Schriftliche Anfrage der Abgeordneten Katharina Schulze BÜNDNIS 90/DIE GRÜNEN vom 11.03.2014 BSI Bekanntgabe von Passwort-Diebstahl – IT-Sicherheit bayerischer Behörden II Die Beantwortung meiner Schriftlichen Anfrage vom 03.02.2014 betreffend „BSI Bekanntgabe von PasswortDiebstahl – IT-Sicherheit bayerischer Behörden“ Drs. 17/925 durch die Bayerische Staatsregierung wirft weitere Fragen zu diesem Vorgang auf. Ich frage die Staatsregierung: 1. Stehen die Adressen von Mitgliedern oder ehem. Mit- gliedern der Staatsregierung oder deren engen Mitarbeitern auf der Liste der 198 E-Mail-Adressen der Bayerischen Staatsverwaltung, die nach Angaben des BSI vom Datendiebstahl betroffen waren? a) Wenn ja, welche? 2. Welchen jeweiligen Behörden (z. B. Staatskanzlei, Ministerien , Landtagsamt, Landesbeauftragter für Datenschutz ) bzw. welchen nachgeordneten Behörden (z. B. LKA und BayLfV) sind die 198 betroffenen E-Mail- Adressen zuzuordnen (bitte aufgeschlüsselt nach Anzahl und Behörden)? 3. Welche Informationen wurden in den 198 Fällen jeweils neben der Mailadresse entwendet, also z. B. Zugangsdaten oder Passwörter? a) Inwieweit können die Sicherungssysteme Bayerischer Behörden die unberechtigte Verwendung solcher validen Zugangsdaten und Passwörter verhindern? b) Kann die Staatsregierung ausschließen, dass durch den Datendiebstahl auf Dienstgeheimnisse zugegriffen wurde? 4. Welche Maßnahmen ergreift die Staatsregierung, damit ein vergleichbares Sicherheitsleck in Zukunft nicht mehr entstehen kann? 5. Welche Anstrengungen unternimmt die Staatsregierung, um einen eventuell erfolgten unberechtigten Zugriff und den dadurch entstandenen Schaden aufzuklären? 6. Hat die Bayerische Staatsregierung den Bayerischen Landesbeauftragten für den Datenschutz in den Vorgang und ihre Entscheidungen einbezogen, und wenn ja, wie? 7. Nachdem laut Auskunft der Staatsregierung das BSI die Übermittlung der 198 betroffenen Adressen der Bayerischen Staatsverwaltung verweigert hat und die Staatsregierung die Daten nur im Wege der Amtshilfe von Niedersachsen erlangt hat, frage ich die Staatsregierung , welche Informations- und Übermittlungspflichten zwischen den Behörden des Bundes und der Länder und dem BSI bestehen? Antwort des Staatsministeriums der Finanzen, für Landesentwicklung und Heimat vom 26.05.2014 1. Stehen die Adressen von Mitgliedern oder ehem. Mitgliedern der Staatsregierung oder deren engen Mitarbeitern auf der Liste der 198 E-Mail-Adressen der Bayerischen Staatsverwaltung, die nach Angaben des BSI vom Datendiebstahl betroffen waren? a) Wenn ja, welche? Die der Staatsregierung vorliegende Liste betroffener E-Mail- Identitäten umfasst ausschließlich E-Mail-Adressen der Domäne „bayern.de“ der Bayerischen Staatsverwaltung. Diese Liste enthält keine E-Mail-Adressen ehemaliger oder derzeitiger Mitglieder der Staatsregierung. Nähere Angaben zu den betroffenen Personenkreisen sind mit Verweis auf den Datenschutz nicht möglich. 