Protokoll:
Verwaltungsausschuss
des Gemeinderats der Landeshauptstadt Stuttgart
Niederschrift Nr.
TOP:
135
1
Verhandlung
Drucksache:
170/2017
GZ:
OB 0413
Sitzungstermin:
03.05.2017
Sitzungsart:
öffentlich
Vorsitz:
BM Dr. Mayer
Berichterstattung:
die Herren Hauber und Elser (beide AKR-DSB)
Protokollführung:
Herr Häbe
de
Betreff:
Datenschutz und IT-Sicherheit bei der Stadtverwaltung Stuttgart
- Bericht 2015/2016 -
Vorgang: Verwaltungsausschuss vom 05.04.2017, nicht öffentlich, Nr. 119
Ergebnis: Einbringung
Beratungsunterlage ist die Mitteilungsvorlage des Herrn Oberbürgermeisters vom 07.03.2017, GRDrs 170/2017.
Die zu diesem Tagesordnungspunkt gezeigte Präsentation ist dem Protokoll als Dateianhang hinterlegt. Dem Originalprotokoll und dem Protokollexemplar für die Hauptaktei ist sie in Papierform angehängt.
Herr
Elser
berichtet im Sinne dieser Präsentation.
Von Herrn
Hauber
wird ergänzt, das von Cyber-Kriminellen verfolgte Geschäftsmodell, Seiten 3 und 4 der Präsentation, beruhe darauf, dass nach der Bezahlung von "Lösegeld" eine Entschlüsselung ermöglicht werde. Sofern man bei der Entschlüsselung Probleme habe, betrieben die Betrüger dafür eigene Callcenter.
Die StRe
Dr. Reiners
(CDU),
Stopper
(90/GRÜNE),
Perc
(SPD) und
Urbat
(SÖS-LINKE-PluS) sowie Herr
Purz
(GPR) bedanken sich für den Bericht und würdigen die im Bereich des behördlichen Beauftragten für Datenschutz und IT-Sicherheit geleistete Arbeit.
Gegenüber StR Stopper informiert Herr
Hauber
, die Verwaltung habe bisher von Strafanzeigen abgesehen. Da die Angreifer, wenn diese überhaupt identifiziert werden könnten, in Staaten lebten, mit denen die Bundesrepublik keine Auslieferungsabkommen habe, würde die Staatsanwaltschaft sicherlich entsprechende Verfahren einstellen.
StR
Perc
bezieht sich auf die Internetseite Stuttgart.de. Dort werde dargestellt, welche Subseiten der Datenschutz umfasse. Zwar sei noch das Beteiligungsportal Stuttgart.de aufgeführt, allerdings fehle die neue Seite "Stuttgart - meine Stadt". Da dort aber personenbezogene Daten verarbeitet würden, sollte dies ergänzt werden. Dies nimmt Herr
Hauber
auf. Hier gehe es um ein Spezialproblem. Ihm fehle hier die Gesamtsteuerung. Unterseiten würden durchaus, ohne dass LOB-K Kenntnis habe, angedockt. Ausgegangen werden müsse davon, dass es eine Vielzahl von Seiten gebe, bei denen nicht bekannt sei, dass sie mit Stuttgart.de verknüpft seien. Ein Versuch, dieses Dickicht zu durchdringen, sei gescheitert. Die Vielzahl der Verknüpfungen führe auch zu Problemen. So habe die Verwaltung schon Abmahnungen erhalten, da auf einer Unterseite z. B. mit Google Analytics gearbeitet worden sei. Begrüßenswert wäre eine Unterstützung des Rates, um in diesem Bereich systematischer vorgehen zu können. Die derzeitige Situation lasse sich nicht mehr in Griff bekommen. Ein Relaunch des städtischen Internetauftritts stehe demnächst eventuell ja an.
Weiter auf StR Perc eingehend erklärt Herr Hauber, außer Frage stehe, dass ab Mai 2018 alle Prozesse mit entsprechenden Verfahrensverzeichnissen dokumentiert werden müssten. Er geht davon aus, dass es gelingt, ein funktionsfähiges Verfahrensverzeichnis nach den neuen Anforderungen in Betrieb zu nehmen. Gespräche mit den Programmierern liefen. Die Anforderungen seien definiert. Der grobe Rahmen, die EU-Datenschutzgrundverordnung, liege vor, allerdings stehe das neue Landesdatenschutzgesetz noch aus. Dieses Landesgesetz müsse sich zwar an den Rahmen der Datenschutzgrundverordnung halten, aber Abweichungen bei Öffnungsklauseln seien möglich. Diese müssten aber ebenfalls in die Verfahrensverzeichnisse eingepflegt werden.
Zudem informiert Herr Hauber an StR Perc gewandt, bei der Netzwerkkonzeption müsse in Richtung Segmentierung gegangen werden (Spezieller Schutz kritischer Anwendungen durch eigene Segmente). Um das bisherige grobe Netz entsprechend auszurichten würden Stellen und Finanzen benötigt. Derzeit lasse sich der Aufwand für diese "Herkulesaufgabe" noch nicht beziffern.
Der nächste konkrete Penetrationstest (Umfassender Sicherheitstest einzelner Rechner oder Netzwerke) stehe bei den Hybridgeräten der Gemeinderatsmitglieder an. Er geht davon aus, dass dabei angesichts des dort verwendeten Betriebssystems Windows 10 Schwachstellen gefunden werden.
StR
Urbat
spricht die erhöhten Strafbemessungen an. Seiner Kenntnis nach seien zukünftig für Nichtfirmen Strafen von bis zu 20 Mio. € und für Konzerne mit einem Jahresumsatz von über 250 Mio. € von bis zu 4 % des Jahresumsatzes möglich. Dass der Bußgeldrahmen nach der EU-Datenschutzgrundverordnung völlig vom bisherigen Bußgeldrahmen abweicht bestätigt Herr
Hauber.
Seither hätten sich Bußgelder im dreistelligen Bereich bewegt; die Bußgelder haben nicht der Landesdatenschutzbeauftragte, sondern die Karlsruher Bußgeldstelle verhängt. Diese Stelle bearbeitet normalerweise Verkehrsverstöße. Die Annahme von StR Urbat, dass städtische Eigenbetriebe/Ämter nicht als Firmen angesehen werden könnten, teile er. Für AGs werde es, wenn es sich wie bei der SSB um keine Eigenbetriebe handle, mit Sicherheit keine Ausnahmen geben. Noch nicht bekannt sei, wonach sich bei Kommunen die prozentuale Strafe bemesse, da diese keinen Jahresumsatz wie Firmen haben.
Die Aussage von Herrn Purz, dass die Anzahl und die Komplexität von Cyber-Angriffen zunimmt, bestätigt Herr Hauber. Derzeit behelfe man sich durch Zurücksetzen der Arbeitsplatz-Computer. Eine Lösung sei ein Neuaufsetzen allerdings nicht. Das vorhandene Personal könne dieser Herausforderung nicht gerecht werden. Auch hier müsse systematischer durch ein Sicherheitsmanagementsystem, welches die gesamte Stadtverwaltung umfasse, vorgegangen werden. Einen wirksamen Schutz allein durch technische Maßnahmen wie beispielsweise eine Firewall gebe es nicht mehr.
Verbunden mit dem Dank an Herrn Hauber und seine Mitarbeiterschaft stellt BM
Dr. Mayer
abschließend die Beratung der GRDrs 170/2017 fest.
zum Seitenanfang