Lehren aus dem Sicherheitsvorfall der Südwestfalen-IT

Linksfraktion Treptow-Köpenick
Philipp Wohlfeil

Schriftliche Anfrage

Drucksache Nr. IX/0683 vom 01.02.2024 des Bezirksverordneten Philipp Wohlfeil – DIE LINKE.

Ich frage das Bezirksamt:

1. Ist dem Bezirksamt der öffentlich gewordene Abschlussbericht des Sicherheitsvorfalls der Südwestfalen-IT bekannt und welche Schlüsse und Konsequenzen zieht das Bezirksamt für die eigene Infrastruktur?

2. Benutzt das Bezirksamt CISCO ASA oder FTD, welche Firmwareversion läuft dort und wann wurde diese ggf. gegen CVE-2023-20269 gepatcht?

3. Benutzt das Bezirksamt bei VPN-Verbindungen eine Zwei-Faktor-Authentifizierung, falls nein, warum nicht?

 

Hierzu antwortet das Bezirksamt Treptow-Köpenick:

Zu 1.
Der Sicherheitsvorfall der Südwestfalen-IT wurde bereits in der Sitzung des Informationssicherheitsmanagement-Teams am 11.12.2023 angesprochen. Der Abschlussbericht steht auf der Tagesordnung der nächsten ISM-Team-Sitzung und wird dort ausführlich besprochen. Zuvor wurde der Bericht bereits vom InfoSiBe (Informationssicherheitsbeauftragter) und der IT Stellen-Leitung evaluiert. Der Sicherheitsvorfall bei der Südwestfalen-IT weist kaum Gemeinsamkeiten mit dem Vorgehen im Bezirksamt auf, da die Infrastruktur und die verwendeten IT-Firewalls und VPN-Lösungen unterschiedlich sind. Das Berlin-CERT informiert uns regelmäßig über potenzielle Sicherheitslücken und neue Updates/Patches, die rasch von der IT-Abteilung übernommen werden.

Zu 2.
Das Bezirksamt verwendet keine CISCO ASA oder FTD Firewalls- oder VPN-Lösungen, somit ist diese Sicherheitslücke in unserem Bezirksamt nicht relevant.

Zu 3.
Eine Zwei-Faktor-Authentifizierung (2FA) für VPN-Verbindungen ist nicht erforderlich. Die Gründe dafür sind wie folgt:

1. IT-Richtlinien
Die Nutzung privater Hard- und Software ist gemäß den IT-Richtlinien nicht gestattet. Die Verwendung einer App für dienstliche Belange auf dem privaten Mobiltelefon ist nicht vorgesehen.

2. Variabilität der Mitarbeiterausstattung
Nicht jede/r Mitarbeiter/in besitzt ein eigenes Mobiltelefon. Eine flächendeckende Ausstattung aller Mitarbeitenden mit Mobiltelefonen ist weder vorgesehen noch finanziell realisierbar und gehört darüber hinaus nicht zur Standardausstattung.

3. Standardausstattung
Dienstliche Mobiltelefone sind nicht für alle Mitarbeitenden im Bezirksamt erforderlich.

Für Systemadministrator/innen der IT-Stelle wird bereits eine 2FA-Methode genutzt. Eine weitere Sicherheitshürde für die Nutzung von Notebooks ist BitLocker, welcher eine nicht autorisierte Nutzung erschwert. BitLocker ist eine Laufwerksverschlüsselung, die in Windows integriert ist und persönliche Daten vor unerwünschtem Zugriff schützt.

Verwandte Nachrichten