Datum des Eingangs: 11.04.2016 / Ausgegeben: 18.04.2016 Landtag Brandenburg 6. Wahlperiode Drucksache 6/3867 Antwort der Landesregierung auf die Kleine Anfrage Nr. 1522 der Abgeordneten Dr. Saskia Ludwig CDU-Fraktion Drucksache 6/3705 Erpressungs-Trojaner in Brandenburg - Umgang der Landesregierung mit Schadstoffsoftware Wortlaut der Kleinen Anfrage Nr. 1522 vom 10.03.2016: Wiederholt sind Berichte veröffentlicht worden, in denen u.a. über Virusattacken mit der Schadsoftware Tesla-Crypt und dem Trojaner Locky beschrieben werden. Mit den eingesetzten Trojanern wurde bei Stadtverwaltungen versucht Lösegeld zu erpressen , nachdem deren Rechner zuvor lahmgelegt wurden. Mehrere Mitarbeiter hatten demnach den schädlichen Anhang einer E-Mail geöffnet. Mehr als eine Million Dateien im Netzwerk der Behörde wurden daraufhin durch den Trojaner verschlüsselt . Der dadurch verursachte Schaden wird auf rund 500.000 Euro beziffert. Auch Krankenhäuser und Industrieunternehmen seien zunehmend betroffen. Wir fragen die Landesregierung: 1. Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner der Ministerien in den Jahren 2014 und 2015 eingesetzt wurden? 2. Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner in der öffentlichen Verwaltung in Brandenburg insgesamt in den Jahren 2014 und 2015 eingesetzt wurden? 3. Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner der Stadtwerke in Brandenburg in den Jahren 2014 und 2015 eingesetzt wurden? 4. Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner von Krankenhäusern in Brandenburg in den Jahren 2014 und 2015 eingesetzt wurden? 5. Wie viele Fälle sind der Landesregierung bekannt, in denen die Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 zur Anwendung kam? 6. Wie schützt sich die Landesregierung gegen Schadsoftware, wie z.B. die Tesla- Crypt? 7. Welche Erkenntnisse liegen der Landesregierung über Ransomware-Trojanern ("Lösegeld-Software") allgemein vor? 8. Welche Empfehlungen gibt die Landesregierung heraus, wie sich die öffentliche Verwaltung in Brandenburg insgesamt gegen Trojaner schützen kann? 9. Sind der Landesregierung Fälle bekannt, in denen nach dem Einsatz von Erpressungsviren wie Tesla-Crypt oder dem Trojaner Locky, in Brandenburg Lösegeld gezahlt wurde? Wenn ja, wie hoch waren die Lösegeldzahlungen? 10. Welche Erkenntnisse liegen der Landesregierung über die Zahlung von Lösegeld in Form von Bitcoin-Überweisungen vor? Wie können diese nach verfolgt werden ? 11. Welche Erkenntnisse liegen der Landesregierung über Straftäter vor, die mit dem Einsatz von Erpressungsviren in Brandenburg tätig sind? 12. Wie hoch beziffert die Landesregierung den finanziellen Schaden, der durch den Ausfall von EDV-Systemen mit Datenverlusten in Folge von Trojanern in Brandenburg in 2014 und 2015 angefallen ist? 13. Gibt es Prognosen, wie hoch der finanzielle Schaden ausfallen wird, der durch den Ausfall von EDV-Systemen mit Datenverlusten in Folge von Trojanern in Brandenburg in den kommenden Jahren zu erwarten ist? 14. Kann das Bundeskriminalamt mit seinem eigenen „Trojaner“ auf Rechner der Landesregierung und der öffentlichen Verwaltung in Brandenburg vordringen und entsprechende Informationen sammeln? 15. Wie viele IT-Experten stehen der Landesregierung innerhalb der Ministerien zur Verfügung, um einen effektiven Schutz gegen Schadsoftware sicherzustellen? 16. Wie oft hat die Landesregierung in den Jahren 2014 und 2015 auf externe Dienstleister zurückgegriffen, um einen effektiven Schutz gegen Schadsoftware in den Ministerien sicherzustellen? 