BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/13238 21. Wahlperiode 05.06.18 Schriftliche Kleine Anfrage der Abgeordneten Anna-Elisabeth von Treuenfels-Frowein und Carl-Edgar Jarchow (FDP) vom 30.05.18 und Antwort des Senats Betr.: Cybersicherheit in öffentlichen Institutionen (II) Nicht nur Unternehmen sind täglich Cyberangriffen ausgesetzt, auch das Regierungsnetz des Bundes sowie Landesbehörden und Landesparlamente werden vermehrt Ziel solcher Angriffe. Dies macht deutlich, dass es nicht nur Aufgabe des Bundes ist, sich gegen Cyberangriffe entsprechend zu wappnen , auch die Länder müssen ein höheres Sicherheitsbewusstsein entwickeln und in eine verbesserte IT-Sicherheit, die ständig weiterentwickelt und überprüft werden muss, investieren. Die Arbeitsfähigkeit und die Sicherheit der Landesbehörden und Parlamente müssen zu jedem Zeitpunkt sichergestellt werden können. Vor diesem Hintergrund fragen wir den Senat: Der Senat hat sich zu Anfragen im Zusammenhang mit „Cybersicherheit“ bereits mehrfach geäußert. Auf die Antworten zu diesbezüglichen Anfragen der Drs. 21/7184, 21/10319 und 21/11535 sowie des Weiteren auf die Drs. 21/5588, 21/8180 und 21/11952 wird verwiesen. Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: 1. Wie bewertet der Senat die Gefahrenlage hinsichtlich gezielter Cyberangriffe auf Hamburger Dienststellen, landeseigene Unternehmen und Dataport sowie kritische Infrastrukturen? Es liegen keine Erkenntnisse zu einer geänderten Einschätzung gemäß der Antwort zur Drs. 21/10319 vor. Im Übrigen siehe Drs. 21/7184. 2. Wie bewertet der Senat das Sicherheitsrisiko, das durch den Einsatz von Smartphones und Tablets verursacht wird? Welche Maßnahmen sind seitens des Senats geplant, um einen sicheren Einsatz von mobilen Geräten gewährleisten zu können? Vor dem Hintergrund der organisatorischen Vorgaben und getroffenen technischen Sicherheitsmaßnahmen wird das Sicherheitsrisiko durch den Einsatz von Smartphones und Tablets als moderat bewertet. Als weitere Maßnahme hat die Einführung einer zentralen Gerätemanagementlösung zum sicheren Einsatz von Smartphones und Tablets begonnen. 3. Welche Sicherheitsmaßnahmen wurden bereits ergriffen, um Cyberangriffe auf Hamburger Dienststellen, landeseigene Unternehmen und Dataport sowie kritische Infrastrukturen zu verhindern? Welche weiteren Maßnahmen sind geplant? Für die Dienststellen der Freien und Hansestadt Hamburg und Dataport siehe Drs. 21/10319. Drucksache 21/13238 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Die landeseigenen Unternehmen sowie die Betreiber kritischer Infrastrukturen setzen in eigener Verantwortung die notwendigen technischen und organisatorischen Sicherheitsmaßnahmen (zum Beispiel Antivirus-Software, Firewallsysteme, Software- und Patchmanagement) um und evaluieren diese fortlaufend. Im Übrigen siehe Drs. 21/7184. 4. Zu wie vielen Sicherheitsvorfällen welchen Ausmaßes ist es in dem Zeitraum seit September 2017 bis zum heutigen Zeitpunkt in dem Bereich der IT-Infrastruktur der Hamburger Dienststellen, landeseigener Unternehmen und Dataport sowie kritischer Infrastrukturen gekommen? Bitte nach Art des Angriffes aufschlüsseln. Neben den üblichen ungezielten Angriffen (SPAM-Mails et cetera) sind im genannten Zeitraum gemäß der Definition aus dem für Hamburg geltenden „Konzept zur Sicherheitsvorfallbearbeitung “ („Als SV wird ein Ereignis bezeichnet, das die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen, Geschäftsprozesse, IT-Dienste, IT-Systeme, Netze oder IT-Anwendungen derart beeinträchtigt, dass ein Schaden für die FHH entsteht oder die Handlungsfähigkeit der FHH einschränkt.“) keine Sicherheitsvorfälle im Bereich der Hamburger Dienststellen, landeseigenen Unternehmen und Dataport aufgetreten. 5. Welche Schäden und in welcher Höhe sind durch Cyberangriffe auf die IT-Infrastruktur der Hamburger Dienststellen, landeseigener Unternehmen und Dataport sowie kritische Infrastrukturen seit September 2017 bis zum heutigen Zeitpunkt entstanden? Es sind bisher keine materiellen Schäden durch Cyberangriffe entstanden. 6. Wie werden laufende oder erfolgte Angriffe abgewehrt und wie sehen Kommunikations- und Informationswege im Falle eines Cyberangriffs auf die genannten öffentlichen Institutionen aus? Der Senat überprüft regelmäßig die vorhandenen Schutzmaßnahmen auf Aktualität und Wirksamkeit. Im Übrigen siehe Drs. 21/7184. Für die Hamburger Dienststellen, landeseigenen Unternehmen und Dataport existieren explizite Prozessstrukturen zur Information und Kommunikation im Falle eines Cyberangriffs. Betreiber kritischer Infrastrukturen melden Sicherheitsvorfälle direkt an das Bundesamt für Sicherheit in der Informationstechnik.