Offenbach, den 20.06.2024

Herrn
Stadtverordnetenvorsteher
Stephan Färber
im Hause

Anfrage der Ofa-Fraktion nach § 50 HGO

Informationssicherheitsbeauftragte/r (ISB) die zweite

Sehr geehrter Herr Stadtverordnetenvorsteher,

gemäß § 50 HGO richten die Stadtverordneten der Ofa-Fraktion die nachstehende Anfrage an den Magistrat mit der Bitte um Beantwortung innerhalb der geschäftsordnungsgemäßen Frist.



Vorbemerkung:

Aus der Antwort auf unsere Anfrage „Informationssicherheitsbeauftragte/r (ISB)“ (vom 29.01.2024) geht hervor, dass die Stelle eines oder einer Informationssicherheitsbeauftragen nach Sitzung der Stellenbewertungskommission im Februar 2024 ausgeschrieben werden sollte. In dieser sollte die Stelle auf Basis der Stellenbeschreibung bewertet werden.

Aus der Antwort geht weiterhin hervor, dass „die operative IT-Sicherheit, also auch die Abwehr von Cyberangriffen, in der Abteilung IuK des Hauptamts verortet ist und bisher einen effektiven Schutz gewährleistet hat.“ Weiterhin heißt es in der Antwort, dass diese Abteilung „derzeit – im Rahmen des Möglichen – auch Aufgaben der oder des ISB übernimmt.

Aus der Antwort auf unsere Anfrage „Cybersicherheit in der Offenbacher Verwaltung“ (vom 24.11.2023) wird hingegen deutlich, dass „der Beschluss 2021-26/DS-I(A)0278 solange nicht umgesetzt werden kann, bis die 2023 ausgeschriebene Stelle einer oder eines Informationssicherheitsbeauftragten (ISB) besetzt wird.

Danach ist die Umsetzung dieses Beschlusses also eine der wesentlichen Aufgaben der oder des ISB. Dieser Beschluss sieht vor, dass „der Magistrat zur Reduktion der Risiken und Folgen eines Cyberangriffs ein Informationssicherheitskonzept auf Basis BSI Grundschutz („IT-Grundschutzprofil Basis-Absicherung Kommunalverwaltung“) vorlegen soll. Dieses soll die Kernverwaltung mit allen Bereichen der kritischen Infrastruktur umfassen sowie den Stadtkonzern und die Eigenbetriebe. Dabei ist zu prüfen und zu berichten, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll und welche Kosten damit verbunden wären.“

Außerdem soll er in einer jährlichen nichtöffentlichen Sitzung dem HFDB den Sachstand vorlegen.

Diese ISB-Aufgaben hat die Abteilung IuK des Hauptamts nicht geleistet, auch keinen Bericht an den HFDB im Jahr 2023.

Aus der Antwort geht weiterhin hervor, dass die Fördermittel, die im Rahmen des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZCS) des Landes zur Verfügung gestellt wurden, für „eine umfangreiche IT-Sicherheitsuntersuchung genutzt wurden“.

Hierzu haben wir folgende Fragen:

  1. Ist die Stelle inzwischen ausgeschrieben worden?
  2. Wie hat die Stellenbewertungskommission im Februar 2024 die Stelle auf Basis der Stellenbeschreibung bewertet?
  3. Ist die Stelle inzwischen besetzt?
  4. Wo können wir die Ausschreibung nachlesen?
  5. Welche Aufgaben des oder der ISB hat Abteilung IuK des Hauptamts bis zur Besetzung der Stelle übernommen?
  6. Warum hat sie darüber nicht im HFDB berichtet?
  7. Gibt es inzwischen ein Informationssicherheitskonzept?
  8. Weiß man inzwischen, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll oder nicht?
  9. Wer hat die „umfangreiche IT-Sicherheitsuntersuchung“ durchgeführt?
  10. Gibt es dazu einen Bericht?
  11. Können wir den einsehen?
  12. Kann darüber im HFDB berichtet werden?