Anfrage Informationsfreiheitsgesetz zur Informationssicherheit

Anfrage an: Kommunalverwaltung Krefeld

1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.

Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese?
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen?
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden?

Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem

Anfrage teilweise erfolgreich

Datum

5. Januar 2024
Frist

7. Februar 2024
0 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 2

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 5. Jan.

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu: 1.…

An Kommunalverwaltung Krefeld Details

Von: << Anfragesteller:in >>
Betreff: Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#296373]
Datum: 5. Januar 2024 19:55
An: Kommunalverwaltung Krefeld
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu:

1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.

Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese?
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen?
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden?

Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem

Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 296373 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/296373/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen << Anfragesteller:in >>

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Kommunalverwaltung Krefeld

am 6. Feb.

Sehr << Antragsteller:in >> zu Ihrem o. g. Antrag teile ich Ihnen Folgendes mit: 2.a.) Wird die IT-U…

Details

Von: Kommunalverwaltung Krefeld
Betreff: Antwort: Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#296373]
Datum: 6. Februar 2024 14:52
Status: Anfrage abgeschlossen

ifgname20240206_geschwaerzt.pdf

geschwärzt

1,0 MB

Sehr << Antragsteller:in >> zu Ihrem o. g. Antrag teile ich Ihnen Folgendes mit: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut? c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese? 2a) Nein. 2b) Zentraler Dienstleister der Stadt Krefeld ist der Zweckverband Kommunales Rechenzentrum Niederrhein KRZN, dessen Miteigentümerin die Stadt Krefeld ist. Alle weiteren Informationen zu den Aufgaben des KRZN sowie Ihre Fragen die IT-/Informationssicherheit betreffend entnehmen Sie bitte dem Internet-Auftritt des KRZN: https://www.krzn.de/ und https://www.krzn.de/wir-ueber-uns. Informationen über weitere Dienstleister, welche Verfahren, Anwendungen oder Teile der IT-Infrastruktur für die Stadt Krefeld betreiben, lassen Rückschlüsse zu, welche das Risiko des gezielten Ausnutzens von Schwachstellen und somit die Verwundbarkeit der städtischen Infrastruktur erhöhen. Vor dem Hintergrund der jüngsten Angriffe auf Kommunen und ihre Dienstleister ist als Fakt festzuhalten, dass die Wahrscheinlichkeit einer missbräuchlichen Nutzung dieser Informationen mit einer einhergehenden Gefährdung der öffentlichen Sicherheit oder Ordnung signifikant gestiegen ist. Mit Verweis §6 IFG NRW werden daher Informationen nicht offenbart, die über jene hinausgehen, welche Sie sich als Antragstellender über das Internet „in zumutbarer Weise aus allgemein zugänglichen Quellen beschaffen“ können (§5 (4) IFG NRW). 2c) Zertifizierungen sind abhängig vom Dienstleister bzw. dessen Aufgabe. Eine generelle Information über die Zertifizierungen der Dienstleister der Stadt Krefeld liegt nicht vor. Diese Frage wird daher mit Verweis auf §4 (1) IFG NRW nicht beantwortet. Ausnahme KRZN: ISO 27001 auf Basis von IT-Grundschutz 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben. Die Frage 3a (Anzahl Mitarbeitende in der IT) lässt sich nicht beantworten, da die für die IT zuständigen Mitarbeitenden der Stadt Krefeld diese Aufgaben nicht immer als Vollzeitstelle (Stellenanteile) ausführen. Eine Umrechnung in Vollzeit-Äquivalente liegt nicht vor. Diese Frage wird mit Verweis auf §4 (1) IFG NRW nicht beantwortet. 3b) Die Stadt Krefeld beschäftigt auch ohne rechtliche Verpflichtung eine IT-Sicherheitsbeauftragte. 3c) und d) entfällt 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts. 4a) ja b) Die Stadt Krefeld orientiert sich am BSI IT-Grundschutz. c) KRZN: ISO 27001 auf Basis von IT-Grundschutz d) Die erbetenen Unterlagen dürfen aufgrund des Ausschlusstatbestands des §3 (3) Datenschutzgesetz NRW nicht offenbart werden. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? Ja. Die Ergebnisse unterliegen der Vertraulichkeit gemäß § 3 DSG NRW. 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? Ja. 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden? Eine Übersicht über die Kosten, welche explizit der Gewährleistung der IT-/Informationssicherheit zugeordnet werden, liegt nicht vor. Mit Verweis auf §4 (1) IFG NRW kann Ihnen daher keine abschließende Aufstellung der Kosten für IT-Sicherheit zur Verfügung gestellt werden. Aufwände der Stadt Krefeld können Sie dem öffentlich gemachten Haushaltsplan entnehmen: https://www.krefeld.de/de/finanzsteuerung/haushaltsplan/ Bezüglich der Fragen 1a und b sowie 4d lehne ich Ihren Antrag ab. Begründung: Die von der Stadt Krefeld vorgenommen Schutzmaßnahmen und die damit verbundenen Sicherheitskonzepte werden nicht offengelegt. Behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Artikel 32 der Verordnung (EU) 2016/679 unterliegen nicht dem allgemeinen Informationszugang nach dem Informationsfreiheitsgesetz Nordrhein-Westfalen (§ 3 Abs. 3 DSG NRW). Ihr Begehren würde dazu führen, dass die Sicherheitsvorkehrungen entwertet würden, weil entweder Schwachstellen offenkundig würden, gezielte Maßnahmen gegen die Sicherheitsmaßnahmen planbar sind oder in anderer Form ein rechtswidriges Vorgehen eine Sicherheitsmaßnahme aushebeln könnte. Das Recht auf Informationsfreiheit schließt keine Informationen ein, die womöglich zu einer Gefährdung der öffentlichen Sicherheit beitragen können. Gemäß § 6 Satz 1 lit. a) IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit und solange das Bekanntwerden der Information die öffentliche Sicherheit beeinträchtigen würde. Zum Schutzgut der öffentlichen Sicherheit gehört auch die IT-Sicherheit der Stadtverwaltung. § 6 Satz 1 lit. a) IFG NRW findet auch Anwendung auf den sehr hohen Schutzbedarf (BSI Standard 200-2) der IT-Infrastruktur der Stadt Krefeld. Die BSI konformen Konzepte der Stadt Krefeld sind ein wesentlicher Bestandteil zum Schutz der IT-Umgebung. Durch das Bekanntwerden der Informationen könnte eine zielgerichtete Manipulation eine erhebliche Schwächung der Cyber-Resilienz der Stadt Krefeld verursachen. Hinweis: Soweit die Anträge auf das UIG NRW bzw. das VIG gestützt werden, ist bereits deren Anwendungsbereich nicht eröffnet, da es sich insbesondere nicht um Umweltinformationen im Sinne des 8 1 Absatz 1 UIG NRW bzw. nicht um Verbraucherinformationen im Sinne des 8 1 VIG handelt. Rechtsbehelfsbelehrung: Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage beim Verwaltungsgericht Düsseldorf in Düsseldorf erhoben werden. Mit freundlichen Grüßen

Noch keine Kommentare. Please login to write a comment.

Zum Ende