Unsere neue Anfrage: IT-Sicherheit in der Stadtverwaltung

Sehr geehrter Herr Oberbürgermeister,

bereits im Thüringer Landtagsplenum kam zur Sprache, dass die kommunale Ebene bei der IT-Sicherheit schlecht ausgestattet sei. Dabei wurde der Mangel an einem generellen Problembewusstsein, einem Grundschutz und Schutzkonzepten beklagt.

Folgen davon sind erfolgreiche Hackerangriffe wie auf die Kernverwaltung der Stadt Suhl, die Monate lange Beeinträchtigungen zur Folge hatten.

Ein weiteres Beispiel ist das erstmalige Ausrufen eines Katastrophenfalles durch eine deutsche Kommune aufgrund eines Hackerangriffs am 10. Juli 2021. Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt wurde so weit lahmgelegt, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen beeinträchtigt war. Dabei wurde die IT-Infrastruktur des Landkreises von einem Trojaner befallen, der Dateien verschlüsselt hat, um Lösegeld zu erpressen. Es gelang nicht, den Wiederaufbau des Verwaltungsnetzes und die Rekonstruktion der Daten im gleichen Jahr abzuschließen.

Die Digitalisierung unserer kommunalen Infrastruktur auch im Rahmen des „Smart City“-Projektes wird von der Fraktion Bündnis 90/Die Grünen selbstverständlich begrüßt. Um aber die Risiken der Digitalisierung zu mindern, braucht es einen effektiven Schutz, um kritische Stellen abzusichern.

Digitale Risiken durch Cyber- bzw. Hacker-Angriffe, also gezielte Angriffe auf ein oder mehrere informationstechnische Systeme, die geplant und ausgeführt von einer Person (Hacker) oder einer Organisation, die es sich zur Aufgabe gemacht hat, dem jeweiligen „Opfer zu schaden, zu kennen und zu beherrschen, ist wesentlicher Teil einer erfolgreichen Digitalisierungsstrategie.

Daher bitten wir um die Beantwortung der folgenden Fragen. Die Fragen beziehen sich auf die Bereiche und das Personal der Geraer Stadtverwaltung, ihrer Gremien, der Zweckverbände und kommunalen Unternehmen. Wir bitten darum, dies bei der Beantwortung zu berücksichtigen!

  1. Wie viele Cyberangriffe gab es seit 2020 bis heute? (wir bitten um eine Übersicht mit Zeitpunkt, Art der Attacke, verursachter Schaden)
  2. Inwieweit gibt es ein Konzept zur IT-Sicherheit? Wann und von wem wurde dieses erstellt?
  3. Wenn es bestehende Maßnahmen zur IT-Sicherheit gibt, inwieweit werden sie evaluiert und wie erfolgt diese Evaluation?
  4. Inwieweit wird der IT-Grundschutz des BSI umgesetzt?
  5. Wer übernimmt die Aufsicht bei Fragen der Datensicherheit? (wir bitten um eine Übersicht ob extern/intern, stundenäquivalent oder eigene Stelle, bei welcher Qualifikation)
  6. Inwieweit verfügt die Geraer Stadtverwaltung über eigenes IT-Fachpersonal? (wir bitten um eine Übersicht mit Abteilung, Anzahl des IT-Fachpersonals und der jeweiligen Qualifikation)
  7. Inwieweit erfolgt ein regelmäßiger Austausch mit anderen Kommunen über Maßnahmen der Informationssicherheit? (bitte um mindestens drei Beispiele: bzgl.  der Kommune, Weg/Art der Kommunikation, konkret besprochenes Thema)
  8. Werden Kooperationen zur Erhöhung der IT-Sicherheit angestrebt? Wenn ja, welche?
  9. Wie hoch ist der Anteil von Opensource-Software in der genutzten Verwaltungs-IT? (wir bitten um eine Übersicht mit Namen, Herausgeber und Nutzungsgrund)
  10. Wie hoch sind die Gesamtausgaben für Maßnahmen der IT-Sicherheit im Haushalt? (bitte aufschlüsseln nach Gesamtvolumen und Anteil der Ausgaben für IT-Sicherheit)
  11. Welche Antivirenprogramme werden genutzt? Handelt es sich um käuflich zu erwerbende Lizenzen? (wir bitten um eine Übersicht mit jeweiligem Programm, Herausgeber, Kosten)
  12. Wird noch das Antivirenprogramm „Kaspersky“ des russischen Softwareunternehmens Kaspersky Lab genutzt? Wenn ja, in welchen Bereichen?
  13. Wurde das Antivirenprogramm „Kaspersky“ durch ein anderes Programm ersetzt? Wenn ja, wann? (wir bitten um eine Übersicht mit Abteilung und Datum)
  14. Welche städtischen Einrichtungen und Strukturen mit kommunaler Beteiligung (z.B. des Verkehrs, der Energie- und Wärmeversorgung, ZVME, Rettungsdienste, Krankenhäuser, ÖPNV, Müllentsorgung, …) sind digital zugänglich oder werden digital gesteuert? Wie werden diese vor Cyberangriffen geschützt? (wir bitten um eine Übersicht mit jeweiligen Sektoren und Schutzmaßnahmen)
  15. Wer ist zuständig, die Software zu aktualisieren, auf Sicherheitsvorfälle zu reagieren und Systemzustände zu überwachen? (wir bitten um eine Übersicht mit ob extern/intern, stundenäquivalent, Qualifikation)
  16. Liegt ein Plan oder Konzept für den Fall vor, dass ein Bereich ungeplant ausfällt oder gehackt wurde? Wann und von wem wurde dieser/dieses erstellt? Inwieweit darf dies unter der Berücksichtigung von Sicherheitsaspekten beschrieben werden? (Bitte um Beschreibung so weit wie aus Sicherheitsgründen möglich, wenn Berichterstattung nicht möglich, bitte rechtliche Grundlage dafür nennen)
  17. Inwieweit ist das Personal der Stadtverwaltung gegenüber digitalen Risiken sensibilisiert? (wir bitten um eine Übersicht mit jew. Personal, Abteilung und wie es sensibilisiert/geschult wird)

 

Wir danken Ihnen herzlich vorab für die Beantwortung der Fragen.

Nils Fröhlich
Fraktionsvorsitzender
BÜNDNIS 90/DIE GRÜNEN Gera

*********************************

Am 09. Mai 2022 haben wir die Antwort auf unsere Anfrage erhalten.

 

Artikel kommentieren

Artikel kommentieren