Die Senatsverwaltung für Finanzen hat während des gesamten Jahres stets mindestens 04 Mio
Zu diesem Ergebnis kommt auch Prof. Dr. Wieland in seinem Gutachten vom 10.11.2003. Bezugspunkt für die Höhe der zulässigen Kreditaufnahme ist danach ein Viertel der Endsumme des Haushaltsplans 2001 ohne Anrechnung der Kredite, die bereits auf der Grundlage des für verfassungswidrig erklärten Haushaltsgesetzes 2003 aufgenommen wurden.
T 77:
Die Senatsverwaltung für Finanzen hat während des gesamten Jahres stets mindestens 0,4 Mio. an Kassenverstärkungskrediten aufgenommen (Sockelbetrag). Der höchste Kreditbestand des Jahres wurde vom 5. bis zum 8. Dezember 2003 mit fast 2,0 Mrd. erreicht. Als Kassenverstärkungskredite des Jahres 2003 mussten ferner zwei kleinere, aus der Sicht des Landes nicht kassenwirksam gewordene Überziehungen auf Girokonten der Landeshauptkasse angerechnet werden.
Zu T 77:
Bei dem vom Rechnungshof als »Sockelbetrag der Kassenkreditaufnahme« bezeichneten Betrag von 0,4 Mio. handelt es sich um Rücklagemittel, die von anderen Verwaltungen in die Kasse genommen und zu Geldmarktkonditionen verzinst werden. Hintergrund dieser Anlage ist das Ziel, die Rücklagen im Interesse der Verwaltungen zinsgünstig anzulegen und zugleich dem Land, das bis dahin über lange Zeiträume Mittel benötigte, eine günstige Finanzierung außerhalb des Bankensektors zu garantieren.
Seit Oktober 2004 werden diese Mittel vor dem Hintergrund des gesunkenen Kassenkreditbedarfs zu günstigen Konditionen bei Banken angelegt.
IV. Prüfung der Haushalts- und Wirtschaftsführung
A. Querschnittuntersuchungen Gravierende Mängel beim Erstellen und Umsetzen von IT-Sicherheitskonzepten
In den Behörden der Berliner Verwaltung sind behördenbezogene IT-Sicherheitskonzepte kaum vorhanden. Nur wenige Verwaltungen haben umfassende Sicherheitsüberlegungen angestellt und schriftlich festgehalten. Die Meldungen der Verwaltungen zum IT-Sicherheitsbericht der Senatsverwaltung für Inneres entsprechen nicht dem tatsächlich vorhandenen IT-Sicherheitsniveau. Der häufigste Mangel beim Erstellen von IT-Sicherheitskonzepten ist das bloße Abschreiben bestehender Regelungen in dem Glauben, damit ein IT-Sicherheitskonzept zu schaffen. Der Rechnungshof hat die Behörden aufgefordert, die Vorschriften zur IT-Sicherheit zu beachten und umzusetzen.
T 78:
Der Rechnungshof hat bei IT-Sicherheitsprüfungen in den vergangenen Jahren wiederholt fehlerhafte und unvollständige IT-Sicherheitskonzepte oder deren Fehlen beanstandet. Regelmäßig beriefen sich die betroffenen Verwaltungen auf Konzepte, die sich in Arbeit befänden oder auf erst im kommenden Jahr zur Verfügung stehende Haushaltsmittel für eine externe Unterstützung. Insgesamt hat sich gezeigt, dass der IT-Sicherheit nur unzureichende Bedeutung beigemessen wird. Ein IT-Sicherheitskonzept ist jedoch durch die Richtlinie zur Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der Berliner Verwaltung - IT-Sicherheitsrichtlinie - (DBl. 1999 I S. 5) und durch Beschlüsse des IT-Koordinierungsausschusses Berlin (IT-KAB) zwingend vorgeschrieben. Um einen aktuellen landesweiten Überblick über den Stand der Erarbeitung, der Umsetzung und der Pflege der IT-Sicherheitskonzepte der Berliner Verwaltung zu gewinnen, hat der Rechnungshof die Behörden der unmittelbaren Landesverwaltung gebeten, die behördenbezogenen IT-Sicherheitskonzepte in Papierform oder in elektronischer Form zu übersenden.
Der Rechnungshof hat im Anschreiben ausdrücklich darauf hingewiesen, dass er bei fehlenden Eingängen davon ausgehen muss, dass derzeit kein IT-Sicherheitskonzept in den jeweiligen Geschäftsbereichen besteht.
Zu T 78
Der Senat misst der sicheren Gestaltung des IT-Einsatzes eine große Bedeutung zu und erkennt die vom Rechnungshof aufgezeigten Defizite bezüglich der notwendigen ITSicherheitskonzepte an. Der Senat wird die erforderlichen Maßnahmen durchführen, um die bestehenden Defizite zu beheben.
