BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3390 21. Wahlperiode 01.03.16 Schriftliche Kleine Anfrage des Abgeordneten Hansjörg Schmidt (SPD) vom 23.02.16 und Antwort des Senats Betr.: Lösegeldforderungen für gekaperte Computer durch Computerviren Locky & Co – Wie sieht die Schadenbilanz in Hamburg aus? Der Erpressungs-Trojaner Locky verbreitet sich momentan insbesondere in Deutschland rasend schnell. Die sogenannte Ransomware verschlüsselt nach der Öffnung eines infizierten Office-Dokuments die Dokumente auf dem Rechner des Anwenders. Dies schließt auch sämtliche Dokumente auf Netzwerklaufwerken und Cloud-Speichern ein. Es löscht ältere Versionen und infiziert mittelbar auch die Sicherheitskopien, die nach der Infektion angelegt werden. Wenn der Schaden angerichtet ist, kommt die eigentliche Erpressung : Die Anwender erhalten einen Erpresserbrief mit der Zahlungsaufforderung von 0,5 Bitcoin, was laut dem aktuellen Kurs der Kryptowährung rund 200 Euro entspricht. Sicherheitsexperten gehen davon, dass bis zu 17.000 Rechner pro Tag in Deutschland von diesen Viren infiziert werden. Auch von betroffenen staatlichen Einrichtungen wird in den Medien berichtet. Ich frage den Senat: 1. Hat der Senat Kenntnis von betroffenen Rechnern in der Verwaltung oder städtischen Unternehmen und wenn ja, in welchen Bereichen? Ja. Bei den Elbe-Werkstätten sind Daten verschlüsselt worden, die aber aus den jeweiligen Datensicherungen wiederhergestellt werden konnten. Im Universitätsklinikum Hamburg-Eppendorf (UKE) hat die Schadsoftware Teile des Datenbestands von Rechnern im Verwaltungsbereich verschlüsselt, die ebenfalls wiederhergestellt werden konnten. Weder die Patientenversorgung noch der Betrieb des Krankenhauses waren betroffen oder gefährdet. Die Hamburger Hafen und Logistik Aktiengesellschaft weist darauf hin, dass sie aus aktienrechtlichen Gründen die Fragen aller Aktionäre einheitlich auf der jährlichen Hauptversammlung beantwortet. 2. Ist hier bereits Lösegeld gezahlt worden? Nein. 3. Virenangriffe sind leider Alltag. Den Anwendern trifft wenig Schuld. Es ist völlig normal, dass sie Office-Dokumente erhalten und weiterverarbeiten. Wie werden die Anwender über die momentane Bedrohung aufgeklärt und wie werden sie geschützt? 4. Wie sieht die IT-Sicherheitsstrategie gegen Virenangriffe aus? Ist beispielsweise die automatische Ausführung von eingebettetem Makro- Code in den Office-Programmen abgeschaltet und wenn nein, warum nicht? Drucksache 21/3390 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Jeder Arbeitsplatzrechner der hamburgischen Verwaltung ist mit einem zentral verwalteten Virenschutzprogramm ausgestattet, das die Ausführung von bekanntem Schadcode verhindert. Die automatische Ausführung von Makro-Code ist deaktiviert. Darüber hinaus werden E-Mails zentral untersucht und gegebenenfalls von Viren befallene Anhänge gelöscht. Eine Aufklärung beziehungsweise Information der Anwender erfolgt jeweils nach Bewertung der Gefahrenlage. 5. Wie sieht die Anzeigenlage bei der Polizei aus und sind bereits Fälle von Lösegeldzahlungen bekannt? Ermittlungsverfahren im Sinne der Frage werden bei der Polizei nicht gesondert statistisch erfasst. Die Beantwortung der Frage würde eine Auswertung mehrerer Hundert Vorgänge pro Jahr erfordern, was in der für die Beantwortung einer Parlamentarischen Anfrage zur Verfügung stehenden Zeit nicht möglich ist. Aktuell ist bei der Polizei ein Ermittlungsverfahren im Zusammenhang mit der Ransomware „Locky“ in Bearbeitung. In diesem Fall wurde kein Lösegeld gezahlt. Der Polizei ist bekannt, dass in anderen Fällen Lösegeldzahlungen erfolgt sind. 6. Wie wird den betroffenen Personen durch die Polizei in solchen Fällen geholfen? Die Polizei hilft den Betroffenen im Rahmen des Ermittlungsverfahrens bei der Entschlüsselung von Daten. Darüber hinaus berät sie Betroffene im Hinblick auf deren künftiges Verhalten und sensibilisiert in Bezug auf aktuelle Virenschutzsoftware. 7. Wie arbeitet unsere Hamburger Polizei in solchen Fällen mit den nationalen und internationalen Strafverfolgungsbehörden zusammen? Im Rahmen der Bund-Länder-Zusammenarbeit stehen die zuständigen Dienststellen im Dialog, um Informationen zu Verbreitungswegen, Bedrohungspotenzialen, Fallaufkommen und Ermittlungsansätzen auszutauschen. Der internationale Erkenntnis- und Informationsaustausch erfolgt über das Bundeskriminalamt und Europol. Eine Zusammenarbeit mit Strafverfolgungsbehörden anderer Staaten im Zusammenhang mit Ermittlungsersuchen erfolgt auf dem Wege der polizeilichen und justiziellen internationalen Rechtshilfe.