Ratsinformationssystem

Auszug - Sicherheit der IT-Landschaft der Stadtverwaltung - Anfrage des Stadtverordneten Bloch vom 04.03.2014 -  

des Haupt- und Finanzausschusses
TOP: Ö 9.1
Gremium: Haupt- und Finanzausschuss Beschlussart: zur Kenntnis genommen
Datum: Di, 18.03.2014 Status: öffentlich/nichtöffentlich
Zeit: 16:00 - 17:17 Anlass: Sitzung
Raum: kleiner Sitzungssaal (Raum 214)
Ort: Rathaus Herne
2014/0184 Sicherheit der IT-Landschaft der Stadtverwaltung
- Anfrage des Stadtverordneten Bloch vom 04.03.2014 -
   
 
Status:öffentlichVorlage-Art:Anfrage FDP
Verfasser:SVO Bloch, Thomas
Federführend:FB 11 - Rat und Bezirksvertretungen Bearbeiter/-in: Telkemeier, Erwin
 
Beschluss


Nach Berichterstattung der WAZ vom 03. März 2014 gibt es Städte und Gemeinden in NRW, deren Computernetze Hackerangriffen schutzlos ausgeliefert sind.

 

Die FDP-Fraktion bittet vor diesem Hintergrund um die Beantwortung folgender Fragen:

  • Wie beurteilt die Verwaltung die grundsätzliche Sicherheit des EDV-Netzwerks der Stadtverwaltung?
  • Ist ein unkontrollierter externer Zugang zum Verwaltungsnetz möglich. Wenn ja, gab es bereits Hackerangriffe, die zu einem Datendiebstahl geführt haben?
  • Wäre es möglich, sich mit einem Laptop an einer Netzwerkdose in einer Amtsstube Zugang zum Verwaltungsnetz zu verschaffen?
  • Wie werden die Mitarbeiter im Hinblick auf den Umgang mit personenbezogenen Daten geschult? Ist sichergestellt, dass personenbezogene Daten nur in geschützten Bereichen abgelegt werden?
  • Ist sichergestellt, dass Daten nicht ungewollt auf externe Speichermedien (wie z.B. USB-Sticks) gespeichert werden?
  • Wie viele Angriffe auf die Firewall werden täglich verzeichnet?
  • Wurde die Sicherheit der IT-Landschaft der Stadtverwaltung schon einmal durch einen externen Gutachter oder eine entsprechende Sicherheitsfirma überprüft?

 

 

Herr Oberbürgermeister Schiereck beantwortet die Anfrage wie folgt:

Grundsätzlich ist vorauszuschicken, dass der Aufwand, mit dem Kriminelle Aktivitäten entwickeln, um Herrschaft über fremde Systeme und Daten zu gewinnen, mit dem Nutzen der Daten steigt. So ist es Hackern immer wieder gelungen, Systeme von Behörden zu manipulieren um diese damit bloß zu stellen. Dort, wo ein wirtschaftlicher Nutzen erzielt werden kann, sind entsprechende Aktivitäten besonders häufig anzutreffen. Zahlreiche Vorfälle hat es hierzu insbesondere bei Kundendaten von Unternehmen gegeben.

Zum 1. Punkt:

Die Stadt Herne verarbeitet im erheblichen Umfang Daten, die wegen des  Personenbezugs  oder der sonstigen Vertraulichkeit einen hohen Schutzbedarf aufweisen.

Die Gefahren insbesondere für die Verfügbarkeit und Vertraulichkeit der Daten sind vielfältig; sie betreffen Angriffe über das Internet auf unsichere Systeme genauso wie das Ausnutzen der Unsicherheitsquelle „Mensch“.

Technische Störungen, Fehlhandlungen oder gar kriminelle Angriffe können dabei jedoch nie vollständig ausgeschlossen und schon gar nicht mit vertretbaren Aufwand systematisch abgesichert werden.

Die technische Durchdringung im Verwaltungsalltag und die damit einhergehenden Gefahren steigen. Gleichzeitig wird die technische Umgebung zunehmend komplexer. Um diese zu beherrschen und eine angemessene Informationssicherheit zu gewährleisten, muss die Stadt Herne ihre Bemühungen  dringend intensivieren. Das betrifft die finanziellen Aufwände für Beratungen und Prüfung durch Externe, den Einsatz von technischen Sicherungssystemen und zusätzliche personelle Ressourcen.

Zum 2. Punkt:

Die Stadt Herne betreibt ein hochmodernes Firewall-System mit einem wirksamen Mechanismus zur Abwehr von Angriffen über das Internet. Erfolgreiche Hackerangriffe, die zum Datendiebstahl geführt haben, gab es bisher nicht.

