IT-Sicherheit wird auch in Berlin immer wichtiger. Ich habe den Senat zum Stand der Zertifizierungen der Berliner Landesbehörden befragt (Drucksache 18/16571). Das ITDZ Berlin als zentraler IT-Dienstleister des Landes Berlin, ist nach den aktuellen Standards vom BSI zertifiziert. Das Berlin-CERT strebt eine Zertifizierung bei der internationalen Organisation „Trusted Introducer“ für 2019 an. Darüber hinaus sind alle Behörden der Berliner Verwaltung verpflichtet, ein Informations-Sicherheits-Management-System (ISMS) gemäß den Standards des BSI aufzubauen und weiterzuentwickeln (vgl. § 23 EGovG Bln). Eine darauf aufbauende Zertifizierung der Behörden nach IT-Grundschutz ist vom Gesetzgeber nicht vorgegeben und wird vom Senat auch nicht als strategisches Ziel verfolgt. Es wird sich zeigen, ob diese Entscheidung auch zukünftig so bleiben kann.

1. Welche Standards des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) kommen für eine Zertifizierung in der Verwaltung des Landes Berlin grundsätzlich in Frage?
2. Welche Behörden und ggf. welche jeweiligen Sachgebiete im Land Berlin sind aktuell nach welchen der oben erfragten BSI-Standards zertifiziert? (Bitte tabellarisch auflisten)
3. Welche landeseigenen Unternehmen und ggf. welche jeweiligen Sachgebiete sind aktuell nach welchen der oben erfragten BSI-Standards zertifiziert? (Bitte tabellarisch auflisten)

Das BSI führt seit Anfang des Jahres 2006 ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz durch. Grundlage für die Zertifizierung bildet der BSI-Standard 200-2 (bisher 100-2) „IT-Grundschutz-Vorgehensweise“ in Verbindung mit den weiteren BSI-Standards 200-1 (bisher 100-1) „Managementsysteme für Informationssicherheit“ und 200-3 (bisher 100-3) „Risikoanalyse auf der Basis von IT-Grundschutz“. Das ITDZ Berlin als zentraler IT-Dienstleister des Landes Berlin, ist nach den angeführten Standards vom BSI zertifiziert.

4. Welche Auswirkungen hat die Re-Zertifizierung des ITDZ Berlin nach den aktualisierten Grundschutz-Standards des BSI auf die Sicherheit in den Berliner Behörden und landeseigenen Unternehmen, insbesondere auf die Voraussetzungen für ihre jeweilige eigene Zertifizierung?
5. Welche Auswirkungen werden die Zertifizierung des ITDZ bei Umsetzung der Standardisierung der verfahrungsunabhängigen IT für die Berliner Behörden haben?
6. Welche Zertifizierungen nach BSI-Standards hat das ITDZ, dabei insbesondere auch das CERT, und welche weiteren Zertifizierungen werden angestrebt?

Gegenstand einer Zertifizierung ISO 27001 auf Basis IT-Grundschutz des BSI ist der Nachweis eines funktionierenden Informationssicherheitsmanagementsystems (ISMS) und die Umsetzung der notwendigen IT-Sicherheitsmaßnahmen. Dies umfasst das Metropolitan Area Network (MAN), Lokal Area Networks (LANs), Netzwerktechnik zur verschlüsselten Kommunikation, Anbindung an Fremdnetze, private Cloud-Infrastruktur, Rechenzentren und Dienstgebäude. Für die neuen Services des ITDZ Berlin sind dies der IKT-Arbeitsplatz, die IKT-Basisdienste und die IKTFachverfahrensservices.

Auswirkungen auf den unmittelbaren Landesdienst und die mittelbare Landesverwaltung ergeben sich daher, soweit Services des ITDZ Berlin (IKT-Arbeitsplatz, IKT-Basisdienste und IKT-Fachverfahrensservices) in Anspruch genommen werden. Eine gesonderte BSI-Zertifizierung für ein Computer Emergency Response Team (CERT) wird nicht angeboten. Das Berlin-CERT strebt eine Zertifizierung bei der internationalen Organisation „Trusted Introducer“ für 2019 an (https://www.trusted-introducer.org/processes/certification.html). Mit vorbereitenden Arbeiten hierzu ist bereits begonnen worden.

7. Welchen Zertifizierungsstand nach BSI-Standards im Land Berlin strebt der Senat an? (Bitte nach kurzfristigen, mittelfristigen und langfristigen Zielstellungen differenzieren)

Die Zertifizierung des ITDZ Berlin betrachtet der Senat als wichtiges Element zur umfassenden Gewährleistung des sicheren IKT-Einsatzes in der Berliner Verwaltung. Alle Behörden der Berliner Verwaltung sind verpflichtet, ein Informations-SicherheitsManagement-System (ISMS) gemäß den Standards des BSI aufzubauen und weiterzuentwickeln (vgl. § 23 EGovG Bln). Eine darauf aufbauende Zertifizierung der Behörden nach IT-Grundschutz ist vom Gesetzgeber nicht vorgegeben und wird vom Senat auch nicht als strategisches Ziel verfolgt. Sofern einzelne Behörden beabsichtigen, eine Zertifizierung auf Basis IT-Grundschutz eigenverantwortlich durchführen zu lassen, wird die Senatsverwaltung für Inneres und Sport sie dabei im erforderlichen Maße unterstützen.

8. Welchen konkreten Umfang und welche langfristen Ziele hat die Kooperationsvereinbarung des Landes Berlin mit dem BSI vom August 2018?

Mit dem Abschluss einer Absichtserklärung zur vertieften Kooperation in der IT-und Cybersicherheit zwischen der Senatsverwaltung für Inneres und Sport und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13. August 2018 verabreden beide Behörden, sich künftig noch enger und effektiver auf Bedrohungen aus dem Cyberraum vorzubereiten und gegenseitig zu unterstützen. Die Kooperation umfasst konkret folgende Bereiche:

  • Austausch von Mitarbeiterinnen und Mitarbeitern aus dem Bereich Schutz Kritischer Infrastrukturen im Rahmen von Hospitationen beim BSI oder umgekehrt auch bei der Senatsverwaltung für Inneres und Sport Berlin angestrebt, um Kenntnisse und Erfahrungen zu erweitern und zu vertiefen.
  • Nutzung von Qualifizierungsangeboten zu Themen der Cyber- und Informationssicherheit
  • Kooperation im Bereich der strategischen IT-Implementierung: Berücksichtigung der Länderbedarfe bei Rahmenverträgen für zugelassene Produkte des Bundes
  • Austausch zu Prozessen des IT-Krisenmanagements und der Prävention von Cyber-Angriffen
  • Austausch zur Stärkung der Resilienz bestehender IT-Lösungen (z. B. ITWeb-Checks, Penetrationstests)
  • Beratung und Unterstützung beim Aufbau behördlicher Informationssicherheitsmanagementsysteme durch das BSI
  • Ausbau der Kooperation im Rahmen der Allianz für Cybersicherheit (ACS) durch Aufnahme der Senatsverwaltung für Inneres und Sport als Multiplikator.

Die Kooperation dient den Zielen, die Cybersicherheit im Land Berlin zu stärken und die Bund-Länder-Zusammenarbeit in diesem Bereich zu intensivieren

9. Welche weiteren Kooperationen hat das Land Berlin mit dem BSI? (Bitte tabellarisch aufführen)

Weitere Kooperationen im Sinne der Fragestellung sind dem Senat nicht bekannt.

Print Friendly, PDF & Email