17. Welche Empfehlungen hat die Landesregierung für Unternehmen und Privathaushalte in Brandenburg, die die Verschlüsselung von Schadsoftware knacken möchten, wenn die Dateien zuvor mit einem RSA-Kryptoschlüssel und einer AES- Verschlüsselung unbrauchbar gemacht wurden? 18. Welche Erkenntnisse liegen der Landesregierung über „legitime Websites“ vor, die z.B. 'Locky'-Schadsoftware“ ausliefern und bei denen es genüge, die Seite zu besuchen, um die Daten auf dem Windows-PC zu zerstören? 19. Wie hoch waren die finanziellen Aufwendungen in den Jahren 2014 und 2015, die die Landesregierung für Rechner und den Schutz von Rechnern investiert hat? Namens der Landesregierung beantwortet der Minister des Innern und für Kommunales die Kleine Anfrage wie folgt: Frage 1: Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner der Ministerien in den Jahren 2014 und 2015 eingesetzt wurden? Frage 2: Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner in der öffentlichen Verwaltung in Brandenburg insgesamt in den Jahren 2014 und 2015 eingesetzt wurden? zu Fragen 1 und 2: Im Zusammenhang mit Fällen der digitalen Erpressung mittels sogenannter „Lösegeld-Trojaner“ oder „Krypto-Trojaner“ sind in den Jahren 2014 und 2015 in Brandenburg keine Fälle polizeilich bekannt geworden, bei denen Informationstechnische (IT)-Systeme von Ministerien betroffen waren. Dem Computer- Notfallteam der Landesverwaltung (CERT) Brandenburg wurden in den Jahren 2014 und 2015 11 Trojaner-Fälle auf Rechner-Endgeräten gemeldet bzw. bekannt (ohne IT der Polizei), davon in zwei Fällen bei Ministerien. Hinzu kommen noch mehrere Verdachtsfälle, wobei aus Sicherheitsgründen immer eine Neuinstallation des betroffenen Endgerätes erfolgte. Frage 3: Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner der Stadtwerke in Brandenburg in den Jahren 2014 und 2015 eingesetzt wurden? Frage 4: Wie viele Fälle sind der Landesregierung bekannt, in denen Trojaner gegen Rechner von Krankenhäusern in Brandenburg in den Jahren 2014 und 2015 eingesetzt wurden? zu Fragen 3 und 4: Derartige Fälle sind nicht bekannt geworden. Frage 5: Wie viele Fälle sind der Landesregierung bekannt, in denen die Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 zur Anwendung kam? zu Frage 5: Nach Mitteilung des Leitenden Oberstaatsanwalts in Cottbus sind zu dem Thema „Krypto-Ransomsoftware“ seit dem 2. Februar 2015 insgesamt vier Fälle im Zusammenhang mit der Schadsoftware Tesla-Crypt bearbeitet worden. Bei der Staatsanwaltschaft Cottbus ist im Jahre 2000 die Schwerpunktstaatsanwaltschaft zur Bekämpfung der Computer und Datennetzkriminalität (nachfolgend Schwerpunktstaatsanwaltschaft ) eingerichtet worden. Weitere Erkenntnisse, insbesondere zu der Softwareversion der Schadsoftware liegen bei der Schwerpunktstaatsanwaltschaft Cottbus nicht vor. Zudem ist bekannt, dass am 8. Februar 2016 am Landessozialgericht Berlin-Brandenburg ein Befall mit Ransomware (vermutlich Tesla-Crypt 3) festgestellt wurde. Als Infektionsherd wurde ein richterlicher Arbeitsplatz identifiziert. Im Land Brandenburg wurden seit Dezember 2015 sechs Fälle im Zusammenhang mit der Schadsoftware „Tesla-Crypt“ (Versionen 2.0 und 3.0) polizeilich registriert. Weiterhin wurden dem CERT Brandenburg acht Tesla-Crypt-Fälle (Version 2.0 oder 3.0) auf einzelnen Endgerät-Rechnern (fast ausschließlich in 2016) gemeldet bzw. bekannt (ohne IT der Polizei). Frage 6: Wie schützt sich die Landesregierung gegen Schadsoftware, wie z.B. die Tesla-Crypt? zu Frage 6: Der Schutz der Landesregierung ist zweistufig. Als erste Stufe fungiert der sogenannte Perimeterschutz (Firewalls, Virenscanner und Content-Filter an den Netzeingängen