IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln

Anfrage an: Amt für Informationsverarbeitung der Stadt Köln

* die IT-Sicherheitsleitlinie bzw. das IT-Sicherheitskonzept
* das Datensicherungskonzept
* zugehörige IT-Notfallkonzepte
* oder vergleichbare Unterlagen

der Dezernate und Ämter der Stadt Köln.

Anfrage abgelehnt

  • Datum
    31. Oktober 2023
  • Frist
    10. Februar 2024
  • 2 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
Denis Witt
Denis Witt (FragDenStaat)
am 31.10.2023
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu: * …
An Amt für Informationsverarbeitung der Stadt Köln Details
Von
Denis Witt (FragDenStaat)
Betreff
IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln [#291417]
Datum
31. Oktober 2023 19:47
An
Amt für Informationsverarbeitung der Stadt Köln
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, bitte senden Sie mir Folgendes zu:
* die IT-Sicherheitsleitlinie bzw. das IT-Sicherheitskonzept * das Datensicherungskonzept * zugehörige IT-Notfallkonzepte * oder vergleichbare Unterlagen der Dezernate und Ämter der Stadt Köln.
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Denis Witt Anfragenr: 291417 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/291417/ Postanschrift Denis Witt << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Denis Witt (FragDenStaat)
Noch keine Kommentare. Please login to write a comment.
Denis Witt
Denis Witt (FragDenStaat)
am 07.12.2023
Guten Tag, meine Informationsfreiheitsanfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln…
An Amt für Informationsverarbeitung der Stadt Köln Details
Von
Denis Witt (FragDenStaat)
Betreff
AW: IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln [#291417]
Datum
7. Dezember 2023 21:30
An
Amt für Informationsverarbeitung der Stadt Köln
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, meine Informationsfreiheitsanfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln“ vom 31.10.2023 (#291417) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 6 Tage überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Denis Witt
Noch keine Kommentare. Please login to write a comment.
Amt für Informationsverarbeitung der Stadt Köln
am 12.12.2023
Anfrage 291417
Details
Von
Amt für Informationsverarbeitung der Stadt Köln
Via
Briefpost
Betreff
Anfrage 291417
Datum
12. Dezember 2023
Status
Warte auf Antwort
20231216-1622_geschwaerzt.pdf
geschwärzt
693,0 KB
Noch keine Kommentare. Please login to write a comment.
Denis Witt
Denis Witt (FragDenStaat)
am 16.12.2023
AW: Anfrage 291417 [#291417] Sehr << Anrede >> vielen Dank für Ihre Antwort auf meine Anfrage. Ich ha…
An Amt für Informationsverarbeitung der Stadt Köln Details
Von
Denis Witt (FragDenStaat)
Betreff
AW: Anfrage 291417 [#291417]
Datum
16. Dezember 2023 17:01
An
Amt für Informationsverarbeitung der Stadt Köln
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für Ihre Antwort auf meine Anfrage. Ich habe grundsätzlich Verständnis dafür, dass gewisse Informationen im IT-Sicherheits-, Datensicherungs- und Notfallkonzepts auch für einen potenziellen Angreifer interessant sein können. Gerne können Sie daher entsprechende Passagen schwärzen. Gerade aber eine IT-Sicherheitsleitlinie halte ich jedoch fast schon prädestiniert für eine Veröffentlichung. Nicht zuletzt, da diese ja auch allen Personen innerhalb der Dezernate und Ämter der Stadt Köln bekannt sein sollte, um überhaupt ihre Wirkung entfalten zu können. Gerne können Sie aber auch hier natürlich entsprechende Passagen schwärzen. Ich würde mich sehr freuen, wenn Sie Ihre Haltung hier noch einmal überdenken würden. Sollte der Aufwand für die Schwärzungen so hoch sein, dass hierdurch Kosten für meine Anfrage entstehen würden, teilen Sie mir diese bitte vorab mit. Wurde das ISO 27001 Zertifikat des BSI und ggf. die Anwendbarkeitserklärung (Statement of Applicability) bereits auf den Webseiten der Stadt Köln veröffentlicht? Wenn ja, wo kann ich diese finden? Wenn nein, senden Sie mir doch bitte zu. Vielen Dank! Mit freundlichen Grüßen Denis Witt
Noch keine Kommentare. Please login to write a comment.
Denis Witt
Denis Witt (FragDenStaat)
am 12. Jan.
AW: Anfrage 291417 [#291417] Guten Tag, ich hoffe, Sie sind gut ins neue Jahr gekommen. Es wäre sehr nett, wenn S…
An Amt für Informationsverarbeitung der Stadt Köln Details
Von
Denis Witt (FragDenStaat)
Betreff
AW: Anfrage 291417 [#291417]
Datum
12. Januar 2024 12:07
An
Amt für Informationsverarbeitung der Stadt Köln
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, ich hoffe, Sie sind gut ins neue Jahr gekommen. Es wäre sehr nett, wenn Sie mir eine Rückmeldung zu meiner letzten Nachricht (siehe https://fragdenstaat.de/anfrage/it-sicherheitsleitlinie-konzept-und-notfallkonzept-der-stadt-koeln/#nachricht-858605) zukommen lassen könnten. Vielen Dank! Mit freundlichen Grüßen Denis Witt Anfragenr: 291417 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/291417/
Noch keine Kommentare. Please login to write a comment.
Amt für Informationsverarbeitung der Stadt Köln
am 12. Jan.
AW: Anfrage 291417 [#291417] Sehr geehrter Herr Witt, anbei übersende ich Ihnen den gewünschten Nachweis über die…
