung (HZD). Das Produkt wird zurzeit imple-mentiert. nein Das Produkt wird nach Inbetrieb-nahme im Echt/ Produktiv-betrieb eingesetzt. HMdIS PTLV Sophos Safeguard Device Encryption 5.60.2 2014 2950 Betriebs-lizenzen SG 333 (Techn-ische Koordi-nation) siehe oben 322.730 HSG 12 (Beschaffung) ja ja entfällt HMdIS HMdIS Dienstleis-tungsplattform / EAH 2009 Unbe-grenzt Landes-weite Lizenz RPGI Dezer-nat 11.1 keine ca. 2 Mio. Angebot auf Grundlage der erstellten Leistungsbe-schreibung. Weiter ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 11 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Kosten für Beratung, Customizing etc. HMdIS HMdIS Schweb.Net 2012 350 parallele User RPGI Dezer-nat 11.1 in Zusam-men-arbeit mit der HZD keine 332.000 Angebot auf Grundlage der erstellten Leistungsbe-schreibung. ja ja HMdIS HfPV Campus Net 2008 15 (Stufe 4) Clients (bis zu 5.000 Studie-rende) Sachge-biet 4 Infor-mati-onstech-nik beim Hersteller angefragt 959.465 SAP Mittelbindung ja ja HMdIS RP KS ReDesign Beihilfe-anwendung 2010 150 Benutzer lizenzfrei keine ca. 2,3 Mio. ja ja HMdIS HMdIS Entwicklung Formular-management 2017 Unbe-grenzt VII 3 keine ca. 5000.000 Angebot HZD Entwick-lungs-auftrag wurde erst im Juni 2017 erteilt Entwick-lungs-auftrag wurde erst im Juni 2017 erteilt HMdIS RP KS OWI 2004 160 Benutzer Nutzungs-pauschale 800.000 p.a. Nutzungsgebühren ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 12 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMdF OFD KONSENS OTE Lizenzen Be-richts-zeit-raum HZD Bei KONSENS-Produkten liegt eine Zertifi-zierung im Sinne der bundes-einheitlich vorgege-benen Regula-rien, nach Durch-führung der Test- und Abnahmeprozesse vor, die auf einem zentralen Server doku-mentiert ist. 391.819,40 Anschaffungskosten (AK) ja ja HMdF MS Office inkl. CAL Be-richts-zeit-raum OFD / HZD Die BSI-Empfeh-lungen bei der 4.047.525,24 Zusammengefasste AK Ver-schiedene Microsoft Produkte ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 13 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Beschaf-fung und Inbetrieb-nahme von Software werden beachtet werden aufgrund von Versions-wechseln nicht mehr einge-setzt. HMdF MS Office inkl. CAL Be-richts-zeit-raum HCC / HZD Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software werden beachtet 316.558,21 zusammengefasste AK Verschie-dene Microsoft Produkte werden aufgrund von Versions-wechseln nicht mehr einge-setzt. ja HMdF SQL-Serverlizenzen Be-richts-zeit-raum HZD Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software 273.588,81 Anschaffungskosten (AK) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 14 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen werden beachtet HMdF MikroFocus COBOL Laufzeit-lizenzen Be-richts-zeit-raum OFD Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software werden beachtet 573.929,14 zusammengefasste AK ja ja HMdF KONSENS SteuBel Landeslizenz Be-richts-zeit-raum OFD Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software werden beachtet 1.249.777,27 zusammengefasste AK ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 15 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMdF PBS Archivierungs-software Be-richts-zeit-raum HCC Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software werden beachtet 368.900 Anschaffungskosten (AK) ja ja HMdF verschiedene SAP Software-module Be-richts-zeit-raum HCC Die BSI-Empfeh-lungen bei der Beschaf-fung und Inbetrieb-nahme von Software werden beachtet 22.826.921,02 zusammengefasste AK ja ja HMdF HZD Microsoft-Produkte Be-richts-zeit-raum HZD Alle oben ge-nannten Produkte der Firma Microsoft unter-liegen 3.671.080,60 zusammengefasste AK Verschie-dene Microsoft Produkte werden aufgrund von Versionsja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 16 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen einem regel-mäßigen Update-Zyklus (im Regelfall monat-lich). Aufgrund der hohen Frequenz von Updates ist eine Zertifizierung (die ja nur für die jeweils vorgelegten und geprüften Versionen gelten kann) nicht prakti-kabel und würde keine sinnvollen Informa-tionen wechseln nicht mehr eingesetzt. Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 17 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen geben. In der Regel werden für die Software der betrieb-enen Systeme durch den Hersteller Verifi-zierungen der Konfor-mität hinsicht-lich Betriebs-sicherheit und Funktio-nalität durchge-führt. HMdF Oracle Be-richts-zeit-raum HZD Im Hinblick auf Datenschutz und Informationssicherhei 4.941.063,26 zusammengefasste AK ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 18 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen t gibt es keine Zertifizierungen. HMdF Snow Lizenzen (diverse) Be-richts-zeit-raum HZD Die Anwen-dung des SAM-Tool SNOW ist vom Hes-sischen Daten-schutzbe-auftrag-ten freige-geben worden. Das SAM-Tool SNOW ist von den SW-Herstel-lern Microsoft, Adobe, Oracle, SAP als Lizenz-manage-ment-Tool 961.127,62 AK mit Einführung und Schulung ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 19 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen offiziell aner-kannt. HMdF Open Text - Domea Lizenzen Be-richts-zeit-raum HZD DOMEA® ist domea zertifiert (BMI). Die kbst domea Zertifi-zierung war die Voraus-setzung zum Einsatz eines E-Akte Systems in der Bundes-Verwal-tung und war Anfang 2000 der etablierte Anfor-derungs-standard 1.356.262,03 zusammengefasste AK ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 20 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen an ein E-Akte System auch in den Verwal-tungen der Länder. HMdF KONSENS Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine Zerti-fizie-rungen. 