BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/5588 21. Wahlperiode 23.08.16 Schriftliche Kleine Anfrage des Abgeordneten Michael Kruse (FDP) vom 15.08.16 und Antwort des Senats Betr.: Hack der Website von HAMBURG WASSER Medienberichten zufolge wurde am Morgen des 13. August 2016 die Website von HAMBURG WASSER gehackt. Die Seite zeigte ein wirres „Bekennerschreiben “ vermeintlich algerischer Hacker und wurde daraufhin vom Netz genommen. Kundendaten seien von dem Hack nicht betroffen gewesen, da diese sich auf einem anderen Server befänden. Am 03. Mai 2016 ist die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) in Kraft getreten. Jenseits der bereits qua Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geltenden Regelungen ergibt sich aus § 3 BSI-KritisV, dass die Versorgung der Allgemeinheit mit Trinkwasser und die Entsorgung von Abwässern kritische Dienstleistung im Sinne des § 10 Absatz 1 BSIG ist und insoweit bestimmte Infrastrukturen als kritisch gelten. Damit muss auch HAM- BURG WASSER zukünftig gewisse durch das BSI zu kontrollierende Sicherheitsstandards und Meldepflichten erfüllen. Nachrichtenportale wie golem.de berichteten bereits seit einigen Monaten über Angriffe aus dem Internet auf diverse Wasserwerke innerhalb Deutschlands .1 Vor diesem Hintergrund frage ich den Senat: Bei den in der Presse diskutierten Sicherheitslücken anderer Versorgungsunternehmen handelt es sich um die Frage eines möglichen Zugriffs auf die Systemsteuerung von Wasserwerken als kritische Infrastruktur. Dies ist deutlich zu unterscheiden von der hier im Raum stehenden manipulierten Webseite des Unternehmens HAMBURG WASSER. Dies vorausgeschickt, beantwortet der Senat die Fragen auf der Grundlage von Auskünften von HAMBURG WASSER und der Stromnetz Hamburg GmbH wie folgt: 1. Wer ist für die IT-seitige Betreuung von HAMBURG WASSER zuständig ? Inwieweit ist hiermit auch Dataport beauftragt? HAMBURG WASSER hat eine interne IT-Abteilung. Mit Dataport arbeitet HAMBURG WASSER auf diesem Gebiet nicht zusammen. 2. Durch welchen Provider beziehungsweise in welchem Rechenzentrum wurde die gehackte Website von HAMBURG WASSER gehostet? 1 Vergleiche http://www.golem.de/news/kritische-infrastruktur-wasserversorgung-durchhackerangriffe -gestoert-1603-119521.html und http://www.golem.de/news/schwachstellenaufgedeckt -der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html. Drucksache 21/5588 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 HAMBURG WASSER hat eigene Rechenzentren. Der betroffene Server befindet sich im hauseigenen Rechenzentrum. 3. Wann genau begann der Angriff beziehungsweise wann genau wurden durch wen erste Hinweise auf einen Angriff auf die Website oder eine sonstige Kompromittierung des Website-Servers festgestellt? Wann genau wurde durch wen festgestellt, dass die Website beziehungsweise der Website-Server tatsächlich gehackt wurde? (Bitte jeweils Datum und Uhrzeit angeben.) Der Angriff auf die Webpräsenz von HAMBURG WASSER erfolgte am Sonnabend, den 13. August 2016 in den Morgenstunden. Dies wurde am Vormittag gegen 11 Uhr parallel durch Kunden und HAMBURG WASSER selbst festgestellt. HAMBURG WASSER hat umgehend eingegriffen und mit der Analyse und den Korrekturarbeiten begonnen. Der betroffene HAMBURG-WASSER-Webserver wurde am selben Tag kurz vor 13 Uhr abgeschaltet. 