Details
Von
Amt für Informationsverarbeitung der Stadt Köln
Betreff
AW: Anfrage 291417 [#291417]
Datum
12. Januar 2024 15:34
Status
Warte auf Antwort
zertifikatsnachweis.pdf
208,4 KB
Sehr geehrter Herr Witt, anbei übersende ich Ihnen den gewünschten Nachweis über die Zertifizierung nach ISO 27001 auf Basis des BSI-Grundschutzes. Die Stadt Köln ist seit 2014 zertifiziert und unterzieht sich jährlich einem Überwachungsaudit hinsichtlich der technischen und organisatorischen Anforderungen. Dabei wird nicht nur der Ist-Zustand überprüft, sondern auch die Veränderungen im Rahmen neuer Anforderungen und eines kontinuierlichen Verbesserungsprozesses. Nach Abwägung von Transparenz, Compliance und interner Kommunikation muss ich an meiner Einschätzung bezüglich der angefragten Dokumente festhalten und bitte an dieser Stelle um Verständnis, dass wir diese Informationen nicht herausgeben. Die Sicherheitsrichtlinie gehört zu den internen vertraulichen Dokumenten, die innerhalb der Stadtverwaltung allen relevanten Stakeholdern zur Verfügung stehen. Eine Veröffentlichung der in der Leitlinie definierten Begrifflichkeiten und Verantwortlichkeiten könnte potentiellen Angreifern z.B. bei Social-Engineering-Attacken Vorteile verschaffen und stellt somit ein deutlich erhöhtes Sicherheitsrisiko dar. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.
Denis Witt
Denis Witt (FragDenStaat)
am 12. Jan.
Guten Tag, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze Nordrhein-Westfalen (…
An Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Details
Von
Denis Witt (FragDenStaat)
Betreff
Vermittlung bei Anfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln“ [#291417]
Datum
12. Januar 2024 19:15
An
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Status
E-Mail wurde erfolgreich versendet.
Guten Tag, ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze Nordrhein-Westfalen (IFG, UIG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/291417/ Ich bin der Meinung, die Anfrage wurde zu Unrecht auf diese Weise bearbeitet, weil ich die Begründung die Veröffentlichung könnte einem Angreifer z.B. Informationen für Social Engineering-Attacken liefern für unbegründet halte. Die Stadt Köln beschäftigt so viele Mitarbeiter, dass die Informationen bereits einem großen Personenkreis bekannt sind. Ein entsprechendes Sicherheitskonzept muss daher sowieso entsprechende Maßnahmen gegen Social Engineering-Attacken beinhalten. Im Gegenteil kann eine Veröffentlichung der Maßnahmen sogar zur Verbesserung der Schutzmaßnahmen beitragen. Zum einen weil den Mitarbeitern dann bewusst ist, dass diese Informationen jedem zur Verfügung stehen und somit keinen Vertrauensbonus bei der Herausgabe weiterer Informationen begründen. Zum anderen weil die Stadt bei einer Veröffentlichung der Dokumente auch von Dritten auf eventuelle Probleme hingewiesen werden kann. Es gibt zahlreiche Studien zu "Security by Obscurity"-Ansätzen und diesen werden keine guten Noten ausgestellt. Stattdessen werden "Open Security" bzw. "Open Design"-Konzepte empfohlen ("Open Design—System security should not depend on the secrecy of the implementation or its components." ~ https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf). Des weiteren genügt die Ablehnung in meinen Augen auch nicht den gesetzlichen Vorgaben, da keiner der im NRW-IFG aufgeführten Ablehnungsgründe genannt wurde (und meiner Meinung nach auch nicht vorliegt), auch der Hinweis auf §13 fehlt. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Denis Witt Anhänge: - 291417.pdf - 2023-12-12_1-20231216-1622.pdf - 2024-01-12_2-zertifikatsnachweis.pdf Anfragenr: 291417 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/291417/
Noch keine Kommentare. Please login to write a comment.
Denis Witt
Denis Witt (FragDenStaat)
am 12. Jan.
Sehr << Anrede >> vielen Dank für die schnelle Antwort und das ISO-Zertifikat. Bezüglich weiterer I…
An Amt für Informationsverarbeitung der Stadt Köln Details
Von
Denis Witt (FragDenStaat)
Betreff
AW: Vermittlung bei Anfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln“ [#291417]
Datum
12. Januar 2024 21:00
An
Amt für Informationsverarbeitung der Stadt Köln
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für die schnelle Antwort und das ISO-Zertifikat. Bezüglich weiterer Informationen habe ich den LDI um Vermittlung gebeten, da wir uns hier offenbar so nicht einig werden. Mir ist aber wichtig, dass sie dieses Vorgehen nicht falsch verstehen. Ich halte die Frage, ob die angefragten Dokumente im Rahmen des NRW-IFG herausgegeben werden müssten, für grundsätzlich interessant. Daher ist mir sehr an einer Klärung dieser Frage gelegen. Mit freundlichen Grüßen Denis Witt Anfragenr: 291417 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/291417/
Noch keine Kommentare. Please login to write a comment.
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
am 15. Jan.
Diese Nachricht ist noch nicht öffentlich.
Details
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
Betreff versteckt
Datum
15. Januar 2024 11:58
Status
Warte auf Antwort

