BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/7184 21. Wahlperiode 13.12.16 Schriftliche Kleine Anfrage des Abgeordneten Michael Kruse (FDP) vom 06.12.16 und Antwort des Senats Betr.: Wirtschaftsspionage und Cyberangriffe in Hamburg – Wie ist die Sicherheitslage der Unternehmen? Nach aktuellen Erkenntnissen des Bundesamtes für Verfassungsschutz gab es einen versuchten Cyberangriff auf ein deutsches Medienunternehmen. Dieselbe gefälschte Absenderadresse wurde auch für die Cyberangriffe auf den Deutschen Bundestag verwendet. Die Angriffsversuche sollen die aktivsten und aggressivsten Cyberspionageoperationen im virtuellen Raum sein. Nach einer Studie des Digitalverbandes Bitkom ist gut die Hälfte aller Unternehmen in Deutschland in den letzten zwei Jahren Opfer von digitaler Wirtschaftsspionage , Sabotage oder Datendiebstahl geworden. Auf Antrag aller Fraktionen hat der Deutsche Bundestag am 20. März 2014 einen Untersuchungsausschuss zur NSA-Affäre eingesetzt. In diesem Zusammenhang wurde deutlich, dass Spionage oftmals auch zu wirtschaftlichen Zwecken betrieben wird. So sollen Unternehmen und Konzerne in Deutschland regelmäßig abgehört worden sein. Die Schäden für die Unternehmen durch Wirtschaftsspionage sind hoch. In diesem Zusammenhang hatte das Bundesinnenministerium im Mai 2014 angekündigt, mögliche Abwehrmechanismen gegen Spionageangriffe auszubauen. Vor diesem Hintergrund fragen wir den Senat: Der Begriff Wirtschaftsspionage schließt Behörden und Ämter als Betroffene qua Definition aus. Wirtschaftsspionage ist die staatlich gelenkte oder gestützte, von fremden Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen. Unter Konkurrenzspionage, die nicht in den Zuständigkeitsbereich des Landesamts für Verfassungsschutz (LfV) Hamburg fällt, versteht man die widerrechtliche Beschaffung von Informationen oder Know-how bei konkurrierenden Unternehmen. Der wirksame Schutz vor Wirtschaftsspionage liegt primär in der Zuständigkeit der Unternehmen selbst. Entscheidend ist hierfür unter anderem ein hoher Standard bei der IT-Sicherheit. Staatliche Stellen können hierbei flankierend und unterstützend tätig werden. Bei der Wirtschaftsspionage handelt es sich um keine eigenständige Deliktsform im Sinne des Strafgesetzbuches (StGB), sie ist an unterschiedlichen Stellen in verschiedenen Ausprägungen kodifiziert (unter anderem § 17 Gesetz gegen den unlauteren Wettbewerb (UWG), §§ 98, 99, 202a, 303b StGB). Im Übrigen siehe Drs. 20/8605 Die Polizei unterscheidet nicht zwischen Cyberangriff und Cyberkriminalität. Die Begriffe beinhalten grundsätzlich Sachverhalte, die den Anfangsverdacht von konkreten Straftaten nach dem Strafgesetzbuch oder dem Gesetz gegen den unlauteren Wettbewerb begründen. Bei derartigen Sachverhalten werden kriminalpolizeiliche Ermittlungen im Landeskriminalamt Hamburg geführt. Aufgrund der zunehmenden Drucksache 21/7184 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Bedeutung der Informationstechnik für Wirtschaftsunternehmen – insbesondere im Umgang mit sensiblen Personendaten oder Betriebsgeheimnissen/Schutz von Knowhow –, aber auch für Privatpersonen, wird diesem Deliktsbereich durch die Polizei eine hohe Priorität beigemessen. Neben der Strafverfolgung ist für die Polizei auch die Prävention eine wichtige Aufgabe . Sie berät und informiert Hamburger Unternehmen über aktuelle Entwicklungen und Gefahren, damit diese entsprechende Maßnahmen zum Schutz ihrer IT-Systeme einschließlich der dort enthaltenen Daten treffen können. Unter der Internet-Adresse http://www.hamburg.de/polizei/kriminalpraevention/5017458/ip-cam-a/ informiert die Polizei zu diesem Thema. Dies vorausgeschickt, beantwortet der Senat die Fragen, teilweise auf der Grundlage von Auskünften der Öffentlichen Unternehmen, wie folgt: 1. Wie hat der Senat in den Jahren 2014 bis 2016 die Behörden sowie öffentlichen Unternehmen vor versuchten Cyberangriffen und direkten Cyberattacken geschützt? Welche Sicherheitsvorkehrungen sind konkret wann getroffen worden? Die Öffentlichen Unternehmen veranlassen und aktualisieren in Zusammenarbeit mit den jeweiligen IT-Dienstleistungsunternehmen in eigener Verantwortung die notwendigen Vorkehrungen zum Schutz vor Angriffen auf die Datensicherheit