Sicherheit der IT in der Kreisverwaltung

31. Mai 2012, Fraktionsanträge

Anfrage zur Sitzung des Ausschusses für Finanzen, Organisation und Liegenschaften am 14. Juni 2012

Sehr geehrter Herr Weingarten,

wir bitten Sie o.g. Punkt auf die Tagesordnung der Sitzung des Ausschusses für Finanzen, Organisation und Liegenschaften am 14. Juni 2012 zu nehmen. Bitte sehen Sie diesen TOP sowohl im öffentlichen, als auch im nicht-öffentlichen Teil vor. Wir bitten die Verwaltung dabei folgende Fragen in den jeweils dafür notwendigen Beratungsteilen (öffentlich/nicht-öffentlich) beantworten zu lassen:

1. Ist in den vergangenen 5 Jahren Software auf Kreisrechnern oder bei der KDVZ entdeckt worden, die ohne Kenntnis des Systemverwalters auf das Rechnersystem gelangt ist? Wenn ja:

a. Konnte in diesen Fällen ermittelt werden, welchem Zweck diese Programme dienten?
b. Konnten bei diesen Vorfällen Daten abfließen oder hätten Daten abfließen können?
c. Sind Störungen im Verwaltungsablauf vorgekommen? Hat es Serviceausfälle gegeben?

2. Welche Maßnahmen hat die Verwaltung bzw. die KDVZ in der Vergangenheit ergriffen und ergreift sie zurzeit, um zu verhindern dass von außen oder von innen Schadsoftware auf den Kreisrechnern installiert werden kann?

3. Wie ist der Umgang mit USB-Sticks und anderen mobilen Datenträgern geregelt?

4. Sind Prozesse definiert, die festlegen, auf welche Art und Weise die Mitarbeiter der Kreisverwaltung auf einen vermuteten IT-Sicherheitsschadensfall reagieren sollen? Sind Kommunikationswege, Maßnahmen zur Beweissicherung, Verhaltensregeln etc. definiert?

5. Gibt es ein IT-Sicherheitshandbuch o.Ä., das den Umgang mit Sicherheitsvorfällen regelt? Werden die Mitarbeiter in solchen Fragen (regelmäßig) geschult?

6. Werden bei dem Design der Sicherheitsmaßnahmen einschlägige Normen berücksichtigt, um eine gewisse Qualität und Vollständigkeit sicherzustellen (z.B. Grundbuchstandard des BSI, ITSEC, ITIL etc.)? Werden die Maßnahmen entsprechend überprüft und zertifiziert?

7. Werden an beauftragte IT-Dienstleister die gleichen oder schärferen Sicherheitsanforderungen gestellt wie an das eigene Rechenzentrum? Wird in unregelmäßigen Abständen angekündigt und/oder unan-gekündigt überprüft, ob der Dienstleister sich an die Vorgaben hält? Sind diese Anforderungen und die Audits definiert und Vertragsbestandteil? Sind Konventionalstrafen bzw. außerordentliche Kündigungen für einen Verstoß gegen die Sicherheitsauflagen vertraglich vereinbart?

Begründung:
Der Schutz von öffentlichen IT-Systemen ist heutzutage notwendiger Bestandteil in den Sicherheitskonzepten der Verwaltungen von Bund, Ländern und Kommunen. Manipulation oder Abgriff von Informationen sind auf der Kreisebene dabei die zentralen Ansatzpunkte möglicher Angriffe auf die IT-Sicherheit. Auch ohne die Existenz von “Kritischen IT-Infrastrukturen”1 gibt es durchaus Bereiche in der Kreisverwaltung, die vor Manipulati-on von außen bzw. vor einem Datenleck geschützt werden müssen (insb. der Bereich des Ordnungsamtes). Um den Umfang der bisherigen IT-Sicherheitsmaßnahmen in der Kreisverwaltung sowie den Umgang mit evtl. Sicherheitsverletzungen darzustellen, bitten wir die Verwaltung daher um einen Sachstandsbericht auf Grund-lage der vorgenannten Fragen.

Mit freundlichen Grüßen,

Christian Pohlmann
Stv. Fraktionsvorsitzender

Gez. Peter A. Braun
Stv. Mitglied im IT-Beirat