Drucksache 17 / 13 662 Schriftliche Anfrage 17. Wahlperiode Schriftliche Anfrage des Abgeordneten Dr. Simon Weiß (PIRATEN) vom 16. April 2014 (Eingang beim Abgeordnetenhaus am 17. April 2014) und Antwort „Heartbleed“ und die IT-Sicherheit der Berliner Verwaltung Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 1. Welche Angebote und Verfahren der Berliner Verwaltung waren von dem sogenannten „Heartbleed“- Bug betroffen, der eine gravierende Sicherheitslücke in der OpenSSL-Bibliothek darstellt und weltweit eine rele- vante Prozentzahl aller Webserver Angriffen ausgesetzt hat? Zu 1.: Grundsätzlich sind von der Sicherheitslücke in der OpenSSL (Open Secure Sockets Layer) -Bibliothek Angebote und Verfahren der Berliner Verwaltung betrof- fen, auf die über das Internet mit dem Browser verschlüs- selt (auf Basis des so genannten https – Protokolls (HyperText Transfer Protocol Secure)) zugegriffen werden kann. Eine detaillierte Übersicht aller betroffenen Kom- ponenten und Verfahren liegt der Senatsverwaltung für Inneres und Sport nicht vor. 2. Welche Schritte wurden wann unternommen, um diese Sicherheitslücken zu schließen? Zu 2.: Gemäß den in der Berliner Verwaltung gelten- den Regelungen für die Behandlung von übergreifenden Informationstechnik (IT) -Sicherheitsvorfällen wurden alle Behörden durch die Senatsverwaltung für Inneres und Sport unverzüglich über die vom Bundesamt für Sicher- heit in der Informationstechnik (BSI) am 8. April 2014 verteilte Warnmeldung zur Schwachstelle in OpenSSL und die mit der Sicherheitslücke verbundenen möglichen Risiken informiert. Die Behörden wurden aufgefordert, die vom BSI aufgeführten Maßnahmen durchzuführen, um die Sicherheitslücke zu schließen. Die Umsetzung notwendiger dezentraler Maßnahmen obliegt gemäß der dezentralen Fach- und Ressourcenver- antwortung den jeweiligen Behörden. Durch das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) wurden die IT-Komponenten zur Gewährleistung der IT-Sicherheit, die das ITDZ Berlin im Kundenauftrag betreibt, unverzüglich nach Bereitstellung der Patches durch die Hersteller einem Update unterzogen. Anschließend hat das ITDZ Berlin eine Überprüfung des Netzübergangs in das Internet ausgeführt, der den positiven Nachweis erbrachte, dass die Sicherheitslücke geschlossen wurde. Bei allen IT-Komponenten, für die das ITDZ Berlin die Betriebsverantwortung trägt, werden die für die Nut- zung von https notwendigen Zertifikate vom ITDZ Berlin ausgetauscht. Nach dem bereits abgeschlossenen Zertifikatsaus- tausch für die Nutzung von Outlook-Web-Acess bzw. Active-Sync wurden die Behörden aufgefordert, die bis- her verwendeten Passwörter zu ändern, um den durch die Sicherheitslücke grundsätzlich möglichen Missbrauch alter Passwörter zu verhindern. Berlin, den 06. Mai 2014 Frank Henkel Senator für Inneres und Sport (Eingang beim Abgeordnetenhaus am 08. Mai 2014)