Anfrage der Fraktion von FALD:
Die Vertrauenswürdigkeit in der unterstützenden Digitalisierung von Arbeitsabläufen mit dem Netzwerk, den Anwendungsprogrammen und den physikalischen Zugang zu entsprechenden Gerätschaften ist zunehmend von Bedeutung und kostenintensiv. Sie bedarf nicht nur einer Zertifizierung mit einer regelmäßigen Prüfung, sondern auch das Festhalten von Verantwortlichkeiten und einem regelmäßigen Belastungstest, einhergehend wie z.B. in der Sicherheitstechnik eines Kfz (Anti-Blockier-System). Auch gilt es absehbaren Schaden mit einer geplanten Schadensbegrenzung konzeptionell zu begegnen, denn kein System ist fehlerfrei, was bekanntlich die Energiewende begründete. Je größer die Komplexität, desto größer die Ausfallwahrscheinlichkeit, die nicht mit der Verfügbarkeit zu verwechseln ist. Hier gebe ich den Hinweis auf die bewährte KISS-Methode (keep it simple stupid), oder anders ausgedrückt = geplante Unsicherheit zugunsten der Zielerreichung einer beherrschbaren Digitalisierung durch das Fachpersonal. Ein Anachronismus verwaltungstechnischer Art, den es von Führungskräften zu beherrschen gilt. Hier sei beispielhaft die Anwendung (APP) Mandatos genannt, welche in die „papierlose“ Zukunft der Kreistagsabgeordneten schon heute testweise führen soll.
Der Landkreis
Darmstadt-Dieburg hat in seinen vielfältigen Aufgaben und Funktionen
unterschiedliche Anforderungen an die Vertrauenswürdigkeit der Systeme. Diese
Anforderungen werden zusätzlich durch gesetzliche Vorgaben und Regelungen
spezifiziert und ergänzt.
Neben den Bestimmungen
des Datenschutzes werden besondere Anforderungen an die Vertrauenswürdigkeit
durch die Aufgaben des Landkreises im Bereich zum Beispiel der Subventionen
bzw. in der Zusammenarbeit mit der WIBank (Wirtschafts- und Infrastrukturbank
Hessen) gestellt.
Die WIBank nutzt als
Grundlage für die Einschätzung des Sicherheitsniveaus das Regelwerk des BSI
(Bundesamt für die Sicherheit in der Informationstechnik). In einer
wiederkehrenden Prüfung wird die Einhaltung der Vorgaben durch Beauftragte der
WIBank überprüft.
Diese Überprüfung wird
seit Jahren ohne nennenswerte Beanstandung der WIBank absolviert.
Das BSI erarbeitet
praxisorientierte Mindeststandards und zielgruppengerechte
Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der
Vermeidung von Risiken zu unterstützen.
- Welche Vertrauenswürdigkeit würde das Landratsamt seiner bisherigen Digitalisierung sich selbst nach dem im Bild genannten anerkannten Kriterien geben?
Im Landkreis Darmstadt-Dieburg werden verschiedene
„Digitalisierungs-Projekte“ verfolgt. Das Projekt e-Akte allein gliedert sich
in diverse Teilprojekte auf. Bei allen Projekten ist es das Ziel der
Beteiligten eine möglichst optimale Vertrauenswürdigkeit der Systeme zu
erreichen und nur getestete Systeme mit einer entsprechenden Nutzerzahl in der
Verwaltung einzusetzen und Eigenentwicklungen zu vermeiden.
- Welche Vertrauenswürdigkeit ist von seiten der zertifizierenden Stelle im einzelnen der Digitalisierung im Landratsamt gegeben?
Eine umfassende Zertifizierung der Systeme im Landkreise
Darmstadt-Dieburg wird derzeit nicht angestrebt und ist bei der Vielzahl der
eingesetzten Systeme auch nur sehr schwer möglich. Eine Zertifizierung liegt
aus diesem Grund für die Menge der Systeme nicht vor.
- Wo hoch wird der zeitliche Handlungsbedarf für eine qualifizierte Vertrauensstufe im Querschnitt der Anwendungen eingeschätzt?
Der Landkreis Darmstadt-Dieburg nimmt an dem Projekt der KDLZCS Stufe 2
teil. In diesem Projekt hat das Land Hessen die ekom21 beauftragt die
Sicherheit der Informationstechnik zu prüfen und entsprechende Maßnahmen zur
Erhöhung der Informationssicherheit im Kontext des BSI Regelwerks zu benennen.
Auch hier hat der Landkreis nach inoffizieller Aussage der Prüfer bisher keinen
Grund zur Klage geliefert. Sobald der Abschlussbericht vorliegt wird der
Landkreis eine entsprechende Bewertung vornehmen und Maßnahmen ableiten.
- Sind Kostenkalkulationen für bisher bekannten Handlungsbedarf vorliegend?
Die Kosten können erst nach Vorlage des Abschlussberichts und den
daraus resultierenden notwendigen
Maßnahmen geschätzt werden.
- Wer hat den Überblick über die aufgezeigte Aufgabenstellung?
Mit dem Bericht der ekom21 als Grundlage wird der Beauftragte des
Landkreises für Informationssicherheit eine Übersicht über die notwendigen
Aufgaben führen.
- Wie wird die Zielvorgabe nach dem im Bild aufgezeigten Vertrauenswürdigkeitsstufen lauten?
Die Zielvorgabe wird ebenfalls auf der Basis der gewonnenen
Erkenntnisse abgestimmt werden und sich aus den Erfordernissen und den damit
verbundenen Aufwänden orientieren.
- Gibt das Landratsamt sich selbst Ziele, wie unter 6. erfragt vor, oder verlässt man sich auf Dritte?
Das Landratsamt wird sich bei der Zielfestlegung aller verfügbaren
Mittel bedienen.