IT-Sicherheitsvorfälle in Berlin 2019

Das Themengebiet IT-Sicherheit ist für uns Grüne dabei schon seit Jahren ein Kernpunkt unserer digitalisierungspolitischen Arbeit. Mit einem Positionspapier haben wir im Jahr 2018 unsere politischen Vorhaben benannt. Ausgangspunkt ist für uns dabei das Vorsorge- und Verhütungs-Prinzip. IT-Sicherheit darf kein reaktiver Vorgang auf schwerwiegende Sicherheitsvorfälle sein, sondern muss Vorfälle auf allen Ebenen antizipieren und ihnen mit einer umfassenden präventiven Strategie begegnen. Wir sehen dabei verschiedene zentrale Aspekte einer IT-Sicherheitsstrategie: die Sicherheit der Netze, die Sicherheit der Verwaltung, die Sicherheit der Wirtschaft, die Sicherheit der Bürger*innen und die Sicherheit im Katastrophenfall. Jeder dieser Aspekte erfordert dabei individuelle Betrachtung, um dem sicherheitspolitischen Anforderungsprofil gerecht zu werden. Dazu muss auch das Meldesystem von Sicherheitsvorfällen in der Verwaltung so überarbeitet werden, dass Bürger*innen einen transparenten Einblick bekommen – schlussendlich sind es ihre Daten, die betroffen sind.

Zur Meldung möglicher IT-Sicherheitsvorfälle habe ich in diesem Sinne den Senat nach konkreten Zahlen für 2019 befragt (Drucksache 18/22420).

Weiterlesen

Rolle der Landesbevollmächtigten für Informationssicherheit bei den Emotet- Vorfällen in der Berliner Verwaltung

Die Berliner Verwaltung hat zuletzt einige IT-Sicherheitsvorfälle erlebt. Der Vorfall am Kammergericht hat gezeigt, dass die Reaktionszeiten bisher zu lange dauern. Ich habe dies zum Amlass genommen, die Rolle der Landesbevollmächtigten für Informationssicherheit im Verfahren mal zu beleuchten (Drucksache 18/21620). In der Antwort erklärt der Senat ausführlich ihre Rolle und Rechte.

Zur Bewertung sagt der Senat: „Grundsätzlich werden die etablierten Regelungen und Prozesse als wirksam bewertet. Neben der regelmäßigen Prüfung der Regelungen finden die ereignisbezogenen Nachbereitungen zu Vorfällen Eingang in den kontinuierlichen Verbesserungsprozess des landesweiten Informationssicherheitsmanagement“ aber auch: „Für ein derart anforderungsgerechtes Verwaltungshandeln ist eine Stärkung der Verwaltung mit Spezialistinnen und Spezialisten erforderlich, die über Kompetenzen in Handlungsfeldern Informationssicherheit, Prozessgestaltung und Kommunikation zur Informationssicherheit, sowie Informationssicherheitssensibilisierung verfügen. Dazu werden die Stellenbesetzungsverfahren mit Inkrafttreten des Haushaltes 2020/2021 zeitnah begonnen.

Weiterlesen

Nutzungsdauer von Smartphones in der Berliner Verwaltung

Mit der verstärkten Nutzung von Smartphones in der Berliner Verwaltung stellt sich auch die Frage der Nutzungsdauer und von ReUse-Konzepten. Hierzu habe ich den Senat befragt und die Antworten zeigen, dass hier weiterer Klärungsbedarf besteht (Drucksache 18/21634).

Der Antwort zur Folge gibt es keine Informationen über die durchschnittliche Nutzungsdauer von beschafften Smartphones in der Berliner Verwaltung. Im Rahmen der Weiterentwicklung des standardisierten IKT-Arbeitsplatzes sollen auch die Nutzungsszenarien für Smartphones bewertet und standardisiert werden. Zu berücksichtigen sind hierbei u.a auch bundesweite Festlegungen zu Abschreibungszeiträumen, deren steuerliche Relevanz sowie Aspekte der Nachhaltigkeit und des Umweltschutzes.

Weiterlesen

Bits & Berlin – Newsletter – 12/2019

Der letzte Newsletter des Jahres ist etwas kürzer, aber trotzdem bietet „Bits & Berlin“ – der monatliche Newsletter über meine parlamentarische Arbeit zur Verwaltungsmodernisierung, Digitalisierung und Datenschutz – einige spannende Sachen. Ansonsten möchte ich zum Jahresabschluss allen treuen Leser*innen danken und wunderschöne Feiertage wünschen! Und damit viel Spaß beim Lesen und wir sehen uns in einem vollgepackten Jahr 2020. #EsGibtVielZuTun!

Bericht aus der 27. Sitzung im Ausschuss für Kommunikationstechnologie und Datenschutz

In der aktuellen Viertelstunde habe ich den Senat gefragt wie die Fehler bei der Windows-10-Umstellung (falsche Version) zu bewerten sind und welche Rolle dabei die derzeitig noch zu dezentrale Verantwortung für die IT spielt? Hierzu erklärt der Senat folgendes:

„Im Zuge der Umstellung von PCs auf Windows 10 wurden zu keinem Zeitpunkt fehlerhafte oder falsche Updates installiert. Bei den installierten Windows 10-Versionen handelt es sich um zwei verschiedene Varianten. SAC (Funktions- und Sicherheitsupdates, häufiges Aufspielen von patches*) und LTSC (Nur Sicherheitsupdates, weniger häufiges Aufspielen von patches). Die Innenverwaltung hat allen Behörden im Dezember 2018 den Einsatz der SAC-Variante empfohlen. Einige Behörden haben jedoch die LTSC-Variante gewählt. Aufgrund der allgemeinen IKT-Sicherheitslage sowie aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird angestrebt – nach der vollständig erfolgten Umstellung auf Windows 10 – im Laufe des Jahres 2020 in einem zweiten Schritt auch das Sicherheitsniveau des neuen Betriebssystems weiter anzuheben.“

Das ist erstmal beruhigend. Es zeigt jedoch, dass die fehlende Umsetzung des Berliner E-Government-Gesetzes der Berliner Verwaltung immer wieder auf die Füße fällt. Auch der Sicherheitsvorfall am Kammergericht wurde durch die dezentrale Verantwortung erleichtert. Ziel muss sein die Standardisierung der Berliner IT-Landschaft schnellstmöglich umzusetzen und damit eine zentrale Verantwortlichkeit beim IT-Dienstleistungszentrum Berlin (ITDZ) zu schaffen.

Als erster regulärer Tagesordnungspunkt stand eine Anhörung zum Thema Datenschutz bei der Deutsche Wohnen AG auf der Agenda. Kurz vor dem Ausschuss teilte uns die Deutsche Wohnen in einem Schreiben jedoch mit, dass sie die Einladung zur Sitzung nicht annimmt.

Damit kamen wir dann zur Anhörung zum EMOTET-Angriff auf das Berliner Kammergericht. Diese machte unter anderem deutlich, dass die bisher gesetzlich vorgesehene Ausnahme der Justiz beim E-Government-Gesetz nicht mehr zeitgemäß ist. Der Präsident des Kammergerichts Bernd Pickel unterstützte diese Sichtweise auf Nachfrage im Ausschuss ausdrücklich. Offen blieb die grundsätzliche Frage, wie eine zu laxe Einstellung zur IT-Sicherheit im Vorfeld eines Vorfalls zu ändern ist. Maßnahmen zur Awareness der Berliner Verwaltung müssen nach den diversen Vorfällen mit Priorität auf die Tagesordnung der Verantwortlichen.

Einnahmen aus der TLD „.berlin“

Im Rahmen der Haushaltsberatungen hat die Senatskanzlei dem Hauptausschuss berichtet, wie die geplanten Einnahmeerhöhungen beim Titel 11960 (Einnahmen aus dem Betrieb der Top Level-Domain „berlin“) erbracht werden sollen (Rote Nummer 2598). Auch über die Anzahl der Namensreservierungen des Senats wurde in der Vorlage informiert. Lesen sie den vollständigen Beitrag.

KRITIS-Umsetzungen in Berliner Krankenhäusern

Im Oktober berichtete die Presse, dass die Sicherheitsüberprüfung von Krankenhäusern nicht wie vorgesehen erfolgen können, da nicht genügend prüfende Stellen existieren. Ich habe die Berichterstattung zum Anlass genommen den Senat zur Situation der Berliner Krankenhäuser zu befragen. Nun liegt die Antwort vor (Drucksache 18/21633). Das Ergebnis: Berliner Behörden sind hierbei nicht beteiligt. Die Meldepflichten bestehen ausschließlich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Deshalb liegen dem Senat Informationen zu Sicherheitsüberprüfungen und Audits nicht vor.

Der Senat informiert aber auch, dass Berlin durch organisatorische und finanzielle Maßnahmen unterstützt. So wurden im ersten Halbjahr des Jahres 2019 in zwei Berliner Krankenhäusern Übungen durchgeführt, in denen die Zusammenarbeit der IT-Sicherheit mit dem Krisenmanagement geübt wurde. Die Erkenntnisse aus den Übungen werden genutzt werden, den anderen Berliner Krankenhäusern Hinweise zu geben, wie sie die Vorsorge weiter ausbauen können. Die Übungen werden auch im Jahr 2020 fortgesetzt.

Mein Fazit auch nach den Erfahrungen mit der Charité im Ausschuss für Datenschutz: Es bewegt sich einiges im Bereich IT-Sicherheit, aber die weitere Sensibilisierung aller Beteiligten ist fortlaufend nötig.

Weiterlesen

KRITIS-Umsetzungen in Berliner Krankenhäusern

Im Oktober berichtete die Presse, dass die Sicherheitsüberprüfung von Krankenhäusern nicht wie vorgesehen erfolgen können, da nicht genügend prüfende Stellen existieren. Das ist ein Problem, da Krankenhäuser zu den kritischen Infrastrukturen zählen und damit ihre IT in besonderer Weise gegen Hackerangriffe schützen müssen. Ich habe die Berichterstattung zum Anlass genommen den Senat zur Situation der Berliner Krankenhäuser zu befragen. Nun liegt die Antwort vor (Drucksache 18/21633).

Teil eins der Antwort: Berliner Behörden sind hierbei nicht beteiligt. Die Meldepflichten bestehen ausschließlich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Deshalb liegen dem Senat Informationen zu Sicherheitsüberprüfungen und Audits nicht vor.

Teil zwei der Antwort: Der Senat informiert aber auch, dass Berlin durch organisatorische und finanzielle Maßnahmen unterstützt. So wurden im ersten Halbjahr des Jahres 2019 in zwei Berliner Krankenhäusern Übungen durchgeführt, in denen die Zusammenarbeit der IT-Sicherheit mit dem Krisenmanagement geübt wurde. Die Erkenntnisse aus den Übungen werden genutzt werden, den anderen Berliner Krankenhäusern Hinweise zu geben, wie sie die Vorsorge weiter ausbauen können. Die Übungen werden auch im Jahr 2020 fortgesetzt.

Mein Fazit auch nach den Erfahrungen mit der Charité im Ausschuss für Datenschutz: Es bewegt sich einiges im Bereich IT-Sicherheit, aber die weitere Sensibilisierung aller Beteiligten ist fortlaufend nötig.

Weiterlesen

Bits & Berlin – Newsletter – 10/2019

Willkommen zur neuen Ausgabe von „Bits & Berlin“ – dem monatlichen Newsletter über meine parlamentarische Arbeit zur Verwaltungsmodernisierung, Digitalisierung und Datenschutz. Nachdem der Herbst nun voll in Berlin eingetroffen ist, lohnt es sich, das Tablet auszupacken, den Tee aufzubrühen und sich bei regnerischem Wetter mit unserem Newsletter in den Sessel zu setzen. Viel Spaß beim Lesen!

Bericht aus der 25. Sitzung im Ausschuss für Kommunikationstechnologie und Datenschutz

Die 25. Sitzung des KTDAT-Ausschuss im Berliner Abgeordnetenhaus stand ganz im Zeichen der Digitalisierung im Bildungsbereich und der Umsetzung des Digitalpakts. Zunächst wurden aber zwei relevante Themen in der aktuellen Viertelstunde angesprochen: der EMOTET-Befall im Berliner Kammergericht und Datenschutzmängel bei der BVG-App „Yelbi“.

In der Anhörung zur Digitalisierung in den Schulen wurde über den Antragsstart für eine deutliche Aufstockung der technologischen Möglichkeiten der Schulen berichtet. Auch über die Einrichtung einer Schulcloud wurde berichtet. Problempunkte bleiben weiterhin der Anschluss an Breitbandverbindungen, den Aufbau von WLAN an den Schulen und die Nutzung von mitgebrachten Endgeräten.

Danach ging um es einen Antrag der CDU zur Erhebung und Veröffentlichung von Daten zur Performance von individuellen Schulen. Da es schon eine Erhebung einiger Daten durch die Verwaltung gibt, die auch nach Plänen der Senatsverwaltung für Bildung ausgebaut werden soll, will die Antragstellerin hier ihren Antrag zurückstellen. Am Ende wurde auch ein einheitliches Schulnetz angesprochen. Zunächst soll die Sekundarstufe 1 noch in diesem Jahr vereinheitlicht werden, danach die weiteren Schulstufen. Relevant dabei ist auch die vertiefte Zusammenarbeit mit dem ITDZ. Aus Sicht der Datenschutzbeauftragten braucht es in diesem Zusammenhang eine weitere Überarbeitung der Schuldatenverordnung, bei der noch einige rechtliche Hürden bestehen.

Verschlüsselte Kommunikation mit Berliner Behörden

Seit über 2 Jahren ist die Berliner Verwaltung nach dem E-Government-Gesetz Berlin verpflichtet, verschlüsselte Kommunikation zu ermöglichen. Dabei geht es nicht nur um die Einrichtung von DE-Mail-Postfächern, sondern insbesondere von geeigneten freien Verschlüsselungsmethoden mit Ende-zu-Ende-Verschlüsselung, wie sie im E-Government-Gesetz vorausgesetzt wird.

In einer Anfrage habe ich zum aktuellen Stand nachgefragt: https://www.stefan-ziller.eu/2019/verschluesselte-kommunikation-mit-der-verwaltung-in-berlin

Die Möglichkeit zur verschlüsselten Kommunikation ist Grundlage der digitalen Verwaltung und die Berliner Verwaltung ist dafür bisher nur unzureichend vorbereitet. Die einzelnen Behörden benötigen hier ganz klar Hilfestellung; gleichzeitig muss aber auch die Umsetzung der gesetzlichen Vorgaben konsequent überwacht werden.

Ordnungsamt Online

Ich habe zur Weiterentwicklung des Ordnungsamt Online beim Senat nachgefragt. Die Weiterentwicklung der Benutzeroberfläche mit einem neuen Design soll noch in 2019 abgeschlossen werden und insbesondere die Veröffentlichung von Statistiken über das Berliner Datenportal angeboten werden. Dazu ist Einbindung der Straßen- und Grünflächenämter abgeschlossen, sodass das technische System allen bezirklichen Straßen- und Grünflächenämtern seit dem 31.08.2018 zur Verfügung steht. Bisher wird es von 4 Bezirken genutzt.

Noch in 2019 soll es eine „internen App“ geben, die es den Dienstkräften ermöglicht, von ihnen festgestellte Störungen der öffentlichen Ordnung als Meldungen direkt in das IT-Fachverfahren „Anliegenmanagement Ordnungsamt Online“ (AMS) zu übernehmen. Damit sollen vor allem die direkte Kommunikation zwischen dem Außendienst und dem Innendienst der bezirklichen Ordnungsämter verbessert werden.

Zur ganzen Anfrage geht es hier: https://www.stefan-ziller.eu/2019/weiterentwicklun…dnungsamt-online.

Weiterlesen

Verschlüsselte Kommunikation mit der Verwaltung in Berlin?

Seit über 2 Jahren ist die Berliner Verwaltung nach dem E-Government-Gesetz Berlin verpflichtet, verschlüsselte Kommunikation zu ermöglichen. Dabei geht es nicht nur um die Einrichtung von DE-Mail-Postfächern, sondern insbesondere von geeigneten freien Verschlüsselungsmethoden mit Ende-zu-Ende-Verschlüsselung, wie sie im E-Government-Gesetz vorausgesetzt wird.

§ 4 II EGovG-Bln: Jede Behörde ist verpflichtet, auch eine De-Mail-Adresse im Sinne des De-Mail-Gesetzes sowie einen E-Mail-Zugang mit einer gängigen Ende-zu-Ende-Verschlüsselung, zum Beispiel PGP-Standard, zu eröffnen.

Darum habe ich beim Senat nachfragt (Verschlüsselte Kommunikation mit Berliner Behörden und Antwort vom 27. September 2019), welchen Stand die Umsetzung dieser Pflicht zur Ermöglichung der beiden gesetzlichen Verpflichtungen hat. Die Antwort der Senatsverwaltung zeigt: nicht nur ist größtenteils der Umsetzungsstand bei den Behörden unbekannt, sondern auch die Verpflichtung zur Ende-zu-Ende-Verschlüssung nach z.B. dem PGP-Standard scheint hier nicht bekannt zu sein; grundsätzlich wird nur auf das kaum genutzte DE-Mail abgestellt.

Die Möglichkeit zur verschlüsselten Kommunikation ist Grundlage der digitalen Verwaltung und die Berliner Verwaltung ist dafür noch unzureichend vorbereitet. Die einzelnen Behörden benötigen mehr Hilfestellung; gleichzeitig muss die Umsetzung der gesetzlichen Vorgaben konsequent überwacht werden.

Weiterlesen

E-Government: Zusammenarbeit zwischen den Ländern Brandenburg und Berlin

Der Senat hat mit der Roten Nummer 2518 über die Zusammenarbeit zwischen den Ländern Brandenburg und Berlin berichtet. Auch das Thema E-Government war dabei Thema.

So wird beispielsweise berichtet: „Im Rahmen der Themenfeldplanung „Querschnittsleistung“ bei der Umsetzung des Onlinezugangsgesetzes konnten bereits konkrete Umsetzungsvorschläge für nutzerfreundliche und datenschutzkonforme Angebote erarbeitet werden. Dazu gehört zum Beispiel ein Datenschutz-Cockpit, in dem Bürgerinnen und Bürger nachvollziehen können, welche Daten von welchen Behörden für welche Zwecke abgerufen wurden. […]

Die erste Verwaltungsleistung für eine Referenzimplementierung (Blaupause) wird voraussichtlich der „Antrag auf Elterngeld“ sein. Die digitale Geburtsurkunde wurde im Digitalisierungslabor dafür vertieft betrachtet und der Lösungsansatz im entsprechenden Projektsteckbrief mit notwendigen Schritten konzipiert. Bis Ende 2020 sollen Bürgerinnen und Bürger in Berlin bei wichtigen Verwaltungsleistungen keine Geburtsurkunden mehr als Nachweis einreichen müssen. Die Geburtsurkunden sollen stattdessen mit dem Einverständnis der Bürgerinnen und Bürger zwischen dem Standesamt und der jeweiligen Behörde ausgetauscht werden. Zusätzlich sollen Bürgerinnen und Bürger über digitale Geburtsurkunden verfügen, die sie bei Bedarf Behörden – aber auch privaten Institutionen, wie Banken, Versicherungen und Arbeitgebern – zusenden können.

Weiterlesen