Gruene-leipzig.de | Gruene-Sachsen.de | gruene.de
Grüne Fraktion Leipzig Logo Sonnenblume
Suchen

Anfrage: Digitale Sicherheit

Anfrage zur Beantwortung in der Ratsversammlung am 13. Oktober 2021

Anfang Juli war die gesamte Verwaltung des Kreises Anhalt-Bitterfeld durch einen Cyberangriff massiv betroffen. Die Hacker forderten eine Art Lösegeld. Zum einen wurde eine Vielzahl an Daten erbeutet, zum anderen wurde die Verwaltung quasi lahmgelegt. Nach derzeitigen Schätzungen wird der Schaden erst in den nächsten Monaten vollständig behoben sein. Außerdem wurde der Kommunale Eigenbetrieb Engelsdorf in diesem Sommer Opfer eines Cyberangriffs.

 

Vor diesem Hintergrund fragen wir:

 

  1. Wie viele Cyberangriffe und daraus folgend Störungen auf IT-Systeme der Stadtverwaltung, auf IT-Systeme von Eigenbetrieben der Stadt oder auf IT-Systeme, welche durch externe Dienstleister für die Stadt betrieben werden, gab es in den letzten 2 Jahren?
  2. Wie schätzt die Verwaltung insgesamt die Sicherheit der IT-Systeme der Verwaltung, der Eigenbetriebe und die der externen Dienstleister vor dem Hintergrund der Geschehnisse in Anhalt-Bitterfeld ein?
  3. Welche Auswirkungen hätte ein vergleichbarer Cyberangriff wie in Anhalt-Bitterfeld auf die Arbeitsfähigkeit der Leipziger Stadtverwaltung und Eigenbetriebe?
  4. Wie ist der Sachstand bzgl. des Aufbaus eines Informationssicherheitsmanagementsystems (ISMS)? Welche Schritte des Informationssicherheitsmanagementprozesses wurden bereits umgesetzt?
  5. Zu welchem Ergebnis führte die im Zuge der Erfolgskontrolle der Erreichung der Sicherheitsziele im ISMS durchgeführte Überprüfung?
  6. Wann und durch wen wurden die IT-Systeme der Verwaltung, der Eigenbetriebe und die der externen Dienstleister zuletzt einem sogenannten Stresstest unterzogen, bei dem ein beauftragter Dritter die digitale Infrastruktur angreift, um Probleme und Sicherheitslücken zu finden, damit diese erschlossen bzw. geschlossen werden können?

 

Antwort vom 13. Oktober 2021

Anfang Juli war die gesamte Verwaltung des Kreises Anhalt-Bitterfeld durch einen Cyberangriff massiv betroffen. Die Hacker forderten eine Art Lösegeld. Zum einen wurde eine Vielzahl an Daten erbeutet, zum anderen wurde die Verwaltung quasi lahmgelegt. Nach derzeitigen Schätzungen wird der Schaden erst in den nächsten Monaten vollständig behoben sein. Außerdem wurde der Kommunale Eigenbetrieb Engelsdorf in diesem Sommer Opfer eines Cyberangriffs.

 

Vor diesem Hintergrund wurde gefragt


1.        Wie viele Cyberangriffe und daraus folgend Störungen auf IT-Systeme der Stadtverwaltung, auf IT-Systeme von Eigenbetrieben der Stadt oder auf IT-Systeme, welche durch externe Dienstleister für die Stadt betrieben werden, gab es in den letzten 2 Jahren?

Bei einer Verwaltung von der Größe der Stadt Leipzig, gibt es natürlich hin und wieder Angriffe. Bisher gab es aber keine meldepflichtigen Sicherheitsvorfälle. Auch bei den Eigenbetrieben ist uns aktuell nur der Sicherheitsvorfall im KEE bekannt.


2.        Wie schätzt die Verwaltung insgesamt die Sicherheit der IT-Systeme der Verwaltung, der Eigenbetriebe und die der externen Dienstleister vor dem Hintergrund der Geschehnisse in Anhalt-Bitterfeld ein?

