Drucksache - 2747/V  

Vorlage -zur Kenntnisnahme- über IT-Sicherheit im Bezirksamt gewährleisten

Wir bitten zur Kenntnis zu nehmen:

Die Bezirksverordnetenversammlung hat in ihrer Sitzung am 28.01.2021 folgendes Ersuchen an das Bezirksamt beschlossen (Drucksache Nr. 2747/V)

Das Bezirksamt wird gebeten, umgehend die notwendigen Schritte einzuleiten, damit der IT-Einsatz im Bezirksamt Mitte den Vorgaben in Bezug auf Datenschutz und IT-Sicherheit entspricht.

Dazu ist es erforderlich,

1) zügig die Stelle eines behördlichen Informationssicherheitsbeauftragten zu besetzen; sollte dies weiterhin aufgrund einer Konkurrentenklage nicht unmittelbar möglich sein, ist die Stelle ggf. interimsweise durch andere Dienstangehörige zu besetzen.

2) ein umfassendes, aktuelles IT-Sicherheitskonzept gemäß der InfoSic-LL zu erstellen,

3) für die Dienstkräfte IT-Sicherheitsschulungen durchzuführen,

4) verbindliche Regelungen zur sicheren Passwortgestaltung zu erlassen,

5) ein Zutrittskontrollkonzept zu erstellen,

6) ausreichende Maßnahmen zum Umgang mit Wechseldatenträgern im laufenden System zur Absicherung der USB-Schnittstellen in den Netzendgeräten gegen Missbrauch zu ergreifen,

7) ein IT-Notfallmanagement einzurichten und

8) ein Notfallvorsorgekonzept zu erstellen.

Das Bezirksamt hat am 09.02.2021 beschlossen, der Bezirksverordnetenversammlung dazu Nachfolgendes als Schlussbericht zur Kenntnis zu bringen:

Zu 1: Die Funktion des /der Informationssicherheitsbeauftragten kann bisher nur kommissarisch durch den Datenschutzbeauftragten in Kooperation mit dem Leiter der IT – Stelle wahrgenommen werden. Ein zwischenzeitlich durchgeführtes drittes Ausschreibungsverfahren zur Stellenbesetzung musste in 10/2020 ergebnislos beendet werden, da die ausgewählten Bewerbenden nicht zum Vorstellungsgespräch erschienen sind. Eine evtl. externe Aufgabenwahrnehmung wurde aus Kostengründen und unter Berücksichtigung von Empfehlungen des BSI verworfen. Derzeit wird eine aktualisierte Beschreibung des Aufgabenkreises (BAK) für das Aufgabengebiet erstellt, damit eine abschließende Stellenbewertung (angestrebt: E 11) erfolgen kann. Es ist vorgesehen, im 1. Halbjahr eine erneute Stellenausschreibung durchzuführen und hierbei auch gezielt den Kreis der entsprechenden Studienabsolventen anzusprechen. Erhofft wird, dass eine erfolgreiche Stellenbesetzung dann in der 2. Jahreshälfte erfolgen kann. Durch die o.g. komm. Wahrnehmung des Aufgabengebietes ist das BA der Empfehlung des RH sowie der BVV nach einer interimsweisen Wahrnehmung durch andere Dienstkräfte nachgekommen.

Zu 2: Auf Grund der bisher nicht möglichen Stellenbesetzung konnte auch dieses Thema leider noch nicht nachhaltig vorangebracht werden. Die hohe Priorität dieser Aufgabe ist unbestritten. Unabhängig von dieser Situation wird kontinuierlich an der Gewährleistung der bezirklichen IT – Sicherheit operativ gearbeitet.

Zu 3: Im Rahmen des bezirklichen Datenschutzkonzepts ist auch der entsprechenden Informationsvermittlung (Datenschutzgrundwissen und Grundwissen zur IT – Sicherheit) an die Dienstkräfte besondere Bedeutung eingeräumt worden. Unter Berücksichtigung der großen Beschäftigtenanzahl und aus Effektivitätsgesichtspunkten wird hierzu ein online basierter Ansatz verfolgt. Zur weiteren Umsetzung ist jedoch ein öffentliches Vergabeverfahren erforderlich, an dessen Vorbereitung (mit pandemiebedingten Einschränkungen) gearbeitet wird. Darüber hinaus sind weitere Sensibilisierungsmaßnahmen geplant.

Zu 4: Für das BA Mitte gibt es aktuelle Passwort – Richtlinien, die in der geltenden Dienstanweisung Online – Dienste veröffentlicht sind und auf die wiederholt durch Einblendungen der IT – Stelle im Beschäftigten – Portal hingewiesen wird. Inhaltlich werden hierbei die Hinweise/Empfehlungen des BSI sowie des BfDI berücksichtigt.

Zu 5: Bereits bestehende Regelungen für den Zutritt in besonders kritische Bereiche des BA (z.B. Technik-, Serverräume) werden aktualisiert und in einem maßgebenden Dokument zusammengefasst.  Bestandteile der Regelungen sind auch Festlegungen zum zutrittsberechtigten Personenkreis sowie zu Sicherheitsmaßnahmen.

Zu 6: Der USB – Zugriff ist für Druckeranschlüsse und Human Interface Devices (z.B. Tastatur, Maus) freigeschaltet. Für die Erkennung von USB – Massenspeicher – Devices wird der Zugriff auf Systemdateien im Windows – Systemverzeichnis benötigt, der jedoch standardmäßig über entziehbare Rechte im Rahmen einer System – Policy geregelt ist. Dadurch wird der Zugriff im regulären Betrieb auf das unbedingt notwendige Maß beschränkt. Die Bootreihenfolge sieht keine Einbindung von USB – Devices vor und ist per Systempasswort geschützt. Eine selektive Unterscheidung zwischen hauseigenen und fremden USB – Sticks ist jedoch nicht möglich. Eine weitere Verbesserung der bisher getroffenen Schutzmaßnahmen wird kontinuierlich geprüft und umgesetzt.

Zu 7: Die Stelle eines Busines Continuty Managers (BCM – ehem. IKT – Notfallbeauftragter) ist seit dem 1. Quartal 2020 besetzt und der Stabsstelle KAB im Bereich StadtSozGes zugeordnet. Damit ist eine enge Anbindung an die bereits bestehenden Organisationsstrukturen zur betrieblichen Notfallvorsorge/Katastrophenschutz gegeben. Der Bezirk Mitte ist damit der erste und bisher einzige Bezirk, der prioritär diese Rolle in der Berliner IKT – Landschaft besetzt hat. Die weitere Ausgestaltung eines IT – Notfallmanagements im BA Mitte befindet sich im lfd. Prozess.

Zu 8: Zu den Aktivitäten im unter Nr. 7 genannten Prozess gehört auch die Erstellung eines Notfallvorsorgekonzepts.

Der Rechnungshof ist zu den vorstehenden Punkten im Rahmen der Stellungnahme zu seinem Prüfbericht informiert worden.

A)    Rechtsgrundlage: