Sehr geehrter Herr Stadtverordnetenvorsteher,
o.g. Stadtverordnetenanfrage beantwortet der Magistrat wie folgt:
Ofa: In der Antwort ist unsere Vorbemerkung weggelassen worden. Wir fügen sie hier noch mal ein:
Vorbemerkung:
Am 23. Juni 2022 hat die Stadtverordnetenversammlung den Beschluss 2021-26/DS-I(A)0278 gefasst. Danach soll soll der Magistrat zur Reduktion der Risiken und Folgen eines Cyberangriffs ein Informationssicherheitskonzept auf Basis BSI Grundschutz („IT-Grundschutzprofil Basis-Absicherung Kommunalverwaltung“) vorlegen. Dieses soll die Kernverwaltung mit allen Bereichen der kritischen Infrastruktur umfassen sowie den Stadtkonzern und die Eigenbetriebe. Dabei ist zu prüfen und zu berichten, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll und welche Kosten damit verbunden wären.
Außerdem soll er in einer jährlichen nichtöffentlichen Sitzung dem HFDB den Sachstand vorlegen.
Des weiteren soll er prüfen, ob Landesmittel (z.B. über die ekom21) für dieses Vorhaben genutzt werden können und diese dann auch zu beantragen.
Pressemeldungen über gehackte Dienstleister für Kommunen häufen sich. Beispiele sind:
- Gestern (23.11.2023) gab es einen Cyberangriff auf 12 schwäbische Gemeinden, deren Bürgerbüros aktuell nur eingeschränkt arbeiten (https://www.br.de/nachrichten/bayern/cyberattacke-auf-zwoelf-schwaebische-gemeinden,TwRIz7A)
- Vor wenigen Wochen hat Ransomware einen Dienstleister für Kommunen in NRW lahmgelegt, so dass 71 Rathäuser nicht mehr arbeitsfähig sind. Vermutlich versucht der Angreifer, Geld zu erpressen (zahlreiche Pressemeldungen).
- 2015 hat vermutlich der russische Geheimdienst den Bundestag gehackt und sensible Daten gestohlen (zahlreiche Pressemeldungen).
Die Sicherheit der IT-Systeme in Offenbach ist daher ein dringliches Problem.
Frage 1:
Wie weit ist das Informationssicherheitskonzept gediehen?
Antwort:
Ein umfassendes Informationssicherheitskonzept wird ebenso wie die regelmäßige Berichterstattung von einer/ einem Informationssicherheitsbeauftragten (ISB) erstellt. Die Stelle wurde im Stellenplan 2023 eingerichtet, konnte aber noch nicht besetzt werden.
Frage 2:
Warum hat der Magistrat im Jahr 2023 nicht über den Sachstand berichtet?
Antwort:
Siehe Antwort zu Frage 1.
Frage 3:
Wann können wir mit dem ersten Bericht rechnen?
Antwort:
Siehe Antwort zu Frage 1.
Frage 4:
Weiß man inzwischen, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll oder nicht?
Antwort:
Eine Entscheidung ist noch nicht gefallen, dies wird nach der Besetzung ISB sowie unter Einbeziehung von Vorgaben des Landes und des Bundes entschieden.
Frage 5:
Weiß man inzwischen, ob hierfür Landesmittel, z.B. der ekom21, genutzt werden können?
Antwort:
Die Fördermittel, die im Rahmen des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZCS) des Landes zur Verfügung gestellt wurden, wurden für eine umfangreiche IT-Sicherheitsuntersuchung genutzt. Von neuen Fördermöglichkeiten ist derzeit nichts bekannt.
Frage 6:
Gibt es Schulungen für die Verwaltungsmitarbeiterinnen und -mitarbeiter, um das Bewusstsein für mögliche Einfallstore von Hackern zu stärken?
Antwort:
Dies ist eine Aufgabe der/des ISB nach der Besetzung der Stelle. Derzeit ist kein (kostenloses) Angebot von ekom21 oder Land Hessen bekannt.
Die Abteilung IuK des Hauptamtes berät seit vielen Jahren alle Organisationseinheiten bzgl. möglicher Risiken durch Cyber-Angriffe aller Art. Die Mitarbeitenden der Abteilung IuK nehmen regelmäßig an entsprechenden Schulungen teil, für Mitarbeitende aus dem Bereich der Kritischen Infrastruktur (IuK, Katastrophenschutz, SOH, EVO) wurde 2022 eine mehrtägige Schulung zum Thema Business Continuity Management (BCM) mit Fallsimulationen durchgeführt. Regelmäßige Angriffssimulationen und –tests (angekündigt und blind, als Dienstleistung, in Kooperation mit ekom21 oder dem Land Hessen) sind Bestandteil der täglichen Arbeit des Sachgebiets „Infrastruktur“ der Abteilung IuK des Hauptamtes.
Frage 7:
Gibt es hierzu Zusammenarbeit mit externen Stellen, z.B. mit dem Bundesamt für Sicherheit in der Informationstechnik oder Unternehmen, die auf IT-Sicherheit spezialisiert sind, und wenn ja, welche?
Antwort:
Das Hauptamt, Abteilung IuK, ist Mitglied in mehreren, regelmäßig tagenden Arbeitskreisen zur IT-Sicherheit, u.a. dem AK Cybersicherheit mit Beteiligung des Landes. Hier gibt es einen engen Kontakt mit dem Cyber Emergency Response Team (CERT) des Landes (Hessen3C). Eine Ausschreibung zur Vergabe von Dienstleistungen im Bereich IT-Sicherheit zum Betrieb eines sog. Service Operations Center (SOC) befindet sich in Vorbereitung.
Mit freundlichen Grüßen
Dr. Felix Schwenke
OberbürgermeisterCybersicherheit in der Offenbacher Verwaltung
