IT-Sicherheitsvorfälle in Berlin 2021
Wie viele IT-Sicherheitsvorfälle wurden 2021 durch Behörden und Institutionen der Berliner Verwaltung gemeldet? Das habe ich den Senat wie im vergangenen Jahr befragt (Drucksache 19/10943). Aus der Antwort geht hervor, dass im Zeitraum vom 01.01.2021 – 31.12.2021 gem. § 23 Abs. 2 EGovG Bln insgesamt 18 Meldungen an das Berlin-CERT gegeben wurden. Das sind sogar 2 weniger als 2020.
Im Zeitraum 01.01.2021 – 31.12.2021 wurden zwei IT-Sicherheitsvorfälle durch landeseigene Betriebe gem. § 23 Abs. 2 EGovG Bln gegenüber dem Berlin-CERT gemeldet. Das Berlin-CERT hat im Zeitraum 01.01.2021 – 31.12.2021 insgesamt 63 Meldungen im Intranet veröffentlicht und die Informationssicherheitsbeauftragten der Behörden der Berliner Landesverwaltung auf die Meldungen hingewiesen.
1. Wie viele IT-Sicherheitsvorfälle wurden 2021 durch Behörden und Institutionen der Berliner Verwaltung gem. § 23 II EGovGBln oder ggf. anderer Rechtsgrundlagen gemeldet?
Das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) betreibt als zentraler IKT-Dienstleister zur Unterstützung und Beratung der Behörden der Berliner Verwaltung bei sicherheitsrelevanten Vorfällen in IKT-Systemen ein Computersicherheits-Ereignis- und Reaktionsteam (Berlin-CERT). Die an das Berliner Landesnetzwerk angeschlossenen Behörden und Einrichtungen haben dem Berlin-CERT sicherheitsrelevante Vorfälle unverzüglich zu melden. Im Zeitraum vom 01.01.2021 – 31.12.2021 erfolgten gem. § 23 Abs. 2 EGovG Bln insgesamt 18 Meldungen an das Berlin-CERT. Eine Meldung von IT-Sicherheitsvorfällen durch Behörden und Institutionen nach anderen Rechtsgrundlagen erfolgte nicht.
2. Wie viele IT-Sicherheitsvorfälle wurden 2021 durch landeseigene Betriebe gem. § 23 II EGovGBln oder ggf. anderer Rechtsgrundlagen gemeldet?
Im Zeitraum 01.01.2021 – 31.12.2021 wurden zwei IT-Sicherheitsvorfälle durch landeseigene Betriebe gem. § 23 Abs. 2 EGovG Bln gegenüber dem Berlin-CERT gemeldet. Ein IT-Sicherheitsvorfall wurde durch das ITDZ Berlin (Anstalt öffentlichen Rechts) gemeldet. Ein weiterer sicherheitsrelevanter Vorfall wurde bei den Kindertagesstätten Berlin Süd-West (Eigenbetrieb von Berlin) gemeldet. Alle restlichen Meldungen stammten von den Senatsverwaltungen, deren nachgeordneten Behörden oder den Bezirksämtern. Eine Meldung von IT-Sicherheitsvorfällen durch Behörden und Institutionen nach anderen Rechtsgrundlagen erfolgte nicht.
3. Wie viele der gemeldeten IT-Sicherheitsvorfälle wurden auch an die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach § 51 BlnDSG oder ggf. anderer Rechtsgrundlagen gemeldet?
Es erfolgt keine Erfassung der an die Berliner Beauftragte für Datenschutz und Informationsfreiheit gemeldeten IT-Sicherheitsvorfälle. Die Anzahl der nach § 51 BlnDSG gemeldeten Verletzungen des Schutzes personenbezogener Daten an die Berliner Beauftragte für Datenschutz und Informationsfreiheit betrug insgesamt 137.
4. Wie viele IT-Sicherheitsvorfälle wurden 2021 bekannt, die nicht durch die betroffenen Institutionen oder Unternehmen gemeldet wurden? Welche Konsequenzen hatte ein Ausbleiben von Meldungen?
Aufgrund von Hinweisen durch das Berlin-CERT wurden zwei Meldungen durch die betroffenen Institutionen zu IT-Sicherheitsvorfällen nachträglich erstellt, da diese erst durch die gegebenen Hinweise als solche erkannt werden konnten. Die nachträgliche Erstellung hatte keine negativen Auswirkungen und erforderte kein erweitertes Handeln des Berlin-CERT.
5. Welche Empfehlungen hat das CERT des ITDZ in 2021 an betroffene Behörden, Institutionen und Unternehmen ausgesprochen? Wie viele der Empfehlungen wurden umgesetzt und in welchem Zeitraum? (Antwort bitte tabellarisch darstellen)
Das Berlin-CERT hat im Zeitraum 01.01.2021 – 31.12.2021 insgesamt 63 Meldungen im Intranet veröffentlicht und die Informationssicherheitsbeauftragten der Behörden der Berliner Landesverwaltung auf die Meldungen hingewiesen. Die Umsetzung der Empfehlungen liegt in der Verantwortung der jeweiligen Institution und wird vom Berlin-CERT nicht kontrolliert. Aufgrund der heterogenen Systemlandschaft in den Verwaltungen ist eine Betroffenheit nur durch die jeweilige Stelle festzustellen und zu bewerten. Das entspricht der Vorgehensweise nach den BSI-Standards für das Informationssicherheitsmanagement. Folgende Meldungen sowie Aktualisierungen, Warnungen und Informationen
wurden 2021 vom Berlin-CERT veröffentlicht: siehe PDF.