IT-Sicherheitskonzepte
Derzeit wird analysiert, für welche Datenübertragungen ein HTTPS-Scan stattfinden kann und welche Fachverfahren von einer Anwendung des Scan-Verfahrens ausgenommen werden. des IT-Dienstleistungszentrums Berlin (ITDZ) nutzbar zu machen. Die dazu notwendigen Maßnahmen werden ergriffen.
Ein weiterer Gegenstand der Diskussionen waren die Probleme, die durch die weitgehenden Zugriffsrechte der Administratoren im ITDZ im „E-MailTelefonbuch" (Active Directory AD) der Berliner Verwaltungen für einzelne Behörden entstehen. Ein Lösungsansatz liegt vor und wird von uns im Rahmen der weiteren Entwicklung datenschutzrechtlich und sicherheitstechnisch beurteilt.
Wie im Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit ausgeführt, liegt ein Lösungsansatz für die Problematik vor. Dieser wird in Abstimmung mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit weiter konkretisiert und umgesetzt werden.
IT-Sicherheitskonzepte:
Die bereits im Jahre 2004 bekannt gewordenen Ergebnisse der Untersuchung des Berliner Rechnungshofes zum Bestand und zur Qualität der in den Berliner Behörden bestehenden Sicherheitskonzepte haben erfreulicherweise zum Abbau der Lethargie geführt, die es bis dahin zur Frage der Entwicklung und Umsetzung von Sicherheitskonzepten gegeben hat. Die Lethargie beruhte darauf, dass zwar die Notwendigkeit von Sicherheitskonzepten zumindest in den Bereichen des IT-Managements unbestritten war, dass jedoch die Bereitstellung der dafür notwendigen Mittel häufig an anderen Prioritäten scheiterte, obwohl eindeutige gesetzliche Regelungen (§ 5 Abs. 3 Satz 1 BlnDSG, seit 2001) und Verwaltungsvorschriften (ITSicherheitsrichtlinie des Landes Berlin, seit 1999) dies unmissverständlich verlangten. Dies ist zumindest im Bereich der Hauptverwaltung und ihren nachgeordneten Behörden erkennbar anders geworden, denn die Zahl uns bekannt gegebener Sicherheitskonzepte zu neuen IT-Verfahren ist deutlich angestiegen. Die Qualität der Konzepte ist ebenfalls deutlich gestiegen, seit die Einsicht gewachsen ist, dass die Erstellung solcher Konzepte professionellen Sachverstandes bedarf, der von spezialisierten Beratungsunternehmen bereitgestellt wird, solange die Verwaltung dort selbst nicht genügend Know-how aufweisen kann. Zwar gab es auch dort Ausnahmen im Einzelfall, aber in der Regel waren die Sicherheitskonzepte methodisch nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt worden und daher plausibel und hinsichtlich der Risikoanalyse offenkundig vollständig.
Die gesetzliche Regelung in § 5 Abs. 3 Satz 1 BlnDSG ist „vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung der automatisierten Datenverarbeitung" zu beachten und verlangt, die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse und Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats eines Sicherheitskonzepts zu ermitteln. Die Frage steht insbesondere dann an, wenn IT-Verfahren neu eingeführt oder wesentlich geändert werden sollen. Bei den gesetzlich geforderten Sicherheitskonzepten handelt es sich folgerichtig um verfahrensspezifische Sicherheitskonzepte im Sinne der ITSicherheitsrichtlinie. Verfahrensspezifische Sicherheitskonzepte befassen sich mit
· den vom Verfahren aufgeworfenen ITSicherheitsfragen,
· dem Schutzbedarf der zu verarbeitenden Daten in Bezug auf die in § 5 Abs. 2 BlnDSG genannten Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz,
· den vorhandenen Sicherheitsfunktionalitäten.
Nutzt das IT-Verfahren als eines von mehreren die ITInfrastruktur der Behörde, so profitiert es auch von Maßnahmen zur Herstellung der IT-Sicherheit, die für die behördliche IT-Infrastruktur bereits getroffen worden sind. Nach der IT-Sicherheitsrichtlinie sind diese Maßnahmen in einem behördenspezifischen Sicherheitskonzept zu ermitteln, festzulegen und umzusetzen. Anders als bei den verfahrensspezifischen Sicherheitskonzepten, die im Berliner Datenschutzgesetz verlangt werden, kann eine Verbesserung der Lage in der Berliner Verwaltung bei den behörden-bezogenen Konzepten nicht konstatiert werden. Behördenspezifische Sicherheitskonzepte von hinreichender Qualität sind uns bisher nur sehr sporadisch bekannt geworden, eine positive Entwicklung ist nicht zu erkennen.
Der Senat misst der Gewährleistung eines sicheren ITEinsatzes hinsichtlich der Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität eine große Bedeutung bei. Dazu müssen die notwendigen ITSicherheitskonzepte erstellt und umgesetzt werden.
Davon ausgehend hat sich der Landes IT-Ausschuss (LIA) im Juni 2005 mit dem Thema ITSicherheitskonzepte befasst und alle Behörden, die noch nicht über ein anforderungsgerechtes ITSicherheitskonzept verfügen, aufgefordert, entsprechende Zeitpläne vorzulegen. Diese Zeitpläne liegen vor. Die entsprechenden Maßnahmen sind in einigen Behörden bereits umgesetzt, in den anderen Behörden befinden sich die Aktivitäten im Zeitplan.
