Aktuelles:

Stefan Ziller

GRÜN für Marzahn, Biesdorf, Kaulsdorf, Mahlsdorf und Hellersdorf

Abgeordnetenhaus IT‑Sicherheit Netzpolitik & Digitalisierung Senat Verwaltung 

Da geht mehr: IT-Sicherheitsstrategie in der Berliner Verwaltung

0 Comments

Es reicht schon ein schlechtes Passwort oder etwas Unaufmerksamkeit beim Öffnen von E-Mail Anhängen, um den Arbeitscomputer zum kompromittieren. Daher sollten Beschäftigte regelmäßig ein IT-Sicherheitstraining erhalten. Ich habe mich beim Senat erkundigt (Drucksache 19/15562), wie die Beschäftigten in Berlin in Sachen IT-Sicherheit geschult werden.

Die Antwort ist nicht zeitgemäß: Schulungsmöglichkeiten gibt es, aber ob diese auch genutzt werden, ist nicht bekannt. Demnach gibt es für alle Beschäftigten einmal im Jahr eine Fortbildungsveranstaltung zum Thema IKT-Sicherheit und es gibt vom CERT ein digitales IT-Sicherheitstraining, welches auf der Open-Source Software BITS basiert. Zu beiden gibt es keine Zahlen zu Teilnehmenden oder Nutzungszahlen. Begründung: Datensparsamkeit. Grundsätzlich ist Datensparsamkeit gut und sinnvoll, allerdings sollte eine Arbeitgeberin wissen, wie viele Beschäftigte ein IKT-Sicherheitstraining durchlaufen haben. Dafür braucht es keine umfassende Erfassung von personenbezogenen Daten. Ein prozentualer Indikator, welche Verwaltung wie viele Beschäftigte pro Kalenderjahr im Bereich IT-Sicherheit fortgebildet hat, wäre ein Anfang.

Zu hoffen bleibt, dass das im vierten Quartal 2023 angekündigte Awarenesskonzept-Berlin hierbei Abhilfe schafft und bspw. Zielzahlen an Teilnehmenden pro Verwaltung vorgibt. Übrigens, wer das BITS Sicherheitstraining selbst ausprobieren will, kann dies unter: bits-training.de tun. Die Software steht unter Creative Commons Lizenz und kann auch selbst gehostet werden, ist also nicht nur für Behörden interessant sondern auch für freie Träger und Unternehmen.

Besonders ernüchternd ist, dass auch 2,5 Jahren nach dem Antrag zur Einführung eines Wettbewerbs für Beschäftigte zur Meldung von Sicherheitslücken und einem Bug Bounty Programm (Drucksache 18/1999) keine Fortschritte zu vermelden sind. Grund: es fehlt an personellen Ressourcen. Gerade Wettbewerbe und Bug Bounty Programme können das Bewusstsein für IT-Sicherheit steigern und das Engagement von ethisch Hackenden hervorheben. Viele, wie zuletzt der Spitzenverband Digitale Gesundheitsversorgung, haben sich inzwischen auf den Weg gemacht. Ganz davon abgesehen, dass die IT-Sicherheit insgesamt gesteigert wird und die muss in der öffentlichen Verwaltung hoch sein, um das Vertrauen der Bürger*innen zu erhalten.

Zuletzt wollte ich wissen, wo Beschäftigte, Sicherheitsforscher*innen und ethisch hackende Sicherheitslücken melden können. In Berlin ist dies zurzeit bei den folgenden Stellen möglich:

  • Beim BSI, eine anonyme Meldung ist möglich.
  • IKT-Sicherheit Berlin, keine Anonyme Meldung möglich und keine Richtlinien wie mit Meldungen umgegangen wird.
  • ITDZ Berlin, hier gibt es auch keine Hinweise, wie Sicherheitslücken gemeldet werden können.

Was der Senat anscheinend nicht weiß ist, dass es für Berlin.de möglich ist, Sicherheitslücken zu melden. Dabei wird beschrieben, wie mit Sicherheitslücken umgegangen wird. Zwar ist keine anonyme Meldung möglich, allerdings wird der Rechtsweg ausgeschlossen, wenn keine kriminelle Motivation vorliegt, ein PGP Schlüssel wird zur Verfügung gestellt und die meldende Person kann die Sicherheitslücke später auch veröffentlichen. Leider beschränkt sich die Policy nur auf die Website Berlin.de – sollte der Standard für ganz Berlin sein!

1. Wie viele Live-Hacking-Veranstaltungen wurden seit dem 1. Juni 2019 in der Berliner Verwaltung durchgeführt und wie viele Mitarbeiter*innen haben dabei teilgenommen? (Bitte jeweils Jahr, Anzahl der Teilnehmer*innen und Verwaltungseinheit angeben).

Gemäß § 23 EGovG Bln sind die Behörden verpflichtet, einmal jährlich für alle Beschäftigten eine Fortbildungsveranstaltung im Themenbereich IKT-Sicherheit durchzuführen. Die einzelnen Behörden führen diese ihrerseits eigenständig durch. Eine behördenübergreifende Übersicht wird dabei aus Datensparsamkeitsgründen nicht durchgeführt. Als Unterstützung zur Durchführung und Bewertung dieser Maßnahme wird derzeit im Awarenesskonzept-Berlin erarbeitet.

