Steuer

Diese aus den Ergebnissen des IT-Sicherheitsberichtes abgeleiteten Maßnahmen dienen dazu, dass das erreichte Niveau der IT-Sicherheit zukünftig nicht abfällt, sondern gemäß den bestehenden und neuen Risiken weiter verbessert wird.

So sind auch im IT-Sicherheitsbericht 2009 verschiedene Maßnahmen aufgeführt, die den im Jahresbericht aufgezeigten Verbesserungsbedarf aufgreifen. Dies betrifft z. B. Maßnahmen zum Thema „ 37 behördliche Sicherheitskonzepte sind in dem Sinne vollständig, dass sie alle nach den IT-Grundschutzkatalogen des BSI21 oder dem darauf aufbauenden Modellsicherheitskonzept der Berliner Verwaltung erforderlichen Komponenten enthalten (38); in 21

Behörden wird das Sicherheitskonzept derzeit erarbeitet (24); von den 47 Sicherheitskonzepten wurden 38 auf der Grundlage der ITGrundschutzkataloge erstellt (39), 39 aufgrund des Modellsicherheitskonzepts (38); in vielen Fällen griff man offensichtlich auf beide Methoden zurück; regelmäßige Schulungen zur IT-Sicherheit werden in 18 Behörden durchgeführt (27); in 37 Behörden wurde ein IT-Sicherheitsmanagement eingeführt (32); in 13

Behörden stehen für die IT-Sicherheit keine Ressourcen zur Verfügung (7).

Diese rein quantitativen Angaben, die ungeprüft in den Sicherheitsbericht einfließen, lassen folgende Aussagen zu: Die IT-Sicherheit, insbesondere die Verfügbarkeit von IT-Sicherheitskonzepten, stagniert im Lande, von den Zahlen her mit leicht abfallender Tendenz.

Die Anzahl der Behörden mit regelmäßigen Schulungen sank um ein -Drittel.

Fast doppelt so viele Behörden wie im Vorjahr stellen der IT-Sicherheit keine Ressourcen zur Verfügung, sodass hier davon auszugehen ist, dass die ITSicherheit nicht als anzustrebendes Ziel angesehen wird.

Aus den letzten beiden Aussagen lässt sich ableiten, dass das durchschnittliche Niveau der IT-Sicherheit im Land künftig abfallen dürfte, weil den eher vorbildlich agierenden Behörden vermehrt andere gegenüberstehen, denen die Sicherheit ihrer Datenverarbeitung gleichgültig ist.

Angaben über Schadensereignisse betreffen hauptsächlich Probleme mit der Verfügbarkeit der Systeme, hervorgerufen durch Störungen im Grenznetz zwischen dem Internet und dem Berliner Landesnetz, durch Kabelschäden, durch Hardwaredefekte sowie Verlust (Diebstahl) von Geräten. Die wichtigsten Risiken, die zu diesen Schadensereignissen führen, liegen in Irrtümern und Nachlässigkeiten der Beschäftigten, im Befall mit Schadsoftware, in Fehlern und Qualitätsmängeln der eingesetzten Software sowie in Hardware-bedingten Fehlern.

Viele Behörden loben die im Grenznetz durchgeführten Maßnahmen zum SPAM-Schutz.

Durch den Einsatz eines zentralen SPAM-Filters wurde erreicht, dass die Anzahl der SPAM-Mails, die die Behörden trotzdem erreichen, signifikant zurückgegangen ist. Es wurden im Tagesdurchschnitt fast 10 Millionen an Berliner Behördenaccounts übersandte SPAM-Mails im Grenznetz erkannt und abgewehrt. Demgegenüber lag die Anzahl nicht blockierter E-Mails bei durchschnittlich 52.000 EMails pro Tag.

Gegenstand der Umfrage zum IT-Sicherheitsbericht sind die behördlichen Sicherheitskonzepte. Dabei handelt es sich um die IT-Sicherheitsaspekte der behördlichen Infrastruktur. Dazu gehört die Sicherheit der Gebäude und Räumlichkeiten, insbesondere der Spezialräumlichkeiten für den IT-Betrieb, z. B. der Serverräume und Sicherungsarchive, der Verkabelung und ihrer Datenübertragungskomponenten wie Wiring Center, Router, Gateways, der anwendungsunabhängigen Systemprogramme wie etwa Betriebssoftware, der zentralen Dienste wie EMail, Webzugang, Zeiterfassung, StandardBüroanwendungen, der Kryptokonzepte, insbesondere für die Nutzung des Berliner Landesnetzes, der Klimatisierung, des Brandschutzes, des Schutzes vor Wassereinbruch, der Absicherung der Stromversorgung und der Datensicherung. Nicht zuletzt sei darauf aufmerksam gemacht, dass auch die personelle Ausstattung, die Qualifikation, Motivation und Zuverlässigkeit der Bediensteten beim behördlichen Sicherheitskonzept eine Rolle spielen.