Hier kann man nur mit aufeinander abgestimmten technischen und organisatorischen Maßnahmen gegensteuern, weshalb wir uns für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entschieden haben. Die aktuellen Ereignisse zeigen jedoch auch, dass es eine 100 % Sicherheit nicht gibt. Die Lage ist ernst, durch die zunehmende Digitalisierung geraten natürlich auch Kommunen immer mehr in den Fokus Krimineller.


3.        Welche Auswirkungen hätte ein vergleichbarer Cyberangriff wie in Anhalt-Bitterfeld auf die Arbeitsfähigkeit der Leipziger Stadtverwaltung und Eigenbetriebe?

Die Auswirkungen lassen sich im Vorfeld schwer einschätzen, da jeder Sicherheitsvorfall anders ist. Die Stadt Leipzig steht vor der Herausforderung, immer effizienter und möglichst zu jeder Zeit Leistungen erbringen zu müssen, bspw. im Hinblick auf das OZG und die fortschreitende Digitalisierung der Verwaltung. Infolgedessen besteht eine zunehmend größere Abhängigkeit von Informationstechnik, funktionierenden Lieferketten (auch bei Updates/Patches) und den Leistungen Dritter. Risiken, z. B. durch Cyber-Angriffe oder extreme Naturereignisse, gegen die ein vollumfänglicher Schutz nicht möglich ist, nehmen zu. Cyber-Angriffe der vergangenen Jahre haben immer wieder zu Ausfällen kritischer Geschäftsprozesse bei anderen Verwaltungen in Deutschland geführt (siehe jährliche Lageberichte des BSI zur IT-Sicherheit in Deutschland). Entsprechend steigt die Notwendigkeit einer umfassenden Vorsorge gegen Ausfälle.

Neben der Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit ist unser IT-Dienstleister Lecos, der auf mehreren Sicherheitsschichten Systeme zur Früherkennung von Anomalien oder Angriffen verschiedenster Art betreibt, eine wesentliche Säule.

4.        Wie ist der Sachstand bzgl. des Aufbaus eines Informationssicherheitsmanagementsystems (ISMS)? Welche Schritte des Informationssicherheitsmanagementprozesses wurden bereits umgesetzt?

Der Prozess zum ISMS wurde stadtseitig initiiert, und unterliegt dem PDCA-Zyklus (Plan-Do-Check-Act) zur kontinuierlichen Verbesserung, aktuell erfolgt eine Priorisierung der Bausteine und Maßnahmen.


5.        Zu welchem Ergebnis führte die im Zuge der Erfolgskontrolle der Erreichung der Sicherheitsziele im ISMS durchgeführte Überprüfung?

Auf Seiten unseres Dienstleisters der Lecos wurde die Re-Zertifizierung für 2021 bestätigt. Stadtseitig unterliegt das ISMS keiner Zertifizierung. Eine externe Nachweiserbringung erfolgt aktuell nur für den Bereich Kritische Infrastrukturen (KRITIS) im VTA.
Zukünftig soll durch die interne Auditierung und damit die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und des Informationssicherheitsprozesses bessere Aussagen über deren wirksame Umsetzung, Aktualität, Vollständigkeit und Angemessenheit und damit über den aktuellen Zustand der Informationssicherheit getroffen werden.


6.        Wann und durch wen wurden die IT-Systeme der Verwaltung, der Eigenbetriebe und die der externen Dienstleister zuletzt einem sogenannten Stresstest unterzogen, bei dem ein beauftragter Dritter die digitale Infrastruktur angreift, um Probleme und Sicherheitslücken zu finden, damit diese erschlossen bzw. geschlossen werden können?

Extern erreichbare Systeme unterliegen wie beschrieben einem permanenten Schwachstellenscan, „größere“ Systeme wie das Intranet, werden Penetrationstests unterzogen, mit einer nachweislichen Wirksamkeit der getroffenen Maßnahmen.
Auch zukünftig werden verfahrensabhängig sensible oder kritische Systeme einem zusätzlichen Penetrationstest unterzogen, um die Wirksamkeit der Maßnahmen besser zu evaluieren.

Zurück