Dabei werden insbesondere die u. a. durch die IT-Sicherheitsrichtlinie vorgeschriebene Erstellung und Umsetzung von IT-Sicherheitskonzepten einen Handlungsschwerpunkt bilden. Der entsprechend der „Verwaltungsvorschrift für die Steuerung des IT-Einsatzes" (VV IT-Steuerung
DBl. I, Nr. 2 vom 21.09.2004) seit kurzem eingerichtete Landes IT-Ausschuss (LIA) hat in seiner Rolle als zentrales Steuerungs- und Beratungsgremium für den IT-Einsatz in der Berliner Verwaltung deshalb bereits in seiner ersten Sitzung am 17.06.2005 folgenden Beschluss gefasst: „Der Landes IT-Ausschuss weist nachdrücklich auf die Bedeutung eines sicheren ITEinsatzes für die Aufgabenwahrnehmung der Verwaltung hin. Dazu müssen in allen Behörden die erforderlichen IT-Sicherheitskonzepte erstellt und umgesetzt sowie die dafür notwendigen Prozesse und Verantwortlichkeiten festgelegt werden.
Der Landes IT-Ausschuss erwartet, dass Behörden, die noch nicht über ein schriftliches IT-Sicherheitskonzept verfügen und/oder die notwendigen Prozesse und Verantwortlichkeiten noch nicht eingerichtet und festgelegt haben, bis zum 30. September 2005 einen entsprechenden Zeitplan vorlegen." T 79:
Aus dem Bereich der Senatsverwaltungen mit deren nachgeordneten Einrichtungen gingen lediglich 30 v. H. der erwarteten Rücksendungen ein. Von den Bezirken haben lediglich Reinickendorf, Mitte, Neukölln, Pankow, Lichtenberg und Marzahn-Hellersdorf Unterlagen vorgelegt. Als Ergebnis der Umfrage ist festzustellen, dass ca. zwei Drittel der Behörden nach wie vor über kein IT-Sicherheitskonzept verfügen. Dies weicht erheblich von den Meldungen der Verwaltungen zum jährlichen IT-Sicherheitsbericht der Senatsverwaltung für Inneres (zuletzt März 2004) ab, nach dem die weit überwiegende Mehrheit der Berliner Behörden angeben, über ein vollständiges oder zumindest Teilbereiche abdeckendes IT-Sicherheitskonzept zu verfügen. Auf Mängel des IT-Sicherheitsberichts hat der Rechnungshof bereits in seinem Jahresbericht 2002 (T 123) hingewiesen.
Zu T 79
Der IT-Sicherheitsbericht wird jährlich von der Senatsverwaltung für Inneres erarbeitet. Er bildet ein wesentliches Steuerungsinstrument im Bereich IT-Sicherheit und dient als Entscheidungsgrundlage für das Management hinsichtlich der Gewährleistung der notwendigen Sicherheit beim IT-Einsatz. Unter Berücksichtigung der vielfältigen Diskussionen zum Umgang mit den Ergebnissen des IT-Sicherheitsberichtes bzw. zu deren Aussagekraft und Relevanz wurde die Abfrage für den IT-Sicherheitsbericht 2005 grundlegend neu gestaltet. Neben der Konkretisierung der Abfrage zu IT-Sicherheitskonzepten wurden vor allem „nicht technische" Themen (Schulung, Ressourcen, Leitungsverantwortung und IT-Sicherheitsmanagement) stärker berücksichtigt, um auf dieser Ebene steuerungsrelevante Informationen für die Leitungsebene zu erhalten. Die veränderte Abfrage hat sich bewährt und dazu geführt, dass der ITSicherheitsbericht 2005 die IST-Situation realistischer wiedergeben als in den Vorjahren und im Grundsatz die Prüfergebnisse sowohl des Rechnungshofs als auch des BlnBDI qualitativ bestätigen.
T 80:
Da die übersandten behördenbezogenen IT-Sicherheitskonzepte nicht einheitlich entsprechend der vorgeschriebenen Methodik des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufgebaut waren, wurden sie nach den Kriterien
· Aktualität der Untersuchung,
· Fortschreibungsübersicht zum IT-Sicherheitskonzept,
· formale Vollständigkeit des Konzepts,
· funktionales Sicherheitsniveau des Konzepts und der ergriffenen Sicherheitsmaßnahmen - soweit beschrieben -,
· Stand der Umsetzung der sich aus dem Konzept ergebenden Sicherheitsmaßnahmen und
· Revisionsfähigkeit des Konzepts und der Sicherheitsmaßnahmen geprüft.
T 81:
Die Qualität der übersandten Unterlagen war sehr unterschiedlich. Sie reichte von nachvollziehbaren, leicht lückenhaften IT-Sicherheitskonzepten bis hin zu veralteten, einfachen Anweisungen zur Datensicherung aus anderen Bundesländern, die den handschriftlichen Zusatz „Gilt hier auch!" tragen.
