Auf Mastodon teilen

Antrag nach der Informationsfreiheitssatzung der Stadt München Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Sehr geehrtAntragsteller/in der von Ihnen angeforderte Managementbericht zur IT-Sicherheit der Landeshauptstadt München beinhaltet seinem Zweck folgend sensible Aussagen zur IT-Sicherheit der Landeshauptstadt München und ist demzufolge als "vertraulich" klassifiziert. Durch das Bekanntwerden der Berichtsinhalte, insbesondere von möglichen Bedrohungen für die IT der Landeshauptstadt München, entstünden somit Gefährdungen für IT-gestützte behördliche Verfahrensabläufe. Zudem weisen Teile dieser Verfahrensabläufe einen hohen Bezug zur Sicherheit der Bevölkerung auf und damit zum Gemeinwohl der Bürgerinnen und Bürger der Landeshauptstadt München. Ein Anspruch auf Bereitstellung dieses Berichts besteht somit nach § 6 Abs. 1 sowie § 6 Abs. 2 Ziff. 5 der Informationsfreiheitssatzung nicht, sodass Ihrem Anliegen nicht entsprochen werden kann. Mit freundlichen Grüßen

Sehr geehrtAntragsteller/in danke für Ihre schnelle Rückmeldung. ich vermute es liegt ein Missverständnis vor. Deswegen wurde die Antwort etwas ausführlicher gestaltet: Die Inhalte des § 6 (2) 5 beziehen sich auf Verfahrensabläufe, die im Rahmen der kommunalen Verwaltungstätigkeit durchgeführt werden. Ein Beispiel hierfür ist etwa der grundsätzliche Ablauf des Verfahrens zur Beantragung eines Waffenscheins im KVR. Diese Verfahren werden in der Verwaltung i.d.R. IT-gestützt durchgeführt. Da der Managementbericht zur IT-Sicherheit, wie bereits ausgeführt, mögliche Bedrohungen für die IT aufzeigt, würden mit Bekanntwerden der Inhalte die entsprechenden IT-gestützten Verfahrensabläufe der Verwaltung gefährdet. Insofern ist § 6 (2) 5 einschlägig. So wird über ein IT-System zum Beispiel das Verfahren zur Verwaltung und Bereitstellung von Objektplänen für die Einsatzplanungen von Feuerwehr und Rettungsdiensten unterstützt. Es ist nachvollziehbar, dass eine Gefährdung dieses Verfahrens, etwa durch die Kompromittierung des unterstützenden IT-Systems, Auswirkungen auf die Sicherheit der Bevölkerung aufweist. Da Sie in Ihren Schreiben lediglich von einem "Managementbericht" oder dem "Managementbericht der IT-Einheit" sprechen, möchten wir abschließend noch klar stellen, dass es sich bei dem in der Beschlussvorlage referenzierten Bericht um einen "Managementbericht der IT-Sicherheit" handelt, der sich ausschließlich mit der Situation der IT-Sicherheit bei der Landeshauptstadt München befasst. Wir hoffen, dass wir unsere Argumentation deutlich machen konnten. Mit freundlichen Grüßen

