Anfrage zur Datensicherheit

Die FDP–Kreistagsfraktion hatte eine große Anfrage zur Datensicherheit in der Kreisverwaltung gestellt. Wir dokumentieren hier die Antwort der Verwaltung.

 

1. Sind die Rechenzentren der Civitec als Dienstleister des Kreises und seiner Kommunen schon einmal ernsthaft von Hackern angegriffen worden?

 

Sowohl die Einrichtungen des civitec als auch jene der Kommunen unterliegen jeden Tag aufs Neue einer Vielzahl von Angriffen, welche seitens des civitec alle als ernsthaft eingestuft werden. Der civitec unterscheidet jedoch nach Form und Schwere der Angriffe. Hier kann oder darf man sagen, dass die Komplexität und Schwere zwar zunimmt, aber noch nicht ihr kritisches Ausmaß erreicht hat.

 

2.Wenn ja, wie oft und sind Daten entwendet oder zerstört worden? Was hat die Civitec in diesem Fall konkret unternommen? Gibt es einen Notfallplan für Cyber-Angriffe?

 

Bis jetzt konnte noch keine Zerstörung und kein Abfluss von Daten im civitec festgestellt werden, jedoch werden auch Informationssicherheitsvorfälle ohne Zerstörung oder Abfluss von Daten (Nicht-Verfügbarkeit) entsprechend dem civitec Standardvorgehen für Informationssicherheitsvorfälle in Zusammenarbeit mit dem Datenschutz aufgearbeitet und daraus auch vorbeugende Maßnahmen abgeleitet. Da das Standardvorgehen schon bis zu Analyseschritten reicht, die den Anforderungen von Gerichten an Beweismittel genügen, erstreckt sich das Notfallkonzept des civitec auf die Aufrechterhaltung bzw. Wiederherstellung des Geschäftsbetriebes.

 

3. In welchen Abständen werden die Sicherheitskonzepte überarbeitet? Wann zuletzt?

 

 Alle Konzepte, Prozesse und Anweisungen rund um die Themen Informationssicherheit und Datenschutz werden regelmäßig reviewed (unterschiedliche Zyklen, aber i.d.R. jährlich) und im Rahmen von Vorfällen auch auf ihre Angemessenheit und Gültigkeit geprüft und ggf. angepasst. Die letzte Prüfung erfolgte im Rahmen des Jahresabschlusses 2014.

 

4. Wann fand eine Prüfung dieser Konzepte durch Dritte statt (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter, etc.)?

 

 Da Behörden nach DSG NRW § 32a einen internen Datenschutzbeauftragten zu bestellen haben, kann dieser nicht als extern betrachtet werden, jedoch nimmt dieser im Rahmen seiner Tätigkeit durchaus Prüfaufgaben wahr. Zusätzlich wird auf jährlicher Basis durch den Wirtschaftsprüfer anhand des PS951 (Prüfung des internen Kontrollsystems beim Dienstleister für auf das Dienstleistungsunternehmen ausgelagerte Funktionen, hier SAP-Buchungen) ein entsprechendes Testat vorgenommen und auch erteilt (letztmalig 2014). Eine weitere Prüfung ist durch regelmäßige extern beauftragte Penetrationstests gegen die verschiedenen Instanzen des Verbandsnetzes gegeben.

 

5. Werden die Empfehlungen des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) beachtet?

 

Ja, soweit sinnvoll, angemessen und machbar. 

 

6. Verfügt die Civitec über eine Software zur sicheren Löschung von Daten?

 

Nach dem das BSI seine eigene Löschsoftware VS-Clean 2012 zurückgezogen hat nutzt der civitec entsprechend den aktualisierten Empfehlungen des BSI die Freeware DBAN, so Datenträger wiederverwendet werden sollen. Ansonsten wird für alle Datenträger auf einen zertifizierten Entsorger zurückgegriffen. Die Entsorgungsnachweise werden jährlich vom DSB des civitec überprüft.

 

7. Besteht die Möglichkeit der Einsichtnahme in den Bericht des Sicherheitsbeauftragten, bzw. gibt es einen öffentlich zugänglichen Bericht?

 

Da der Bericht sowohl konkrete Risiken und Schwachstellen als auch entsprechende Maßnahmenempfehlungen enthält, ist dieser weder zur Einsicht vorgesehen noch gibt es einen öffentlich zugänglichen Teil dieses Berichtes. 

 

8. Stehen aus Sicht der Gesellschafter die notwendigen Geldmittel und Personalressourcen für einen sicheren EDV-Betrieb zur Verfügung?

 

Dies muss in Abhängigkeit von der Einstufung der Sensibilität der Daten gesehen werden. Aus Sicht der derzeitigen Einstufung “Normal“ sind die zur Verfügung stehenden Mittel gerade ausreichend. Geht man aber von einer Einstufung der Daten  als “Hoch“ aus oder betrachtet man das Ganze unter dem Aspekt einer sich verschärfenden Bedrohungslage und damit steigender Anforderungen an die Informationssicherheit, so ist der Mitteleinsatz in jeglicher Hinsicht deutlich zu erhöhen.

 

Kommentar schreiben

Kommentare: 0