Drucksache 17 / 13 301 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Thomas Birk (GRÜNE) vom 26. Februar 2014 (Eingang beim Abgeordnetenhaus am 27. Februar 2014) und Antwort E-Mail-Datenklau in Berlin Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 1. Wie viele E-Mail-Identitäten in welchen Berliner Behörden und öffentlichen Einrichtungen wurden beim im Januar 2014 bekannt gewordenen Massendiebstal von Zugangsdaten gestohlen? Zu 1.: Von dem im Januar 2014 bekannt gewordenen Diebstahl von Zugangsdaten waren gemäß den der Se- natsverwaltung für Inneres und Sport vorliegenden Infor- mationen in der Berliner Verwaltung sieben Behörden mit insgesamt neun E-Mail-Adressen betroffen. 2. Welche Folgen hatte der Zugriff auf diese E-Mail- Adressen für die Datensicherheit auch bezüglich der Da- ten von Bürgerinnen und Bürgern, für die MitarbeiterIn- nen und die Sicherheit der IT-Systeme der betroffenen Behörde und der Verwaltung insgesamt? Zu 2.: Nach den derzeit vorliegenden Erkenntnissen hatte der missbräuchliche Zugriff auf die oben angeführ- ten Zugangsdaten keine negativen Folgen für die Datensi- cherheit der Daten von Bürgerinnen und Bürgern, für die Mitarbeiterinnen und Mitarbeiter und die Sicherheit der Informationstechnik-Systeme (IT-Systeme) der betroffe- nen Behörden und der Berliner Verwaltung insgesamt. 3. Trifft eine Pressemeldung zu, dass mehrere E- Mail-Adressen zusammengeschaltet wurden, um miss- bräuchlich Massenmails zu versenden? Zu 3.: Dem Senat liegen dazu keine offiziellen Er- kenntnisse vor. 4. Welche Sicherheitsvorkehrungen wurden in der Folge angeordnet? Zu 4.: Von den Behörden wurden unterschiedliche Maßnahmen veranlasst, die auf den entsprechenden Emp- fehlungen des Bundesamtes für Sicherheit in der Informa- tionstechnik (BSI) basieren. Dazu zählen u. a.: • Wechsel der Passwörter • Gezieltes Überprüfen der IT-Systeme auf mögliche Schadsoftware • Sensibilisierung der Beschäftigten zum sicheren Umgang mit Passwörtern. 5. Welche Grundsätze für die Vergabe und Anwen- dung von Passwörtern gelten für die Verwaltung und wie verbindlich sind diese? 6. Gibt es regelmäßige Intervalle innerhalb derer die Passwörter geändert werden müssen? Zu 5. und 6.: Für die Vergabe und Anwendung von Passwörtern gelten in der Berliner Verwaltung die diesbe- züglichen Regelungen des IT-Grundschutzkatalogs des BSI. Dazu zählen auch die Vorgaben bzgl. der Intervalle, in denen Passwörter gewechselt werden sollen. 7. Welches Controlling gibt es zu diesen Grundsät- zen? Zu 7.: Die dezentrale Umsetzung der einzelnen tech- nisch-organisatorischen Sicherheitsmaßnahmen wie z. B. zur Anwendung und Gestaltung von Passwörtern obliegt gemäß der dezentralen Fach- und Ressourcenverantwor- tung den jeweiligen Behörden. Dazu zählt ebenso das gezielte Controlling zu den jeweiligen spezifischen Si- cherheitsmaßnahmen. Das übergreifende Controlling im Sinne einer ganz- heitlichen Sicht auf Informationssicherheit erfolgt im Rahmen des jährlich von der Senatsverwaltung für Inne- res und Sport erstellten Berichtes zur Informationssicher- heit. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 13 301 2 8. Wer ist grundsätzlich für die Erfassung und Koor- dinierung IT-sicherheitsrelevanter Angriffe auf das Land Berlin zuständig? Zu 8.: Für die Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen gibt es ein definiertes Vorgehen mit festgelegten Abläufen, Kom- munikationswegen und Verantwortlichkeiten. Die koordi- nierende Rolle obliegt dabei der Senatsverwaltung für Inneres und Sport in enger Abstimmung mit dem IT- Dienstleistungszentrum Berlin (ITDZ). Im Rahmen dieser koordinierenden Rolle hat die Senatsverwaltung für Inne- res und Sport auch im vorliegenden Fall der missbräuchli- chen Nutzung von Zugangsdaten die Behörden über vor- liegende Erkenntnisse informiert. Die Umsetzung dezent- ral notwendiger Maßnahmen, mit denen auf den Sicher- heitsvorfall reagiert und Schäden vermieden werden kön- nen, obliegt den jeweiligen Behörden (vgl. Antwort zu Frage 7). Der bereits erwähnte Bericht zur Informationssicher- heit enthält auch Angaben zu den IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen im jeweiligen Berichtsjahr. Berlin, den 08. März 2014 Frank Henkel Senator für Inneres und Sport (Eingang beim Abgeordnetenhaus am 13. Mrz. 2014)