BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/266 21. Wahlperiode 24.04.15 Schriftliche Kleine Anfrage der Abgeordneten Katja Suding (FDP) vom 16.04.15 und Antwort des Senats Betr.: Cybersicherheit von Medien und Verwaltung in der Freien und Hansestadt Hamburg (FHH) In der Nacht vom 08. auf den 09. April 2015 wurde der französische Fernsehsender TV5 Monde offenbar Opfer eines Hacks durch die Terrorgruppe „Islamischer Staat“ (IS). Dabei wurde das Programm unterbrochen und über die Sender-Website sowie seine Social-Media-Kanäle wurden Drohungen und Propaganda des IS verbreitet. Vor diesem Hintergrund frage ich den Senat: Der Senat beantwortet die Fragen teilweise auf Grundlage von Auskünften der Dataport AöR (Dataport), dem Norddeutschen Rundfunk (NDR) und der Medienanstalt Hamburg/Schleswig-Holstein AöR wie folgt: 1. Zu jeweils wie vielen Sicherheitsvorfällen1 jeweils welcher Art, welcher Kritikalität und welchen Ausmaßes ist es 2014 sowie im bisherigen Jahresverlauf 2015 in den von Dataport betreuten Bereichen der IT-Infrastruktur der Freien und Hansestadt Hamburg gekommen? (Bitte jahresweise auflisten.) 2. Zu jeweils wie vielen Sicherheitsvorfällen jeweils welcher Art, welcher Kritikalität und welchen Ausmaßes ist es gegebenenfalls in den nicht von Dataport betreuten Bereichen der IT-Infrastruktur der Freien und Hansestadt Hamburg, also zum Beispiel im Bereich von Polizei, Feuerwehr, Gerichten, Steuerverwaltung und Hochschulen, in den oben genannten Zeiträumen gekommen? (Bitte jahresweise auflisten.) Im Jahr 2014 wurden 47 Sicherheitsvorfälle registriert. Dabei waren keine schwerwiegenden Fälle zu verzeichnen. 28 Vorfälle wurden durch die Nutzer selbst (überwiegend durch Kennwortweitergabe), 17 durch Externe (davon 16 durch Schadsoftware und einer durch Diebstahl) sowie jeweils ein Vorfall durch organisatorische Mängel und technisches Versagen verursacht. Im Jahr 2015 wurden bisher 16 Vorfälle registriert , die allesamt nicht schwerwiegend waren. Fünf Vorfälle wurden durch Externe, die übrigen durch die Nutzer selbst (Kennwortweitergabe) verursacht. In 2014 und 2015 gab es bei den nicht von Dataport betreuten Bereichen insgesamt 133 Sicherheitsvorfälle, wobei es keinen schwerwiegenden Fall gab. Im Übrigen sind die Art der Sicherheitsvorfälle und die genaue zeitliche Zuordnung der Vorfälle in diesen Bereichen nicht hinreichend belastbar dokumentiert. 1 Vergleiche Senatsantwort zu Frage I. 6. in Drs. 20/7821. Drucksache 21/266 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 3. Wie schätzt der Senat, gegebenenfalls auf Basis von Informationen des NDR sowie der MA HSH, die aktuelle Gefährdungslage für in der Freien und Hansestadt Hamburg ansässige Medien ein? Wie oft kam es dort in den oben genannten Zeiträumen gegebenenfalls bereits zu Sicherheitsvorfällen welcher Art und Kritikalität? Nach Auskunft des NDR ist die Gefährdung seiner IT-Systeme durch nicht kommerziell motivierte Hackerangriffe („Hacktivismus“) aktuell als hoch einzustufen. Entsprechende Sicherheitsvorfälle habe es bisher aber nicht gegeben. Der NDR