Häufig sind IT-Sicherheitskonzepte übersandt worden, die im Wesentlichen aus einer modifizierten Abschrift des ITGrundschutzhandbuches des BSI bestehen. In diesen Fällen wurde in einigen Abschnitten im Vergleich zum IT-Grundschutzhandbuch lediglich der Behördenname hinzugefügt. Rollen (z. B. IT-Sicherheitsbeauftragter, ITSicherheitsmanagementteam) und Verantwortlichkeiten im Sicherheitsprozess sind teilweise auf die jeweiligen Behördenspezifika übertragen worden, ohne den Sinn dieser Aufstellung, nämlich die praktische Ausgestaltung der beschriebenen Aufgaben und Verantwortlichkeiten, zu berücksichtigen und zu dokumentieren sowie fortzuschreiben.
Derlei Ausarbeitungen sind als IT-Sicherheitskonzepte unbrauchbar und gleichzeitig unwirtschaftlich, da für deren Erstellung umfangreiche Schreibarbeiten oder sogar externe Unterstützung angefallen sind, ohne einen tatsächlichen Nutzen daraus ziehen zu können. Regelmäßig fehlen in diesen Konzepten die ermittelten tatsächlichen Schutzmaßnahmen und die Dokumentation über deren Umsetzung. Zwar weisen zahlreiche Konzepte darauf hin, dass das verbleibende Restrisiko nach der Umsetzung der Schutzmaßnahmen untersucht werden muss. Diese Konzepte lassen aber zum überwiegenden Teil Sicherheitsmaßnahmen vermissen, die die Voraussetzung für eine Risikoanalyse sind. Diese fehlen auch in fast allen eingesandten IT-Sicherheitskonzepten.
Zu T 81
Um die Erstellung der erforderlichen IT-Sicherheitskonzepte in der notwendigen Qualität zu unterstützen und zu vereinfachen, wird in einer Behörden übergreifenden Arbeitsgruppe unter Federführung der Senatsverwaltung für Inneres ein modellhaftes IT-Sicherheitskonzept („Modellsicherheitskonzept") erstellt. Dieses fasst die für die Belange der Berliner Verwaltung typischen Bedrohungen und Maßnahmen zusammen und soll die Behörden der Berliner Verwaltung bei der Erstellung eigener Behörden bezogener IT-Sicherheitskonzepte unterstützen. Damit wird den Behörden ein wirksames Hilfsmittel zur Wahrnehmung ihrer Aufgaben im Bereich IT-Sicherheit zur Verfügung gestellt. Das „Modellsicherheitskonzept" ist bereits in weiten Teilen fertig gestellt. Die bisherigen Erfahrungen und Reaktionen der Behörden zeigen, dass mit dem „Modellsicherheitskonzept" ein erfolgreicher Weg beschritten wird, der den Prozess der Erstellung und Umsetzung von IT-Sicherheitskonzepten wirksam befördern kann.
T 82:
Mehrere Konzepte beziehen sich nur auf Teilbereiche des IT-Sicherheitsprozesses (z. B. Firewall-Konzepte, Konzepte zur Anbindung von lokalen Netzen an das Internet). In einem Fall wurde außerdem der Leiter einer behördlichen IT-Stelle gleichzeitig zum IT-Sicherheitsbeauftragten bestellt. Dies bedeutet, dass sich der für den behördlichen IT-Einsatz Verantwortliche letztlich selbst in IT-Sicherheitsfragen kontrolliert.
Durch die Prüfungsergebnisse wird zudem deutlich, dass auch von externen Gutachtern erstellte ITSicherheitskonzepte häufig qualitativ nicht besser sind. Üblicherweise benutzen hierfür beauftragte Unternehmen ohnehin die in den Verwaltungen vorliegenden Basisdaten und subsumieren diese lediglich unter die Vorgehensweise des IT-Grundschutzhandbuches. Sofern eine Behörde in der Lage ist, einen fachkundigen Mitarbeiter schwerpunktmäßig für IT-Sicherheitsfragen einzusetzen, sollte sie bei weit geringeren Kosten zu vergleichbaren Ergebnissen gegenüber einer extern erstellten Untersuchung kommen.
T 83:
Insgesamt ist festzustellen, dass nur die Senatsverwaltung für Justiz und das Bezirksamt Reinickendorf über ein nachvollziehbares und revisionsfähiges IT-Sicherheitskonzept verfügen, das inhaltlich weitgehend die gestellten Anforderungen erfüllt. Allerdings müsste das IT-Sicherheitskonzept der Senatsverwaltung für Justiz aktualisiert werden. Beide entsprechen nicht vollständig dem Aufbau und Umfang der Vorgaben des IT-Grundschutzhandbuches, aber dennoch bilden sie eine Vielzahl von Maßnahmen ab. Aufgrund der im Konzept enthaltenen Aussagen bieten sie ein nachvollziehbar gutes IT-Sicherheitsniveau.
Daneben bestehen bei den anderen Verwaltungen noch einzelne Ausarbeitungen, die inhaltlich hochwertig sind.
Allerdings betrachten diese nur Teilbereiche des Sicherheitsprozesses.