Drucksache 17 / 12 393 Kleine Anfrage 17. Wahlperiode Kleine Anfrage des Abgeordneten Stefan Gelbhaar (GRÜNE) vom 02. Juli 2013 (Eingang beim Abgeordnetenhaus am 05. Juli 2013) und Antwort Spionage à la Prism und Tempora - Schlussfolgerungen für Berliner Behördenkommunikation? Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Kleine Anfrage wie folgt: 1. Hat der Senat in Hinblick auf die Kommunikation zwischen bzw. in den Berliner Behörden Schlussfolge- rungen aus dem Bekanntwerden von Prism und Tempora gezogen und wenn ja, welche? Wenn nein, soll eine sol- che Auswertung noch erfolgen, und wenn ja, durch wen, bis wann und in welcher Form“? Zu 1.: In der Berliner Verwaltung wird zur Kommuni- kation zwischen den Behörden grundsätzlich das vom zentralen IT-Dienstleister des Landes Berlin, dem IT- Dienstleistungszentrum Berlin (ITDZ) betriebene landes- eigene Übertragungsnetz (Berliner Landesnetz) genutzt. Für das Berliner Landesnetz und den IT-Einsatz der Berliner Verwaltung insgesamt sind - auf Basis der Stan- dards des Bundesamtes für Sicherheit in der Informations- technik (BSI) zum IT-Grundschutz - vielfältige Maßnah- men zum anforderungsgerechten Schutz der Vertraulich- keit, Verfügbarkeit und Integrität der verarbeiteten Infor- mationen umgesetzt. Die Wirksamkeit der Maßnahmen wird in einem re- gelmäßigen Controllingprozess bewertet. In diesem Pro- zess werden - auch unter Berücksichtigung aktueller Er- eignisse - neue Risiken und ihre Auswirkungen auf den IT-Einsatz in der Berliner Verwaltung insgesamt und speziell auf die IT-gestützte Kommunikation der Behör- den analysiert. Aus dieser Analyse ergeben sich die An- forderungen an fortzuschreibende bzw. neue Maßnahmen und Regelungen, die dann schrittweise umgesetzt werden. In diesen Prozess fließen auch die vorliegenden In- formationen zu Prism und Tempora ein. 2. Ist aus Sicht des Senats ein Schaden denkbar, wenn die Berliner Behördenkommunikation durch staatli- che Einheiten aus Drittländern ausgespäht wird? Wenn ja, welcher mögliche Schaden wird dabei bewertet? Zu 2.: Verlust oder Beeinträchtigung der unter Tz. 1. angeführten Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) können grundsätzlich zu entsprechenden Schäden für die Berliner Verwaltung führen. Zur Bewertung möglicher Schäden werden die vom BSI bereitgestellten Klassifikationen in einer an die Ber- liner Verwaltung angepassten Form mit folgenden Scha- denskategorien genutzt:  Verstoß gegen Gesetze/Vorschriften/Verträge  Beeinträchtigung des informationellen Selbstbestimmungsrechts  Beeinträchtigung der persönlichen Unversehrtheit  Beeinträchtigung der Aufgabenerfüllung  Negative Innen- oder Außenwirkung. 3. Gab es in der Vergangenheit Spionage-Attacken auf Berliner Behörden und ihre Kommunikation über das Internet oder in anderer Form? Sind die VerursacherInnen bekannt geworden? Welche Bereiche waren betroffen? Zu 3.: Gezielte, spezifisch auf bestimmte Behörden der Berliner Verwaltung ausgerichtete Angriffe sind in den letzten Jahren nicht festgestellt worden. Angriffe von ausländischen staatlichen Stellen waren in der Vergangenheit nicht nachweisbar. Andererseits ist die Berliner Verwaltung, wie alle an- deren Nutzerinnen und Nutzer des Internet auch, tagtäg- lich einer Vielzahl ungezielter Angriffe ausgesetzt. Unge- zielte Angriffe werden überwiegend automatisiert durch- geführt und betreffen jedes IT-System, das an das Internet angebunden ist. Diese automatisierten Angriffe werden durch die vorhandenen Sicherheitsmaßnahmen erkannt und wirksam verhindert. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 12 393 2 Die für die Berliner Verwaltung vorliegenden Analy- sen zeigen, dass ca. 10% der von außen eingehenden Kommunikationsversuche als solche ungezielten Angriffe anzusehen sind. 4. Welche vertrauliche (also über Amtsgeheimnis geschützte) Behördenkommunikation wird über das Inter- net, etwa per Mail, Internet-Telefonie etc., abgewickelt? Gibt es diesbezüglich Vorgaben zum Schutz, etwa zur Verschlüsselung der Daten, und wenn ja, welche? Bitte konkret ausführen. Zu 4.: Bei der Kommunikation über das Internet muss der anforderungsgerechte Schutz der Vertraulichkeit ge- währleistet sein. Abhängig vom Schutzbedarf der Infor- mationen werden dazu auch entsprechende Verschlüsse- lungslösungen genutzt. Insbesondere werden sensible Daten von Bürgerinnen und Bürgern grundsätzlich über verschlüsselte Verbindungen übertragen. Im Bereich der Sprachkommunikation bietet das ITDZ u. a. mobile Telefone an, die mit besonderer Verschlüsse- lung arbeiten. Gemäß den IT-Sicherheitsgrundsätzen der Berliner Verwaltung muss bei besonderem Schutzbedarf der ver- arbeiteten Daten auf Basis einer ergänzenden Risikoana- lyse geprüft werden, ob und welche zusätzlichen Sicher- heitsmaßnahmen ggf. erforderlich sind. Dies gilt in be- sonderem Maße für die Kommunikation über das Internet. Wird der Schutzbedarf der Daten als so hoch einge- schätzt, dass hieraus ein nicht tragbares Risiko entsteht, ist in diesen Bereichen auf die Nutzung des Internet zu verzichten. In der Gemeinsamen Geschäftsordnung der Berliner Verwaltung – Allgemeiner Teil – (GGO I) ist ebenso festgelegt, dass bei Schriftstücken, deren Inhalt in beson- derem Maße schutzbedürftig ist, eine Übermittlung mit elektronischer Post nur möglich ist, wenn durch geeignete Sicherheitsmaßnahmen eine den gesetzlichen und sonsti- gen Anforderungen entsprechende Vertraulichkeit der Schriftstücke gewährleistet ist. Die Kommunikation der Verfassungsschutzbehörde, soweit sie über das Internet erfolgt und Verschlusssachen betrifft, unterliegt einer besonders gesicherten und durch das BSI (Bundesamt für Sicherheit in der Informations- technik) geprüften Verschlüsselung. 5. Wie bewertet der Senat die Wirksamkeit dieser Schutzmaßnahmen insbesondere in Hinblick auf Späh- programme wie Prism und Tempora sowie die dahinter stehenden Organisationen? Zu 5.: Die in der Berliner Verwaltung umgesetzten IT- Sicherheitsmaßnahmen bilden nach bisherigen Erkennt- nissen einen wirksamen Schutz, um Vertraulichkeit, Ver- fügbarkeit und Integrität der verarbeiteten Informationen in dem erforderlichen Maße unter Berücksichtigung des jeweiligen Schutzbedarfes zu gewährleisten. Durch das regelmäßige Anpassen dieser Sicherheitsmaßnahmen an neue Risiken, z. B. durch die regelmäßige Aktualisierung der eingesetzten Schutzprogramme oder das Einspielen von Sicherheitsupdates wird dieser Schutz ständig auf dem erforderlichen Niveau gehalten und auch zielgerich- tet weiter verbessert. Wie unter Tz. 4 bereits dargestellt, ist bei besonderem Schutzbedarf der Daten eine gesonderte Risikobewertung erforderlich, die ggf. zum Verzicht auf den IT-Einsatz bzw. die Nutzung des Internet führen kann. Wie unter Tz. 1 dargestellt, fließen die vorliegenden Informationen zu Prism und Tempora in den Controlling- prozess, mit dem die Wirksamkeit der IT-Sicherheits- maßnahmen bewertet wird, ein. 6. Wer ist zuständig in der Berliner Verwaltung und wie findet ggf. die Koordination statt? Zu 6.: Der Senatsverwaltung für Inneres und Sport ob- liegt die Aufgabe, die notwendigen landesweiten Rege- lungen bzgl. IT-Sicherheit zu erstellen und fortzuschrei- ben und die behördenübergreifenden Prozesse zu koordi- nieren. Die Umsetzung der notwendigen Maßnahmen in den Behörden liegt gemäß der dezentralen Fach- und Res- sourcenverantwortung in Verantwortung der einzelnen Senats- und Bezirksverwaltungen. In einer regelmäßig tagenden behördenübergreifenden Arbeitsgruppe (AG IT-Sicherheit) werden unter Federfüh- rung der Senatsverwaltung für Inneres und Sport aktuelle Themen der Informationssicherheit erörtert, neue Risiken bewertet und entsprechende Maßnahmenvorschläge erar- beitet. Berlin, den 18. Juli 2013 In Vertretung Bernd Krömer Senatsverwaltung für Inneres und Sport (Eingang beim Abgeordnetenhaus am 06. Aug. 2013)