BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3836 21. Wahlperiode 05.04.16 Schriftliche Kleine Anfrage des Abgeordneten Michael Kruse (FDP) vom 30.03.16 und Antwort des Senats Betr.: Netzinfrastruktur der Freien und Hansestadt Hamburg (FHH) Im Sommer 2015 wurde das sogenannte IT-Sicherheitsgesetz verabschiedet, welches einige neue Verpflichtungen, unter anderem im Bereich der Meldung von Vorfällen, für Betreiber kritischer Infrastrukturen mit sich brachte. Anfang Februar dieses Jahres wurde ein Referentenentwurf (RefE) zur Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) durch das zuständige Bundesinnenministerium vorgelegt. Vor diesem Hintergrund frage ich den Senat: Der Senat beantwortet die Fragen teilweise auf Grundlage von Auskünften von Stromnetz Hamburg GmbH (SNH), Hamburg Netz GmbH (HNG), Vattenfall Wärme Hamburg GmbH (VWH), Dataport AöR (Dataport) sowie des Sondervermögens Hamburgisches Telekommunikationsnetz. 1. Gibt es bei der Stromnetz Hamburg GmbH (SNH), der Hamburg Netz GmbH (HNG) und der Vattenfall Wärme Hamburg GmbH (VWH) eine durchgängige (physische) Trennung der IT-Systeme des Messstellenbetriebs auf der einen sowie des Netzbetriebs auf der anderen Seite? Wenn nein, warum nicht? (Bitte nach genannten Unternehmen differenziert darstellen.) Bei SNH und HNG: ja. VWH ist kein Messstellenbetreiber im Sinne des Energiewirtschaftsgesetzes (EnWG). 2. Inwieweit finden jeweils welche Bestimmungen des IT-Sicherheitsgesetzes bereits Anwendung bei SNH, HNG und VWH sowie Dataport beziehungsweise dem Sondervermögen Hamburgisches Telekommunikationsnetz ? a. Welche Maßnahmen sind jeweils noch bis wann zu treffen? Welche Kosten sind damit jeweils voraussichtlich verbunden? SNH, HNG und VWH setzen die ihnen obliegenden Verpflichtungen fristgerecht um. Die voraussichtlichen Kosten unterliegen dem Betriebs- und Geschäftsgeheimnis der Unternehmen. Dataport und das Sondervermögen Hamburgisches Telekommunikationsnetz unterliegen nicht den Bestimmungen des IT-Sicherheitsgesetzes. b. Wie wird in diesem Zusammenhang jeweils der RefE der BSI-KritisV bewertet? Wie bewertet ihn der Senat? (Bitte für alle Fragen nach Unternehmen differenziert darstellen.) Eine belastbare Bewertung kann erst vorgenommen werden, wenn der Inhalt der Verordnung abschließend feststeht. Drucksache 21/3836 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 3. Wie viele Anlagen sind bei den vorgenannten Unternehmen jeweils als kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes beziehungsweise des RefE BSI-KritisV zu betrachten? (Bitte nach Unternehmen differenziert darstellen.) Siehe Antwort zu 2.b. 4. Wie viele meldepflichtige Vorfälle im Sinne des IT-Sicherheitsgesetzes beziehungsweise des RefE BSI-KritisV gab es in den Jahren seit 2012 bei den jeweiligen Unternehmen? (Bitte nach Unternehmen differenziert jährlich auflisten.) Die erfragten Informationen berühren schutzwürdige Interessen der jeweiligen Unternehmen und können daher im Rahmen der Beantwortung einer Schriftlichen Kleinen Anfrage nicht veröffentlicht werden. 5. Inwieweit unterliegt Dataport beziehungsweise das Sondervermögen Hamburgisches Telekommunikationsnetz den Meldepflichten nach TKG? Gibt es gegebenenfalls spezifische „interne“ Regelungen seitens der FHH analog zu denen des TKG für Dataport beziehungsweise das Sondervermögen Hamburgisches Telekommunikationsnetz? Sie fallen nicht unter die Meldepflichten nach Telekommunikationsgesetz. Gleichwohl werden Informationen über Sicherheitsvorfälle in der betriebenen Infrastruktur im CERT-Verbund (einer Allianz deutscher Sicherheits- und Computer-Notfallteams) mit anderen Verwaltungs-CERTs und dem Bundesamt für Sicherheit in der Informationstechnik ausgetauscht.