-3- IM (Fortsetzung) Dienststellenbezeichnung:   Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg Grundsätzlich verfügen alle Bürocomputer, die zur mobilen Nutzung zugelassen sind, über eine sog. VPN- Software. Diese Software arbeitet mit einer „Personal Firewall“ und realisiert den Fernzugriff über ein virtuelles, privates Netzwerk (VPN). Damit ist gewährleistet, dass alle Verbindungen verschlüsselt und gesichert aufgebaut werden. Für den Verbindungsaufbau wird eine starke Authentifizierung mit Einmalpasswort (Token) oder einem In 2014…                    Sicherheitszertifikat benötigt. Ferner ist durch den zentralen Dienstleister BITBW gewährleistet, dass alle erforder- Landtag von Baden-Württemberg lichen Sicherheitsupdates sowie Patche zeitnah ausgebracht werden, um etwaigen Sicherheitslücken rechtzeitig entgegenzuwirken. Aus technischer Sicht ist damit grundsätzlich dafür Sorge getragen, dass dienstliche Daten vor unberechtigtem Zugriff Dritter geschützt sind. Der Einsatz privater Hard- und Software ist als zusätzliche Schutz- maßnahme grundsätzlich nicht zulässig. 2015 wurde im Innenministerium zwischen dem örtlichen Personalrat und der Hausspitze eine Dienstvereinbarung In 2015…                    über die Durchführung von alternierender Telearbeit abgeschlossen. Sie enthält u. a. Regelungen zu Vorausset- zungen, Benachteiligungsverbot, Verfahren und Dauer, Arbeitszeit oder zum Datenschutz. In 2016…2018                - Mit dem Einsatz von Windows10-fähigen Geräten kommt zusätzlich eine 2-Faktor-Authentifizierung zum Einsatz, In 2019…                    die sowohl eine BITLOCKER-PIN als auch ein Benutzer-Passwort erfordert. Die Arbeitsplätze wurden weitgehend mit Notebooks ausgestattet. Weitere Regelungen mit organisatorischem Gehalt zur mobilen- und Telearbeit sind in den Nutzungs- und Ar- In 2020                     beitshinweisen des Innenministeriums enthalten. Entsprechende Sicherheitskonzepte befinden sich aktuell in Arbeit. 91 Drucksache 16 / 8148

-4- 92 IM (Fortsetzung) Dienststellenbezeichnung:   BITBW Bereits die Vorgängereinrichtung der BITBW hatte Standards für Datenschutz und Datensicherheit. Diese setzen die Anforderungen nach den §§ 7 und 9 LDSG um. Folgende technische Sicherheitsmaßnahmen sind besonders hervorzuheben: - Sicherung der Zugangsberechtigungen durch 2-Faktor-Authentifizierung und sichere Passwörter, Verschlüsse- lung der Verbindungen und zusätzliche Absicherung vor Angriffen aus dem Internet der mobil und telearbeitenden Beschäftigten. Dazu kommt der sog. Bitlocker als Festplattenverschlüsselungssoftware mit MBAM (Datenbanken Landtag von Baden-Württemberg für Verwaltung der Datenträgerverschlüsselung) in der BITBW. - Benutzer- und Zugriffskontrolle: U. a. Netzabschottung über Firewalls, Berechtigungen für den Zugriff der Daten nur gemäß Auftrag und nur im jeweils erforderlichen Umfang. - Transportkontrolle: Gewährleistung, dass bei der Übertragung von Daten sowie beim Transport von Datenträ- gern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. In 2014…                     - Verfügbarkeitskontrolle: U. a. gibt es ein Systemmonitoring. - Organisationskontrolle: U. a. Verpflichtung der tariflich Beschäftigen auf dem Umgang mit Dienstgeheimnissen, Regelungen für die Entsorgung schützenswerter Betriebsmittel. - Einsatz von TrendMicro ScanMail für den E-Mail Bereich als Abwehr gegen Virenangriffe. Ein Informationssicherheitskonzept ist vorhanden. Mobile Device Management (MDM) besteht: Über MDM erfolgt das Management der Sicherheitseinstellungen von Smartphones. Es gibt eine Dienstvereinbarung Telearbeit. Hier ist u. a. geregelt, dass keiner anderen Person Zugang zum Note- book und keiner anderen Person Zugriff auf elektronische Daten ermöglicht werden darf. In 2015…                    In 2015 erfolgte die Aktualisierung der Standards für Datenschutz und Datensicherheit. Drucksache 16 / 8148