Die IT-Sicherheitsgrundsätze verlangen zur Ergänzung des behördlichen Sicherheitskonzepts verfahrensspezifische Sicherheitskonzepte, die es um die speziellen Sicherheitsanforderungen der einzelnen Verfahren ergänzen. So gibt es Verfahren, die einen höheren Schutzbedarf aufweisen, als ihn das behördliche Sicherheitskonzept bereits vorgibt. In diesem Fall gehören in ein verfahrensspezifisches Sicherheitskonzept auch Maßnahmen, die die Sicherheit erhöhen, z. B. die Dateiverschlüsselung zum Schutz der Vertraulichkeit gegenüber verfahrensfremden Systemverwaltern. Ferner verlangen viele Anwendungsprogramme differenziertere Rollenkonzepte für die Berechtigungen der Anwender, als die Betriebssysteme schon anbieten.

Ein Sicherheitskonzept, das §5 Abs. 3 Satz 1 Berliner Datenschutzgesetz genügen soll, muss die Gesamtsicherheit erfassen. Zwar ist das Sicherheitskonzept Voraussetzung für die Entscheidung über den Einsatz oder eine wesentliche Änderung der automatisierten Datenverarbeitung, also meist einer Anwendung. Ein verfahrensspezifisches Sicherheitskonzept macht jedoch ohne das zugrunde liegende behördenspezifische Sicherheitskonzept keinen Sinn, so gut es auch ausgearbeitet sein mag. Soweit uns professionell erstellte Sicherheitskonzepte im Zusammenhang mit der Einführung neuer Verfahren vorgelegt worden sind, erfassen sie zumindest die für die Anwendung genutzten Teile der Infrastruktur mit oder verweisen (seltener) auf das behördliche Sicherheitskonzept.

Im März 2010 wurde eine in enger Abstimmung mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit erarbeitete Mustervorlage für ein verfahrensspezifisches IT-Sicherheitskonzept fertig gestellt. Diese steht den Behörden der Berliner Verwaltung zur Verfügung und unterstützt das Erstellen von anforderungsgerechten verfahrensspezifischen Sicherheitskonzepten. In der Mustervorlage wird auch die Verbindung zu den behördlichen IT-Sicherheitskonzepten berücksichtigt.

In letzter Zeit häufen sich IT-Verfahren, die zunächst für andere Bundesländer entwickelt und entweder von Berlin übernommen wurden oder bei denen auch die zentrale Verarbeitung in einem anderen Bundesland durchgeführt wird.

Zur ersten Kategorie gehört das EOSS-Verfahren („Evolutionär orientierte Steuersoftware") der Finanzverwaltung22, das in Bayern entwickelt wurde, ohne dass ein verfahrensspezifisches Sicherheitskonzept dazu erstellt wurde, weil dies in Bayern gesetzlich nicht verlangt wird. Dass dies kein Grund ist, entgegen §5 Abs. 3 Satz 1 BlnDSG auf ein Sicherheitskonzept zu verzichten, hat die Senatsverwaltung für Finanzen inzwischen eingesehen.

Gleichwohl liegt es immer noch nicht vor.

Die Aufgabe der Erstellung eines verfahrensspezifischen Sicherheitskonzepts für das übernommene EOSS-Verfahren zur schriftlichen datenschutzrechtlichen Dokumentation wird weiter verfolgt. Mit der Sammlung und Zuordnung der dazu notwendigen Dokumente und Unterlagen wurde begonnen, die Erledigung dieser Aufgabe ist aber noch nicht abgeschlossen. Das Land Bayern hatte sich zunächst bereit erklärt, zusätzlich datenschutzrechtliche Verfahrensbeschreibungen und Aktualisierungen ergänzender Dokumente bereitzustellen. Erst zu Beginn des Jahres 2010 hat das Land Bayern nunmehr mitgeteilt, dass es diese Zuarbeit aufgrund begrenzter Ressourcen nicht leisten kann. Damit verzögert sich ohne Verschulden des Senats die Fertigstellung des Sicherheitskonzepts weiterhin.

Zur gleichen Kategorie gehören die IT-Verfahren des Strafvollzugs wie z. B. BASIS-WEB als wichtigstes Verfahren im Strafvollzug, das von einer nordrheinwestfälischen Firma zunächst für Nordrhein Westfalen entwickelt wurde und inzwischen in vielen Bundesländern, so auch Berlin, eingesetzt wird. Hier legte uns die Justizverwaltung die für Nordrhein Westfalen erarbeiteten Sicherheitskonzepte vor, in der Hoffnung, sie würden den Ansprüchen des BlnDSG gerecht werden. Dies traf jedoch nicht zu. Ein für Berlin erstelltes Sicherheitskonzept für BASIS-WEB.