BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3361 21. Wahlperiode 26.02.16 Schriftliche Kleine Anfrage der Abgeordneten Dr. Wieland Schinnenburg und Anna-Elisabeth von Treuenfels-Frowein (FDP) vom 19.02.16 und Antwort des Senats Betr.: Hack des CommSy (2) Die Antworten zu Drs. 21/3206 waren teilweise unzureichend. Zudem stellen sich durch aktuelle Entwicklungen neue Fragen. Wir fragen den Senat: Im Bereich der Freien und Hansestadt Hamburg werden CommSy-Installationen ausschließlich im Hochschul- und Schulbereich betrieben beziehungsweise genutzt. Dies vorausgeschickt, beantwortet der Senat die Fragen teilweise auf der Grundlage von Auskünften der Universität Hamburg (UHH) sowie wie folgt: 1.) An welchen Hochschulen, Schulen und anderen staatlichen Behörden, Organisationen und Institutionen werden CommSy-Installationen genutzt? Bitte auch die Anzahl der jeweiligen Nutzer angeben. Die UHH betreibt eine CommSy-Installation, die elf Portale bereitstellt und von Angehörigen der Hamburger Hochschulen genutzt werden kann. An den CommSy- Systemen der UHH sind 76.540 Benutzer registriert (siehe Drs. 21/3206.). Der Zugang zum SchulCommSy Hamburg steht allen staatlichen allgemeinbildenden Schulen und dem Landesinstitut für Lehrerbildung und Schulentwicklung der Behörde für Schule und Berufsbildung zur Verfügung. Es gibt aktuell rund 25.000 aktive Benutzerkennungen . Im Übrigen siehe Vorbemerkung. 2.) Wurden die Nutzer dieser Systeme ebenfalls aufgefordert, ihre Passwörter zu ändern? Ja. 3.) Wurden diese Systeme ebenfalls gehackt? Wenn ja, wann und wie wurde es festgestellt und welche Maßnahmen sind ergriffen worden? 4.) Im SchulCommSy wurden die Nutzer ebenfalls aufgefordert, ihre Passwörter zurückzusetzen. Kann hier ein Hack ausgeschlossen werden? Auf der Konfigurationsebene der Serversoftware, auf der das SchulCommSy Hamburg betrieben wird, wurde am 11. September 2015 ein Hackerangriff bemerkt. Zwei Sicherheitslücken wurden entdeckt und am selben Tag geschlossen. 5.) Sind im SchulCommSy sensible Daten wie Personaldaten oder persönliche Daten von Schülern hinterlegt? Drucksache 21/3361 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Für die Anmeldung am SchulCommSy Hamburg sind nachfolgende Daten erforderlich , die sowohl personenbezogen als auch pseudonymisiert hinterlegt werden können : „Mailadresse“, „Name“, „Vorname“. Sonstige zusätzliche personenbezogene Daten, die vom Nutzer freiwillig ergänzt werden können, sind: „Titel“, „Adressdaten“, „Homepage“, „Telefonnummern“, „ICQ, etc.“, „Bilddatei“ und ein allgemeines „Beschreibungsfeld“. 6.) In der Rundmail vom 09. Februar, die das SchulCommSy betrifft, wurde betont, dass „alle Sicherheitsmaßnahmen (…) nochmals geprüft und gestärkt worden“ sind. Welche Maßnahmen wurden hier konkret durchgeführt ? SchulCommSy Hamburg wird von einem externen Dienstleister betrieben. Dieser hat mitgeteilt, dass regelmäßig alle Konfigurationseinstellungen der Serverinfrastruktur von SchulCommSy Hamburg überprüft und getestet werden. Es wurden ein verstärktes Monitoring als Präventivmaßnahme sowie verstärkt manuelle Stichprobenprüfungen bei der Selbstregistrierung von Nutzern durchgeführt. Zudem wurde der Update- Zyklus von Sicherheitsupdates verkürzt. Die Firewall-Richtlinien wurden überprüft und verstärkt. Es wurden in engeren Zeiträumen manuelle Systemkontrollen vorgenommen . 