4. Jeweils wann genau wurden jeweils welche Gegenmaßnahmen eingeleitet ? a. Bis wann soll die Website von HAMBURG WASSER wieder online gehen? HAMBURG WASSER legt sehr hohe Priorität darauf, den Kunden die Webseite schnellstmöglich wieder online zur Verfügung zu stellen. Allerdings ist die Einhaltung aller sicherheitsrelevanten Aspekte Voraussetzung für die Freischaltung. Es wird davon ausgegangen, dass die Seite im Laufe der 33. Kalenderwoche wieder zur Verfügung steht. In der Zwischenzeit hat HAMBURG WASSER eine Vorschaltseite online gestellt, auf der die Kunden über den Sachstand informiert werden, und über die unter anderem direkt auf das nicht betroffene Kundenportal zugegriffen werden kann. b. Wie hoch waren beziehungsweise sind die mit der Bekämpfung des Vorfalls und der Behebung der Folgen verbundenen Extrakosten? Bisher haben drei Mitarbeiter an drei vollen Tagen an der Thematik gearbeitet. Es sind keine Zusatzkosten entstanden, da die Mitarbeiter generell bei HAMBURG WASSER angestellt sind und lediglich die Arbeitsverteilung umorganisiert werden musste. Vor Wiederinbetriebnahme des HAMBURG-WASSER-Webauftrittes wird die Internetseite noch einmal unter Einbindung eines externen Fachunternehmens geprüft werden. 5. Auf welche Daten und Server wurde durch die Hacker zugegriffen? Welche Folgen hatte dies beziehungsweise welche Schäden sind dabei entstanden ? Der Hacker hatte Zugriff auf die HAMBURG-WASSER-Webpräsenz und somit auf die Informationen, die HAMBURG WASSER auf der Internetseite präsentiert. Diese Informationen sind sämtlich öffentliche Informationen. a. Inwieweit ist sichergestellt, dass tatsächlich „nur“ die Website gehackt und mit anderen Inhalten befüllt wurde? Wurden tatsächlich keine Kundendaten oder ähnliche kopiert oder kompromittiert? b. Inwieweit kann gesichert gesagt werden, dass die Website nicht bereits vorab kompromittiert war und beispielsweise auf diesem Wege bereits Kundendaten abgegriffen wurden? Es ist umfangreich überprüft worden, dass nur die Webpräsenz von HAMBURG WASSER gehackt wurde. Auf der HAMBURG-WASSER-Webseite sind keine Kundendaten hinterlegt. Im Übrigen siehe Antwort zu 6. 6. Bestand zum Zeitpunkt des Vorfalls und besteht derzeit eine durchgehende physische Trennung zwischen SCADA-Systemen kritischer Infrastrukturen der Hamburger Wasserwerke GmbH (HWW) sowie Hamburger Stadtentwässerung AöR (HSE) und Rechnern mit Internetzugang, inklusive dem Server, auf dem die Website gehostet war sowie dem, auf dem Kundenportal beziehungsweise Kundendaten hinterlegt sind? Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/5588 3 Ja. 7. Konnte die Spur des Angriffs bereits zurückverfolgt werden? Wenn ja, um welche Angreifer handelte es sich und von wo beziehungsweise über welche Serverstandorte wurde der Angriff durchgeführt ? Nein. HAMBURG WASSER arbeitet an der Analyse. 8. Haben HAMBURG WASSER sowie die weiteren Betreiber kritischer Infrastrukturen, die der Kontrolle der Freien und Hansestadt Hamburg unterstehen, bereits eine Kontaktstelle im Sinne von § 8b Absatz 3 BSIG eingerichtet? Wenn ja, jeweils wann? Wenn nein, warum nicht und bis wann soll dies jeweils erfolgen? (Bitte nach Betreibern differenziert auflisten.) Nein. Bis auf HAMBURG WASSER unterstehen keine Betreiber kritischer Infrastrukturen der Kontrolle der Freien und Hansestadt Hamburg. HAMBURG WASSER hat seit dem 1. Juli 2016 eine Stabsstelle Informationssicherheit geschaffen. Diese Stelle befindet sich im Aufbau und soll anschließend als Kontaktstelle fungieren. Darüber hinaus kommt die Stromnetz Hamburg GmbH seit dem Inkrafttreten der Rechtsverordnung ihrer Meldepflicht nach § 11 Absatz 1c Energiewirtschaftsgesetz für erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik nach. Zusätzlich hat sie am 24. Juni 2016 eine jederzeit erreichbare Kontaktstelle beim Bundesamt für Sicherheit in der Informationstechnik benannt. 9. Wurde der Vorfall von HAMBURG WASSER und/oder der zuständigen Fachaufsichtsbehörde vor dem Hintergrund von § 8b Absatz 4 BSIG an das BSI gemeldet? Wenn ja, wann und welche Reaktion erfolgte wann seitens des BSI? Wenn nein, warum nicht? Eine Meldung ist nicht erfolgt, da der Vorgang nicht meldepflichtig ist. Kritische Infrastrukturen sind nicht betroffen. 10. Bis wann soll der Vorfall durch wen abschließend aufgeklärt werden? So schnell wie möglich. HAMBURG WASSER arbeitet an der Aufklärung.