Aktuelles:

Stefan Ziller

GRÜN für Marzahn, Biesdorf, Kaulsdorf, Mahlsdorf und Hellersdorf

KI-Generiertes Bild
Abgeordnetenhaus Berlin IT‑Sicherheit Netzpolitik & Digitalisierung Verwaltung 

Mehr Schein als Sein: IT-Sicherheit der Verwaltung bleibt unüberprüft

0 Comments

Aktuelle IT-Sicherheitsvorfälle zeigen, wie verletzlich die Berliner Verwaltung in diesem Bereich noch ist. In meiner Anfrage habe ich daher den Senat zum Stand der Schulungen und Übungen befragt (Drucksache 19/23495). Zwar sind alle Behörden verpflichtet, ihre Beschäftigten jährlich zu schulen, doch der Senat verlässt sich darauf, dass dies geschieht – ohne Nachweise oder systematische Kontrolle. Ob die gesetzlichen Vorgaben tatsächlich eingehalten werden, bleibt damit offen.

Besonders wichtig sind praxisnahe Formate wie Live-Hacking-Veranstaltungen und regelmäßige Notfallübungen. Hier zeigt sich: 2023 gab es keine dokumentierten Veranstaltungen, 2024 nur zwei mit insgesamt 280 Teilnehmenden. Angesichts der Größe der Berliner Verwaltung ist das völlig unzureichend. Auch die Entwicklung eines landesweiten Awareness-Konzepts kommt nur langsam voran und befindet sich noch in Abstimmung.

Statt auf Selbstverpflichtungen zu vertrauen, braucht es endlich eine klare Überprüfung der Umsetzung und eine Ausweitung der Angebote. Nur so kann die Berliner Verwaltung aus den aktuellen Vorfällen die richtigen Konsequenzen ziehen und die digitale Sicherheit ihrer Beschäftigten wie auch der Bürger*innen dauerhaft gewährleisten.

1. Wie bewertet der Senat den Stand der Schulungen zum Thema IT-Sicherheit in der Breite der Berliner Verwaltung?

Alle Mitarbeiterinnen und Mitarbeiter der Behörden und Einrichtungen der Berliner Verwaltung sind regelmäßig hinsichtlich der Informationssicherheit zu schulen und sensibilisieren. Sensibilisierungs- und Schulungsmaßnahmen für die Mitarbeiter stellen eine permanente Aufgabe im Informationssicherheitsprozess dar. Gemäß § 23 Abs. 1 EGovG Bln ist für alle Mitarbeiter der jeweiligen Behörde mindestens einmal jährlich eine verpflichtende Fortbildungsveranstaltung durchzuführen. Die Verantwortung zur Durchführung obliegt den Behörden. Der Senat geht davon aus, dass der gesetzlichen Verpflichtung entsprechend nachgekommen wird.

2. Wie viele Live-Hacking-Veranstaltungen wurden in den Jahren 2023, 2024 sowie im ersten Halbjahr 2025 in der Berliner Verwaltung durchgeführt und wie viele Mitarbeiter*innen haben dabei teilgenommen? (Bitte jeweils Jahr, Anzahl der Teilnehmer*innen und Verwaltungseinheit angeben).

Bei Live-Hacking-Veranstaltungen sollen Spezialistinnen und Spezialisten interessierten Beschäftigten der Berliner Verwaltung zeigen, wie kriminelle Hacker gegen die Informationssicherheit handeln. Mittels verschiedener Angriffsszenarien wird live vorgeführt, wie sich sensible Daten ausspionieren lassen und welche Folgen dies für betroffene Personen und Institutionen haben kann. Es werden sowohl Empfehlungen gegeben, um Schäden zu vermeiden als auch Gefahren aufgezeigt und deren Funktionsweise erläutert. Ziel ist es, das Verständnis für Informationssicherheit und ihre eigene Rolle zur Umsetzung eines ausreichenden Informationssicherheitsniveaus bei den Beschäftigten zu stärken, da dies die Grundlage für sensibles Handeln darstellt. Die IKT-Steuerung ermöglicht die Durchführung von zwei Live-Hacking-Veranstaltungen pro Jahr für die Berliner Verwaltung. Die logistische Organisation obliegt dabei den teilnehmenden Behörden. Für das Jahr 2023 liegen dem Senat keine Informationen zur Durchführung von Live-Hacking-Veranstaltungen in der Berliner Verwaltung vor. Im Jahr 2024 wurde die Veranstaltung von der Senatsverwaltung für Inneres und Sport für 180 Teilnehmerinnen und Teilnehmer sowie von der Senatsverwaltung für Kultur und Gesellschaftlichen Zusammenhalt für 100 Teilnehmerinnen und Teilnehmer durchgeführt. Für das Jahr 2025 haben bislang das Landesamt für Bürger- und Ordnungsangelegenheiten (LABO), der Rechnungshof von Berlin und das Bezirksamt Reinickendorf Interesse an einer Live-Hacking-Veranstaltung bekundet.

3. In welchen Verwaltungen von Berlin wurde in den Jahren 2023, 2024 sowie im ersten Halbjahr 2025 das Behörden Informationssicherheitstraining (BITS) durchgeführt und wie sind die jeweiligen Teilnehmendenzahlen?

Das kostenlose Behörden-IT-Sicherheitstraining (BITS) stellt ein etabliertes Lernkurs- und Awareness-Training dar und ist konzipiert für Behörden und Einrichtungen, die ihre Beschäftigten im sicheren Umgang mit IT-Sicherheitsthemen sensibilisieren möchten. Im Land Berlin ist gemäß § 23 Abs. 1 EGovG Bln für alle Beschäftigten der jeweiligen Behörde mindestens einmal jährlich eine verpflichtende Fortbildungsveranstaltung durchzuführen. Die Verantwortung zur Durchführung obliegt den jeweiligen Behörden.