7.) In den universitären CommSy-Installationen waren oder sind auch Daten von Berufungskommissionen hinterlegt (vergleiche Drs. 21/3206). Welche Maßnahmen wurden ergriffen, um diese Daten im CommSy zu schützen? a. Wurden die betroffenen Personen aus den Berufungsverfahren darüber informiert, dass ihre Daten durch einen Hack kompromittiert wurden? Wenn ja, wie und wann? Es wurden alle Rauminhaber über den originären Einsatzzweck als Plattform für digitales Lehren und Lernen informiert und aufgefordert, alle nicht in diesem Kontext stehenden Dokumente umgehend zu entfernen. Diese Information wurde per E-Mail am 10.02.2016 allen in CommSy registrierten Benutzern sowie allen Studierenden und Mitarbeitern der UHH mitgeteilt. b. Sind weitere sensible Daten auf CommSy-Systemen abgelegt worden , etwa Forschungs-, Personal-, Finanz- und Vertragsdaten? Wenn ja welche und in welchem Umfang? Welche und in welchem Umfang andere Daten dort abgelegt wurden, ist nicht analysierbar . Im Übrigen siehe Antwort zu 7.) a. 8.) Sind bei anderen CommSy-Installationen im Bereich der Freien und Hansestadt Hamburg sensible Daten (wie in Frage 7.b. genannt) abgelegt worden? Mit der Plattform SchulCommSy Hamburg sollen Lehr-und Lernprozesse unterstützt werden. Im Übrigen siehe Vorbemerkung. 9.) Die Universität gibt an, dass der Hacker „ggf. in der Lage war, Passwörter zu entschlüsseln“. In welcher Art wurden die Passwörter vor dem Hack gespeichert und mit welcher Technik wurden sie gesichert (zum Beispiel Hash-Werte, Klartext)? Die Passwörter wurden entsprechend der aktuellen Produktvorgaben als md5-Hash in der Datenbank von CommSy gespeichert. 10.) Welche Maßnahmen wurden zum Schutz der Nutzerdaten seit dem Hack ergriffen und welche sind geplant? Gemeint sind hierbei nicht Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/3361 3 Datensicherungen, sondern Sicherungsmaßnahmen zur Verschlüsselung oder zur Erschwerung des Zugangs zu sensiblen Daten. a. Werden Salts und/oder Scrypt genutzt, um Passwörter besser zu schützen? Nein. b. Werden im Datenbanksystem Prepared Statements genutzt? Nein. c. Werden hochgeladene Dokumente und gespeicherte Texte auf CommSy-Systemen durch etwa eine Verschlüsselung gesichert (wenn ja, wie?) oder liegen sie im Klartext auf dem Server/in der Datenbank? Angesichts des eingeschränkten Nutzungsbereichs (siehe Antwort zu 7.) a.) wurden die hochgeladenen Dokumente umbenannt und nicht verschlüsselt gespeichert. 11.) Wurden alle aktiven CommSy-Systeme der Freien und Hansestadt Hamburg seit dem Hack mit Updates versehen? a. Wenn nein, wann ist dies geplant? b. Wenn ja, welche sicherheitsrelevanten Maßnahmen enthalten die aufgespielten Updates, welche Sicherheitslücken wurden durch welche Maßnahmen geschlossen? Das jeweilige Betriebssystem aller Server der CommSy-Infrastruktur der Universität Hamburg wurde entsprechend der Verteilung der Softwarepakete aus den Repositorien aktualisiert. Alle der Distribution bekannten Sicherheitslücken wurden somit geschlossen. Im Übrigen siehe Antwort zu 6.). 