der Landesvernetzung). Als zweite Stufe wurde eine Netzüberwachung eingerichtet, die Verdachtsmomente eines Trojanerbefalls anhand der Netzkommunikation zum Internet erkennen kann. Zudem sind Virenscanner auf Servern und Endgeräten installiert. Aus Sicherheitsgründen erfolgt sowohl bei Feststellung eines Trojanerbefalls als auch bei einem über die Netzüberwachung erkannten Verdachtsmoment eine Neuinstallation des betroffenen Rechners. Frage 7: Welche Erkenntnisse liegen der Landesregierung über Ransomware- Trojanern ("Lösegeld-Software") allgemein vor? Frage 8: Welche Empfehlungen gibt die Landesregierung heraus, wie sich die öffentliche Verwaltung in Brandenburg insgesamt gegen Trojaner schützen kann? zu Fragen 7 und 8: Der Landesregierung liegen zu diesem Thema allgemeine Veröffentlichungen vor, u.a. Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insbesondere wird auf die BSI-Presseinformation sowie den BSI-Leitfaden zu Krypto-Schadsoftware verwiesen. (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto- Trojaner_22022016.html, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber- Sicherheit/Themen/Ransomware.html) Die Landesregierung orientiert sich an den Empfehlungen des BSI bzw. gibt diese weiter. Zudem gibt das CERT Brandenburg (Computer-Notfallteam der Landesverwaltung ) entsprechend angepasste Warnmeldungen im Intranet der Landesverwaltung heraus. Frage 9: Sind der Landesregierung Fälle bekannt, in denen nach dem Einsatz von Erpressungsviren wie Tesla-Crypt oder dem Trojaner Locky, in Brandenburg Lösegeld gezahlt wurde? Wenn ja, wie hoch waren die Lösegeldzahlungen? zu Frage 9: Ja. In einem Fall erfolgte eine Zahlung in Höhe von 200 Euro. Frage 10: Welche Erkenntnisse liegen der Landesregierung über die Zahlung von Lösegeld in Form von Bitcoin-Überweisungen vor? Wie können diese nach verfolgt werden? zu Frage 10: Konkrete Erkenntnisse über die Zahlung von Lösegeld in Form von Bitcoin -Überweisungen liegen der Landesregierung nicht vor. Die Tatsache, dass Kontoinhaber sich vor Kontoeröffnung gegenüber ihrer Bank identifizieren müssen und dass bei Überschreiten festgelegter Summen Verdachtsanzeigen zu erstatten sind, umgehen Bitcoin-Kunden. Damit wird der Abgleich mit Sperrlisten krimineller Personen /Organisationen und die Identifizierung von an kriminellen Transaktionen beteiligten Parteien unterbunden. Sämtliche jemals durchgeführten ein- und ausgehenden Transaktionen sind zwar protokollbedingt in der so genannten „Blockchain“ öffentlich einsehbar (https://blockchain.info). Bisher fehlt jedoch der Ansatzpunkt für eine Zuordnung der pseudonymen Adressen zu natürlichen Personen und damit für weitergehende Ermittlungen. Nutzer von Bitcoin-Wallets1 müssen ihre persönlichen Daten nicht zwangsläufig angeben. So kann man die Angabe von Kontodaten zum Empfang des Geldes umgehen, indem man über spezielle Dienste (z. B. Localbitcoins) andere Bitcoin-Nutzer in seiner Umgebung ausfindig macht und sich von ihnen nach Ausführung der Bitcoin-Transaktion bar bezahlen lässt. Eine zur Anmeldung erforderliche E-Mail-Adresse verschleiert in der Regel die wahre Identität des Inhabers. Zudem werden für die Nachverfolgbarkeit und Autorisierung des Zahlungsvorgangs kryptographische Verfahren eingesetzt. Anhand spezieller, zum Teil online verfügbarer Analysetools (z. B. Wallet-Explorer) lassen sich Transaktionen anhand der Bitcoin -Adressen in den Wallets verfolgen und grafisch darstellen. Dezentrale virtuelle Währungen mit dem bekanntesten Vertreter „Bitcoin“ spielen im polizeilichen Bereich eine immer wichtigere Rolle, da hier die