Datensicherheit im Land Bremen
Es gibt immer mehr mehr Cyberangriffe, auch in Bremen: GeNo, Krankenkassen und Dienstleister waren betroffen. Zudem warnt die BSI-Präsidentin vor der zunehmenden Gefahr. Deshalb fragen wir den Senat, wie er es mit der Datensicherheit hält.
Wie sorgt der Senat in seinem Verantwortungsbereich für Datensicherheit?
Vor einigen Wochen wurde bekannt, dass bei einem Cyberangriff auf Server der Gesundheit Nord gGmbH (GeNo) in umfangreichem Ausmaß Daten (Patientendaten, Beschäftigtendaten, Daten zu internen Arbeitsabläufen, interne Kommunikationsdaten usw.) kopiert und ins Ausland transferiert wurden. Bei Gesundheitsdaten handelt sich um eine besondere Kategorie von Daten gemäß Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO), an die hohe Schutzanforderungen gestellt werden.
Seit Inkrafttreten der Informationssicherheitsrichtlinie der Freien Hansestadt Bremen (IS-LL) bestehen verbindliche Grundsätze für die Datensicherheit im Verantwortungsbereich des Senats. Sie orientiert sich dabei insbesondere an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die u.a. ein IT-Sicherheitskonzept, einen IT-Notfallplan und die Benennung eines Beauftragten für IT-Sicherheit vorsehen.
Immer wieder hat der Landesrechnungshof in den vergangenen Jahren strukturelle Versäumnisse bei der Datensicherheit senatorischer Behörden oder ihrer nachgeordneten Dienststellen festgestellt, z.B. was die Erstellung von IT-Sicherheitskonzepten angeht. Betroffene Behörden waren u.a. das Amt für Straßen und Verkehr, das Statistische Landesamt sowie Immobilien Bremen. Trotz eindeutiger rechtlicher Vorgaben waren dort aufgrund mangelnder Ressourcen oder fehlender Vorgaben der Führungsebene IT-Sicherheitsplanungen nicht im notwendigen Umfang erfolgt. Es bedarf hier eines besseren Bewusstseins für Datensicherheit als Kernaufgabe einer funktionierenden staatlichen Daseinsvorsorge und einer erhöhten Aufmerksamkeit dafür, dass die Beachtung rechtlicher Vorgaben und politischer Zielsetzungen keine Beliebigkeit darstellt und mit der Zuordnung der für die Umsetzung notwendigen finanziellen und personellen Ausstattung in Verbindung stehen muss.
Die Landesdatenschutzbeauftragte mahnt seit Jahren eine Verbesserung der Datensicherheit an und hat u.a. wiederholt die Nutzung ungesicherter Faxverbindungen zur Übermittlung sensibler personenbezogener Daten bemängelt. Auch zeigen vermehrte Datenschutzverstöße im Rahmen der Verarbeitung sensibler Daten zu Impfungen und Infektionszahlen während der Corona-Pandemie, dass Datenschutz gerade bei unvorhersehbaren Ereignissen vielfach nicht im geforderten Maße regulärer Bestandteil eines Arbeitsprozesses ist, sondern erst nachträglich mit einer Korrektur im laufenden Verfahren vollumfänglich Berücksichtigung findet.
Vor dem Hintergrund der in stichprobenhaften Kontrollen deutlich werdenden strukturellen Rückstände erscheint es ratsam, eine übergreifende Bestandsaufnahme der Datensicherheit im gesamten Verantwortungsbereich des Senats einzuholen, um auf dieser Grundlage weiteren Handlungsbedarf auszuloten.
Wie sorgt der Senat in seinem Verantwortungsbereich für Datensicherheit?
Es gibt immer mehr mehr Cyberangriffe, auch in Bremen: GeNo, Krankenkassen und Dienstleister waren betroffen. Zudem warnt die BSI-Präsidentin vor der zunehmenden Gefahr. Deshalb fragen wir den Senat, wie er es mit der Datensicherheit hält.