12.) Auf welchen Systemen laufen die CommSy-Systeme der Freien und Hansestadt Hamburg? a. Bitte Betriebssystem und Version angeben, bei Linux und Unix- Systemen zusätzlich bitte die Distribution und Kernel-Version. Die CommSy-Installationen der Universität Hamburg laufen auf dem System Ubuntu 12.04 LTS mit Kernel-Version 3.2 SchulCommSy Hamburg nutzt die nachfolgend aufgeführten Linux-Versionen: • Debian Linux (6.0.1) – 2.6.32-5-amd64 • Debian Linux (7.9) – 3.2.0-4-amd64 • Debian Linux (7.9) – 3.2.0-4-amd64 b. Auf welchen Webservern laufen die CommSy-Installationen (zum Beispiel Apache, IIS)? Bitte auch hier Versionsnummer angeben. Die CommSy-Installationen der Universität Hamburg laufen auf dem Webserver Apache/2.2.22 (Ubuntu). Die SchulCommSy Hamburg Installationen laufen auf folgenden Webservern: • Apache/2.2.16 • nginx/1.8.1 c. Auf welcher PHP- und SQL-Version laufen die CommSy-Installationen ? Bitte Versionsnummer mit angeben. Die CommSy-Installationen der Universität Hamburg laufen auf den Versionen PHP 5.3.10-1ubuntu3.21 und MySQL 5.5.46. Die nachfolgend aufgeführten PHP und SQL-Version werden bei der SchulCommSy Hamburg Installation verwandt: Drucksache 21/3361 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 • PHP 5.3.3-7+squeeze3 • PHP 5.4.45-1~dotdeb+7.1 • mysql Ver 14.14 Distrib 5.1.49, for debian-linux-gnu (x86_64) using readline 6.1 • Blogs / Limesurvey: mysql Ver 14.14 Distrib 5.6.25, for debian-linux-gnu (x86_64) us-ing EditLine wrapper d. Sind bei den unter Punkten a. bis c. genannten Softwareprodukten seit dem Hack Updates aufgespielt worden? Wenn ja, welche, aus welchen Gründen und von welcher Version wurde jeweils aktualisiert? UHH: Für die CommSy-Installationen der Universität Hamburg siehe Antwort zu 11.) a. und b. Bei SchulCommSy Hamburg werden regelmäßig Updates durchgeführt. Siehe auch Antwort zu 6.). 13.) Bei welchen CommSy-Portalen der Freien und Hansestadt Hamburg war vor dem Hack das Speichern von personenbezogenen Daten oder Dokumenten nicht ausdrücklich untersagt? Bei welchen wurden die Nutzungsbedingungen nachträglich geändert und wann ist dies erfolgt? In den CommSy-Portalen der Universität Hamburg ist das Speichern von Daten entsprechend dem originären Zweck gestattet (siehe Antwort zu 7.) a.). Sofern keine Nutzungsbedingungen im Portal hinterlegt waren, wurden diese nachgepflegt. Für das SchulCommSy siehe Antworten zu 5.) und 8.). Darüber hinaus werden keine personenbezogenen Daten gespeichert, da die Plattform der Unterstützung von Lehrund Lernprozessen dient. Nutzungsbedingungen wurden nicht geändert. 14.) In welchem Umfang werden bei CommSy-Systemen der Freien und Hansestadt Hamburg die Mindeststandards des BSI für den Einsatz des SSL/TLS-Protokolls berücksichtigt? a. Mit welchen SSL/TLS-Versionen werden aktuell Verbindungen zu den CommSy-Systemen gesichert? Eine Sicherung für die CommSy-Installationen der Universität Hamburg erfolgt mittels der Versionen TLS 1.2, TLS 1.1, TLS 1.0. SchulCommSy Hamburg verwendet die OpenSSL-Versionen mit den Versionen 0.9.8o-4squeeze1 und 1.0.1e-2+deb7u19. b. Warum nutzt etwa das SchulCommSy noch den veralteten Standard TLS 1.0? Ist hier ein Update geplant? Aufgrund der Kompatibilität zu älteren Browsermodellen wird Standard TLS 1.0 verwandt . Änderungen sind nicht geplant.