schütze seine Systeme durch geeignete Sicherungsmaßnahmen basierend auf dem aktuellen Stand der Technik. Eine vollständige Absicherung gegen Hackerangriffe könne jedoch nicht garantiert werden. Der Medienanstalt Hamburg/Schleswig-Holstein sind keine sicherheitsrelevanten Vorfälle der genannten Art bei in Hamburg ansässigen Rundfunkunternehmen bekannt. Da es sich überwiegend um Radioveranstalter handele, werde das Risiko auch als gering eingeschätzt, da der UKW-Verbreitungsweg nicht „Cyber“-gefährdet sei. Im Übrigen hat sich der Senat hiermit nicht befasst. 4. Wie oft wurde die Informationssicherheitsleitlinie (IS-LL) für die Freie und Hansestadt Hamburg seit ihrem Beschluss durch den Senat am 02.04.2013 bislang aus welchen Anlässen aktualisiert? Wann erfolgte dies zuletzt? Eine Aktualisierung der Informationssicherheitsleitlinie (IS-LL) war seitdem nicht erforderlich , weil diese allgemeine Grundsätze und Regelungen beinhaltet, die nicht aufgrund konkret aufgetretener Sicherheitsvorfälle an Gültigkeit und Aktualität verlieren. 5. Welche Dienststellen der Freien und Hansestadt Hamburg, insbesondere Behörden und Senatskanzlei, haben seit Erlass der IS-LL jeweils wann Informationssicherheitsbeauftragte (InSiBe) ernannt? Welche gegebenenfalls noch nicht? Siehe Anlage. a. Wo gab oder gibt es seit jeweiliger Besetzung gegebenenfalls Vakanzen für länger als einen Monat? Außer in der HafenCity Universität, der Hochschule für bildende Künste und der Staats- und Universitätsbibliothek Hamburg Carl von Ossietzky gab es keine über die Dauer von einem Monat hinausgehende Vakanzen. b. Inwieweit werden die InSiBes sicherheitsüberprüft? Siehe Anlage. c. Wie viele Administratoren sind derzeit für Rechenzentren der Freien und Hansestadt Hamburg zuständig beziehungsweise dort tätig? Wann wurden sie jeweils zuletzt bis zu welcher Stufe sicherheitsüberprüft ? (Bitte nach von Dataport betreuten und nicht von Dataport betreuten Bereichen differenzieren.) In den Rechenzentren von Dataport sind 424 Administratoren für Kundensysteme und Verfahren der Freien und Hansestadt Hamburg tätig, die vor Aufnahme der Tätigkeit und danach in Abständen von mindestens fünf Jahren sicherheitsüberprüft werden. Für die nicht von Dataport betreuten Bereiche: siehe Anlage. 6. Welche Dienststellen der Freien und Hansestadt Hamburg, insbesondere Behörden und Senatskanzlei, haben jeweils wann ein eigenes Sicherheitskonzept zur Umsetzung der Rahmenvorgaben des zentralen Sicherheitskonzepts erstellt? Welche haben gegebenenfalls aus welchen Gründen noch keines? Die Erstellung des Rahmensicherheitskonzepts beziehungsweise die Abstimmungen der Behörden hierzu sind noch nicht abgeschlossen. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/266 3 7. Zu welchen Ergebnissen kamen die Prüfungen der InSiBes hinsichtlich Umsetzung und Wirksamkeit der vorgeschriebenen Maßnahmen zur Informationssicherheit in der jeweiligen Dienststelle? Wann wurden die Prüfungen jeweils durchgeführt und wann jeweils welche Gegenmaßnahmen im Falle von identifizierten Mängeln eingeleitet? (Bitte nach Dienststellen differenziert auflisten.) Siehe Anlage. E rlä ut er un ge n zu r T ab el le : S iK o = S ic he rh ei ts ko nz ep t; I nS iB e = be hö rd lic he r I nf or m at io ns si ch er he its be au ftr ag te r; A dm in = A dm in is tra to r; N on -B as is = n ic ht v on D at ap or t b et re ut e In fra st ru kt ur en In Si B e er na nn t m it D at um in kl . F eh lan ze ig e In Si B e si ch er - he its üb e- pr üf t A nz ah l A dm in s N U R N on -B A SI S A dm in s si ch er - he its üb er pr üf t u nd b is z u w el ch er S tu fe u nd w an n Er ge bn is se v on Pr üf un ge n D at um D ur ch fü hr un g Pr üf un g M aß -n ah m en be i M än ge ln R ec hn un gs ho f Ja , 0 1. 01 .2 01 5 Ja 0 ./. N et zw er ks ic he rh ei t: Fr ei z ug än gl ic he A ns ch lü ss e hi nr ei ch en d ab ge si ch er t. 30 .0 3. 20 15 ke in e M än ge l P er so na la m t Ja , s ei t 1 .2 .2 01 4 ko m m is sa ris ch Ja 0 ./. A uf na hm e al le r V er fa hr en / B er at un g in E in ze lfä lle n fo rtl au fe nd ke in e M än ge l Ze nt ru m fü r P er so na ld ie ns te Ja , s ei t 0 1. 03 .2 01 4 Ja 11 Ja , S tu fe Ü 1, 20 10 A uf na hm e al le r V er fa hr en / B er at un g in E in ze lfä lle n fo rtl au fe nd ke in e M än ge l S en at sk an zl ei Ja , s ei t 1 .2 .2 01 4 ko m m is sa ris ch Ja 2 Ja , S tu fe 2 , 2 01 5 A uf na hm e al le r V er fa hr en / B er at un g in E in ze lfä lle n fo rtl au fe nd ke in e M än ge l B ez irk sä m te r Ja , 0 1. 05 .2 01 3 Ja 0 ./. A uf na hm e al le r V er fa hr en / E in ze ln e S ch ut zb ed ar fs fe st st el lu ng en im R ah m en d er R Z² -T ra ns iti on en / In te rn et ü be r W TS fü r al le V er fa hr en m it se ns ib le n pe rs on en be zo ge ne n D at en / R ed uz ie ru ng M od el lin ie 2 a uf d as no tw en di ge M aß La uf en d be i B ed ar f ./. D as B ez irk sa m t H am bu rg -N or d (N IT B ) f as st d ie E in ze le rg eb ni ss e de r B ez irk sä m te r z us am m en . D es w ei te re n is t d er b eh ör dl ic he In fo rm at io ns - S ic he rh ei ts be au ftr ag te b ei N IT B a ng es ie de lt. B eh ör de fü r J us tiz u nd G le ic hs te llu ng ; S ta at sa nw al ts ch af t; V ol lz ug sa ns ta lte n (B A S IS -B er ei ch e) Ja . 1 6. 04 .2 01 3, 08 .0 7. 20 13 u nd 11 .0 4. 20 13 N ei n 0 ./. V er ab sc hi ed un g de s ze nt r. R aS iK o w ird ab ge w ar te t ./. ./. B eh ör de / La nd es be tr ie b / D ie ns ts te lle Zu F ra ge 5 Zu F ra ge 5 . b. Zu F ra ge 5 . c . B em er ku ng Zu F ra ge 7 Drucksache 21/266 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 Anlage In Si B e er na nn t m it D at um in kl . F eh lan ze ig e In Si B e si ch er - he its üb e- pr üf t A nz ah l A dm in s N U R N on -B A SI S A dm in s si ch er - he its üb er pr üf t u nd b is z u w el ch er S tu fe u nd w an n Er ge bn is se v on Pr üf un ge n D at um D ur ch fü hr un g Pr üf un g M aß -n ah m en be i M än ge ln B eh ör de / La nd es be tr ie b / D ie ns ts te lle Zu F ra ge 5 Zu F ra ge 5 . b. Zu F ra ge 5 . c . B em er ku ng Zu F ra ge 7 G er ic ht e (N O N -B A S IS - B er ei ch e) Ja , 1 6. 05 .2 01 3, 13 .1 2. 