Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Mitteilung mit Anlage(n) (PDF 705 KB ) - Berliner ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2.2<br />
teter Risikoanalysen als Voraussetzung dafür, dass die technischen und organisatorischen<br />
Maßnahmen auf die Reduzierung der vorhandenen nicht tragbaren<br />
Risiken gerichtet werden und so<strong>mit</strong> ein Sicherheitskonzept bilden.<br />
Aus diesem Grunde wird auch in § 5 Abs. 3 BlnDSG die Durchführung<br />
einer Risikoanalyse und die Erarbeitung eines Sicherheitskonzepts verlangt.<br />
Die Sicherheitsrichtlinie wird derzeit im Rahmen der neuen Regelungen zur<br />
IT-Steuerung zu IT-Sicherheitsgrundsätzen fortgeschrieben. Die wesentlichen<br />
Inhalte bleiben aber unangetastet.<br />
Es bleibt auch dabei, dass jährlich bis zum März des laufenden Jahres ein<br />
IT-Sicherheitsbericht erstellt wird. Allerdings wird bei der zuständigen<br />
Senatsverwaltung darüber nachgedacht, die Informationsbasis für diese<br />
Berichte vertrauenswürdiger zu gestalten. Bisher basierten diese Berichte<br />
vorwiegend auf Umfragen bei den <strong>Berliner</strong> Behörden. Die dabei entstandenen<br />
Ergebnisse hatten <strong>mit</strong> unseren Kontrollerfahrungen nicht viel zu tun.<br />
Der letzte Bericht, der sich <strong>mit</strong> dem Jahr 2003 befasst, fußt auf dem Rücklauf<br />
von 53 Behörden. Die Frage nach der Existenz und dem Umsetzungsgrad<br />
von behördlichen und verfahrensspezifischen Sicherheitskonzepten<br />
haben 42 davon beantwortet. Ein knappes Drittel (13) davon bejahte die<br />
Existenz eines schriftlich festgelegten behördlichen Sicherheitskonzepts, gut<br />
die Hälfte (22) bekundete, dass für Teilbereiche ein solches Sicherheitskonzept<br />
vorläge, die übrigen 7 gaben zu, dass schriftliche Sicherheitskonzepte<br />
fehlten. Diese sieben Behörden waren offenbar zum Teil der Meinung, dass<br />
es mündliche Sicherheitskonzepte geben könnte, denn immerhin haben nur<br />
zwei von den 42 Behörden angegeben, dass bei ihnen das Sicherheitskonzept<br />
zumindest in einzelnen Maßnahmen umgesetzt worden sei. Zu den verfahrensspezifischen<br />
Sicherheitskonzepten macht der Bericht keine quantitativen<br />
Aussagen. Für beide Arten von Sicherheitskonzepten wurden qualitative<br />
Aspekte (Aktualität, Vollständigkeit, Existenz einer Risikoanalyse, Zeitrahmen<br />
für die Umsetzung, Revisionsfähigkeit) nicht einmal erfragt.<br />
Die übrigen Aussagen des IT-Sicherheitsberichts ergaben zumindest, dass<br />
eine Vielzahl von Einzelmaßnahmen (Virenschutz, Firewalls, Verschlüsselung<br />
usw.) von einem mehr oder weniger großen Teil der Behörden getroffen<br />
worden ist, um augenfällige Risiken abzuwehren. Gleiches gilt für die Nutzung<br />
von zentralen Angeboten an Sicherheitstechnik im <strong>Berliner</strong> Landesnetz.<br />
35 der 53 Behörden führen eine dezentrale Virenprüfung durch, d. h.,<br />
ein Drittel der Behörden verzichtet darauf und vertraut ausschließlich auf die<br />
zentrale Virenschutzprüfung im Landesbetrieb für Informationstechnik<br />
(Grenznetz zwischen Internet und Landesnetz) 37 . Dieses ist grob leichtfertig,<br />
denn Viren in passwortgeschützten oder verschlüsselten Dateien werden<br />
zentral nicht oder nicht zuverlässig abgefangen.<br />
Basiert der IT-Sicherheitsbericht im Wesentlichen auf dem Glauben an die<br />