ihrer IT- Systeme (zum Beispiel Firewall mit Application Control, Antivirus-Software, technische Abwehrmechanismen). Für die Behörden der Freien und Hansestadt Hamburg (FHH) setzt der Dienstleister Dataport AöR (Dataport) Maßnahmen des IT-Grundschutzes um, die unter anderem aktuelle Virenscanner, Firewalls sowie Software- und Patch-Management umfassen und auch die an das FHH-Netz angeschlossenen IT-Arbeitsplätze der öffentlichen Unternehmen einbeziehen. Darüber hinaus informiert das LfV Hamburg regelmäßig im Rahmen seiner gesetzlich vorgeschriebenen Aufgaben über die Gefahren von Cyberangriffen und direkten Cyberattacken. Dies geschieht durch Medienarbeit (Pressestatements, Interviews, Internetbeiträge auf der Homepage, jährlicher Verfassungsschutzbericht, Versendung von Warnhinweisen) sowie durch Vorträge und Teilnahme an Diskussionsveranstaltungen . Vertreter des LfV Hamburg stehen für Beratungen zur Verfügung. Im Übrigen siehe Antwort zu 3. Die bei der Polizei Hamburg zuständige Organisationseinheit Informationstechnik (IT) setzt zur regelmäßigen Prüfung laufender sowie möglicher zusätzlicher Präventivmaßnahmen ein sogenanntes Sicherheits-Management-Team ein. Zusätzlich erfolgt innerhalb der deutschen Polizeibehörden regelmäßig eine gegenseitige Prüfung der IT-Sicherheit. Zudem wird derzeit die Sicherheit des Internetbrowser-Systems für das Entwicklungsnetz der Polizei Hamburg noch weiter verbessert. Im Übrigen siehe Drs. 20/7821. Der Senat hat am 2. April 2013 die Informationssicherheitsleitlinie (IS-LL) beschlossen . Auf Basis der IS-LL wurde in Abstimmung mit den Behörden ein zentrales Rahmen -Sicherheitskonzept (RaSiKo) am 1. Juli 2015 erlassen. Im Übrigen siehe Drs. 21/266. 2. Wie viele versuchte Cyberangriffe und direkte Cyberattacken hat es bei Behörden sowie öffentlichen Unternehmen in den Jahren 2011 bis 2016 in Hamburg gegeben? Welche Auswirkungen hatte dies auf interne und externe Arbeitsabläufe? Welcher Schaden in welcher Höhe ist der Freien und Hansestadt Hamburg dadurch entstanden? Der zuständigen Behörde liegen Erkenntnisse zu den üblichen ungezielten Angriffen (zum Beispiel Spam-Mails) vor. Darüber hinaus gab es im erfragten Zeitraum zwei festgestellte Angriffe auf Webseiten der Hamburg Kreativ Gesellschaft mbH mit der Folge, dass die Seiten für jeweils einen Tag offline genommen wurden. Die Wiederherstellung kostete circa 1.000 Euro. Arbeitsabläufe waren davon nicht betroffen. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/7184 3 Im Jahr 2014 hat es eine Infektion von Rechnern der FHH mit einer Schadsoftware gegeben. Auch die Justiz war betroffen (siehe Drs. 20/11448 und 20/11609). Im Dezember 2015 hat das Amtsgericht festgestellt, dass der zentrale Dateiablageserver im Ziviljustizgebäude von einem Virus befallen wurde, sodass etliche Dateien verschlüsselt wurden. Die Daten der betroffenen Bereiche konnten aus der Datensicherung weitestgehend wiederhergestellt werden. Die Schadenshöhe wurde nicht ermittelt . Ein Verschlüsselungsangriff via Locky wurde bei Stromnetz Hamburg (SNH) abgewehrt . Ein Schaden ist nicht entstanden. Universitätsklinikum Hamburg-Eppendorf (UKE): Festgestellte versuchte Cyberangriffe oder direkte Cyberattacken: Jahr Anzahl 2013 2 2014 4 2015 18 2016 19 In den Jahren 2011 und 2012 hat das UKE die nachgefragten Daten nicht erfasst. Nach Auskunft des UKE handelte es sich zumindest in den Jahren 2015 und 2016 nicht um gezielte Angriffe auf das UKE, sondern um breit gestreute Angriffsversuche, die zufällig auch die Netzbereiche des UKE mitbetrafen. Die Sicherungsmechanismen des UKE griffen, sodass es zu keiner Zeit zu einer ernsthaften Beeinträchtigung der Arbeitsabläufe gekommen ist. Im Übrigen siehe Drs. 21/5288. Perspektiv Kontor Hamburg Konzern (inklusive BFW (Berufsförderungswerk), BBW (Berufsbildungswerk), BTZ (Berufliches Trainingszentrum) und ausblick hamburg GmbH): Die Anzahl der Cyberangriffe auf die Unternehmen des Konzerns wird statistisch nicht erfasst. Arbeitsabläufe wurden gestört, aber nicht geändert. Angriffe konnten erfolgreich behoben werden. Es ist kein wirtschaftlicher Schaden entstanden. Elbkinder Hamburger Kitas gGmbH (inklusive Tochtergesellschaften): Die Anzahl der Angriffe ist nicht bekannt. In