2. Welchen jeweiligen Behörden (z. B. Staatskanzlei, Ministerien, Landtagsamt, Landesbeauftragter für Datenschutz) bzw. welchen nachgeordneten Behörden (z. B. LKA und BayLfV) sind die 198 betroffenen E-Mail-Adressen zuzuordnen (bitte aufgeschlüsselt nach Anzahl und Behörden)? Fogende Dienststellen/Behörden (auch ehemalige) konnten aus der vom BSI übermittelten und der Frau Abgeordneten zur Einsicht angebotenen Liste extrahiert werden: Behörde/Dienststelle Anzahl Mail- adressen Bayerisches Landesvermessungsamt 4 Bayerische Schlösserverwaltung 3 Finanzgericht München 2 Fachhochschule für öffentliche Verwaltung 1 Landesamt für Finanzen 4 Landesamt für Landwirtschaft 2 Landesamt für Steuern 4 Landesamt für Statistik und Datenverarbeitung 4 Landesamt für Digitalisierung, Breitband und Vermessung 6 Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de – Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 11.07.2014 17/1726 Bayerischer Landtag Seite 2 Bayerischer Landtag · 17. Wahlperiode Drucksache 17/1726 Behörde/Dienststelle Anzahl Mail- adressen Oberfinanzdirektion München 2 Tourist-Information Schwangau 1 Bayerisches Staatsministerium der Finanzen 1 Autobahndirektion Südbayern 4 Vermessungsamt München 1 Vermessungsamt Memmingen 1 Vermessungsamt Neumarkt OPf. 1 Vermessungsamt Vilshofen 1 Finanzämter 6 Landesamt für Wald und Forstwirtschaft 1 Amtsgericht Altötting 1 Amtsgericht Dachau 1 Amtsgericht München 2 Amtsgericht Pfaffenhofen 1 Amtsgericht Traunstein 2 Amtsgericht Weiden 1 Amtsgericht Würzburg 1 Amt für ländliche Entwicklung Niederbayern 1 Amt für ländliche Entwicklung Oberbayern 1 Amt für ländliche Entwicklung Schwaben 1 Amt für Ernährung, Landwirtschaft und Forsten Kitzingen 1 Amt für Ernährung, Landwirtschaft und Forsten Miesbach 1 Amt für Ernährung, Landwirtschaft und Forsten Neustadt 1 Bayerische Polizei 8 Straßenbauamt Amberg-Sulzbach 1 Autobahndirektion Südbayern 1 Bayerisches Geologisches Landesamt 1 Markt Hoesbach 1 Gemeinde Iggensbach 1 Justizvollzugsanstalt Bayreuth 1 Justizvollzugsanstalt Nürnberg 1 Justizvollzugsanstalt München 1 Landesanwaltschaft Bayern 1 Landesamt für Umwelt 3 Landesamt für Wasserwirtschaft 4 Landesamt für Gesundheit und Lebensmittelsicherheit 1 Landesgericht Passau 1 Landesgericht Weiden 1 Landesjustizkasse Bamberg 1 Landratsamt Bayreuth 1 Landratsamt Eichstätt 1 Landratsamt Freising 1 Landratsamt Fürth 3 Landratsamt Kronach 2 Landratsamt München 3 Landratsamt Miesbach 1 Oberlandesgericht München 5 Oberster Rechnungshof 3 Regierung von Niederbayern 3 Regierung von Oberbayern 1 Regierung von Oberfranken 2 Regierung der Oberpfalz 1 Regierung von Schwaben 3 Behörde/Dienststelle Anzahl Mail- adressen Regierung von Unterfranken 3 Staatliche Feuerwehrschule Geretsried 1 Staatliche Feuerwehrschule Würzburg 1 Sozialgericht Bayreuth 1 Sozialgericht München 2 Sozialgericht Nürnberg 1 Staatliches Hochbauamt Kempten 1 Staatliches Hochbauamt Nürnberg 2 Staatliches Hochbauamt Regensburg 1 Staatsanwaltschaft Landshut 1 Staatsanwaltschaft Regensburg 1 Staatliches Bauamt Erlangen 1 Staatliches Bauamt Landshut 1 Staatliches Bauamt München 1 Staatliches Bauamt Regensburg 1 Staatliches Bauamt Weilheim 2 Staatliches Bauamt Würzburg 1 Staatstheater am Gärtnerplatz 1 Staatskanzlei 7 Bayerisches Staatsministerium für Arbeit und Soziales 4 Bayerisches Staatsministerium für Ernährung, Landwirts . u. Forsten 2 Bayerisches Staatsministerium für Gesundheit, Ernährung und Verbraucherschutz 1 Bayerisches Staatsministerium des Innern 3 Bayerisches Staatsministerium für Umwelt und Gesundheit 1 Bayerisches Staatsministerium für Umwelt, Gesundheit und Verbraucherschutz 3 Bayerisches Staatsministerium für Wissenschaft, Forschung und Kunst 1 Bayerisches Staatsministerium für Wirtschaft, Verkehr und Technologie 1 Universitätsbauamt