Ehrlichkeit und Kompetenz der antwortenden Behörden, so sehen die Ergeb-<br />
20<br />
nisse ganz anders aus, wenn die Existenz und Qualität von Sicherheitskonzepten<br />
einer Kontrolle unterzogen wird. So befasst sich der Rechnungshof<br />
von Berlin (trotz der immer wieder behaupteten Kostenträchtigkeit der IT-<br />
Sicherheit) ebenfalls intensiv <strong>mit</strong> der Durchsetzung von IT-Sicherheit im<br />
Lande. 2003 hat er beinahe flächendeckend IT-Sicherheitskonzepte der<br />
Behörden angefordert und auf Aktualität, Fortschreibungsstatus, Vollständigkeit,<br />
funktionales Sicherheitsniveau, Stand der Umsetzung und Revisionsfähigkeit<br />
überprüft. Seine Ergebnisse decken sich in keiner Weise <strong>mit</strong><br />
dem Sicherheitsbericht. Von 113 in die Prüfung einbezogenen Behörden<br />
haben nur zwei ein vollständiges, schriftliches und umgesetztes Sicherheitskonzept<br />
vorweisen können, in mehr als hundert Fällen lag kein schriftliches<br />
Konzept im Sinne der IT-Sicherheitsrichtlinie vor.<br />
Hoffnung auf die Verbesserung der Situation haben wir im Zusammenhang<br />
<strong>mit</strong> der Entwicklung eines Modellsicherheitskonzepts durch eine<br />
Arbeitsgruppe des IT-KAB unter der Federführung der Senatsverwaltung für<br />
Inneres. Das Modellsicherheitskonzept basiert auf dem Grundschutzhandbuch<br />
des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 38 und<br />
vereinfacht dessen Anwendung durch die Vorabeinbeziehung relevanter<br />
Rahmenbedingungen in der <strong>Berliner</strong> Verwaltung. Das Modellsicherheitskonzept<br />
wird sukzessiv aufgebaut und ist so<strong>mit</strong> in den bereits fertig gestellten<br />
Teilbereichen sofort anwendbar.<br />
Aktuelle IT-Projekte des Landes<br />
Erneut sind wir über eine Vielzahl neuer IT-Projekte in öffentlichen Stellen<br />
Berlins unterrichtet worden. Nach der Abschaffung des Dateienregisters<br />
<strong>mit</strong> der Novellierung des <strong>Berliner</strong> Datenschutzgesetzes im Jahre 2001 ist<br />
die Pflicht zu unserer Unterrichtung über neue Automationsvorhaben (§ 24<br />
Abs. 3 Satz 3 BlnDSG) die einzige direkt verfügbare Quelle, aus der wir<br />
erfahren, welche IT-Verfahren künftig unserer Kontrolle unterliegen. Die<br />
zitierte Vorschrift sagt nichts darüber aus, wann eine solche Unterrichtung<br />
zu erfolgen hat. Wenn die öffentlichen Stellen erwarten, dass wir zu einem<br />
Verfahren aus rechtlicher und technisch-organisatorischer Sicht Stellung<br />
beziehen, dann muss die Unterrichtung so früh erfolgen, dass eine Prüfung<br />
der in der Regel sehr umfänglichen Unterlagen so rechtzeitig Ergebnisse<br />
erbringt, dass diese im Bedarfsfall noch zu Modifikationen im IT-Projekt<br />
führen können. Wenn die Verfahren dagegen in den Echtbetrieb gegangen<br />
sind oder dies kurz bevorsteht, können eventuell festgestellte datenschutzrechtliche<br />
Mängel nur auf der Grundlage von § 26 BlnDSG beanstandet oder<br />
im unerheblichen Fall bemängelt werden. Die notwendigen Modifikationen<br />
müssten in diesem Falle nachträglich durchgeführt werden.<br />
Im Bereich der Sicherheit und Strafverfolgung stand das neue Verfahren<br />
POLIKS (Polizeiliches Informations- und Kommunikationssystem) im<br />
37 vgl. auch 4.8.3 38 BSI (Hrsg.): IT-Grundschutzhandbuch. Köln: Bundesanzeiger-Verlag, 2003 (Druckfassung)<br />
Jahresbericht BlnBDI 2004<br />
Jahresbericht BlnBDI 2004<br />
2.2<br />
21