Sehr geehrter Herr Stadtverordnetenvorsteher,
die Stadtverordnete Dr. Annette Schaper-Herget hat folgende Anfrage an den Magistrat gerichtet:
Vorbemerkung
Aus der Antwort auf unsere Anfrage „informationssicherheitsbeauftragte/r (ISB)“ (vom 29.01.2024) geht hervor, dass die Stelle eines oder einer Informationssicherheitsbeauftragen nach Sitzung der Stellenbewertungskommission im Februar 2024 ausgeschrieben werden sollte. In dieser sollte die Stelle auf Basis der Stellenbeschreibung bewertet werden.
Aus der Antwort geht weiterhin hervor, dass „die operative IT-Sicherheit, also auch die Abwehr von Cyberangriffen, in der Abteilung luK des Hauptamts verortet ist und bisher einen effektiven Schutz gewährleistet hat.“ Weiterhin heißt es in der Antwort, dass diese Abteilung „derzeit – im Rahmen des Möglichen – auch Aufgaben der oder des ISB übernimmt.“
Aus der Antwort auf unsere Anfrage „Cybersicherheit in der Offenbacher Verwaltung“ (vom 24.11.2023) wird hingegen deutlich, dass „der Beschluss 2021-26/DS-l(A)0278 solange nicht umgesetzt werden kann, bis die 2023 ausgeschriebene Steile einer oder eines Informationssicherheitsbeauftragten (ISB) besetzt wird.“
Danach ist die Umsetzung dieses Beschlusses also eine der wesentlichen Aufgaben der oder des ISB. Dieser Beschluss sieht vor, dass „der Magistrat zur Reduktion der Risiken und Folgen eines Cyberangriffs ein Informationssicherheitskonzept auf Basis BSI Grundschutz („IT-Grundschutzprofil Basis-Absicherung Kommunalverwaltung“) vorlegen soll. Dieses soll die Kernverwaltung mit allen Bereichen der kritischen Infrastruktur umfassen sowie den Stadtkonzern und die Eigenbetriebe. Dabei ist zu prüfen und zu berichten, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll und welche Kosten damit verbunden wären.“
Außerdem soll er in einer jährlichen nichtöffentlichen Sitzung dem HFDB den Sachstand vorlegen.
Diese ISB-Aufgaben hat die Abteilung luK des Hauptamts nicht geleistet, auch keinen Bericht an den HFDB im Jahr 2023.
Aus der Antwort geht weiterhin hervor, dass die Fördermittel, die im Rahmen des Kommunalen Dienstieistungszentrums Cybersicherheit (KDLZCS) des Landes zur Verfügung gestellt wurden, für „eine umfangreiche IT-Sicherheitsuntersuchung genutzt wurden“.
Hierzu haben wir folgende Fragen:
1. Ist die Stelle inzwischen ausgeschrieben worden?
2. Wie hat die Stellenbewertungskommission im Februar 2024 die Stelle aufBasis der Stellenbeschreibung bewertet?
3. Ist die Stelle inzwischen besetzt?
4. Wo können wir die Ausschreibung nachlesen?
5. Welche Aufgaben des oder der ISB hat Abteilung luK des Hauptamts bis zurBesetzung der Steile übernommen?
6. Warum hat sie darüber nicht im HFDB berichtet?
7. Gibt es inzwischen ein Informationssicherheitskonzept?
8. Weiß man inzwischen, ob ein offizielles Audit „ISO 27001 Zertifizierung“angestrebt werden soll oder nicht?
9. Wer hat die „umfangreiche IT-Sicherheitsuntersuchung“ durchgeführt?
10. Gibt es dazu einen Bericht?
11. Können wir den einsehen?
12. Kann darüber im HFDB berichtet werden?
Diese Anfrage beantwortet der Magistrat wie folgt:
Frage 1: Ist die Stelle inzwischen ausgeschrieben worden?
Antwort: Nein. Die ruhestandsbedingte Nachbesetzung der Stelle der Leitung der Abteilung luK des Hauptamtes musste prioritär umgesetzt werden. Die Stelle wird zum 01.07.24 neu besetzt, das Nachbesetzungsverfahren ist abgeschlossen. Die Ausschreibung der Stelle der/des Informationssicherheitsbeauftragten ist in Kürze vorgesehen.
Frage 2: Wie hat die Stellenbewertungskommission im Februar 2024 die Stelle auf Basis der Stellenbeschreibung bewertet?
Antwort: Die Stelle wurde von der Bewertungskommission der Stadtverwaltung in ihrerSitzung am 06.02.24 mit dem Stellenwert A12 BBO bewertet.
Frage 3: Ist die Stelle inzwischen besetzt?
Antwort: Nein
Frage 4: Wo können wir die Ausschreibung nachiesen?
Antwort: Die Ausschreibung wird intern wie extern erfolgen und wie üblich in einschlägigen Bewerbungsportaien sowie auf www.offenbach.de veröffentlicht.
Frage 5: Welche Aufgaben des oder der ISB hat Abteilung luK des Hauptamts bis zur Besetzung der Stelle übernommen?
Antwort: Folgende Aufgaben werden aktuell von der Abteilung luK wahrgenommen:
- Kontakt zu HMdlS, BSI und weiteren Behörden, insbesondere zu den mitder IT-Sicherheit befassten Personen.
- Mitwirkung im Risiko- und Notfallmanagement gern. Richtlinien desBusiness Continuity Managements (BCM) für den BereichInformationssicherheit.
- Erarbeitung und Durchführung von Sensibilisierungs- undSchulungsmaßnahmen zur Informationssicherheit für die Beschäftigten derStadtverwaltung.
- Beratung der Verwaltungsleitung sowie der fachverantwortüchenOrganisationseinheiten bezüglich der Informationssicherheit, insbes. beieinzuführenden oder bestehenden IT-Systemen.
- Untersuchung von Informationssicherheitsvorfällen und Einleitungentsprechender Maßnahmen.
Frage 6: Warum hat sie darüber nicht im HFDB berichtet?
Antwort: Ein umfassendes Informationssicherheitskonzept wird ebenso wie die regelmäßige Berichterstattung von einer/einem Informationssicherheitsbeauftragten (ISB) erstellt.
Siehe hierzu auch Beantwortung der Anfrage der Stadtverordnetenfraktion Offenbach für alle (Ofa) vom 24.11.2023, eingegangen am 27.11.2023, betr.: „Cybersicherheit in der Offenbacher Verwaltung“ durch den Magistrat.
Frage 7: Gibt es inzwischen ein Informationssicherheitskonzept?
Antwort: Noch nicht in der vorgesehenen Form. Siehe Antwort Frage 6.
Frage 8: Weiß man inzwischen, ob ein offizielles Audit „ISO 27001 Zertifizierung“ angestrebt werden soll oder nicht?
Antwort: Nein. Diese Prüfung wird Aufgabe der/ des ISB sein.
Frage 9: Wer hat die „umfangreiche IT-Sicherheitsuntersuchung“ durchgeführt?
Antwort: Firma QGroup GmbH, 61273 Wehrheim.
Frage 10: Gibt es dazu einen Bericht?
Antwort: Es hat eine verwaltungsinterne, nichtöffentliche Vorstellung der Untersuchungsergebnisse und der weiteren Schritte stattgefunden.
Frage 11: Können wir den einsehen?Antwort: Es existiert eine für den internen Dienstgebrauch klassifizierte Version. In dieser sind Sicherheitsrelevante Informationen geschwärzt.
Frage 12: Kann darüber im HFDB berichtet werden?
Antwort: Sofern gewünscht kann hierzu im nichtöffentlichen Teil einer Sitzung des Ausschusses HFDB berichtet werden.