20 13 /0 5. 02 .2 01 5 (W ec hs el ), 10 .0 1. 20 14 /0 5. 02 .2 01 5 (W ec hs el ), 14 .1 1. 20 13 /0 3. 06 .2 01 4 (d er ze it ko m m is sa ris ch e A uf ga be nw ah rn eh m un g) , 0 4. 07 .2 01 3 un d je w ei ls 3 a m 27 .0 5. 20 13 N ei n 32 Ja , n ac h § 34 H m bS Ü G V er ab sc hi ed un g de s ze nt r. R aS iK o w ird ab ge w ar te t ./. ./. H am bu rg is ch er B ea uf tra gt er fü r D at en sc hu tz u nd In fo rm atio ns fre ih ei t Ja , 0 2. 05 .2 01 3 Ja 0 ./. B er at un g nu r i n E in ze lfä lle n / R es so ur ce np ro bl em e ./. ./. B eh ör de fü r S ch ul e un d B er uf sb ild un g Ja , 2 1. 06 .2 01 3 N ei n 2 (L I) N ei n B er at un g zu E in ze lfä lle n, K on kr et e A us ge st al tu ng w ird e rs t na ch F er tig st el lu ng d es R ah m en si ch er - he its ko nz ep te s er fo lg en ./. ./. D ie V or fä lle b ez ie he n si ch a uf d en B er ei ch d er S ch ul en b zw . d es L an de si ns tit ut s fü r L eh re rb ild un g un d S ch ul en tw ic kl un g; e s ha nd el t s ic h ni ch t u m V er w al tu ng sa rb ei ts pl ät ze . B eh ör de fü r W is se ns ch af t u nd Fo rs ch un g / H oc hs ch ul am t Ja in 2 01 4 N ei n 0 ./. K ei n ei ge ne s, d a K on ze pt fü r B as is ku nd en d er F B ./. ./. ./. U ni ve rs itä t H am bu rg Ja , 1 5. 08 .2 01 4 N ei n 5 N ei n ./. ./. ./. ./. Te ch ni sc he U ni ve rs itä t H am bu rg -H ar bu rg Ja , 25 .2 .2 00 4 N ei n 21 N ei n m an ge ls p er so ne lle r R es so ur ce n no ch in A rb ei t R Z- in te rn e P rü fu ng en : M aß na hm en s in d w irk sa m , k ei ne M än ge l ke in e na ch B S I G ru nd sc hu tz K ei ne M än ge l Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/266 5 In Si B e er na nn t m it D at um in kl . F eh lan ze ig e In Si B e si ch er - he its üb e- pr üf t A nz ah l A dm in s N U R N on -B A SI S A dm in s si ch er - he its üb er pr üf t u nd b is z u w el ch er S tu fe u nd w an n Er ge bn is se v on Pr üf un ge n D at um D ur ch fü hr un g Pr üf un g M aß -n ah m en be i M än ge ln B eh ör de / La nd es be tr ie b / D ie ns ts te lle Zu F ra ge 5 Zu F ra ge 5 . b. Zu F ra ge 5 . c . B em er ku ng Zu F ra ge 7 H oc hs ch ul e fü r A ng ew an dt e W is se ns ch af te n H am bu rg (H A W ) N ei n ./. 14 : D ie H A W H am bu rg ge hö rt ni ch t z u de n N on -B as is - K un de n, so nd er n is t N U K - (n et zu na bh än g ig er ) K un de . Ja , si eh e S pa lte B em er ku ng en ./. ./. ./. D ie H A W H am bu rg h at im J ul i 2 01 4 S ic he rh ei ts - üb er pr üf un ge n na ch § 3 4 H m bS üG G o hn e M itw irk un g de s La nd es am te s fü r V er fa ss un gs sc hu tz d ur ch ge fü hr t. N ac h de n re ch tli ch en V or ga be n w ur de d ie Ü be rp rü fu ng a uf di e B es ch äf tig te n be -s ch rä nk t, w el ch e im K er nbe re ic h de s FH H -N et ze s m it S ys te m ad m in is tra tio ns au fg ab en b et ra ut s in d. H ie rb ei h an de lte e s si ch u m fü nf B es ch äf tig te d es In fo r- m at io ns te ch ni k S er vi ce C en te rs (I TS C ). E in e E in be zi eh un g de r R ec he nz en tre n de r F ak ul tä te n Te ch ni k un d In fo rm at