Sehr
<< Antragsteller:in >>
vielen Dank für Ihre Anfrage. Ich möchte zunächst meinen Antworten voranstellen, dass die von Ihnen begehrten Informationen elementare Aspekte und Abläufe der behördlichen Informationssicherheit betreffen. Die Geheimhaltung dieser Informationen ist notwendig, um die Integrität und Wirksamkeit der Informationssicherheit sowie des Datenschutzes überhaupt gewährleisten zu können.
Bei deren vollständigen Bekanntwerden würde ein erhebliches Sicherheitsrisiko für die Stadt sowie die Daten ihrer Bürger entstehen.
Ich weise daher darauf hin, dass es sich bei den von Ihnen begehrten Auskünften und Unterlagen um Informationen handelt, die ausdrücklich unter Ausnahmetatbestände des Informationsfreiheitgesetzes für das Land Nordrhein-Westfalen (IFG NRW) fallen und von mir nicht beantwortet oder herausgegeben werden dürfen.
Konkret ist gemäß § 6 a) IFG NRW der Antrag auf Informationszugang abzulehnen, soweit und solange das Bekanntwerden der Information die öffentliche Sicherheit oder Ordnung beeinträchtigen würde.
Zudem ist gemäß § 8 IFG NRW der Antrag abzulehnen, soweit durch die Übermittlung der Information ein Betriebs- oder Geschäftsgeheimnis offenbart wird und dadurch ein wirtschaftlicher Schaden entstehen würde.
Beide Ausnahmetatbestände greifen bei Ihren Fragen ein, so dass die von mir gegebenen Antworten notwendigerweise nur diejenigen Informationen umfassen, die insoweit unkritisch sind.
Eine andere Entscheidung kann aus den vorgenannten Gründen nicht ergehen.
Im Einzelnen möchte ich Ihnen wie folgt antworten:
1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
Die von Ihnen begehrten Unterlagen dürfen nur intern verwendet und können nicht an Dritte herausgegeben werden. Sie enthalten Festlegungen zu Maßnahmen und Prozessen der Informationssicherheit, deren Bekanntwerden zu einem Sicherheitsrisiko führt, da Dritte Einblick in interne Abläufe und die interne Sicherheitsarchitektur gewinnen und diese ausnutzen könnten.
Wir können Ihnen lediglich mitteilen, dass sich unser Sicherheitskonzept an den Vorgaben und Empfehlungen des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik orientiert.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.
Siehe 1a). Die Dokumente liegen vor, dürfen aber nicht herausgegeben werden.
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
Dies ist nicht der Fall.
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut?
Im Wesentlichen werden die Systeme durch die Stadt selbst betreut, während Dienstleister für einzelne Applikationen beauftragt werden. Eine genaue Auflistung darf wegen der Gefahr von Supply-Chain-Angriffen nicht herausgegeben werden.
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese?
Siehe 2b). Eine genaue Auflistung kann nicht herausgegeben werden. Allgemein wird bei der Beauftragung von Dienstleistern auf eine entsprechende Zertifizierung, insbesondere nach ISO 27001, geachtet.
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
Das Amt über Digitalisierung und IT der Stadt Mülheim an der Ruhr verfügt derzeit über 100 Mitarbeitende, die in unterschiedlichen Funktionen eingesetzt werden.
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)?
Ja, ein Beauftragter für Informationssicherheit ist vorhanden.
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert?
Die Funktion wird in eigener Zuständigkeit wahrgenommen.
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
Entfällt.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
Ja, dies ist der Fall.
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
Es wird sich am BSI IT-Grundschutz orientiert.
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen?
Nein, dies ist nicht der Fall.
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
Audits werden alle 3 Jahre durchgeführt, ein Audit wird aktuell durchgeführt. Zum Schutz der Informationssicherheit dürfen Auditberichte nicht an Dritte herausgegeben werden.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
Sie sind vorhanden, allerdings weise ich sicherheitshalber jetzt schon darauf hin, dass sie nicht herausgegeben werden dürfen.
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen?
Aus Gründen der Informationssicherheit kann ich Ihnen diese Frage nicht beantworten.
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden?
Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem
Gemäß § 5 IV IFG NRW kann ein Antrag abgelehnt werden, wenn der Antragsteller die Information in zumutbarer Weise aus allgemein zugänglichen Quellen beschaffen kann. Dies ist hier der Fall.
Ich verweise hier auf die jährlichen Haushaltsberichte der Stadt Mülheim an der Ruhr, aus denen die entsprechenden Informationen entnommen werden können. Sie finden die Berichte unter:
https://www.muelheim-ruhr.de/cms/haushalt3.html
Mit freundlichen Grüßen