BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/17510 21. Wahlperiode 18.06.19 Schriftliche Kleine Anfrage des Abgeordneten Michael Kruse (FDP) vom 11.06.19 und Antwort des Senats Betr.: Überprüfung kritischer Infrastrukturen Gemäß § 8a Absatz 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) müssen die Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre in geeigneter Weise beispielsweise durch Sicherheitsaudits nachweisen, dass sie ihre informationstechnischen Systeme , Komponenten oder Prozesse angemessen gegen Störungen schützen und auf dem Stand der Technik halten. Das BSI kann auf Grundlage von § 8a Absatz 4 BSIG selber entsprechenden Überprüfungen bei den Betreibern vornehmen. Vor diesem Hintergrund frage ich den Senat: Die Information, welche KRITIS1-Unternehmen in Hamburg kritische Infrastrukturen betreiben, ist zum Schutze dieser Unternehmen und der kritischen Infrastrukturen als Verschlusssache eingestuft. Die angefragten Einzelheiten zu aktuellem Stand und Frequenz der Überprüfungen würden außerdem etwaigen Dritten Rückschlüsse darauf erlauben, welche Einrichtungen als besonders gefährdet eingestuft werden, welche Einrichtungen besonders geeignete Ziele darstellen könnten oder welche Angriffsvektoren als geeignet anzusehen sind. Aus diesen Gründen können die angefragten Informationen zum Schutze der öffentlichen Sicherheit nicht offengelegt werden . Auch würde die Offenlegung die Zusammenarbeit zwischen dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) und den zuständigen Landesbehörden gefährden. Im Übrigen sind die vom BSI gemäß § 8a BSI-Gesetz ergriffenen Maßnahmen Angelegenheiten des Bundes, die nicht der Kontrolle von Senat oder Bürgerschaft unterliegen. Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: 1. Welche Betreiber kritischer Infrastrukturen befinden sich ganz oder zu über 25 Prozent im Eigentum der Freien und Hansestadt Hamburg (FHH)? (Bitte nach Sektorenzugehörigkeit gemäß BSI-KritisV differenzieren und Anteil der FHH am jeweiligen Betreiber aufführen.) 2. Wann haben die oben genannten Betreiber jeweils das letzte Mal auf jeweils welche Weise den Nachweis der eingangs geschilderten IT- Sicherheitsvoraussetzungen erbracht? a. Welche Nachweisverfahren laufen derzeit gegebenenfalls noch bei jeweils welchen Betreibern und bis wann sollen sie jeweils abgeschlossen sein? 1 Kritische Infrastruktur. Drucksache 21/17510 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 b. Gab oder gibt es Betreiber, bei denen der Nachweis nicht erbracht werden konnte? Wenn ja, welche? Woran genau scheiterte jeweils die Erbringung des Nachweises? 3. Wie wurde der entsprechende Nachweis durch die unter Frage 1. genannten Betreiber jeweils erbracht? a. Durch jeweils wen wurden die entsprechenden Prüfungen, Audits oder Zertifizierungen vorgenommen? Inwieweit wurde jeweils welche externe Hilfe hinzugezogen? b. Was wurde hierbei jeweils geprüft beziehungsweise wie lief der jeweilige Nachweisprozess ab? Welche Szenarien wurden jeweils durchgespielt? 4. Welche Ergebnisse oder Schlussfolgerungen und welche sonstigen Erkenntnisse haben die jeweiligen Prüfungen oder sonstigen Nachweiserbringungen geliefert? Inwieweit herrscht beziehungsweise herrschte bei jeweils welchen Betreibern welcher Nachbesserungsbedarf? 5. Bei welchen der unter Frage 1. genannten Betreibern kritischer Infrastrukturen hat das BSI seinerseits jeweils wann zuletzt Überprüfungen vorgenommen oder diese durch Dritte vornehmen lassen? Welche Ergebnisse hatten diese Überprüfungen jeweils? Inwieweit waren welche Mängel abzustellen? (Bitte für alle Fragen nach jeweiligen Betreibern differenziert darstellen.) Siehe Vorbemerkung.