Diese Nachricht ist noch nicht öffentlich.

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
am 22. Jan.
Mein AZ: 14.209.2.3.2.10-358/24 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) Ihr Antrag auf Informat…
Details
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
Mein AZ: 14.209.2.3.2.10-358/24 Antrag auf Informationszugang: hier: Vermittlung bei Anfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln“
Datum
22. Januar 2024 12:36
Status
Anfrage abgeschlossen
Mein AZ: 14.209.2.3.2.10-358/24 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) Ihr Antrag auf Informationszugang vom 31.10.2023, hier: Vermittlung bei Anfrage „IT-Sicherheitsleitlinie/-konzept und Notfallkonzept der Stadt Köln“ Sehr geehrter Herr Witt, vielen Dank für Ihre Anfrage vom 12.01.2024. Sie haben sich nach § 13 Abs. 2 IFG NRW an mich gewandt, da die Stadt Köln Ihren Antrag auf Informationszugang nicht ordnungsgemäß bearbeitet haben soll. Folgende Informationen wurden angefragt: * die IT-Sicherheitsleitlinie bzw. das IT-Sicherheitskonzept * das Datensicherungskonzept * zugehörige IT-Notfallkonzepte * oder vergleichbare Unterlagen der Dezernate und Ämter der Stadt Köln. Ihr Antrag auf Informationszugang wurde am 12.12.2023 mit Hinweis auf den Ausnahmetatbestand des § 8 IFG NRW abgelehnt. Mit Schreiben vom 16.12.2023 baten Sie die Stadt Köln, Ihre Haltung hier noch einmal überdenken würden. Zudem fragten Sie an, ob das ISO 27001 Zertifikat des BSI und ggf. die Anwendbarkeitserklärung (Statement of Applicability) bereits auf den Webseiten der Stadt Köln veröffentlicht wurde. Die Stadt Köln übersandte Ihnen den Nachweis des ISO 27001 Zertifikats des BSI, ansonsten verblieb es bei der Ablehnung Ihres Antrag auf Informationszugang. Bei den verbliebenen angefragten Informationen handelt es sich um sogenannte „TOM´S“. Die Abkürzung TOM steht für „technische und organisatorische Maßnahmen“ in Verbindung mit dem Datenschutz. Im Kern geht es darum, durch entsprechende technische sowie organisatorische Maßnahmen eine strikte und rechtskonforme Einhaltung der Datenschutzbestimmungen zu gewährleisten. Ein Beispiel für technische Maßnahmen kann die Installation von Verschlüsselungstechnologie für die Datenübertragung sein. Zu den organisatorischen Maßnahmen zählen hingegen beispielsweise die Erstellung von Regelwerken für Datenverarbeitungsvorgänge oder Datenschutzrichtlinien bezüglich der Mitarbeiter. Gemäß § 3 Abs. 3 DSG NRW unterliegen behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Artikel 32 der Verordnung (EU) 2016/679 nicht dem allgemeinen Informationszugang nach dem Informationsfreiheitsgesetz Nordrhein-Westfalen. Diese Norm geht als Spezialnorm dem IFG NRW vor. Da die von Ihnen gewünschten Informationen nicht in den Anwendungsbereich des IFG NRW fallen, bitte ich um Ihr Verständnis, dass ich nicht vermittelnd tätig werden kann. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.