Anfrage von Gemeinderat Mag. Redlhammer an Bürgermeister Luger

„Herr Gemeinderat Mag. Redlhammer stellt mir einen sehr umfangreichen Fragenkatalog zu Cybersicherheit der IT-Systeme der Verwaltung in der Stadt. Ich werde diese Anfrage soweit auch detailliert beantworten, als ich durch die Preisgabe von Informationen kein Sicherheitsrisiko für die Stadt hervorrufen kann, die die Aufrechterhaltung des Betriebes, letztlich sogar der gesamten Stadtverwaltung in Frage stellen könnte. Das heißt dort, wo es darum geht, dass das tatsächlich Sicherheitsgeheimnisse sind, werde ich an der entsprechenden Stelle auch sagen, dass ich das nicht beantworten werde. Das im Voraus schon erwähnt. Zu 1.: Folgende Sicherheitssysteme setzen wir ein: Firewalls, Webproxy mit UAL-Filter, Reverse Proxy, Spamfilter mit Antivirusprüfung, Schwachstellenscanner, Antivirussysteme, Zwei-Faktor-Authentifizierung, E-Mail-Verschlüsselung, Lastverteilung, Monitoringsysteme und die Verwendung verschlüsselter Protokolle für den Zugriff von Extern. Bei allfälligen Nachfragen bitte ich dich, Herr Gemeinderat, mich nicht im Detail zu fragen, was das wirklich ist. Die Frage der Bekanntgabe der strategischen Partner werde ich aus den oben angeführten Gründen nicht der Öffentlichkeit preisgeben. Zu 2.: Ja, auch wir waren leider betroffen. Ich kann dir das auch über die Jahre 2019, 2020 und 2021 sagen. Im heurigen Jahr hatten wir drei Betrugsversuche, in den beiden Jahren vorher keinen. Im Jahr 2019 gab es sieben gezielte Angriffe, im Jahr 2020 drei und im Jahr 2021 fünf. Im Jahr 2019 gab es keinen einzigen Identitätsdiebstahl, 2020 zwei und im heurigen Jahr bislang bereits zehn. Ich kann dich darüber hinaus darüber informieren, dass im Jahr 2020 zwei E-Mail-Postfächer in der gesamten Holding kompromittiert und in Folge auch als Spam-Postfächer missbraucht wurden. Zu 3.: Ja, wir haben eine IT-Sicherheitsstrategie und auch zahlreiche IT-Sicherheitskonzepte. Wir sind uns der steigenden Gefahren, die aufgrund der Dynamik der Entwicklung in den letzten Jahren überall feststellbar ist, bewusst. Deshalb hat Frau Magistratsdirektorin eine Prüfung durch die interne Revision angeordnet und einen eigenen freiwilligen internen Sicherheitscheck veranlasst. Dazu gibt es eine Reihe von Empfehlungen, die ich auch hier nicht öffentlich präsentiere, denn das wäre die Bekanntgabe von Problemen in der Verteidigung, würde man im Fußball sagen. Wir haben auf Basis dieser Empfehlungen ein eigenes Projekt mit der Abteilung Organisation und Digitalisierung aufgesetzt, bei dem unsere Strategie unter Einbindung von externen IT-Sicherheitsexpertinnen und -experten derzeit auch überarbeitet, verbessert und die aufgetretenen Schwächen beseitigt werden sollten. Dabei wird auch das von dir angesprochene Desaster Recovery Plan-Thema bearbeitet. Es gibt jetzt einige Unterfragen zu diesem Fragenkomplex 3. Zu 3.1.: Auch zu dieser Frage aus Sicherheitsgründen keine weiteren Explikationen. Zu 3.2.: Auch hier haben wir selbstverständlich für den Krisenfall klare Übersichten auf den unterschiedlichen Ebenen des Magistrats über die Erreichbarkeit der Mitglieder der Stadtregierung. Aus diesem Aspekt würde ich sagen, dass eine grundsätzliche Erreichbarkeit gegeben ist. Vor dem Hintergrund der Ergebnisse der internen Revision und auch der gestiegenen Cyberkriminalität insgesamt, sind auch wir in dieser dynamischen Situation inkludiert. Wir haben diese Kommunikation auf eine andere, breitere Basis zu stellen und gemeinsam in der Stadtregierung auch mit dem Sicherheitsreferenten ein Projekt zum Blackout aufgestellt. Diesem Thema der internen Kommunikation der Stadtregierung und auch der Führungskräfte wird ein großer Stellenwert beigemessen. Zu 3.3.: In diesen Messengerdiensten sind selbstverständlich die jeweiligen Kommunikationsgruppen vorhanden und sie können im Bedarfsfall auch adaptiert oder fokussiert werden. Hinsichtlich der Messengerdienste insgesamt wird in diesem Fall aufgrund von Privacy-Anforderungen auf Signal zurückgegriffen werden. Zu 3.4.: Eine IT-Krisenübung haben wir bislang noch nicht durchgeführt. Die Sicherheit wird allerdings auch im Rahmen dieses IT-Projektes, das in der Abteilung Organisation und Digitalisierung läuft, auf die Durchführung von sogenannten Penetrationstesten geplant. Zu 3.5.: Unsere IKT ist in zwei Rechenzentren der Linz AG, die redundant sind, eingemietet und betreibt ihre Server überwiegend auf virtuellen Systemen. Die Datenspeicherung erfolgt bislang ausschließlich in diesen beiden Rechenzentren. Zu 3.6.: Wir haben im heurigen Jahr auf eine neue, redundante Tapeless-backup-Technologie umgestellt. In der Backup-Strategie wird ein zusätzlicher Standort, neben diesen beiden Rechenzentren bei der Linz AG mit einer Offline-Sicherung derzeit evaluiert. Zusätzlich wird eine spezielle Software zur Verschlüsselungserkennung getestet. Zu 3.7.: Die IKT bietet allen unseren Unternehmen in der Holding Awareness-Schulungen an. Am 3. November haben wir eine gemeinsame Konferenz in der Holding im Gesamtkonzern zum Thema IT-Sicherheit abgehalten. Gemeinsam mit dem Sicherheitsressort fand eine Veranstaltung mit allen Führungskräften der Holding zum Thema Blackout statt, das war der Einstieg in die Blackout-Strategie. Zu 3.7.1: Unsere MitabeiterInnen werden auf Spam-Mails, auf Passwörter, auf die Benutzung von USB-Sticks und ganz besonders auch auf das Erkennen von Phishing-Mails und das Erkennen von Social Engineering sensibilisiert. Zu 3.7.2: In der aktuellen IT- und TK-Sicherheits-Passwortrichtlinie, die im November dieses Jahres erlassen worden ist, ist dieser Prozess standardisiert geregelt. Derzeit wird im Rahmen der Ausrollung der neuen Passwortrichtlinie, die Umstellung auf mindestens zwölf Zeichen und ein Änderungsintervall von 365 Tagen vorgenommen. Ich habe mich bemüht, unter den gegebenen Möglichkeiten die Anfrage möglichst umfassend zu beantworten.“