-5- IM (Fortsetzung) In 2016 wird eine Richtlinie zur Nutzung von Informations- und Kommunikationstechnik (IuK) erstellt und zum 07.06.2016 freigegeben: U. a. keine lokale Speicherung auf den Geräten. In der Richtlinie sind organisatorische Regelungen zur Telearbeit enthalten: U. a. soll kein unberechtigter Zugriff Dritter auf den Arbeitsplatz möglich sein. Die Softwareinstallation erfolgt zentral durch die BITBW. In 2016…           10 Grundregeln für IT-Sicherheit: U. a. Sensibilisierung auf Verwendung von sicheren Passwörtern, Sensibilisie- rung auf die Beachtung der datenschutzkonformen Entsorgung der Daten sowohl in Papierform als auch digital Landtag von Baden-Württemberg Die BITBW ist nach ISO 27001 auf der Basis von IT-Grundschutz teilzertifiziert. Für die mobil- und telearbeitend Beschäftigten wurden die technischen Maßnahmen im Rahmen dieser Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft. Seit der Teilzertifzierung erfolgen regelmäßige Audits deren Überprüfungsrahmen von den Auditoren festgelegt In 2017… wird und in Zukunft auch im Einzelfall Telearbeit betreffen kann. Die Dienstvereinbarung zur Telearbeit wurde aktualisiert zu Dienstvereinbarung Mobiles Arbeiten (Stand vom In 2018…           05.03.2018). Seit März 2018 setzt die BITBW Bromium als weitere Sicherheitsstufe ein. Neufassung des Informationssicherheitskonzepts: Dieses enthält Anforderungen an die Sicherheit des Standard- arbeitsplatzes: Es wird die Verwendung eines zusätzlichen Bitlockers vorgeschrieben, die Verwendung der Bitlocker-PIN bei Laptops und es gibt die Absicherung mit tokenbasiertem VPN-Zugang. Technische und organisatorische Maßnahmen (TOM) der BITBW wurden beginnend in 2018 im Rahmen der Um- setzung der DS-GVO erarbeitet: Diese enthalten die Verpflichtung der Beschäftigten auf Einhaltung des Datenge- heimnisses. Es finden sich folgende Regeln zum Incident-Response-Management: Schulung und Anweisung der In 2019… Mitarbeitenden zur Meldung von Datenschutz- und Sicherheitsvorfällen und Beachtung der Datenpannenmelde- frist nach DS-GVO. Daneben ist die Zugangskontrolle/Benutzerkontrolle umfasst: Regelung der Zugangsberechti- gung und der Administration, Remote-Zugriffe stets über verschlüsselte VPN-Verbindung, Mitarbeitende verfügen über ein personalisiertes Benutzerkonto und 2-Faktor-Authentifizierung, Schutz der Server und Clients durch Firewalls, Wartung, Updates und Patches sowie Virenschutz. Zum Thema Verschlüsselungen enthalten die TOM Folgendes: U. a. sind Festplattenverschlüsselungssysteme im Einsatz. Verfügbarkeitskontrolle: Ablegen auf Spei- cher-Systemen mit Ausfallsicherung. Die Richtlinie Nutzung von Informations- und Kommunikationstechnik (IuK) wurde überarbeitet und am 27.05.2020 In 2020…           erneut freigegeben. Aktuell werden 10 Regeln des mobilen Arbeitens definiert. 93 Drucksache 16 / 8148

