Anfrage Schutz vor Cyberangriffen

Antwort des Landrats Ralf Hänsel zur Anfrage der FDP-Fraktion.

1. Wie ist der Kreis Meißen allgemein auf Cyberangriffe vorbereitet? Gibt es dazu Eventualfallplanungen?
Zur Abwehr von Cyberangriffen existieren sowohl technische als auch organisatorische Vorkehrungen, welche ständig angepasst und aktualisiert werden. Falls mit der Eventualfallplanung die Pläne nach einem „erfolgreichen Cyberangriff“ gemeint sind, so gibt es sowohl Pläne für den „Notbetrieb“ als auch sog. Wiederanlaufpläne. Der Landkreis war bisher nur von Cyberangriffen auf niedrigschwelligem Niveau (z. B. Phishing-Mails) betroffen.

2. Wie ist die IT der Kreisverwaltung gegen Angriffe geschützt, welche Maßnahmen zur Datensicherung werden getroffen?
Die Kreisverwaltung schützt sich gemäß den Forderungen und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dies betrifft die Vorgaben sowohl in Hardware, Software, organisatorischen Maßnahmen als auch baulichen Anforderungen. Die Sicherheitsvorkehrungen der Verwaltung werden regelmäßig in Audits durch externe BSI-IT-Revisoren geprüft. Die Datensicherung wird nach aktuellen Empfehlungen vorgenommen, die Sicherung erfolgt mit Medienbruch unter Beachtung der 3-Generationen-Methode. Das Echtzeit-Backup erfolgt gespiegelt und geostationär getrennt.

3. Welche Informationen liegen dem Kreis zur Bedrohung der IT-Sicherheit durch Kriminelle oder Einzelpersonen vor?
Informationen erhält der Landkreis über das BSI sowie entsprechenden Einrichtungen des Freistaates Sachsen (SID, SaxCert).

4. Sind zur Thematik Schulungen oder Beratungen des Verwaltungspersonals durch Fachpersonal erfolgt oder geplant? Gemäß den Vorgaben werden regelmäßig Sensibilisierungen und Schulungsveranstaltungen für das Personal durchgeführt, vorwiegend initiiert durch die Beauftragte für Informationssicherheit der Kreisverwaltung. Orientierung geben hausinterne Regelungen, Dienstanweisungen, Informationen, Hinweisblätter und Handlungsempfehlungen.

5. Sind die persönlichen Daten von Bürgerinnen und Bürgern gesondert gesichert und gegen Zugriffe durch Dritte geschützt?
Die Kreisverwaltung unterscheidet hier nicht zwischen Bürger-, Unternehmens- oder Beschäftigtendaten. Für alle Daten gilt der jeweils höchste Schutzbedarf. Sie werden dementsprechend geschützt. Die Schutzmechanismen entsprechen den aktuellen Vorgaben von BSI-IT und Datenschutz

6. Wie handhabt die Kreisverwaltung die Löschung und Entsorgung von Datenträgern?
Datenträger werden zentral durch die EDV gesammelt und dann einem Vertragspartner zur Vernichtung übergeben. Dieser Vertragspartner muss zwingend ein gültiges Zertifikat des BSI besitzen sowie die Norm ISO 27001 erfüllen.

7. Wie wird die IT-Sicherheit im Rahmen der Digitalisierung als Handlungsfeld weiterentwickelt? Gemäß der fortschreitenden Digitalisierung und Weiterentwicklung in technischer Hinsicht werden die entsprechenden Schutzmechanismen und -konzepte stetig angepasst und weiterentwickelt. Hierfür werden die entsprechenden Ressourcen bereitgestellt und dem Bedarf angepasst.

8. Die Schaffung des Amtes für Informationstechnik und Digitalisierung empfinden wir als guten und richtigen Schritt. Wie gestaltet sich hierfür der Zeitplan und die finanzielle Umsetzung des Amtes im Rahmen des Haushaltsplanes?
Das Amt für Informationstechnik und Digitalisierung (AID) wurde bereits zum 1. Juni 2021 geschaffen, aktuell mit einer 1:1 Überführung des bisherigen Sachgebietes EDV inklusive E-Government. Die noch zu besetzende Position der Amtsleitung steht durch eine interne Umorganisation in einem anderen Fachbereich der Verwaltung zur Verfügung. Die Strukturänderung hat damit keine Auswirkungen auf den Stellenplan. Die Personalkosten
sind gesichert. Parallel erfolgt derzeit über ein externes Unternehmen eine Organisationsuntersuchung der EDV des Landratsamtes mit dem Ziel, einen Vorschlag zum künftigen Strukturaufbau, einer fortschreibungsfähigen Personalbemessung und einer Prozessoptimierung bei den allgemeinen Abläufen zu erhalten. Der Ergebnisbericht wird für Ende 2021 erwartet. Aus diesen Ergebnissen könne auch Aussagen für die künftige Personalausstattung und damit einhergehenden Personalkosten abgleitet werden.