Anfrage Informationsfreiheitsgesetz zur Informationssicherheit

Anfrage an: Kreis Minden-Lübbecke

1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.

Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese?
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen?
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden?

Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem

Anfrage abgelehnt

  • Datum
    16. Januar 2024
  • Frist
    20. Februar 2024
  • 0 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 16. Jan.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu: 1.…
An Kreis Minden-Lübbecke Details
Von
<< Anfragesteller:in >>
Betreff
Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#297483]
Datum
16. Januar 2024 22:14
An
Kreis Minden-Lübbecke
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu:
1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeiteten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein. 1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen. Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut? c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese? 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben. 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden? Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen: - I. Verwaltung - II. Gefahrenabwehr - III. Energie- und Wasserversorgung, sowie Abwasserentsorgung - IV. Schule - V. Gesundheitssystem
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 297483 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/297483/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Kreis Minden-Lübbecke
am 24. Jan.
Sehr << Antragsteller:in >> bezugnehmend auf Ihre untenstehende E-Mail vom 16.01.2024 teile ich mit, …
Details
Von
Kreis Minden-Lübbecke
Betreff
AW: [EXTERN] Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#297483]
Datum
24. Januar 2024 07:38
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> bezugnehmend auf Ihre untenstehende E-Mail vom 16.01.2024 teile ich mit, dass die Beantwortung Ihrer Anfrage gem. § 6 S. 1 Buchst. a) IFG NRW abzulehnen ist, da das Bekanntwerden der angefragten Informationen die öffentliche Sicherheit beeinträchtigen würde. Zu den Schutzgütern der öffentlichen Sicherheit gehört – wie generell bei diesem Begriff – auch im Rahmen des § 6 IFG NRW die Funktionsfähigkeit der Verwaltung, wobei unter den Begriff der Verwaltung generell alle Behörden fallen (OVG NRW, Urteil vom 18.08.2015, 15 A 2856/12, juris Rdnrn. 36 und 38). Geschützt wird bezüglich der „Funktionsfähigkeit der Verwaltung“ insbesondere, dass bestimmte als sensibel eingestufte interne Abläufe und Strukturen der Verwaltung nicht bekannt werden (Berger/Partsch/Roth/Scheel, Informationsfreiheitsgesetz, 2. Auflage, 2013, zu § 3 IFG des Bundes Rdnr. 91) und durch das Bekanntwerden zumindest eine Störung (VG Arnsberg, Urteil vom 04.10.2018, 7 K 6296/16, juris Rdnr. 52) der Funktionsfähigkeit eintreten kann. Die IT-Sicherheit fällt unter das Schutzgut der öffentlichen Sicherheit im obigen Sinne, da die IT in der heutigen Zeit für den funktionsgerechten Ablauf verschiedener interner und externer Geschäftsabläufe/Prozesse der Verwaltung essentiell ist. Beispielsweise über einen Hackerangriff könnten diese Prozesse und Geschäftsabläufe zumindest gestört bzw. sogar komplett „lahm gelegt“ werden. Zudem besteht die Gefahr, dass sensible bzw. vertrauliche Daten bekannt werden könnten. Für eine „Beeinträchtigung“ des Schutzgutes im Sinne von § 6 S. 1 Buchst. a) IFG NRW ist die „ernsthafte Möglichkeit der Schutzgutverletzung im konkreten Fall aufgrund einer Prognose“ notwendig, aber auch ausreichend (Schoch, Informationsfreiheitsgesetz, 2009, zu § 3 IFG des Bundes Rdnrn. 109 und 126). An eine Beeinträchtigung der öffentlichen Sicherheit stellt § 6 S. 1 Buchst. a) IFG NRW damit keine hohen Anforderungen. Im Unterschied zu § 6 S. 1 Buchst. b) IFG NRW setzt er keine erhebliche Beeinträchtigung voraus, sondern lässt eine einfache Beeinträchtigung genügen (OVG NRW, Urteil vom 18.08.2015, 15 A 2856/12, juris Rdnr. 44). Die Prognose kann insbesondere bei Vorgängen und Abläufen, die eine typisierende Betrachtungsweise ermöglichen, auch auf allgemeine Erfahrungssätze gestützt werden (VG Arnsberg, Urteil vom 04.10.2018, 7 K 6296/16, juris Rdnr. 45). So verhält es sich hier: es ist prognostisch davon auszugehen, dass durch die Preisgabe der angefragten Informationen zur IT-Sicherheit eine ernsthafte Möglichkeit der Schutzgutverletzung im Sinne der Störung der Funktionsfähigkeit der Verwaltung eintreten kann. Nach den allgemeinen Grundsätzen des Gefahrenabwehrrechts sind die Anforderungen an die Prognose der Behörde zudem umso geringer, je größer der zu erwartende Schaden bzw. die Bedeutung des Schutzgutes sind. Im Sinne einer typisierenden Betrachtungsweise ist hier davon auszugehen, dass hoch sensible Informationen an Dritte weitergegeben würden, ohne sicherstellen zu können, dass diese Information nicht (ggf. auch durch Weitergabe an Dritte) beispielsweise für Hackerangriffe missbraucht werden. Angesichts der zu erwartenden Schadenshöhe im Sinne einer massiven Störung der Funktionsabläufe bis hin zu einem möglichen „Lahmlegen“ der Verwaltung ist Ihre Anfrage daher abzulehnen. Ergänzend stützen Sie Ihre Anfrage auf das UIG NRW und das VIG. Hierzu ist festzustellen, dass der Anwendungsbereich dieser Gesetze nicht eröffnet ist, da es sich bei den von Ihnen angefragten Informationen weder um Umweltinformationen im Sinne des § 1 Abs. 1 UIG NRW noch um Verbraucherinformationen im Sinne von § 1 VIG handelt. Gemäß § 5 Abs. 2 S3 IFG NRW weise ich Sie hiermit auf Ihr Recht hin, die Landesbeauftragte für Datenschutz und Informationsfreiheit als Beauftragte für das Recht auf Information anzurufen (§ 13 Abs. 2 IFG NRW). Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.