Beantwortung zur Anfrage
207/2017
Landeshauptstadt Stuttgart Stuttgart,
08/15/2017
Der Oberbürgermeister
GZ:
OB 0412-00
Beantwortung zur Anfrage
Stadträtinnen/Stadträte - Fraktionen
Fraktionsgemeinschaft SÖS-LINKE-PluS
Datum
07/06/2017
Betreff
Sicherheit sensibler Daten in der der digitalen Behördenkommunikation
Anlagen
Text der Anfragen/ der Anträge
Beantwortung/ Stellungnahme:
Zu der Anfrage von SÖS-Linke-PluS vom 06. Juli 2017 wird wie folgt Stellung genommen:
1. Wie groß ist der Anteil an verschlüsselter elektronischer Kommunikation zwischen der Verwaltung der Stadt Stuttgart und Bürgern? Bitte aufschlüsseln nach Art der Verschlüsselung (DE-Mail, PGP, S/MIME etc.).
Bislang wird keine Erhebung bzgl. Kategorie und Menge der elektronischen Kommunikation im Sinne der Anfrage durchgeführt. Dies ist zur Aufgabenerfüllung nicht erforderlich und entspricht dem Gebot der Datensparsamkeit.
Zur Verschlüsselung der E-Mail-Kommunikation kann De-Mail und VPS (Virtuelle Poststelle) eingesetzt werden. Die Übermittlung sensibler Daten mittels Web-Portale erfolgt grundsätzlich verschlüsselt (https).
2. Wie groß ist der Anteil an verschlüsselter interner elektronischer Kommunikation zwischen den Behörden /Verwaltungsstellen der Stadt Stuttgart? Bitte aufschlüsseln nach Art der Verschlüsselung (DE-Mail, PGP, S/MIME etc.).
Bislang wird keine Erhebung bzgl. Kategorie und Menge der elektronischen Kommunikation im Sinne der Anfrage durchgeführt.
Zur Verschlüsselung der E-Mail-Kommunikation kann IBM Notes eingesetzt werden.
Die Bereitstellung sensibler Daten mittels Web-Portale erfolgt zunehmend verschlüsselt (https).
3. Ist der Öffentliche Schlüssel 0x286f38305ba1fd2a für
post@stuttgart.de
noch aktuell? Falls ja, warum wird immer der veraltete DAS/ELG-Algorithmus eingesetzt bzw. wird in naher Zukunft auf RSA (Mindeststärke 2048) aktualisiert? Falls nein, warum wird er nicht widerrufen?
Der in der Anfrage genannte öffentliche Schlüssel für
post@stuttgart.de
existiert noch. Im August 2017 ist vorgesehen, einen neuen PGP-Key mit RSA-Algorithmus und zeitgemäßer Schlüssellänge auf dem PGP-Keyserver zu registrieren. Erst danach wird der alte PGP-Key als ungültig markiert.
4. In wie weit wird mit dem PGP-Web-of Trust bei der Stadt Stuttgart gearbeitet?
Bisher gibt es keine Empfehlungen bezüglich dem Einsatz von PGP-Web-of Trust bei der Stadt Stuttgart.
5. Weswegen sind die Zertifikate nur durch explizite Suche zu finden, anstatt direkt unter jeder der betroffenen E-Mail Adressen?
Eine direkte Verlinkung jeder E-Mailadresse würde einen erheblichen Mehraufwand verursachen. Deswegen wurde ein allgemein gültiger Link auf der Seite
www.stuttgart.de
hinterlegt.
Die Zertifikate werden an zentraler Stelle bereitgestellt:
https://vps.kdrs.de/vps-public/download/certificates.jsf
. Hier ist auch der direkte Bezug von E-Mail-Adresse zu Zertifikat gegeben.
6. Besteht die Intention die verschlüsselte Kommunikation via Open PGP auch für andere E-Mail Adressen der Stadt Stuttgart anzubieten?
Zur verschlüsselten E-Mail-Kommunikation wurden die Dienste De-Mail und VPS etabliert. Die Nutzung von OpenPGP ist nicht freigeben. VPS gestattet aber auch die Nutzung von PGP-Public-Keys.
7. Welche Kosten entstehen der Stadt durch die Nutzung von DE-Mail in der Kommunikation pro Jahr?
Jährlich entstehen Kosten von 580.- € (T-Systems, De-Mail Account / KDRS, De-Mail Gateway).
Es sind seit Mai 2015 weniger als 20 De-Mails eingegangen - obwohl man z.B. auch BAföG damit beantragen kann. Die Akzeptanz ist also nahe null.
8. Finden regelmäßig Sicherheitsbelehrungen durch einen Datenschutzbeauftragten statt? Fall ja, wie oft und wie viele Mitarbeiter umfasst diese Maßnahme?
Jährlich werden im Fortbildungsprogramm des stadtinternen Informations- und Weiterbildungszentrums (IWZ) Seminare zu Datenschutz- und IT-Sicherheit angeboten. Über die Pflichtschulung „Internetkompetenz“ hinaus, die jede Mitarbeiterin und Mitarbeiter mit Internetzugang besuchen muss, werden jährlich etwa 50 Kolleginnen und Kollegen zum Thema Datenschutz und IT-Sicherheit geschult. Weiterhin finden fachspezifische Schulungen in den Ämtern- und Eigenbetrieben statt. Zudem gab es in den vergangenen Jahren Sensibilisierungs-Kampagnen mit mehreren Veranstaltungen im großen Sitzungssaal des Rathauses mit über 1.500 Teilnehmerinnen und Teilnehmern.
Fritz Kuhn
zum Seitenanfang