BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/15908 21. Wahlperiode 29.01.19 Schriftliche Kleine Anfrage der Abgeordneten Anna-Elisabeth von Treuenfels-Frowein (FDP) vom 21.01.19 und Antwort des Senats Betr.: Cybersicherheit in Hamburg gewährleisten – Was tut der Senat? Die jüngsten Hackerangriffe auf Politiker und Personen des öffentlichen Lebens haben das Thema Datenschutz und Cybersicherheit erneut in den Fokus gerückt. Wieder hat sich gezeigt, dass Cybercrime für den Einzelnen dramatische Folgen haben kann: Verlust von persönlichen Daten und Eingriff in die Integrität der Privatsphäre. Bei kritischer Infrastruktur und öffentlichen Einrichtungen spielt Cybersicherheit eine besonders wichtige Rolle. Dies hat beispielsweis im Jahr 2017 die Infizierung von 450 Rechnern bei der Deutschen Bahn gezeigt, die zu tagelangen Ausfällen bei Anzeigetafeln und Ticketautomaten geführt hat. Bei öffentlichen Einrichtungen steht ganz besonders die Sicherheit der ihnen zugetragenen Daten und die Funktionsfähigkeit der Verwaltung im Mittelpunkt . Dem Senat der Freien und Hansestadt Hamburg obliegt eine besondere Verantwortung zum Schutz der kritischen Infrastruktur und der darin enthaltenen Daten. Gezielte Cyberangriffe können auf Privatpersonen, auf die gesamte öffentliche Verwaltung inklusive Justiz und Gesundheitswesen, auf Hamburger Unternehmen, auf Versorgungsunternehmen, auf die Hafenwirtschaft und auf die Sicherheitsbehörden abzielen. Solche Angriffe können katastrophale Auswirkungen haben. Sei es, dass massenhaft persönliche Daten missbraucht werden oder, dass beispielsweise die Energieversorgung oder der Nahverkehr zum Erliegen kommen. In den Drs. 21/7184, 21/10319, 21/11535, 21/13238 gibt der Senat Auskunft über Cyberkriminalität in Hamburg und gibt an, dass er die Gefahr durch Cyberkriminalität ernst nehme und regelmäßig vorhandene Schutzmaßnahmen auf Aktualität und Wirksamkeit überprüfe sowie die Einhaltung eines konstant hohen Sicherheitsniveaus fortlaufend evaluiere. Vor diesem Hintergrund frage ich den Senat: 1. Wie hoch schätzt der Senat vor dem Hintergrund aktueller Entwicklungen das Risiko von Cyberangriffen auf die öffentliche Verwaltung beziehungsweise auf die kritische Infrastruktur in Hamburg ein, die zu erheblichen Folgen (beispielsweise massenhafter Datenabgriff, Ausfall des Stromnetzes oder Ausfall des öffentlichen Nahverkehrs) führen können? 2. Ist in den zuständigen Behörden ein „Worst-Case-Szenario“ für einen derartigen Cyberangriff ausgearbeitet worden? Wenn ja, wie zeichnet sich dieses aus und liegen entsprechende Abwehrpläne beziehungsweise Einsatzpläne vor? Wenn nein, warum nicht? Drucksache 21/15908 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 3. Arbeitet der Senat mit externen „Hackern“ zusammen, die regelmäßig Angriffe („friendly attacks“) auf die Verwaltung der Freien und Hansestadt Hamburg ausüben, um Sicherheitslücken aufzudecken? Wenn ja, wie oft? Wenn nein, warum nicht? 4. Inwieweit sind die Institutionen der Freien und Hansestadt Hamburg nach Ansicht des Senats im Bereich der Abwehr von Cyberangriffen ausreichend gut aufgestellt und wo sieht der Senat aus welchem Grund welchen Nachholbedarf? Dataport betreibt als IT-Dienstleister für die hamburgische Verwaltung ausfallsichere redundante Rechenzentren an getrennten Standorten und orientiert sich dabei mit entsprechenden Notfallplänen an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Angriffsmethoden entwickeln sich jedoch stetig weiter, sodass neue Abwehrstrategien und -techniken entwickelt, beschafft und zum Einsatz gebracht werden. Diese Herausforderungen werden in Zusammenarbeit mit Dataport, den anderen Dataport-Trägerländern, dem Bundesamt für Sicherheit in der Informationstechnik und gegebenenfalls weiteren externen Beratungshäusern regelmäßig bewertet und gegebenenfalls Maßnahmen ergriffen. Da eine stetige Gefahr durch Cyberangriffe besteht, werden die eingesetzten Sicherheitsmechanismen anlassbezogene durch Sicherheitstests (zum Beispiel Penetrationstests) überprüft. Für Zwecke der Katastrophenabwehr haben alle Katastrophenschutzbehörden und -ämter Zugriff auf ein separates redundantes IT-System, welches unabhängig vom Netz der Freien und Hansestadt Hamburg funktioniert und durch eine eigene Notstromversorgung gesichert ist. Die Betreiber der kritischen Infrastrukturen in Hamburg haben für Cyberangriffe entsprechende Notfallpläne vorgesehen, die sich an den Vorgaben des BSI orientieren. Im Übrigen siehe Drs. 21/5588, 21/8180 und 21/11952.