1.171.198,11 Anschaffungs- kosten (AK) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 21 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMdF BMC Discovery Lizenzen Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Infor-mations-sicherheit gibt es keine Zertifi-zierungen. Security Doku-mente wie FIPS (Federal Informa-tion Processing Standard) und DISA (DISA Secure Technical Implementation Guidelines) wurden vom Hersteller BMC zur Verfügung 808.000,00 AK mit Einführung ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 22 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen gestellt. Hierin wird geschil-dert, wie das Tool bzw. die Umgebung konfigu-riert werden muss, um US-amerika-nischen Anforde-rungen an die Daten-sicherheit zu genügen. HMdF McAfee Be-richts-zeit-raum HZD Die einge-setzte Software ist zertifiziert (s. a. https://www.mcafee.com/de/solutions/public- 310.928,29 Anschaffungskosten (AK) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 23 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen sector/product-certifications-list.aspx, für den ePolicy Orchestrator und den McAfee Agenten gilt FIPS 140-2 , für den Virenscanner CommonCriteria EAL2+). HMdF VMWare Infrastructure Support Be-richts-zeit-raum HZD Die Software vSphere wird von Fa. VMware der Zertifi-zierung nach dem Common Criteria for Informa- 883.878,28 Anschaffungskosten (AK) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 24 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen tion Techno-logy Security Certifi-cation unter-worfen. Common Criteria ist ein internationaler ISO-Standard (ISO 15408) für die Untersuchung von IT-Produkten. HMdF Standard-software unter Betriebssystem z/OS Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine Zertifi-zierungen. 3.153.500,00 Pauschalkosten Die Standard-software unter dem Betriebs-system z/OS wird nicht mehr eingesetzt. Die Außerbeja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 25 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen trieb-nahme der Hardware IBM z114 ist am 19.10.2015 erfolgt. HMdF ESM Entire Systems Management/ Server Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine Zertifi-zierungen. 952.000 Anschaffungskosten (AK) Die Software AG ESM Entire Systems Manage-ment/Server wird nicht mehr eingesetzt. Die Außerbe-trieb-nahme der Hardware IBM z114 ist am 19.10.2015 erfolgt. ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 26 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMdF Fujitsu Technology Entire Systems Management Betriebssystem BS2000 Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine Zertifi-zierungen. 952.000 Anschaffungskosten (AK) Das Fujitsu Technology Entire Systems Manage-ment Betriebs-system BS2000 wird nicht mehr genutzt. Die Jobablauf-steuerung erfolgt seit 2015 mit dem Werkzeug Stream-Works. ja HMdF Adabas for z/OS MSU Common Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine 355.810 Anschaffungskosten (AK) Die Software Adabas for z/OS MSU Common (Ziffer 12) wird nicht mehr genutzt. ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 27 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Zertifi-zierungen. Die Außer-betrieb-nahme der Hardware IBM z114 ist am 19.10.2015 erfolgt. HMdF eXpurgate AV-Schutz für Internet-Email Be-richts-zeit-raum HZD Im Hinblick auf Daten-schutz und Informa-tions-sicherheit gibt es keine Zertifi-zierungen. 364.500 Nutzungspauschale nein (Vertrags-ablauf am 28.02.14) ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 28 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen HMdF AI Vergabe-manager - Landeslizenz Be-richts-zeit-raum HZD Die Einsatz-möglich-keiten und Betreiber-modelle sind für eine Fachan-wendung wie den AI Vergabe-manager zu varianten-reich für ein einheitl-iches Zertifikat. Der Hersteller prüft in eigener Hoheit seinen Programmcode, ob dieser bestim-mten 297.500 Anschaffungskosten (AK) ja ja Große Landtagsanfrage 19/4584 vom 23.02.2017: Anlage zu Fragen 62, 64, 66, 67, 68 29 Ressort Beschaf-fende Behörde Software-produkt Jahr der An-schaf-fung Wie viele Lizenzen Art der Lizen-zierung wer ver-waltet die Lizenzen Zerti-fizierung/Testat Gesamt-kosten inkl. Schulung und Einführung € wie wurden die Gesamtkosten ermittelt wird das Produkt aktuell noch ver-wendet wurde das Produkt im Echt-/ Produktiv-betrieb eingesetzt wenn nicht, bitte begründen Qualitäts-standards genügt. Für den Anwen-dungs-bereich der Software geltende Standards erfüllt der Hersteller, dies ist aber nicht mit einem Zertifikat gleichzu-setzen. HMdF LBIH Fehlanzeige HMdF SZ Rof Fehlanzeige HMdF Lotterie-ver-waltung Fehlanzeige