BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/11535 21. Wahlperiode 12.01.18 Schriftliche Kleine Anfrage der Abgeordneten Jennyfer Dutschke (FDP) vom 05.01.18 und Antwort des Senats Betr.: Von Kernschmelzen und anderen Geistern – Wie anfällig war und ist die IT der Freien und Hansestadt Hamburg (FHH) für prozessorbezogene Sicherheitslücken? Bereits im Frühsommer 2017 wurden vorrangig betroffene Organisationen über die Hardware-Sicherheitslücken „Meltdown“ und „Spectre“ in Kenntnis gesetzt. Anfang des Jahres 2018 ist schließlich auch öffentlich bekannt geworden, dass der weit überwiegende Teil der heutzutage verwendeten Prozessoren in Computern, Tablets und Smartphones eine gravierende Sicherheitslücke aufweist, über die unbemerkt von Dritten Daten mitgelesen beziehungsweise abgegriffen werden können. Vor diesem Hintergrund frage ich den Senat: 1. Inwieweit war beziehungsweise ist die IuK-Technik der FHH von diesen Sicherheitslücken betroffen? Die Sicherheitslücken „Meltdown“ und „Spectre“ bestehen bei allen gängigen Prozessortypen von Computern, Tablets und Smartphones, daher betrifft das damit verbundene Risiko alle entsprechenden Geräte der FHH. 2. Inwieweit war beziehungsweise ist die IuK-Technik von öffentlichen Unternehmen und Beteiligungen der FHH – insbesondere den Betreibern kritischer Infrastruktur – von den genannten Sicherheitslücken betroffen? Die Betroffenheit der öffentlichen Unternehmen und Beteiligungen der FHH sowie der Betreiber kritischer Infrastrukturen gleicht der Betroffenheit nahezu aller IT-Infrastrukturen weltweit. Im Übrigen siehe Antwort zu Frage 1. 3. Wann erlangten zuständige Stellen der FHH respektive Dataport oder andere öffentliche Unternehmen beziehungsweise Beteiligungen erstmals Kenntnis von diesen Sicherheitslücken? Jeweils welche Gegenmaßnahmen wurden daraufhin jeweils wann eingeleitet? Die zuständigen Stellen erlangten überwiegend in der ersten Januarwoche 2018 belastbare Kenntnis. Die Verteilung entsprechender Sicherheitspatche erfolgte unverzüglich nach Bereitstellung durch die Hersteller. 4. Sind Dienststellen, öffentlichen Unternehmen oder Beteiligungen der FHH Angriffe oder Angriffsversuche über diese Sicherheitslücken bekannt geworden? a. Wenn ja, jeweils welcher Dienstelle beziehungsweise Organisation, wie viele und wann? Drucksache 21/11535 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 b. Konnten die Angriffe zurückverfolgt werden? Wenn ja, wohin? Nein. 5. Welche Konsequenzen ziehen der Senat beziehungsweise zuständige Dienststellen aus diesen Sicherheitslücken für die Digitalisierungsstrategie der FHH? Die Einhaltung eines konstant hohen Sicherheitsniveaus für die FHH wird fortlaufend evaluiert und mit adäquaten sowie anlassbezogenen Maßnahmen sichergestellt. Die Informationssicherheit ist und bleibt ein Schwerpunkt der Digitalisierungsstrategie der FHH.