-6- 94 IM (Fortsetzung) Dienststellenbezeichnung:   Regierungspräsidium Stuttgart In 2014…                    Remote-Zugänge werden von der BITBW eingerichtet. In 2015…                    - Datenschutz Dienstanweisung der RPen. Hinweis auf die Dienstanweisung Datenschutz, Vom jedem neuen MA In 2016… zu unterschreiben. Landtag von Baden-Württemberg In 2017…                    Richtlinie zur Genehmigung von Arbeit von außerhalb des betriebl. Arbeitsplatzes „Telearbeit“ In 2018…2020                - Dienststellenbezeichnung:   Regierungspräsidium Karlsruhe Informationssicherheit: IT-Sicherheitsrichtlinie für Telearbeitsplätze des Regierungspräsidiums Karlsruhe In 2014…2019                Technische Sicherheitsvorkehrungen: Techn. Verschlüsselung der Festplatte: Win7: HardDisc-Passwort, Anbin- dung via VPN an LVN, Checkpoint-Endpoint Security Informationssicherheit: IT-Sicherheitsrichtlinie für Telearbeitsplätze des Regierungspräsidiums Karlsruhe In 2020…                    Technische Sicherheitsvorkehrungen: Techn. Verschlüsselung der Festplatte: Win7: HardDisc-Passwort, Win10: Bromium, Bitlocker; Anbindung via VPN an LVN, Checkpoint-Endpoint Security Dienststellenbezeichnung:   Regierungspräsidium Freiburg Informationssicherheit: IuK-Richtlinie des Regierungspräsidiums Freiburg, Dienstvereinbarung Telearbeit In 2014…2019                Technische Sicherheitsvorkehrungen: Verschlüsselung der Festplatte mit BITLOCKER, Anbindung an LVN über VPN, Checkpoint-Endpoint Security Informationssicherheit: IuK-Richtlinie des Regierungspräsidiums Freiburg, Dienstvereinbarung Telearbeit In 2020…                    Technische Sicherheitsvorkehrungen: Verschlüsselung der Festplatte mit BITLOCKER, Anbindung an LVN über VPN, Checkpoint-Endpoint Security, Bromium Sicherheit Drucksache 16 / 8148

-7- IM (Fortsetzung) Dienststellenbezeichnung:   Regierungspräsidium Tübingen IT-Sicherheit: DV Datenschutz und IT-Sicherheit, DV Arbeitsplatz, DV Telearbeitsplätze. Techn. Sicherheitsvor- In 2014…2017                kehrungen: Techn. Verschlüsselung der Festplatte: Win7: HardDisc-Passwort, Anbindung via VPN an LVN, Checkpoint-Endpoint Security IT-Sicherheit: DV Datenschutz und IT-Sicherheit, DV Arbeitsplatz, DV Telearbeitsplätze. Techn. Sicherheitsvor- In 2018…2020                kehrungen: Techn. Verschlüsselung der Festplatte: Win7 und Win 10 (Bitlocker): HardDisc-Passwort, Anbindung via VPN an LVN, Checkpoint-Endpoint Landtag von Baden-Württemberg Dienststellenbezeichnung:   Landesfeuerwehrschule In 2014…2016                keine Neu LVN-Anbindung der Behörde und Beauftragung des IpSec-Service von BITBW für 3 VPN-Zugänge, Ausstat- In 2017… tung des Personals mit Notebooks. In 2018…2019                keine weiteren Maßnahmen In 2020…                    Beauftragung des IpSec-Service von BITBW für 35 weitere VPN-Zugänge 95 Drucksache 16 / 8148