Sehr geehrtAntragsteller/in um weitere Missverständnisse zu vermeiden, möchten wir versuchen den Sachverhalt nochmals in anderer Form darzustellen. Es ist uns daran gelegen, dass Sie die Gründe für die Antwort nachvollziehen können. 1. Der Managementbericht zur IT-Sicherheit beinhaltet Informationen und Aussagen über die IT, die Dritten dazu dienen könnten, die IT der Landeshauptstadt München zu kompromittieren. Kompromittieren bedeutet in diesem Zusammenhang, dass Dritte sich z. B. unautorisierten Zugang zu vertraulichen Informationen der Verwaltung verschaffen (z. B. zu persönlichen Daten von Bürgerinnen und Bürgern) oder diese ändern. 2. Wenn die IT der Landeshauptstadt München kompromittiert wird, kann dies wie oben dargestellt zu unautorisierten Informationsabflüssen führen oder aber auch dazu, dass Verfahrensabläufe, die IT-gestützt durchgeführt werden, nicht mehr durchgeführt werden können, da die zugrunde liegenden IT-Systeme nicht mehr funktionieren (oder aber die hierzu notwendigen Daten korrumpiert wurden). 3. Somit sind die Kriterien aus § 6 (2) 5 erfüllt und ein Anspruch auf Bereitstellung des Managementberichts besteht nicht. Um es abschließend nochmals klar zu stellen: Der Bericht enthält Informationen darüber, an welchen Stellen die IT der Landeshauptstadt Münchens möglicherweise durch Dritte erfolgreich angreifbar wäre - und nicht wie Sie ausführen die Beschreibungen zu konkreten fachlichen Verfahrensabläufen. Er ist somit als "vertraulich" klassifiziert, da ein Bekanntwerden dieser sensiblen Stellen nachvollziehbarerweise negative Effekte auf das Verwaltungshandeln und damit auf die Bürgerinnen und Bürger Münchens haben könnte. Freundliche Grüße, Daniela Rothenhöfer -------- Original-Nachricht -------- Betreff: STRAC Managementbericht [#16997] Datum: Fri, 10 Jun 2016 16:14:52 -0000 Von: Antragsteller/in Antragsteller/in <<Name und E-Mail-Adresse>> Antwort an: Antragsteller/in Antragsteller/in <<Name und E-Mail-Adresse>> An: <<E-Mail-Adresse>> Sehr geehrte Frau Dr. Rothenhoefer, Vielen Dank für Ihre Rückmeldung. Es geht jedoch nicht darum, ob Sie Ihre Argumentation deutlich machen konnten, sondern um eine Vorgehensweise auf der Basis von Recht und Gesetz. Es liegt auch kein Missverständnis auf meiner Seite vor, sondern offenbar vielmehr auf Ihrer Seite dahingehend, welchen Zweck die IFS besitzt und welche Offenheit die LHM haben sollte. Die Darstellung des “grundsätzlichen Ablauf des Verfahrens zur Beantragung eines Waffenscheins im KVR”, den Sie als Beispiel anführen, berührt nicht die Gefahrenabwehr und ist zudem im Verwaltungsverfahrens- und Waffengesetz ausführlich dargestellt – welche auch für die Landeshauptstadt München bindend sind. Auch die Offenlegung der verwaltungsinternen Verfahrensabläufe gefährden das Verfahren nicht. Es ist auch nicht zu erwarten, dass in dem Managementbericht die Form der “Verwaltung und Bereitstellung von Objektplänen für die Einsatzplanungen von Feuerwehr und Rettungsdiensten” abgebildet wird und selbst wenn dem so wäre, würde sich daraus nicht eine Kompromittierung der Verwaltung abgeben. Die Informationsfreiheitssatzung der LHM wurde gerade dazu erlassen, das Verwaltungshandeln transparenter zu machen und aus der Offenlegung von verwaltungsinternen Prozessabläufen ergibt sich nur in extremen Ausnahmefällen eine Gefährdung. Selbst wenn ein solcher Prozessablauf also in dem Managementbericht dargestellt würde, ergibt sich daraus nicht eine Gefährdung, sondern müsste im einzelnen von Ihnen dargestellt werden. Sie beziehen sich in Ihrer Argumentation ausschliesslich auf Verfahrensabläufe, nicht jedoch auf konkrete Bedrohungen. Aus dem Bekanntwerden der Verfahrensabläufe ergibt sich jedoch selbst keine Bedrohung, da sie die Reaktionsfähigkeit nicht bedroht. Auch das Bekanntwerden moeglicher Bedrohungen der IT-Sicherheit der Landeshauptstadt München rechtfertigt nicht die Unterdrückung des Berichts gegenüber der Oeffentlichkeit und damit die Verweigerung der Herausgabe im Rahmen der IFS. Wie im übrigen bereits hinreichend dargelegt, bezieht sich die von Ihnen zitierte Vorschrift ausschliesslich auf laufende Verfahren. In dem von Ihnen angesprochenen Managementbericht warden abgeschlossene Vorgänge behandelt. Ich darf darüber hinaus nunmehr auch bitten, mir eine vollständige Auflistung der Managementberichte Ihrer Organisationseinheit zukommen zu lassen. Es scheint hier mehrere zu geben. Mit freundlichen Grüßen

Sehr geehrtAntragsteller/in unsere Dienststelle wurde vom Oberbürgermeister beauftragt, die Angelegenheit zu bearbeiten und in eigener Verantwortung zu beantworten. Nach Rücksprache mit unserer Rechtsabteilung können wir lediglich nochmals darauf verweisen, dass der Managementbericht zur IT-Sicherheit Informationen enthält, deren Bekanntwerden geeignet ist, die Sicherheit der IT der LHM zu gefährden. Kommt es zu Ausfällen der IT entstehen Beeinträchtigung von IT-gestützten Verfahrensabläufen und damit auch Beeinträchtigungen für Bürgerinnen und Bürger. Die bereits in den vorherigen Nachrichten dargestellten Aussagen der IFS (§ 6 (1) und § 6 (2) 5) stellen somit weiterhin die Grundlage für die Verweigerung der Herausgabe des von Ihnen angefragten Managementberichts zur IT-Sicherheit dar. Wir dürfen Sie daher abschließend darauf hinweisen, dass kein Anspruch auf die Bereitstellung des Managementberichts zur IT-Sicherheit besteht. Weitere Informationen zu diesem Thema sind aus Sicht der Verwaltung nicht vorhanden, sodass keine weiteren Antworten in dieser Sache erteilt werden. Zu Ihrer nebenläufigen Fragestellung / Vermutung in Bezug auf andere Managementberichte dürfen wir Ihnen noch mitteilen, dass wir keine Kenntnis über weitere Managementberichte haben. Gemäß IFS können Ihrerseits nur solche Informationen verlangt werden, die auch tatsächlich vorliegen. Ermittlungen, Auswertungen oder Recherchen können nicht verlangt werden (vgl. § 1 Abs. 1 IFS). Wir gehen davon aus, dass Ihre Anfrage hiermit ausreichend und satzungskonform beantwortet wurde. Mit freundlichen Grüßen