Wie schlimm steht es um die IT-Sicherheit in Berlin?
Eigentlich soll es seit 2021 jedes Jahr einen IT-Sicherheitsbericht (InfoSic-Bericht) geben. Die Veröffentlichung des Berichts für das Jahr 2022 lässt jedoch auf sich warten. Kein gutes Zeichen um das Vertrauen in digitale Dienstleistungen zu stärken. Ich habe daher beim Senat nachgehakt (Drucksache 19/17659). Aus der Antwort geht hervor, dass der IT-Sicherheitsbericht 2022 fertiggestellt ist, der Bericht für das Jahr 2023 bislang nicht. Beide sollen aber erst zusammen veröffentlicht werden (bzw. die Veröffentlichung geprüft).
Dieser Mangel an Transparenz gegenüber Parlament und Öffentlichkeit ist das falsche Signal, wenn sich Meldungen wie Datenverluste bei der eAkte und IT-Störungen, welche Bürgerämter lahm legen, häufen. Letzterer Fall, lässt die Bürgerämter seit den Feiertagen stillstehen oder wieder zum Papier greifen. Schwarz-Rot verspielt ein wichtiges Gut: das Vertrauen der Bürger*innen in die digitalen Angebote Berlins. Transparenz über Vorfälle, Entwicklungen und Fehler herzustellen ist wichtig. Diese Transparenz sollte der Informationssicherheitsbericht herstellen.
Bereits im Juni 2023 zeigte meine schriftliche Anfrage: die Sicherheitsstrategie des Senats ist nicht zeitgemäß und die Berichte zum Haushalt 24/25 zeigten weitere Mängel. Auch Sicherheitsübungen fanden nicht statt und es fehlt an Personal. Zwar ist ein Security Awareness-Konzept in Arbeit, wann dieses fertig gestellt ist, wird nicht genannt.
1. Welchen Stellenwert hat das Thema IT-Sicherheit für den Berliner Senat?
Das Thema Informationssicherheit, welche eine umfänglichere Betrachtungsweise aufweist und weiter gefasst ist, als die zumeist technikorientierte IT-Sicherheit, hat einen hohen Stellenwert für den Berliner Senat und wird daher bei allen Prozessen des Verwaltungshandelns mit einer hohen Wertigkeit berücksichtigt. So wird die in den Richtlinien der Regierungspolitik formulierte politische Zielsetzung aktiv umgesetzt: “Gerade die Hauptstadt Berlin benötigt einen erhöhten Sicherheitsstandard. Die Digitalisierung von Dienstleistungen erfordert ein hohes Niveau der digitalen Sicherheit durch eine ganzheitliche Umsetzung von Informationssicherheit und Cybersicherheit als Grundlage von Vertrauen in digitale Dienstleistungen für Bürgerinnen und Bürger sowie für die Wirtschaft.” Die grundlegenden Ziele und Anforderungen sowie die Strategie der Informationssicherheit sind in der Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin (Informationssicherheitsleitlinie – InfoSic-LL) festgelegt. Im Zuge der voranschreitenden Digitalisierung der Berliner Verwaltung und zunehmenden digitalen Dienstleistungen für Bürgerinnen und Bürger ist eine digitale Sicherheit auf einem hohen Niveau essentiell. Um dies zu gewährleisten werden u.a. Sicherheitsmaßnahmen gemäß den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) / BSI IT- Grundschutzmethodik umgesetzt und das Portfolio der Basisdienste zur Absicherung des Einsatzes von Informations- und Kommunikationstechnik (IKT) in der Berliner Verwaltung kontinuierlich erweitert.
2. Wie weit ist die Fertigstellung des IT-Sicherheitsberichts 2022?
Der Bericht zur Informationssicherheit im Land Berlin 2022 (InfoSic-Bericht 2022) ist fertiggestellt.