Herkunft der Vermögenswerte bisher meist nicht nachvollzogen werden kann und sie daher das „ideale“ Zahlungsmittel für Erpressungen , Geldwäsche, Betrug, Organisierte Kriminalität sowie Cyber-Straftaten bilden. Durch Transaktionen zwischen pseudonymen Adressen (ähnlich Kontonummern ) von denen sich alle Teilnehmer jederzeit beliebig viele erzeugen können und unter Ausschluss des „know your customer“-Prinzips der herkömmlichen Bankinstitute leisten sie jedweder Art von Kriminalität Vorschub. Die Nachverfolgung virtuelle Zahlungsvorgänge aufgrund vorhandener Verschleierungsmöglichkeiten führt nicht zwingend auch zu den tatsächlichen Empfängern entsprechender Bitcoin- Digitale Geldbörse für Bitcoins Zahlungsbeträge. Verfügbare Analysewerkzeuge sind selten geeignet, Transaktionen anhand der Bitcoin-Adressen sowie die „Übergangsstellen“ oder Wechselbörsen zu erkennen, wo die Bitcoins in „reale Währungen“ getauscht bzw. in einen Warenwert an den Besitzer der Bitcoins „ausgekehrt“ wurden. Nur im letzteren Fall würden sich für die Polizei unter Umständen reale Ermittlungsmöglichkeiten ergeben. Frage 11: Welche Erkenntnisse liegen der Landesregierung über Straftäter vor, die mit dem Einsatz von Erpressungsviren in Brandenburg tätig sind? zu Frage 11: Hierzu liegen keine Erkenntnisse vor. Frage 12: Wie hoch beziffert die Landesregierung den finanziellen Schaden, der durch den Ausfall von EDV-Systemen mit Datenverlusten in Folge von Trojanern in Brandenburg in 2014 und 2015 angefallen ist? zu Frage 12: Mögliche Schäden durch Ausfall von EDV-Systemen in Zusammenhang mit Trojanern werden nicht erfasst. Die durch verursachte Störungen notwendig werdenden Arbeiten werden in der Landesverwaltung mit dem vorhandenen Personal abgedeckt. Frage 13: Gibt es Prognosen, wie hoch der finanzielle Schaden ausfallen wird, der durch den Ausfall von EDV-Systemen mit Datenverlusten in Folge von Trojanern in Brandenburg in den kommenden Jahren zu erwarten ist? zu Frage 13: Nein. Frage 14: Kann das Bundeskriminalamt mit seinem eigenen „Trojaner“ auf Rechner der Landesregierung und der öffentlichen Verwaltung in Brandenburg vordringen und entsprechende Informationen sammeln? zu Frage 14: Zu den Fähigkeiten des Bundeskriminalamts wird keine Stellung bezogen . Frage 15: Wie viele IT-Experten stehen der Landesregierung innerhalb der Ministerien zur Verfügung, um einen effektiven Schutz gegen Schadsoftware sicherzustellen ? zu Frage 15: Die IT der Ministerien ist zum zentralen IT-Dienstleister der Landesverwaltung (ZIT-BB) übergeleitet worden. Insofern stellt der ZIT-BB durch seine IT- Experten einen effektiven Schutz gegen Schadsoft-ware auch für die Ministerien sicher . Als operative Leitstelle für die Bearbeitung von Sicherheitsvorfällen wurde, entsprechend Informationssicherheitsleitlinie der Landesverwaltung, im ZIT-BB das CERT Brandenburg mit einem Personalbesatz von aktuell fünf Mitarbeitern eingerichtet . Weitere IT-Experten bearbeiten entsprechende Fachaufgaben im Zusammenhang mit der Vorsorge gegen Schadsoftware, aktuell im Rollout Virenschutz (Server und Clients) in einer Größenordnung von ca. 2,5 VZÄ. Zusätzlich verfügt noch jedes Ministerium und die Staatskanzlei über einen IT-Sicherheitsbeauftragten, der nach den Vorgaben des Landes in der Informationssicherheitsleitlinie in jedem Ministerium zu bestellen ist, allerdings eher organisatorische Aufgaben wahrnimmt. Frage 16: Wie oft hat die Landesregierung in den Jahren 2014 und 2015 auf externe Dienstleister zurückgegriffen, um einen effektiven Schutz gegen Schadsoftware in den Ministerien sicherzustellen? zu