2. In welchen Verwaltungen von Berlin wird seit 1. Juni 2019 das Behörden Informationssicherheitstraining (BITS) durchgeführt und wie sind die Teilnehmendenzahlen?

Gemäß § 23 EGovG Bln sind die Behörden verpflichtet, ein ISMS aufzubauen, in dem das auf Open Source basierende BITS Training eine sinnvolle Maßnahme sein kann, aber nicht sein muss. Einige Behörden haben separate Instanzen eingerichtet und für ihre eigenen Bedürfnisse konfiguriert. Das BITS wird weiterhin landesweit als Dienstleistung durch das Berlin CERT bereitgestellt und kann innerhalb der Berliner Behörden über https://bits.berlin-cert.verwalt-berlin.de/ genutzt werden. Eine zentrale Protokollierung der Nutzer erfolgt aus Datensparsamkeitsgründen nicht.

3. Wo können Sicherheitsforscher*innen und Zivilgesellschaft Sicherheitslücken in Software und Websiten der Berliner Verwaltung melden? (bitte einzeln auflisten mit jeweiliger Internetpräsenz oder anderweitiger Kontaktmöglichkeit)

Sicherheitsforscher und Zivilgesellschaft können bei Webseiten oder damit zusammenhängenden Softwareprodukten über den Impressum-Button der jeweils verantwortlichen Behörde die Sicherheitsprobleme melden. Diese wird dann über die etablierten Meldewege die Abarbeitung initiieren.

Bei davon losgelösten Sicherheitsproblemen kann eine Meldung an

a) das Schwachstellenportal des BSI: unter https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/ITSchwachstellen/Schwachstellenmeldungen/Schwachstellenmeldungen_node.html (Über den CERT Verbund erfolgt dann gegebenenfalls eine Information über die etablierten Meldewege an das Land Berlin.)

b) den Bereich IKT-Sicherheit: https://www.berlin.de/moderne-verwaltung/prozesse-und-technik/iktsicherheit/informationssicherheit/artikel.947470.php

c) das CERT Berlin: https://www.itdz-berlin.de/dienstleistungen/it-infrastruktur/sicherheit/

erfolgen.

4. Was ist der aktuelle Stand zur Ausarbeitung eines Durchführungskonzepts (angekündigt in Drucksache 18/1999) für regelmäßige Informationssicherheitsübungen nach Drucksache 18/1674?

Seit 2020 wird jährlich die im § 23 EGovG Bln festgeschriebene, übergreifende jährliche Sicherheitsübung durchgeführt. Ausnahme bildete das Jahr 2021. 2021 wurde die Übung aufgrund der Pandemiebeschränkungen nicht durchgeführt.

5. Was ist der aktuelle Stand der Umsetzung eines Wettbewerbs für Beschäftigte, die auf Informationssicherheitslücken hinweisen? (Drucksache 18/1674)

Mit der Planung zu einem Wettbewerb für Beschäftigte, die auf Informationssicherheitslücken hinweisen, wird begonnen, wenn personelle Ressourcen im verantwortlichen Bereich zur Verfügung stehen. Bei der gegenwärtigen personellen Situation ist eine Umsetzung nur mit einer Ausschreibung für entsprechende Unterstützungsleistungen durchführbar. Die Anmeldung dafür erforderlicher Mittel ist im Rahmen zukünftiger haushaltswirtschaftlicher Maßnahmen in die Planung aufgenommen. Es ist beabsichtigt, den Wettbewerb als Bestandteil im derzeit in Erstellung befindlichen Awarenesskonzept-Berlin zu berücksichtigen. Die Finalisierung des Konzepts ist für Q4 2023 geplant.

6. Was ist der aktuelle Stand der Umsetzung eines Bug-Bounty-Programms für Berliner Universitäten? (Drucksache 18/1674)

Zur Umsetzung eines Bug-Bounty-Programms für Berliner Universitäten oder Forschungseinrichtungen sowie gemeinnützigen Vereinen wie dem CCC sind umfangreiche rechtliche Bewertungen zur Machbarkeit erforderlich – einschließlich der Anpassung von Vergabevorschriften. Mit der Planung und Umsetzung wird durch den Fachbereich begonnen, wenn personelle Ressourcen im verantwortlichen Bereich zu dem komplexen Thema zur Verfügung stehen.

7. Welche Bug-Bounty-Programme des Bundes, der Bundesländer und Kommunen sind dem Senat bekannt, deren Konzepte für Berlin übernommen werden könnten?

Derzeit sind keine Bug-Bounty-Programme des Bundes oder anderer Länder bekannt.

Das könnte dir auch gefallen

Auslastung der Notunterkünfte für wohnungslose Familien

0 Comments

Neues Bäderkonzept für Berlin: Geht Marzahn-Hellersdorf wieder leer aus?

1 Comment

Zukunft des Teufelsberg – Was tun gegen den Sondermüll?

0 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen