Sehr
<< Antragsteller:in >>
zu Ihrem o. g. Antrag teile ich Ihnen Folgendes mit:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und
welche werden selbst betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden
eingesetzt und über welche Zertifizierung hinsichtlich der
Informationssicherheit verfügen diese?
2a) Nein.
2b) Zentraler Dienstleister der Stadt Krefeld ist der Zweckverband
Kommunales Rechenzentrum Niederrhein KRZN, dessen Miteigentümerin die
Stadt Krefeld ist.
Alle weiteren Informationen zu den Aufgaben des KRZN sowie Ihre Fragen die
IT-/Informationssicherheit betreffend entnehmen Sie bitte dem
Internet-Auftritt des KRZN:
https://www.krzn.de/ und
https://www.krzn.de/wir-ueber-uns.
Informationen über weitere Dienstleister, welche Verfahren, Anwendungen
oder Teile der IT-Infrastruktur für die Stadt Krefeld betreiben, lassen
Rückschlüsse zu, welche das Risiko des gezielten Ausnutzens von
Schwachstellen und somit die Verwundbarkeit der städtischen Infrastruktur
erhöhen.
Vor dem Hintergrund der jüngsten Angriffe auf Kommunen und ihre
Dienstleister ist als Fakt festzuhalten, dass die Wahrscheinlichkeit einer
missbräuchlichen Nutzung dieser Informationen mit einer einhergehenden
Gefährdung der öffentlichen Sicherheit oder Ordnung signifikant gestiegen
ist.
Mit Verweis §6 IFG NRW werden daher Informationen nicht offenbart, die
über jene hinausgehen, welche Sie sich als Antragstellender über das
Internet „in zumutbarer Weise aus allgemein zugänglichen Quellen
beschaffen“ können (§5 (4) IFG NRW).
2c) Zertifizierungen sind abhängig vom Dienstleister bzw. dessen Aufgabe.
Eine generelle Information über die Zertifizierungen der Dienstleister der
Stadt Krefeld liegt nicht vor. Diese Frage wird daher mit Verweis auf §4
(1) IFG NRW nicht beantwortet.
Ausnahme KRZN: ISO 27001 auf Basis von IT-Grundschutz
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit
oder Chief Information Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen
oder ist sie an externe Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des
Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang
der übertragenen Aufgaben.
Die Frage 3a (Anzahl Mitarbeitende in der IT) lässt sich nicht
beantworten, da die für die IT zuständigen Mitarbeitenden der Stadt
Krefeld diese Aufgaben nicht immer als Vollzeitstelle (Stellenanteile)
ausführen. Eine Umrechnung in Vollzeit-Äquivalente liegt nicht vor. Diese
Frage wird mit Verweis auf §4 (1) IFG NRW nicht beantwortet.
3b) Die Stadt Krefeld beschäftigt auch ohne rechtliche Verpflichtung eine
IT-Sicherheitsbeauftragte.
3c) und d) entfällt
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil
Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12,
oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle
wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte
Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
4a) ja
b) Die Stadt Krefeld orientiert sich am BSI IT-Grundschutz.
c) KRZN: ISO 27001 auf Basis von IT-Grundschutz
d) Die erbetenen Unterlagen dürfen aufgrund des Ausschlusstatbestands des
§3 (3) Datenschutzgesetz NRW nicht offenbart werden.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle
und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den
letzten 36 Monaten?
Ja.
Die Ergebnisse unterliegen der Vertraulichkeit gemäß § 3 DSG NRW.
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor,
oder gibt es Beteiligungen an einem solchen?
Ja.
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die
IT-Sicherheit aufgewendet worden?
Eine Übersicht über die Kosten, welche explizit der Gewährleistung der
IT-/Informationssicherheit zugeordnet werden, liegt nicht vor. Mit Verweis
auf §4 (1) IFG NRW kann Ihnen daher keine abschließende Aufstellung der
Kosten für IT-Sicherheit zur Verfügung gestellt werden.
Aufwände der Stadt Krefeld können Sie dem öffentlich gemachten
Haushaltsplan entnehmen:
https://www.krefeld.de/de/finanzsteuerung/haushaltsplan/
Bezüglich der Fragen 1a und b sowie 4d lehne ich Ihren Antrag ab.
Begründung:
Die von der Stadt Krefeld vorgenommen Schutzmaßnahmen und die damit
verbundenen Sicherheitskonzepte werden nicht offengelegt. Behördliche
Unterlagen über die technischen und organisatorischen Maßnahmen gemäß
Artikel 32 der Verordnung (EU) 2016/679 unterliegen nicht dem allgemeinen
Informationszugang nach dem Informationsfreiheitsgesetz
Nordrhein-Westfalen (§ 3 Abs. 3 DSG NRW).
Ihr Begehren würde dazu führen, dass die Sicherheitsvorkehrungen entwertet
würden, weil entweder Schwachstellen offenkundig würden, gezielte
Maßnahmen gegen die Sicherheitsmaßnahmen planbar sind oder in anderer Form
ein rechtswidriges Vorgehen eine Sicherheitsmaßnahme aushebeln könnte.
Das Recht auf Informationsfreiheit schließt keine Informationen ein, die
womöglich zu einer Gefährdung der öffentlichen Sicherheit beitragen
können. Gemäß § 6 Satz 1 lit. a) IFG NRW ist der Antrag auf
Informationszugang abzulehnen, soweit und solange das Bekanntwerden der
Information die öffentliche Sicherheit beeinträchtigen würde.
Zum Schutzgut der öffentlichen Sicherheit gehört auch die IT-Sicherheit
der Stadtverwaltung. § 6 Satz 1 lit. a) IFG NRW findet auch Anwendung auf
den sehr hohen Schutzbedarf (BSI Standard 200-2) der IT-Infrastruktur der
Stadt Krefeld. Die BSI konformen Konzepte der Stadt Krefeld sind ein
wesentlicher Bestandteil zum Schutz der IT-Umgebung.
Durch das Bekanntwerden der Informationen könnte eine zielgerichtete
Manipulation eine erhebliche Schwächung der Cyber-Resilienz der Stadt
Krefeld verursachen.
Hinweis:
Soweit die Anträge auf das UIG NRW bzw. das VIG gestützt werden, ist
bereits deren Anwendungsbereich nicht eröffnet, da es sich insbesondere
nicht um Umweltinformationen im Sinne des 8 1 Absatz 1 UIG NRW bzw. nicht
um Verbraucherinformationen im Sinne des 8 1 VIG handelt.
Rechtsbehelfsbelehrung:
Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage
beim Verwaltungsgericht Düsseldorf in Düsseldorf erhoben werden.
Mit freundlichen Grüßen