4. Wie ist der aktuelle Stand zur Ausarbeitung eines Durchführungskonzepts für regelmäßige Informationssicherheitsübungen nach Drucksache 18/1674 (angekündigt in Mitteilung – zur Kenntnisnahme – Drucksache 18/1999)?

Informationssicherheits- und IKT-Notfallübungen trainieren in simulierten Bedrohungsszenarien das Verhalten der Beteiligten, um die Informationssicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität dauerhaft zu gewährleisten. Die Ziele dieser Übungen sind u.a. die Sensibilisierung der Mitglieder der Notfallstäbe für ihre jeweilige Rolle und der damit verbundenen Aufgaben, die Zusammenarbeit der Akteure sowie die Überprüfung und Optimierung der internen und externen Kommunikationsfähigkeiten und – abläufe in Notfallsituationen. Sie dienen dazu, Probleme zu erkennen, Lösungswege hierfür aufzuzeigen und die Umsetzung der Informationssicherheit im Land Berlin zu dokumentieren. Die gemäß § 23 Abs. 1 EGovG Bln geforderte übergreifende Informationssicherheits- und IKT-Notfallübung für die Berliner Verwaltung wird jährlich von der IKT-Steuerung in Zusammenarbeit mit dem ITDZ Berlin und weiteren beteiligten Behörden der Berliner Verwaltung auf Basis eines entsprechenden Umsetzungskonzeptes geplant und
durchgeführt. Im Nachgang erfolgt eine Evaluation der durchgeführten Übung. Unter Berücksichtigung der erlangten Erkenntnisse erfolgt die Weiterentwicklung der nächsten behördenübergreifenden Informationssicherheits- und IKT-Notfallübung im Land Berlin und im Bedarfsfall auch die Anpassung des diesbezüglichen Umsetzungskonzeptes.

5. Wie ist der aktuelle Stand der Umsetzung eines Awarenesskonzept für IT-Sicherheit für die Berliner Verwaltung?

Gemäß der Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin sind alle Beschäftigten in den Sicherheitsmanagementprozess einzubinden und regelmäßig hinsichtlich der Informationssicherheit zu schulen und sensibilisieren. Durch Schulungs- und Sensibilisierungsmaßnahmen wird das Problembewusstsein für IKT-Sicherheit bei den Mitarbeitern der Berliner Verwaltung aufgebaut und kontinuierlich gestärkt. Dies führt langfristig zu einem sicheren digitalen Umgang und trägt dazu bei, das Informationssicherheitsniveau im Land Berlin aufrecht zu erhalten. Mit dieser Zielstellung wurde von der IKT-Steuerung ein landesweites, zielgruppenspezifisches Awareness-Konzept zur Sensibilisierung der Beschäftigten für Informationssicherheit erstellt. Abstimmungen zur Umsetzung sind mit der Verwaltungsakademie (VAK) in Vorbereitung. Über die VAK-Plattform sollen künftig Module zur Informationssicherheit angeboten und allen Beschäftigten der Berliner Verwaltung in Form von Selbstlernkursen bereitgestellt werden. Im Zuge der Umsetzung ist zudem auch die Sensibilisierung der obersten Managementebene avisiert. Hierzu wird der Landesbevollmächtigte für Informationssicherheit einen Vortrag zum Thema landesweites Awareness-Konzept in einer der nächsten Sitzungen des Digitalkabinetts halten.

6. Gibt es angesichts der IT-Sicherheitsvorfälle in diesem Jahr neue Ansätze zur Vorbereitung der Berliner Verwaltung auf künftige IT-Notfälle?

Zur bestmöglichen Vorbereitung der Berliner Verwaltung auf potentielle IKT-Notfälle und weitere Ausprägungen von sicherheitsrelevanten Ereignissen soll in der Berliner Verwaltung ein IKT-bezogenes Business Continuity Management (IKT-BCM) etabliert werden. Das IKT-BCM stellt einen modernen, ganzheitlichen Managementansatz dar, der das Ziel verfolgt, gravierende Risiken für die Geschäftsfortführung in der Berliner Verwaltung im Vorfeld zu erkennen und durch geeignete Maßnahmen entgegenzusteuern, so dass bei Ereigniseintritt die Fortführung kritischer Geschäftsprozesse sichergestellt ist. Im Rahmen eines IKT-BCM werden aufbauend auf einer zu erstellenden IKT-BCM-Leitlinie die weiteren Maßnahmen auf Basis des BSI-Standards 200-4 erarbeitet, umgesetzt und in der Berliner Verwaltung verankert. Die Projektarbeit zum Aufbau und zur Etablierung eines IKT-BCM für die Berliner Verwaltung wurde im Jahr 2024 von der IKT-Steuerung aufgenommen. Die Leitlinie zum IKT-BCM der Landesverwaltung des Landes Berlin wurde gemäß den Vorgaben des BSI-Standards 200-4 erarbeitet. Nach erfolgter Finalisierung ist sie durch die IKT-Staatssekretärin gemäß § 21, Abs. 2 Satz 2 Nr. 4 EGovG Bln im Land Berlin festzusetzen. Weiterhin wurden erste Projektschritte zur Erstellung eines Rollenkonzepts zum IKT-BCM sowie zur Etablierung eines IKT-BCM-Gremiums im Land Berlin durchgeführt.

Das könnte dir auch gefallen

Kompetenzen im Datenmanagement in Senatsverwaltungen und Bezirken

0 Comments

Senatsbericht zur Digitalisierung in Verwaltung, Landesunternehmen und Wirtschaft

0 Comments

Juniorwahl 2011 auch in Berlin

0 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen