Die Hinweise werden im Rahmen des Intranetauftrittes der Senatsverwaltung für Inneres und Sport der Berliner Verwaltung zur

Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit 2010

Hinweise zum Scanprozess,

Hinweise zur Aktenrelevanz und

Hinweise zu Metadaten.

Dennoch werden sie mit dem Thema Cyberkrieg in Verbindung gebracht. Generell stellt sich die Frage der Informationssicherheit deutscher Behördencomputer und damit nicht zuletzt auch der Sicherheit der IT-Systeme und -Anwendungen der Berliner Verwaltung.

Ob die Systeme der Berliner Landesverwaltung das Interesse chinesischer Hacker wecken, ist zweifelhaft. Das Niveau der Sicherheitsmaßnahmen hat sich nicht an den Kosten des eingesetzten Verfahrens zu orientieren, sondern am Schutzbedarf der im Verfahren verarbeiteten Daten.

Dies berücksichtigt § 5 BlnDSG. Er verlangt, dass vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung der automati-sierten Datenverarbeitung die technischen und organisatorischen Maßnahmen zur Gewährleistung der aufgeführten Schutzziele auf der Grundlage einer Risikoanalyse und eines Sicherheitskonzepts ermittelt werden müssen. Dabei sollen die Maßnahmen dem angestrebten Schutzzweck angemessen und am jeweiligen Stand der Technik ausgerichtet sein.

Die Berliner IT-Sicherheitsgrundsätze und die jährlich aktualisierten IT-Standards als Verwaltungsvorschriften konkretisieren dies noch. Für alle logisch, organisatorisch oder räumlich zusammengehörigen Bereiche mit einheitlichen Sicherheitsanforderungen, die sog. Sicherheitsdomänen, ist mindestens ein Grundschutz durch Anwendung des IT-Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu realisieren. Sofern die Schutzbedarfsanalyse (Teil des BSI-Standards 100-2) hohen oder sehr hohen Schutzbedarf ergibt, sind zusätzliche Risikoanalysen (IT-Sicherheitshandbuch des BSI oder BSI-Standard 100-3) erforderlich und darauf aufbauend zusätzliche Sicherheitsmaßnahmen zu ermitteln. Diese Regelung der IT-Sicherheitsgrundsätze folgt den Vorgaben des Verfahrens nach den IT-Grundschutzkatalogen

Als Standard definieren die IT-Sicherheitsgrundsätze Sicherheitskonzepte für die Domänen „Landeseinheitliche IT-Infrastruktur und IT-Dienste" unter der Vorgabe hohen Schutzbedarfs, „Behörden" für die verfahrensunabhängige behördliche Infrastruktur sowie „Verfahren" für die verfahrensspezifischen Sicherheitsanforderungen.

Die sog. verfahrensspezifischen Sicherheitskonzepte sind diejenigen, die das BlnDSG verlangt. Sie beschreiben die Maßnahmen, die erforderlich sind, um das behördliche Sicherheitskonzept den Besonderheiten des Anwendungsverfahrens anzupassen. Fehlt ein behördliches Sicherheitskonzept, muss das gesetzlich verlangte

Eine Ausnahme ist die Option, für Risikoanalysen noch die Methode des IT-Sicherheitshandbuchs von 1992 zu verwenden. Dies ist aus unserer Sicht hinnehmbar.

Bericht des Berliner Beauftragten für Da- Stellungnahme des Senats tenschutz und Informationsfreiheit 2010 verfahrensspezifische Konzept um die Maßnahmen ergänzt werden, die auch verfahrensunabhängig für die genutzten Infrastrukturteile in einem behördlichen Sicherheitskonzept enthalten sein müssten. Sonst wäre das Sicherheitskonzept in wesentlichen Bereichen unvollständig.

Die IT-Sicherheitsgrundsätze und die IT-Standards empfehlen zur vereinfachten und vereinheitlichten Umsetzung des Verfahrens nach den IT-Grundschutzkatalogen für behördenübergreifende einheitliche Sicherheitsanforderungen die Anwendung des sog. Modellsicherheitskonzepts.

Dieses setzt das Verfahren nach den Grundschutzkatalogen um, berücksichtigt aber vorab alle Regelungen und die Sicherheitsmaßnahmen der zentralen IT-Infrastruktur der Berliner Verwaltung.

Damit ist in der Berliner Verwaltung gesetzlich klargestellt, dass verfahrensspezifische Sicherheitskonzepte erstellt werden müssen, und es ist untergesetzlich festgelegt, wie dies zu geschehen hat.

Die IT-Sicherheitsgrundsätze legen auch fest, dass das IT-Kompetenzzentrum bei der Senatsverwaltung für Inneres und Sport einen jährlichen IT-Sicherheitsbericht erstellt. Da viele Behörden an solchen arbeiten, sollte man erwarten, dass die Zahlen steigen. Da die Zahl der in Arbeit befindlichen Sicherheitskonzepte ebenfalls relativ konstant bleibt, muss man daraus schließen, dass die Erarbeitung in manchen Behörden als Daueraufgabe angesehen wird, die nicht zu Ende gebracht wird. Unerfreulich ist der nach wie vor

Der aktuelle Bericht zur Informationssicherheit (ehemals IT-Sicherheitsbericht) für das Jahr 2010 enthält jetzt auch Angaben, bis wann die noch in Arbeit befindlichen IT-Sicherheitskonzepte fertig gestellt werden sollen. Damit soll die Erfolgskontrolle in diesem Bereich verbessert werden.