IT-Sicherheitsvorfälle in Berlin 2019

Das Themengebiet IT-Sicherheit ist für uns Grüne dabei schon seit Jahren ein Kernpunkt unserer digitalisierungspolitischen Arbeit. Mit einem Positionspapier haben wir im Jahr 2018 unsere politischen Vorhaben benannt. Ausgangspunkt ist für uns dabei das Vorsorge- und Verhütungs-Prinzip. IT-Sicherheit darf kein reaktiver Vorgang auf schwerwiegende Sicherheitsvorfälle sein, sondern muss Vorfälle auf allen Ebenen antizipieren und ihnen mit einer umfassenden präventiven Strategie begegnen. Wir sehen dabei verschiedene zentrale Aspekte einer IT-Sicherheitsstrategie: die Sicherheit der Netze, die Sicherheit der Verwaltung, die Sicherheit der Wirtschaft, die Sicherheit der Bürger*innen und die Sicherheit im Katastrophenfall. Jeder dieser Aspekte erfordert dabei individuelle Betrachtung, um dem sicherheitspolitischen Anforderungsprofil gerecht zu werden. Dazu muss auch das Meldesystem von Sicherheitsvorfällen in der Verwaltung so überarbeitet werden, dass Bürger*innen einen transparenten Einblick bekommen – schlussendlich sind es ihre Daten, die betroffen sind.

Zur Meldung möglicher IT-Sicherheitsvorfälle habe ich in diesem Sinne den Senat nach konkreten Zahlen für 2019 befragt (Drucksache 18/22420).

1. Wie viele IT-Sicherheitsvorfälle wurden 2019 durch Behörden und Institutionen der Berliner Verwaltung gem. § 23 II EGovGBln oder ggf. anderer Rechtsgrundlagen gemeldet?

Im Zeitraum vom 01.01.2019 – 31.12.2019 erfolgten 12 Meldungen an das Berlin CERT.

2. Wie viele IT-Sicherheitsvorfälle wurden 2019 durch landeseigene Betriebe gem. § 23 II EGovGBln oder ggf. anderer Rechtsgrundlagen gemeldet?

Im Zeitraum vom 01.01.2019 – 31.12.2019 erfolgte eine Meldung an das Berlin CERT.

3. Wie viele der gemeldeten IT-Sicherheitsvorfälle wurden auch an die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach § 51 BlnDSG oder ggf. anderer Rechtsgrundlagen gemeldet?

Es erfolgt keine Erfassung der an die Berliner Beauftragte für Datenschutz und Informationsfreiheit gemeldeten IT-Sicherheitsvorfälle.

4. Wie viele IT-Sicherheitsvorfälle wurden 2019 bekannt, die nicht durch die betroffenen Institutionen oder Unternehmen gemeldet wurden? Welche Konsequenzen hatte ein Ausbleiben von Meldungen?

Dem Berlin-CERT sind keine IT-Sicherheitsvorfälle mit behördenübergreifenden Ausmaß bekannt, die nicht gemeldet wurden. Sollte dieser Fall eintreten, werden die Institutionen aufgefordert, eine Sofort-Meldung für einen IKT-Sicherheitsvorfall unverzüglich dem Berlin-CERT zu übermitteln. Bleibt die Meldung weiter aus, wird die IKT-Sicherheit bei SenInnDS informiert und leitet ihrerseits weitere Maßnahmen ein.

Bei der BlnBDI wurden im Jahr 2019 zwei IT-Sicherheitsvorfälle (einer nichtöffentlichen Stelle sowie eines Unternehmens) bekannt, die – obwohl eine
Meldepflicht nach Art. 33 DS-GVO bestand – nicht bzw. verspätet gemeldet wurden. Gegenüber dem Unternehmen wurde durch die BlnBDI ein
Ordnungswidrigkeitenverfahren eingeleitet.

5. Welche Empfehlungen hat das CERT des ITDZ in 2019 an betroffene Behörden, Institutionen und Unternehmen ausgesprochen? Wie viele der Empfehlungen wurden umgesetzt und in welchem Zeitraum? (Antwort bitte tabellarisch darstellen)

Alle Empfehlungen des Berlin-CERT und Meldungen sowie Hinweise des BSI werden im Landesbeschäftigtenportal der Berliner Verwaltung veröffentlicht. Neben den Veröffentlichungen wird zusätzlich über den Warn- und Informationsdienst des Berlin-CERT zu bekannt gewordenen Schwachstellen informiert. Der Warn- und Informationsdienst ist für jede Behörde im Intranet der Berliner Verwaltung zu erreichen.

Im Landesbeschäftigtenportal wurden in 2019 insgesamt 51 Meldungen und Hinweise veröffentlicht. Im Warn- und Informationsdienst wurden im Jahr 2019 über 2318 Schwachstellen informiert. Aufgrund der sicherheitsrelevanten Vertraulichkeit der ausgesprochenen Empfehlungen, können hierzu keine genaueren Angaben gemacht werden.

Die Umsetzung der jeweiligen Empfehlungen liegt in der Verantwortung der betroffenen Behörden. Bei Empfehlungen, die auch durch die IKT-Sicherheit bei SenInnDS als umzusetzende Maßnahmen für alle an das Berliner Landesnetz angeschlossenen Einrichtungen vorgegeben werden, wird die Umsetzung durch das Berlin-CERT beobachtet. Umsetzung die durch das ITDZ Berlin als Betreiber zentraler Komponenten oder Dienste, die unter anderem für die Sicherheit des Berliner Landesnetzes zuständig sind, werden dem Berlin-CERT gemeldet.

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.