ik u nd L ife S ci en ce s in d ie S ic he rh ei ts üb er pr üf un g er fo lg te 2 01 4 ni ch t, da in de n Fa ku ltä te n ke in e A dm in is tra tio ns au fg ab en im K er nb er ei ch d es F H H -N et ze s m it S ys te m ad m in is tra tio n w ah rg en om m en w er de n. D ie Zu or dn un g zu e in er S tu fe is t f ür d ie S ic he rh ei ts üb er pr üf un ge n na ch § 3 4 H m bS Ü G G ni ch t m ö g lic h. H af en C ity U ni ve rs itä t N ei n, k om m is sa ris ch w ah rg en om m en d ur ch de n IT -L ei te r d er H C U bi s zu m E nd e de r A us ar be itu ng e in es ei nh ei tli ch en K oz ep ts fü r d ie H oc hs ch ul en in Zu sa m m en ar be it m it de r B W F un d de r P rü fu ng e in er m ög lic he n K oo pe ra tio n zw is ch en d en k le in en H oc hs ch ul en N ei n 7 N ei n In E nt w ic kl un g, z en tra le V or ga be n w er de n ab ge w ar te t. sc hr itt w ei se A uf na hm e de r V er fa hr en la uf en d H oc hs ch ul e fü r B ild en de K ün st e si eh e H C U N ei n 2 N ei n In E nt w ic kl un g, z en tra le V or ga be n w er de n ab ge w ar te t. sc hr itt w ei se A uf na hm e de r V er fa hr en la uf en d ke in e M än ge l Drucksache 21/266 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 6 In Si B e er na nn t m it D at um in kl . F eh lan ze ig e In Si B e si ch er - he its üb e- pr üf t A nz ah l A dm in s N U R N on -B A SI S A dm in s si ch er - he its üb er pr üf t u nd b is z u w el ch er S tu fe u nd w an n Er ge bn is se v on Pr üf un ge n D at um D ur ch fü hr un g Pr üf un g M aß -n ah m en be i M än ge ln B eh ör de / La nd es be tr ie b / D ie ns ts te lle Zu F ra ge 5 Zu F ra ge 5 . b. Zu F ra ge 5 . c . B em er ku ng Zu F ra ge 7 H oc hs ch ul e fü r M us ik un d Th ea te r 29 .0 1. 20 14 N ei n 3 N ei n A dm in is tra tio n V er w al tu ng sa rb ei ts pl ät z e du rc h R R Z U ni H H na ch D at ap or t- V or ga be n; im ak ad em is ch en H fM T- N et z b is la ng k ei ne si ch er he its re le va nt en A nw en du ng en b zw . D at en be st än de bi sl an g no ch ke in e fo rm el le P rü fu ng ./. La nd es be tri eb S ta at s- un d U ni ve rs itä ts bi bl io th ek C ar l-v on -O ss ie tz ky bi sh er ig er B ea uf tra gt er au sg es ch ie de n; N ac hf ol ge r w ird in K ür ze b es te llt ./. 8 K öp fe , n ic ht V ZÄ N ei n na ch In kr af ts et ze n R aS iK o no ch k ei ne P rü fu ng en du rc hg ef üh rt ./. ./. K ul tu rb eh ör de Ja , 1 5. 1 1. 2 01 3 Ja 0 ./. sc hr itt w ei se A uf na hm e de r V er fa hr en la uf en d ke in e M än ge l B eh ör de fü r A rb ei t, S oz ia le s, F am ili e un d In te gr at io n in kl . La nd es be tri eb fü r E rz ie hu ng u nd B er at un g N ei n, K om m is ar is ch du rc h IT -L ei te r Ja 4 Ja , S tu fe 1 2 00 4 sc hr itt w ei se A uf na hm e de r V er fa hr en la uf en d ke in e M än ge l B eh ör de fü r G es un dh ei t u nd V er br au ch er sc hu tz in kl . H U Ja , 1 7. 03 .2 01 4 in A rb ei t 16 N ei n A uf na hm e al le r V er fa hr en / B er at un g nu r i n E in ze lfä lle n la uf en d ke in e M än ge l B eh ör de fü r S ta dt en tw ic kl un g un d U m w el ts ch ut z Ja , 0 2. 