-8- 96 IM (Fortsetzung) Dienststellenbezeichnung:   Polizei Baden-Württemberg Zur Sicherung von personenbezogenen Daten sowie von internen, verwaltungsbezogenen Daten vor dem unbe- rechtigten Zugriff Dritter gelten für alle Dienststellen und Einrichtungen der Polizei einheitliche Standards und Vor- gaben: 1. Netzanbindung über einen festen häuslichen DSL-Anschluss oder den Mobilfunk (Vodafone oder Telekom) an das in sich geschlossene Netz der Polizei (CUG / CNP-UN). Zugang zum Polizeinetz über eine zwei Faktor Au- Landtag von Baden-Württemberg thentifizierung und VPN-Client. 2. Zusätzliche Verschlüsselung der sog. „Payload“ (Inhalt der Datenpakete) des Internetprotokolls via IPSEC durch CheckPoint VPN [Software]. 3. Absicherung der Authentifizierung über (Triple)AAA-Server und Hardware-Token. 4. Festplattenverschlüsselung der verwendeten Hardware über Microsoft BitLocker. 5. (Teilweise) Erzwungene GPO’s [Gruppenrichtlinien] in der OU des Active Directory für das jeweilige Computer- Konto. 6. Die Abnahme des Telearbeitsplatzes durch den Informationssicherheitsbeauftragten der Dienstelle und die Fachkraft für Arbeitssicherheit. Kriterien: • Das Zimmer in dem sich der Telearbeitsplatz befindet muss physisch abgeschlossen werden können. In 2014…2020 • Alle Dokumente müssen in einem abschließbaren Behältnis aufbewahrt werden. • Während der Telearbeit darf der Raum zur Telearbeit nicht von Familienangehörigen betreten werden. • Während der Telearbeitszeiten darf der Raum nur zu Zwecken der Telearbeit genutzt werden. • Private IT-Geräte dürfen nicht angeschlossen werden. • Eine Einsichtnahme des Arbeitsplatzes, insbesondere des Bildschirms darf nicht von außerhalb oder indirekt möglich sein. • Der Telearbeitsplatz muss ausreichend beleuchtet werden können. • Der Telearbeitsplatz muss mit einem Schreibtisch in ausreichender Höhe und einem Bürostuhl ausgestattet sein. Des Weiteren werden grundsätzlich alle organisatorischen Maßnahmen in Form von Dienstanweisungen (DA) zentral für die Dienststellen und Einrichtungen für den Polizeivollzugsdienst vorgegeben. Für den Bereich operati- ves mobiles Arbeiten und alternierende Telearbeit gelten folgende Vorschriften: DA Mobile Datenfunkanbindung an die polizeiliche Infrastruktur (MoDa) DA Gerätesicherheit Rahmen-Dienstvereinbarung über die Telearbeit in der Polizei Drucksache 16 / 8148

-9- IM (Fortsetzung) Dienststellenbezeichnung:   Landesamt für Verfassungsschutz In 2014…2015                nicht notwendig Kein Zugriff auf Netzlaufwerke oder Verfahren, aktuelles Betriebssystem und Virenschutz, Geräteverschlüsselung, In 2016…2020 Prüfungsprozess der angedachten Tätigkeiten im Rahmen der Vertragsgestaltung Dienststellenbezeichnung:   Logistikzentrum Baden-Württemberg Landtag von Baden-Württemberg In 2014…                    Technisch: VPN-Technologie, Festplattenverschlüsselung; organisatorisch: Antrag Telearbeit In 2015…2017                - Dienstvereinbarung Telearbeit (u. a.: Telearbeit ist bei besonderer Geheimhaltung und schutzbedürftigen Daten In 2018… nicht geeignet- Keine Einsichtnahme durch Dritte) Dienstanweisung Unterlagen und Arbeitsmittel (u. a.: Kabelschlösser für Notebooks (PCs?) und Untersagung In 2019… privater Nutzung) In 2020…                    - Dienststellenbezeichnung:   Haus der Heimat des Landes Baden-Württemberg In 2014…2017                - Datenschutz nach DSGVO: Erstellung von Verarbeitungsverzeichnissen; Abschluss von Auftragsverarbeitungs- In 2018… verträgen; Schulung der Mitarbeitenden Informationssicherheit: Leitlinie zur Informationssicherheit; Einführung eines Informationssicherheitsmanagement- In 2019… systems; Unterweisungen der Mitarbeitenden In 2020…                    - Dienststellenbezeichnung:   Institut für Volkskunde der Deutschen des östlichen Europa (IVDE), Freiburg In 2014…2017                keine besonderen Maßnahmen / Mitarbeiterin auf Einhaltung des LDsG hingewiesen In 2018…2019                keine besonderen Maßnahmen / Mitarbeiterin auf Einhaltung des LDsG und der DSGVO hingewiesen In 2020…                    keine besonderen Maßnahmen / Mitarbeiter/innen auf die Einhaltung des LDSG und der DSGVO hingewiesen 97 Drucksache 16 / 8148

- 10 - 98 IM (Fortsetzung) Dienststellenbezeichnung:   Institut für donauschwäbische Geschichte und Landeskunde (IdGL) In 2014…2018                - In 2019…                    Vereinbarung des IM über Telearbeit In 2020…                    - Landtag von Baden-Württemberg Drucksache 16 / 8148