Frage 16: Die im ZIT-BB betriebene IT-Infrastruktur, u. a. die der Ministerien, wird jährlich einem Penetrationstest durch externe Dienstleister unterzogen. Zusätzlich wurden in diesem Zeitraum mehrere Workshops zu Cybersicherheit durch zwei Externe durchgeführt. Auf Grund des bekannten Sicherheitsvorfalls im deutschen Bundestag wurden zudem wiederholte Besprechungen im Zusammenhang mit einer dort ausgenutzten Sicherheitslücke mit einem Externen über einen längeren Zeitraum geführt und zweimal die Erstellung von Skripten zur Untersuchung der Microsoft- Server der Landesverwaltung in diesem Zusammenhang veranlasst. Frage 17: Welche Empfehlungen hat die Landesregierung für Unternehmen und Privathaushalte in Brandenburg, die die Verschlüsselung von Schadsoftware knacken möchten, wenn die Dateien zuvor mit einem RSA-Kryptoschlüssel und einer AES- Verschlüsselung unbrauchbar gemacht wurden? zu Frage 17: Hierbei wird ebenfalls auf die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), insbesondere auf die BSI- Presseinformation sowie den BSI-Leitfaden zu Krypto-Schadsoftware (siehe Antwort auf Frage 8), verwiesen. Frage 18: Welche Erkenntnisse liegen der Landesregierung über „legitime Websites“ vor, die z. B. 'Locky'-Schadsoftware“ ausliefern und bei denen es genüge, die Seite zu besuchen, um die Daten auf dem Windows-PC zu zerstören? zu Frage 18: Hierbei wird erneut auf die Veröffentlichungen des BSI, insbesondere den angegebenen Verweisen im BSI-Leitfaden zu Krypto-Schadsoftware, verwiesen. Dazu gab es Informationen des BSI an das CERT Brandenburg über den Verwaltungs -CERT-Verbund. Diese Schadsoftware hatte jedoch keine Relevanz für die Landesverwaltung, sondern betraf ausschließlich Energieunternehmen. Frage 19: Wie hoch waren die finanziellen Aufwendungen in den Jahren 2014 und 2015, die die Landesregierung für Rechner und den Schutz von Rechnern investiert hat? zu Frage 19: Die Frage zu den finanziellen Aufwendungen für Rechner wird dahingehend interpretiert, dass darunter die Investitionen für Hard- und Software für Clients und Server zu verstehen sind. Der ZIT-BB als zentraler IT-Dienstleister des Landes Brandenburg hat dafür in den Geschäftsjahren 2014 und 2015 folgende Investitionen getätigt: 2014 (in €) 2015 (in €) Clients 660.000 1.114.000 Server 705.000 245.000 Summe: 1.365.000 1.359.000 Für den Schutz von Rechnern (Software für Virenschutz, Firewalls etc. und das CERT) fallen beim ZIT-BB folgende Kosten an: für den Betrieb des CERT-Brandenburg 180.000,00 € für die IT der Polizei (Sachkosten IT-Sicherheit für Antivirenschutz, Gateways, Firewalls, End-point Protektion für Clients und Server - je Investition und Wartung ) o 2014 ca. 257.000 € und o 2015 ca. 485.000 € für den übrigen Bereich der Landesverwaltung (soweit zum ZIT-BB übergeleitet ) o 2014 ca. 64.000 € und o 2015 ca. 390.000 €. Die übrigen Kosten der gesamten IT-Infrastruktur (Gebäude, Räume, Server, Netze, Überwachung der Systeme etc.) enthalten natürlich auch Aufwendungen, die auf den sicheren Betrieb entfallen, lassen sich aber im Einzelnen nicht abgrenzen und sind insoweit auch nicht konkret bezifferbar. Gerichte, Staatsanwaltschaften und Justizvollzugsanstalten sind nicht in den ZIT-BB überführt worden. Daher wird für den Geschäftsbereich des Ministeriums der Justiz und für Europa und Verbraucherschutz (MdJEV) wie folgt ergänzt: MdJEV investierte 2014 ca. 195.000,00 € in Rechentechnik und ca. 30.000,00 € in den Schutz der Rechner (genauer: der Informationen). Im Jahr 2015 wurden ca. 120.000,00 € in Rechentechnik und ca. 70.000,00 € in Schutzmaßnahmen investiert.