Zum Stand der Umsetzung wird dem LIA auch im Zusammenhang mit dem jährlich vorzulegenden ITSicherheitsbericht - regelmäßig berichtet.
Aus dem aktuellen IT-Sicherheitsbericht 2006 lässt sich in einigen Bereichen bereits eine positive Entwicklung ableiten. Dies betrifft z. B. die Tatsache, dass mittlerweile die Mehrzahl (74%) der vorhandenen ITSicherheitskonzepte auch von der Behördenleitung schriftlich bestätigt sind.
Das Fehlen behördlicher Sicherheitskonzepte wirkt sich auf die Sicherheit der IT-Verfahren aus, denn deren Sicherheitskonzepte sind ja auch von der Sicherheit der behördlichen IT-Infrastruktur, dem sog. Behördennetz oder in den Bezirken Rathausnetz, abhängig.
Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats
Aus diesem Grunde ist die häufig im Zusammenhang mit der Einführung neuer Verfahren vertretene Auffassung abwegig, dass man sich mit der Sicherheitslage der behördlichen Infrastruktur beim verfahrensspezifischen Sicherheitskonzept nicht befassen müsse, da die Zuständigkeit dafür nicht beim Verfahrensverantwortlichen, sondern bei den Verantwortlichen für die IT-Infrastruktur, meist der für die Informationstechnik verantwortlichen zentralen Stelle der Behörden liegt. Eine solche Haltung hätte zur Konsequenz, dass man zwar ein verfahrensspezifisches IT-Sicherheitskonzept, dennoch aber keine belegbare IT-Sicherheit hätte.
Wenn eine Behörde kein behördenspezifisches Sicherheitskonzept hat, muss ein verfahrensspezifisches Sicherheitskonzept auch die vom Verfahren unabhängige Infrastruktur, die jedoch vom Verfahren benutzt wird, in der Risikoanalyse und bei der Auswahl der treffenden Maßnahmen einbeziehen. Das Berliner Datenschutzgesetz verlangt nämlich nicht, wohlmeinende Papiere mit Risikoanalysen und Sicherheitskonzepten zu schreiben, es verlangt vielmehr die Gewährleistung von effektiver ITSicherheit.
Es gibt jedoch Anlass zur Hoffnung, dass es auch bei den behördenspezifischen Sicherheitskonzepten in der Zukunft Fortschritte geben wird. Grundlage dafür ist der vorläufige erfolgreiche Abschluss der Arbeiten am Modellsicherheitskonzept durch die dafür eingerichtete Arbeitsgruppe des IT-Koordinierungsgremiums. Das Modellsicherheitskonzept wurde zu Beginn des Jahres mit der Version 0.4 bekannt gemacht und zur Anwendung empfohlen. Ende des Jahres beendete die Arbeitsgruppe ihre Tätigkeit mit der Version 1.0. Die Anpassung an neuere Entwicklungen soll dann von der ständigen Arbeitsgruppe IT-Sicherheit geleistet werden.
Das Modellsicherheitskonzept wurde auf der Grundlage des IT-Grundschutzhandbuchs des Bundesamtes für Sicherheit in der Informationstechnik entwickelt, indem es die in Berlin bereits getroffenen Maßnahmen aus dem Sicherheitskonzept für die zentrale Infrastruktur (Berliner Landesnetz, ITDZ-Sicherheitsrechenzentrum, Grenznetz zwischen Landesnetz und Internet) und die damit verknüpften zentralen Sicherheitsdienstleistungen sowie das der IT-Sicherheit dienende ITRegelwerk (vor allem die IT-Sicherheitsrichtlinie) berücksichtigt und im Grund-schutzhandbuch behandelte Komponenten ausblendet, sofern sie in der Berliner Verwaltung nicht eingesetzt werden. Im Ergebnis kann das Modellsicherheitskonzept als das auf Berliner Verhältnisse heruntergebrochene Grundschutzhandbuch angesehen werden. Ziel ist dabei, den Berliner Behörden zu ermöglichen, aus eigener Kraft behördenspezifische Sicherheitskonzepte fachgerecht erstellen zu können. Der Aufwand wird dabei von den kostenintensiven Beauftragungen externer Unternehmen auf den personellen Einsatz eigener Kräfte verlagert. Es bleibt abzuwarten, ob die Behörden
Das Modellsicherheitskonzept (ModellSiKo) soll den Prozess, behördliche IT-Sicherheitskonzepte zu erstellen und umzusetzen, unterstützen. Dazu ist sowohl das erforderliche Vorgehen modellhaft erläutert als auch das eigentliche IT-Sicherheitskonzept beispielhaft erstellt und mit modellhaften Maßnahmen ausgefüllt.
Aus dem aktuellen IT-Sicherheitsbericht 2006 lässt sich erkennen, dass das ModellSiKo von vielen Behörden als hilfreiche Unterstützung für die Erstellung von behördenspezifischen IT-Sicherheitskonzepten benutzt wird. Die Senatsverwaltung für Inneres wird auch weiterhin den Prozess der dezentralen Umsetzung begleiten und z. B. durch die zentrale Bereitstellung von „best-practice" Beispielen aktiv unterstützen.