München 1 Verwaltungsgericht Augsburg 1 Verwaltungsgericht München 1 Wasserwirtschaftsamt Hof 1 Wasserwirtschaftsamt Rosenheim 2 Wasserwirtschaftsamt Traunstein 1 Zentrum Bayern Familie und Soziales 5 Offensichtlich nicht existente Adressen (z. B. schweini@bayern.de / elvistheking@bayern.de) 18 3. Welche Informationen wurden in den 198 Fällen jeweils neben der Mailadresse entwendet, also z. B. Zugangsdaten oder Passwörter? Der Staatsregierung wurde lediglich eine Liste der innerhalb der Domäne „bayern.de“ betroffenen E-Mail-Identitäten übermittelt. Weitere Details zu den betroffenen E-Mail-Identitäten wurden nicht übermittelt. a) Inwieweit können die Sicherungssysteme Bayerischer Behörden die unberechtigte Verwendung solcher validen Zugangsdaten und Passwörter verhindern? Der Zugriff aus dem Internet auf PCs und Server innerhalb des Bayerischen Behördennetzes ist durch hoch effiziente Sicherheitssysteme abgesichert. So sind solche Zugriffe Drucksache 17/1726 Bayerischer Landtag · 17. Wahlperiode Seite 3 beispielsweise durch eine sog. 2-Faktor-Authentisierung abgesichert, die neben der Kenntnis von Benutzerkennung und Passwort den physikalischen Besitz eines Authentifizierungszertifikats in Form einer durch die Staatsregierung personalisierten SmartCard erfordert. b) Kann die Staatsregierung ausschließen, dass durch den Datendiebstahl auf Dienstgeheimnisse zugegriffen wurde? Es liegen keine Hinweise darauf vor, dass aufgrund des Datendiebstahls unberechtigt auf Dienstgeheimnisse zugegriffen wurde. 4. Welche Maßnahmen ergreift die Staatsregierung, damit ein vergleichbares Sicherheitsleck in Zukunft nicht mehr entstehen kann? Es bestand zu keiner Zeit ein Sicherheitsleck aufgrund des Datendiebstahls, da mit den aufgrund des Datendiebstahls erlangten Informationen alleine kein Zugriff aus dem Internet auf intern gespeicherte Informationen möglich ist. Die IT-Sicherheitssysteme der Staatsregierung schützen vor der aktuellen Bedrohungslage und werden laufend entsprechend des Lagebilds fortgeschrieben. 5. Welche Anstrengungen unternimmt die Staatsregierung , um einen eventuell erfolgten unberechtigten Zugriff und den dadurch entstandenen Schaden aufzuklären? Es liegen keine Hinweise darauf vor, dass aufgrund des Datendiebstahls unberechtigte Zugriffe erfolgten und entsprechender Schaden entstanden ist. Vgl. auch Antwort zu Frage 3 b. 6. Hat die Bayerische Staatsregierung den Bayerischen Landesbeauftragten für den Datenschutz in den Vorgang und ihre Entscheidungen einbezogen, und wenn ja, wie? Die Weitergabe der betroffenen E-Mail-Identitäten an die Staatskanzlei, die Ministerien sowie die Unabhängigen Obersten Dienstbehörden wurde mit dem Landesbeauftragten für den Datenschutz abgestimmt. 7. Nachdem laut Auskunft der Staatsregierung das BSI die Übermittlung der 198 betroffenen Adressen der Bayerischen Staatsverwaltung verweigert hat und die Staatsregierung die Daten nur im Wege der Amtshilfe von Niedersachsen erlangt hat, frage ich die Staatsregierung, welche Informations- und Übermittlungspflichten zwischen den Behörden des Bundes und der Länder und dem BSI bestehen ? Zwischen Bund und Ländern wurde ein sog. VerwaltungsCERT -Verbund (CERT = IT-Sicherheitsteam) eingerichtet. Hier bestehen keine Pflichten zur Informationsweitergabe. Welche Informationen weitergegeben werden, liegt im Ermessen der jeweiligen Informationsquelle.