Drucksache 18 / 13 391 Schriftliche Anfrage 18. Wahlperiode Schriftliche Anfrage des Abgeordneten Robert Schaddach (SPD) vom 31. Januar 2018 (Eingang beim Abgeordnetenhaus am 31. Januar 2018) zum Thema: IT-Sicherheit im Land Berlin und Antwort vom 22. Februar 2018 (Eingang beim Abgeordnetenhaus am 26. Feb. 2018) Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Senatsverwaltung für Inneres und Sport Herrn Abgeordneten Robert Schaddach (SPD) über den Präsidenten des Abgeordnetenhauses von Berlin über Senatskanzlei - G Sen - A n t w o r t auf die Schriftliche Anfrage Nr. 18 / 13 391 vom 31. Januar 2018 über IT-Sicherheit im Land Berlin ----------------------------------------------------------------------------------------------------- Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: 1. Was unternimmt der Senat -seit dem Bekanntwerden der massiven Sicherheitslücken von Computerchips- um die Computer sowie Server und somit die darauf befindlichen Daten zu schützen? Zu 1.: Seit dem Bekanntwerden der Sicherheitslücke Meltdown/Spectre wird die Berliner Verwaltung regelmäßig vom Berlin-CERT und der IKT-Steuerung über die aktuelle Entwicklung informiert. Dafür wird ein spezielles Warn- und Informationsdienstportal, das eine Kongregation internationaler Sicherheitsmeldungen für Hard- und Softwareplattformen darstellt, verwendet. Des Weiteren wird in enger Kooperation mit dem BSI-Lagezentrum agiert. Spezielle Schutzsysteme sollen das Ausnutzen der Sicherheitslücken erkennen und verhindern. Dem BSI, der IKT-Steuerung und dem ITDZ liegen bislang keine Erkenntnisse vor, dass die Sicherheitslücken bereits faktisch von entsprechender Schadsoftware ausgenutzt worden sind. Sicherheitspatches diverser betroffener Hersteller liegen vor bzw. sind angekündigt. Das ITDZ spielt diese nach Veröffentlichung schrittweise als Notfall-Patch ein und hat alle Kunden entsprechend informiert. Teilweise wurden Patches, die die Sicherheitslücke schließen, von den Herstellern zurückgezogen, da sie zu Systeminstabilitäten geführt haben. Sobald von den Herstellern freigegebene Patches verfügbar sind, werden diese geprüft und installiert. Das entspricht der vom BSI empfohlenen Vorgehensweise. Nach Bekanntwerden der eingeschränkten Fehlerbehebung für ältere IKT-Komponenten seitens der Hersteller wurde seitens der Staatssekretärin für Informations- und Kommunikationstechnik (IKT) ein Anschreiben an die Mitglieder und beratende Teilnehmerinnen und Teilnehmer des IKT-Lenkungsrats, sowie nachrichtlich IT-Sicherheitsbeauftragte der Behörden mit Bezug zu den Sicherheitslücken gesandt. Neben Informationen über die Risiken und deren Bewältigung wurden die Behörden aufgefordert, kurzfristig die notwendigen Schritte zur Umstellung auf aktuelle Systeme umzusetzen und den Vorgaben der IKT- Architektur entsprechende Systeme anzupassen und in einem engen Zeithorizont umzusetzen. 2. Ist dem Senat bekannt, wie viele Computer im Land Berlin davon betroffen sind (in der Hauptverwaltung, den Bezirksverwaltungen sowie nachgeordneten Behörden und AöR)? Zu 2.: Die Sicherheitslücken wurden technologisch bedingt weltweit auf nahezu allen IT- Systemen vorgefunden. Auch im Land Berlin werden CPUs von Intel und anderer betroffener Hersteller eingesetzt. Daher ist die Berliner Verwaltung insgesamt von der Gefährdung betroffen. Dem BSI, der IKT-Steuerung und dem ITDZ liegen bislang jedoch keine Erkenntnisse vor, dass die Sicherheitslücken von entsprechender Schadsoftware ausgenutzt worden sind. 3. Wie sind das Land Berlin und insbesondere das ITDZ auf diese und auf künftige Vorfälle vorbereitet? Zu 3.: Im ITDZ Berlin ist entsprechend den geltenden BSI-Standards ein Stab eingerichtet, der auf solche Vorfälle adäquat reagiert und die erforderlichen Fachleute zusammenzieht. Die Expertenrunden finden mehrmals wöchentlich, bei Bedarf täglich statt. Dort werden entsprechende Maßnahmen koordiniert und die Kunden des ITDZ Berlin über weitere Schritte informiert. Der Großteil der IKT-Arbeitsplätze der Berliner Verwaltung liegt aktuell noch in der dezentralen Verantwortung der einzelnen Behörden, so dass die notwendigen Patches dort eingespielt werden. Nach § 24 EGovG Bln wird das ITDZ-Berlin den Betrieb aller IKT-Arbeitsplätze der Berliner übernehmen. Dadurch wird das ITDZ- Berlin zukünftig in der Lage sein die IT-Sicherheit der Berliner Verwaltung kontinuierlich auszubauen. Berlin, den 22. Februar 2018 In Vertretung Sabine Smentek Senatsverwaltung für Inneres und Sport S18-13391 S18-13391