05 .2 01 3 Ja 0 ./. A uf na hm e al le r V er fa hr en la uf en d ke in e M än ge l La nd es be tri eb fü r S tra ße n, B rü ck en u nd G ew äs se r Ja , 1 6. 04 .2 01 4 N ei n 3 N ei n sc hr itt w ei se A uf na hm e de r V er fa hr en La uf en d ke in e M än ge l La nd es be tri eb fü r G eo da te n un d V er m es su n g Ja , 3 .6 .2 01 3 N ei n 3 N ei n su kz es si ve A uf na hm e de r V er fa hr en fo rtl au fe nd ke in e M än ge l B eh ör de fü r W irt sc ha ft, V er ke hr u nd In no va tio n Ja , 1 7. 05 .2 01 3 N ei n 0 ./. sc hr itt w ei se A uf na hm e de r V er fa hr en la uf en d ke in e M än ge l Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/266 7 In Si B e er na nn t m it D at um in kl . F eh lan ze ig e In Si B e si ch er - he its üb e- pr üf t A nz ah l A dm in s N U R N on -B A SI S A dm in s si ch er - he its üb er pr üf t u nd b is z u w el ch er S tu fe u nd w an n Er ge bn is se v on Pr üf un ge n D at um D ur ch fü hr un g Pr üf un g M aß -n ah m en be i M än ge ln B eh ör de / La nd es be tr ie b / D ie ns ts te lle Zu F ra ge 5 Zu F ra ge 5 . b. Zu F ra ge 5 . c . B em er ku ng Zu F ra ge 7 La nd es be tri eb G ro ßm ar kt Ja , 1 7. 05 .2 01 3 N ei n 2 N ei n sc hr itt w ei se A uf na hm e de r V er fa hr en u nd d es S er ve rs la uf en d ke in e M än ge l H am bu rg P or t A ut ho rit y Ja , 1 3. 05 .2 01 3 N ei n 20 Ja , S tu fe 1 , 2 01 0, 2 01 2, Ja n. 2 01 5 A uf na hm e al le r I TV er fa hr en (i m B S IG ru nd sc hu tz -T oo l do ku m en tie rt ) la uf en d, z ul et zt 16 .0 3. 20 15 K ei ne M än ge l B eh ör de fü r I nn er es un d S po rt (B IS ) o hn e P ol iz ei u nd F eu er w eh r Ja , 0 1. 01 .2 01 4 Ja , S tu fe Ü 3 1 Ja S tu fe Ü 2 A uf na hm e al le r V er fa hr en / B er at un g nu r i n E in ze lfä lle n la uf en d et w ai ge M än ge l w er de n ze itn ah ab ge st el lt. P ol iz ei Ja , 30 .0 8. 20 04 N ei n, ak tu el l n ic ht er fo rd er lic h 4 Ja , § 3 4 H m bS Ü G G la uf en d A ud it de r d eu ts ch en P ol iz ei be hö rd en 20 14 P rü fb er ic ht lie gt v or , M aß na hm en si nd in V or be re itu n g Fe ue rw eh r S ie he B IS S ie he B IS 9 Ja S tu fe 1 S ie he B IS S ie he B IS S ie he B IS La nd es am t f ür V er fa ss un gs sc hu tz S ie he B IS S ie he B IS 6 Ja (Ü 3) S ie he B IS si eh e B IS si eh e B IS La nd es be tri eb fü r V er ke hr S ie he B IS S ie he B IS 3 Ja , S tu fe 2 S ie he B IS S ie he B IS S ie he B IS Fi na nz be hö rd e oh ne S te ue rv er w al tu ng Ja , 1 4. 10 .2 01 3 Ja 0 ./. A uf na hm e al le r V er fa hr en u nd P rü fu ng D ok um en te ns ta tu s la uf en d ke in e M än ge l Fi na nz be hö rd e S te ue rv er w al tu n g Ja , 0 7. 08 .2 01 3 N ei n 15 Ja , S tu fe 1 P rü fu ng b ei V er fa hr en sf re i g ab en la uf en d ke in e M än ge l S ta tis tik am t N or d Ja , 0 1. 01 .2 00 4 N ei n 6 N ei n fo rtl au fe nd e A uf na hm e al le r V er fa hr en in G ru nd sc hu tz se it 1. 1. 20 15 bi sl an g ke in e Drucksache 21/266 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 8 266ska_text 266ska_Antwort_Anlage