zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bericht des <strong>Berliner</strong> Beauftragten<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
scheinlich machen, oder weil die Maßnahmen im Falle<br />
eines Schadens diesen ausreichend begrenzen.<br />
Die IT-Sicherheitsgr<strong>und</strong>sätze des Senats 24<br />
legen fest,<br />
dass die IT-Gr<strong>und</strong>schutz-Kataloge des B<strong>und</strong>esamtes<br />
<strong>für</strong> die Sicherheit in der Informationstechnik (BSI) 25<br />
bei der Erarbeitung von Sicherheitskonzepten zu verwenden<br />
sind. Um dies zu vereinfachen, hat das IT-<br />
Kompetenzzentrum bei der Senatsverwaltung <strong>für</strong> Inneres<br />
ein „Modellsicherheitskonzept” erstellt <strong>und</strong> aktualisiert<br />
es laufend. Nur mit vergleichbaren <strong>und</strong> fachlich<br />
abgesicherten Vorgehensweisen lässt sich sicherstellen,<br />
dass die Risikoanalysen so vollständig wie<br />
möglich sind <strong>und</strong> es nicht Zufälligkeiten unterliegt,<br />
welche Risiken man entdeckt. Die Sicherheitsgr<strong>und</strong>sätze<br />
verlangen auch, dass alljährlich ein IT-Sicherheitsbericht<br />
aus Einzelberichten der <strong>Berliner</strong> Behörden<br />
zusammengestellt wird. Der aktuell vorliegende<br />
IT-Sicherheitsbericht 2008 stellt die Situation zum<br />
Zeitpunkt der Erhebung im Jahre 2007 dar. Die folgenden<br />
Angaben stützen sich also auf die Selbstdarstellungen<br />
der Behörden <strong>und</strong> geben nicht Ergebnisse<br />
unserer Kontrollen wieder:<br />
Von den 71 Behörden, die mit ihren Mitteilungen am<br />
Bericht teilgenommen haben, gaben 47 an, dass ein<br />
behördliches Sicherheitskonzept vorliegt. Die übrigen<br />
24 Behörden arbeiteten zum Termin der Abfrage an<br />
einem Sicherheitskonzept. Immerhin ist daraus zu<br />
schließen, dass die nach 2001 zunächst geübte Zurückhaltung<br />
bei der Erarbeitung von Sicherheitskonzepten<br />
inzwischen aufgegeben wurde. Keine Behörde<br />
scheint mehr am Sinn von Sicherheitskonzepten zu<br />
zweifeln. Auch die methodischen Vorgaben (Gr<strong>und</strong>schutz-Kataloge<br />
oder Modellsicherheitskonzept) werden<br />
erfreulicherweise beachtet. Von den 47 gemeldeten<br />
Sicherheitskonzepten waren 37 von der Behördenleitung<br />
bestätigt. Für die übrigen zehn Behörden muss<br />
also angenommen werden, dass eine Umsetzung in<br />
konkrete Maßnahmen noch nicht die Billigung der<br />
Leitungen hat <strong>und</strong> daher offen bleibt.<br />
Erfreulich ist auch, dass in der Mehrzahl der Behörden<br />
der vorgeschriebene IT-Sicherheitsprozess angelaufen<br />
ist, der <strong>für</strong> die permanente Überprüfung <strong>und</strong> Ergänzung<br />
der Sicherheitskonzepte gebraucht wird. In 32<br />
Behörden wurde sogar ein IT-Sicherheitsmanagement<br />
eingerichtet. Dies gilt allerdings nicht <strong>für</strong> jene sieben<br />
Behörden, die angaben, <strong>für</strong> die IT-Sicherheit keinerlei<br />
Ressourcen <strong>zur</strong> Verfügung zu haben. Da die Bereitstellung<br />
von Ressourcen auch in Zeiten der Mittelknappheit<br />
stets eine Prioritätenabwägung darstellt, ist<br />
es diesen Behörden offenbar gleichgültig, ob die In-<br />
Stellungnahme des Senats<br />
Der jährlich erstellte IT-Sicherheitsbericht <strong>für</strong> die <strong>Berliner</strong><br />
Verwaltung ist ein Steuerungsinstrument <strong>zur</strong> Gewährleistung<br />
des sicheren IT-Einsatzes in der <strong>Berliner</strong><br />
Verwaltung. Er basiert auf den Zulieferungen der einzelnen<br />
Behörden <strong>und</strong> stellt den erreichten Sachstand<br />
dar. Daraus werden die entsprechenden Maßnahmen<br />
abgeleitet, um erkannten Risiken wirksam begegnen<br />
zu können.<br />
Dazu zählt auch die weitere Sensibilisierung aller Verantwortlichen<br />
<strong>für</strong> die die besondere Bedeutung eines<br />
sicheren IT-Einsatzes. Der Senat unterstützt die Auffassung<br />
des <strong>Berliner</strong> Beauftragten <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit, dass IT-Sicherheit eine hohe<br />
Priorität besitzt.<br />
24 Gr<strong>und</strong>sätze <strong>zur</strong> Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der -<strong>Berliner</strong> Verwaltung (IT-<br />
Sicherheitsgr<strong>und</strong>sätze) vom 11. Dezember 2007<br />
25 http://www.bsi.de/gshb/index.htm<br />
13