- 11 - JuM Dienststellenbezeichnung:   Geschäftsbereich der Justiz (i. S. d. Anfrage) …war nur Telearbeit in begründeten Einzelfällen mit vereinbarten Präsenzzeiten möglich. Die Telearbeitsrechner waren per VPN-Tunnel mit dem Justiz-Netz verbunden und daher einheitlich über dieselben technischen Maß- nahmen geschützt wie die Büro-Arbeitsplatzrechner des Landes, die vom zentralen IT-Dienstleiter bereitgestellt und betreut wurden. Auch die Nutzung der Fachverfahren im Rahmen der Telearbeit unterlag dem gleichen Schutz wie im Büro-Umfeld (i. e. Reglementierung der Zugriffe, Datensicherung, Protokollierung, redundante Aus- Landtag von Baden-Württemberg legung, Fehlersupport). Zur organisatorischen Absicherung und Gewährleistung des Datenschutzes wurden den telearbeitenden Beschäf- tigten folgende Maßnahmen justizweit auferlegt: In 2014… x   Verbot der privaten Nutzung dienstlich gestellter IT x   Verhinderung des unbefugten Zugangs zum Rechner bzw. des unberechtigten Zugriffs auf Papierunterla- gen durch Dritte, insbesondere durch Personen im häuslichen Umfeld x   Transport dienstlicher Unterlagen in verschlossenen Behältnissen x   Aufbewahrung dienstlicher Unterlagen in verschlossenen Behältnissen oder in abgeschlossenen Räumen x   Entsorgung von anfallendem Abfallpapier in der Dienststelle Als Diensthandys durften nur iPhones mit der Container-Lösung verwendet werden (Mobile Management Service mit kompletter Trennung dienstlicher und privater Daten). …wurde zusätzlich mobiles Arbeiten mit dienstlichen Notebooks pilotiert. Die technischen und organisatorischen In 2015… Maßnahmen stimmten mit denjenigen für die Telearbeit überein. Seit Mai 2016 wurde neben der bereits bestehenden Telearbeit mobiles Arbeiten nach erfolgreichem Abschluss In 2016…                    der Pilotierung produktiv mit denselben Auflagen eingeführt (Modell JuMobil). Die Arbeitszeit für mobiles Arbeiten war regulär auf einen Arbeitstag pro Woche beschränkt. In 2017…2018                - 99 Drucksache 16 / 8148

- 12 - 100 JuM (Fortsetzung) Im Januar 2019 wurden justizweit zusätzliche Sorgfaltspflichten für den Umgang mit dienstlichen Notebooks er- lassen: x Vorzeitige Aktivierung der Bildschirmsperre bei Abwesenheit x Transportsicherung durch geeignete Tasche x Nicht sichtbare Aufbewahrung in Kraftfahrzeugen x Verwendung von Sichtschutzfolien x Komplettes Herunterfahren bei längerer Nicht-Nutzung Landtag von Baden-Württemberg Seit 2019 werden allgemein und damit auch für die mobile Nutzung und bei der Telearbeit die bestehenden sicherheitsrelevanten technischen und organisatorischen Maßnahmen weiterentwickelt: Technisch: In 2019                x Justizweite Ausstattung aller Justiz-Clients mit der Sicherheitssoftware Bromium x Justizweite Verbesserung der Konfiguration des Passwortmanagers KeePass 2 x Durchführung des Justiz-Projektes „Makrosicherheit“ zur zukünftigen Implementierung einer hohen Makrosicherheit Organisatorisch: x Erstellung von verschiedenen Anleitungen, insbesondere zur verschlüsselten Datenübertragung / -speicherung und zu Bromium x Weiterentwickelte Regelungen zur Übertragung und Speicherung von Informationen x Weiterentwickelte Regelungen zum Umgang mit Wechseldatenträgern x Weiterentwickelte Regelungen zum Umgang mit Passwörtern x Weiterentwickelte Regelungen zur Nutzung von Cloud-Diensten x Weiterentwickelte Regelungen zur Nutzung von Internet und E-Mail In 2020…            - Drucksache 16 / 8148