Zum 3. Punkt:

Um dieser Gefahr zu begegnen, greifen neben organisatorischen Maßnahmen (wie z. B. Türen verschließen, Fremde nie allein in Diensträume lassen) auch technische Lösungen. So ist z. B. nicht jede sichtbare Netzwerkdose mit Funktionen belegt. Zur Kontrolle der Zugänge zum Verwaltungsnetz wird eine Software eingesetzt. Diese Software lässt Aktivitäten im Netzwerk nur von Endgeräten zu, die dem System bekannt sind, also als städtische Geräte identifiziert wurden. Die in diversen Außenstellen bereits aktive Software wird bis Herbst 2014 flächendeckend aktiv sein. Aus technischen und organisatorischen Gründen kann die Software nur „Zug um Zug“ eingeführt werden. Im Rathaus Herne erfolgt dies noch in diesem Monat.

Zum 4. Punkt:

Die Mitarbeiterinnen und Mitarbeiter wenden in ihren Fachgebieten rechtliche Vorschriften und dabei auch spezielle und allgemeine Bestimmung des Datenschutzrechts an.
Im Rahmen der allgemeinen und fachlichen Fortbildung können sie auf externe und interne Schulungsangebote zurückgreifen. Dazu zählen auch Sensibilisierungsschulungen, wozu in den letzten zwei Jahren vier Seminare durchgeführt wurden. Weitergehende Sensibilisierungskampagnen sind bisher an fehlenden Ressourcen gescheitert.

Für die Ablage dienstlicher Daten erhalten Mitarbeiterinnen und Mitarbeiter an Büroarbeitsplätzen Speicherbereiche zugewiesen, für das ein Berechtigungswesen greift.

Zum 5. Punkt:

Eine Dienstanweisung regelt eindeutig, dass alle dienstlichen Daten nur auf städtischen IT-Systemen und innerhalb des städtischen Verwaltungsnetzes verarbeitet werden sollen. Für Projekt- oder ortsunabhängige Arbeiten verwenden Mitarbeiterinnen und Mitarbeiter in Einzelfällen einen sicheren Zugang auf diese dienstlich benötigten Daten und Systeme.

Notebooks werden nur verschlüsselt ausgegeben, so dass ein Vertraulichkeitsverlust hier nicht entstehen kann. Nicht einfach ist es dagegen, Nutzungseinschränkungen insbesondere für neue, mobile Geräte wie Smartphones oder Tablet-PCs durchzusetzen.

Die Verwendung von externen Speichermedien wird technisch derzeit nicht unterbunden.

Zum 6. Punkt:

Das Firewall-System registriert durchschnittlich 1.000 (an Spitzentagen bis über 2.200) Angriffsversuche am Tag, die bisher ausnahmslos abgewehrt wurden.

Zum 7. Punkt:

Im IT-Bereich werden Systeme und Anwendungen, wie z. B. das E-Mail-System,  gezielt Sicherheitsprüfungen durch externe Gutachter unterzogen.

Eine Sicherheitsprüfung im Sinne simulierter Angriffsversuche über das Internet auf stadteigene  Serversysteme wurde im März 2013 von einer spezialisierten IT-Sicherheitsfirma durchgeführt. Sämtliche Angriffsversuche wurden durch einen Abwehrmechanismus des Firewall-Systems erkannt und blockiert.

Um weitere Feststellungen treffen zu können, wurde die wirksame Angriffserkennung in einer zusätzlichen Testphase zeitweise heruntergefahren bzw. deaktiviert. Erst ohne dieses Schutzschild konnten niederschwellige Sicherheitsrisiken festgestellt werden, die zeitnah beseitigt wurden. Ein Zugriff auf kritischere Systeme war jedoch zu keinem Zeitpunkt – auch nicht bei deaktivierter Angriffserkennung –  möglich.

 

 

Herr Bloch fragt, wie viele städt. Rechner noch mit dem Betriebssystem Windows XP laufen.

Herr Oberbürgermeister Schiereck antwortet, dass es maximal 10 seien.

 

Anmerkung der Schriftführung:              
Die Nennung der Zahl 10 beruht auf ein Missverständnis. Seit Einführung von Windows 7 bei der Stadt Herne vor ca. 3 Jahren wurde die Anzahl der XP-Rechner bereits deutlich reduziert. Gegenwärtig arbeiten noch etwa 650 Arbeitsplatzrechner und Notebooks mit Windows XP und werden zeitnah abgelöst bzw. auf Windows 7 aktualisiert. Für Endgeräte, die bis zum Stichtag im April nicht rechtzeitig abgelöst werden können, sind technische Maßnahmen vorbereitet worden, um die Ausnutzung eventuell entstehender Sicherheitslücken zu verhindern. Eine Software verhindert dann die Ausführung jeglicher Programme auf Windows-XP-Computern, die nicht durch die städtische EDV freigegeben werden. Auf diese Weise können Schadprogramme ihren Programmcode nicht abwickeln und damit das System nicht kapern oder lahmlegen.