3. Wann ist geplant, den IT-Sicherheitsbericht 2022 wie frühere Berichte auf dem Abgeordnetenhaus vorzulegen?
Der Informationssicherheitsbericht 2023 (InfoSic-Bericht 2023) befindet sich derzeit in der Erstellung. Nach der Finalisierung wird über die Übermittlung des InfoSic-Berichtes 2023 einschließlich des in der vorherigen Ressortzuständigkeit erstellten InfoSic-Berichtes 2022 als Anlage entschieden.
4. Welche Rolle spielt das Thema Transparenz und Sensibilisierung für das Ziel IT-Sicherheit ins Bewusstsein möglichst vieler Menschen zu bringen?
Die Gewährleistung der Informationssicherheit gehört zum integralen Selbstverständnis der Berliner Verwaltung. Zur Abbildung des hohen Stellenwertes der Informationssicherheit in der Berliner Verwaltung wurden entsprechende Sicherheitsziele mit geeigneten Sicherheitsniveaus definiert. Zu den primären Schutzzielen der Informationssicherheit zählen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen jeglicher Art und Herkunft. Bei der Verarbeitung personenbezogener Daten werden aufgrund der erhöhten Anforderungen an den Datenschutz zudem auch die erweiterten Ziele Datenminimierung, Nichtverkettung, Intervenierbarkeit, und Transparenz berücksichtigt. In Bezug auf die Transparenz wird darauf abgezielt, den Umgang der verwendeten Daten transparent aufzuzeigen und auf das erforderliche Maß zu begrenzen, d.h. sowohl Betroffene als auch die Betreiber von IKT-Systemen sowie zuständige Kontrollinstanzen können erkennen, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt. Transparenz bedeutet in diesem Zusammenhang auch, dass personenbezogene Daten ihrem Ursprung gesichert zugeordnet werden können, und dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.
Die Sensibilisierung der Mitarbeitenden in der Berliner Verwaltung nimmt ebenfalls eine tragende Rolle im Informationssicherheitsmanagementprozess ein. Ein Grundsatz der InfoSic-LL ist die Einbindung aller Beschäftigten im Informationssicherheits- managementprozess durch regelmäßige Schulung und Sensibilisierung hinsichtlich der Informationssicherheit. Für die Planung entsprechender Sensibilisierungsmaßnahmen liegt die Verantwortung grundsätzlich bei den jeweiligen Informationssicherheitsbeauftragten in den einzelnen Behörden der Berliner Verwaltung (Beh-InfSiBe ́s). Darüber hinaus soll im Rahmen der Maßnahmenumsetzung der IKT-Sicherheitsarchitektur die Etablierung einer landesweiten Informationssicherheitssensibilisierung für die Berliner Verwaltung erfolgen. Das hierfür erforderliche Security Awareness-Konzept zur Sensibilisierung und Schulung der Beschäftigten in der Berliner Verwaltung ist in Erstellung. Das Konzept beschreibt, wie das Grundlagen- und Fachwissen bzgl. der Informationssicherheit in der Berliner Verwaltung zielgruppenspezifisch, z.B. an die Beh-InfSiBe ́s, weitergegeben und kontinuierlich vertieft werden kann. Alle Behörden im Land Berlin können auf diese Konzeption zugreifen. Es dient somit auch als Grundlage für die verpflichtende Fortbildung in der Informationssicherheit. Nicht nur Fachkräfte, sondern vielmehr alle Beschäftigten des Landes Berlin sollen mithilfe der landesweiten Informationssicherheitssensibilisierung besser ausgebildet und motiviert werden, der Informationssicherheit im täglichen beruflichen und privaten Handeln ein höheres Maß an Aufmerksamkeit zu widmen und somit aktiv einen Beitrag zur Herstellung, kontinuierlichen Aufrechterhaltung und Verbesserung sowie Nachweisbarkeit eines angemessenen Schutzes der Informationswerte der Berliner Verwaltung zu leisten.