Beschluss:

Der Ausschuss für Innovation, Digitalisierung und Standortmarketing nimmt den

Jahresbericht IT-Sicherheit 2022 des IT-Dezernats zur Kenntnis.

 

Protokoll:

Der vierte Jahresbericht des IT-Dezernates zur IT-Sicherheit (Anlage 2) lag dem Ausschuss vor.

 

IT-Sicherheitsbeauftragter Frank Meger stellte anhand einer Präsentation (Anlage 3) wichtige Eckpunkte des IT-Sicherheitsberichts 2022 vor. Der Umfang der Sicherheitsaufgaben wachse stetig. Zum Tagesgeschäft gehöre zunehmend potentielle Schwachstellen für Cyber-Angriffe frühzeitig zu lokalisieren und abzustellen, sowie die Beschäftigten der Kreisverwaltung zu schulen und zu sensibilisieren. Meger wies auf die wachsende Zahl von Kommunen hin, die bereits Opfer von Cyberangriffen geworden seien - zum Teil mit gravierenden Auswirkungen. Cyber-Bedrohungen abzuwehren, nehme daher immer mehr Ressourcen in Anspruch.

 

Dezernent Harald Vieten ergänzte, dass das Thema IT-Sicherheit im beschlossenen Masterplan wegen der hohen Priorität mit einem eigenen Handlungsfeld belegt sei und aus diesem Grunde Frank Meger bereits seit 2019 als Sicherheitsbeauftragter der Kreisverwaltung bestellt sei. Das im vergangenen Jahr bereit gestellte Budget für IT-Sicherheit wurde gut angelegt – IT-Sicherheit verlange auf Grund der wachsenden Bedrohungsszenarien in einer zunehmend digitalen Welt leider auch zunehmend mehr Investitionen und Personalressourcen. Dank des engagierten Einsatzes von Herrn Meger sei es Anfang diesen Jahres möglich geworden, eine Cyberversicherung für die Kreisverwaltung abzuschließen. Um überhaupt versicherungsfähig zu werden, musste dafür viele Hürden genommen und monatelange Arbeit investiert werden. 

 

Dezernent Martin Stiller unterstrich ebenfalls die Wichtigkeit der IT-Sicherheit aus dem Blickwinkel des Katastrophenschutzes, der kritischen Infrastrukturen und der zivilen Verteidigung. 

 

Abgeordneter Stefan Arcularius bat um Informationen, ob es ein Notfallhandbuch zur IT-Sicherheit gebe und ob ausreichend personelle Kapazitäten bei der Kreisverwaltung im Bereich IT-Sicherheit bestehe. IT-Ausfälle könne man sich seiner Meinung nach nicht leisten und müssten definitiv vermieden werden. Frank Meger antwortete, dass IT-Notfallpläne im Rahmen der Energiekrise erstellt wurden, es definitiv aber noch Potential nach oben gebe. Ein Informationssicherheitsmanagementkonzept sei im Aufbau, es fehle aber an der Zeit.

 

Dezernent Harald Vieten ergänzte, Frank Meger sei vorrangig Abteilungsleiter Zentrale Dienste und zusätzlich IT-Sicherheitsbeauftragter. Der Anteil der Aufgaben zur IT-Sicherheit nehme aber kontinuierlich zu und liege jetzt schon bei 75 Prozent der Arbeitszeit von Herrn Meger.

 

Auf die Frage von Abgeordnetem Tim Tressel, wieso so wenig Personal bei der Kreisverwaltung für IT-Sicherheit zur Verfügung stehe, antwortete Dezernent Harald Vieten, dass eine zeitliche Ausweitung derzeit mit der Behördenleitung diskutiert werde.

 

Abgeordneter Joachim Quass stellte fest, dass die personelle Situation bei rd. 1.300 Mitarbeitern für den Bereich IT-Sicherheit bei der Kreisverwaltung erschreckend sei.

 

Die Fragen von Ute Leiermann, Dirk Müller und Justin Kluth zu Personalstärke bei der IT-Sicherheit beim Kreis und bei der ITK, Awareness-Trainings und Zertifizierung von IT-Prozessen beantworte Frank Meger. Wolfgang Vits fügte an, dass bei der ITK Rheinland aktuell bereits 5 Stellen für die IT-Sicherheit vorgesehen sind.

 

Auf die Frage von Christina Borggräfe, ob es eine Berechnungsgrundlage für IT-Sicherheitsbeauftragte einer Kreisverwaltung gebe, antwortete Dezernent Vieten, dass lt. eines direkt an die Landrätinnen und Landräte gerichteten Handlungsleitfaden des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Deutschen Landkreistages (DLT) in einem Kreis regelmäßig eine Person in Vollzeit als IT-Sicherheitsbeauftrager (CISO) empfohlen werde.

 

Weitere Wortmeldungen lagen nicht vor.