den sehr wenigen Fällen erfolgreicher Cyberattacken konnten durch ein gut funktionierendes Warnsystem die übrigen Anwender umgehend gewarnt werden. Die betroffenen PCs wurden sofort gekapselt. Zwei Angriffe konnten nicht abgewehrt werden. Es musste daher zweimal an Einzel-PCs auf das Backup zurückgegriffen werden. Außer dem Aufwand für die Wiederherstellung ist kein finanzieller Schaden entstanden. Im Jahr 2016 hat es bisher bei HAMBURG WASSER (HW) einen nennenswerten Cyberangriff auf einen öffentlichen Webdienst gegeben. Dadurch war die Verfügbarkeit der Unternehmenswebseiten sowie des Kundenportals kurzzeitig nicht gegeben. Der FHH ist hierdurch kein Schaden entstanden. Die Polizei hat für ihre IT-Infrastruktur, einschließlich der Telefonkommunikation, im genannten Zeitraum sieben sicherheitsrelevante Vorfälle festgestellt. Folge eines Befalls von Schadsoftware war, dass zwei File-Server bis zur Wiederherstellung drei Tage nicht zur Verfügung standen. Bei den anderen sechs Fällen handelte es sich jeweils um Trojaner, die per E-Mail auf einzelne Rechner gelangten. Hierbei entstand über den Personalaufwand zur Störungsbeseitigung hinaus kein weiterer Schaden. Im Übrigen siehe Vorbemerkung. 3. Wie informieren der Senat und seine nachgelagerten Behörden Unternehmen in Hamburg über aktuelle Cyberangriffe auf Unternehmen? Über aktuelle Cyberangriffe wird durch Warnmeldungen informiert. Diese werden von den Cyberabwehr- beziehungsweise Cyberkompetenzzentren aus dem Bundesamt für Verfassungsschutz (BfV) und aus dem LfV Bayern sowie in Einzelfällen durch andere Sicherheitsbehörden verfasst, zusätzlich vom Bundesamt für die Sicherheit in der Informationstechnik (BSI). Die Warnmeldungen des BSI werden parallel an das LfV Drucksache 21/7184 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 Hamburg, das Computer Emergency Response Team (CERT) in der Finanzbehörde sowie an Dataport gesteuert. Bei der Polizei ist das Fachkommissariat Cybercrime (LKA 54) der Zentrale Ansprechpartner Cybercrime (ZAC) für die Wirtschaft in Hamburg. In dieser Funktion leitet das LKA 54 den Arbeitskreis Cybercrime des Netzwerks Standortsicherheit Hamburg und ist als Kontaktstelle bei verschiedenen Fachveranstaltungen von IT- Unternehmen vertreten (zum Beispiel Voice, IT-Executive Club). Mitarbeiter des LKA 54 halten regelmäßig Vorträge im Rahmen von Veranstaltungen bei verschiedenen Unternehmen und Organisationen und führen Beratungsgespräche bei Unternehmen. Im Übrigen siehe Antwort zu 1. 4. Wie definiert der Senat Wirtschaftsspionage? Siehe Vorbemerkung. 5. Wie viele und welche Hamburger Unternehmen waren laut Kenntnis des Senats in den Jahren 2011 bis 2016 von Wirtschaftsspionage betroffen? Wie hoch wird der Schaden für die Unternehmen beziffert? Aus welchen Ländern kamen die Spionageangriffe? Angaben zu Erkenntnissen über die Benennung sowie die Anzahl der Unternehmen, die von Wirtschaftsspionage betroffen sind, können aus Gründen des Staatswohls nur gegenüber dem nach § 24 Hamburgisches Verfassungsschutzgesetz (HmbVerfSchG) für die parlamentarische Kontrolle des Senats auf dem Gebiet des Verfassungsschutzes zuständigen Kontrollausschusses (PKA) gemacht werden. Andernfalls bestünde die Gefahr, dass die Akteure der Wirtschaftsspionage Rückschlüsse auf die Arbeitsweise und Einblickstiefe des LfV Hamburg erhielten und eine künftige Beobachtung unverhältnismäßig erschwert würde. Im Übrigen siehe Vorbemerkung. 6. Welche Behörden, Ämter und öffentlichen Unternehmen in Hamburg waren in den Jahren 2011 bis 2016 von Wirtschaftsspionage betroffen? Wie hoch wird der Schaden für die Behörden, Ämter und andere Stellen beziffert? Behörden und Ämter können gemäß der in der Vorbemerkung dargelegten Definition nicht von Wirtschaftsspionage betroffen sein. Bei öffentlichen Unternehmen sind dem Senat keine Fälle von Wirtschaftsspionage bekannt geworden. Im Übrigen siehe Antwort zu 8. und Vorbemerkung. 7. Wie viele Ermittlungsverfahren wurden im Sinne der Definition von Wirtschaftsspionage in Hamburg in den Jahren 2011 bis 2016 durchgeführt und wie viele davon führten zu einer Verurteilung? Die originäre Zuständigkeit für Verfahren im Sinne der in der Antwort zu 4. genannten Definition liegt beim Generalbundesanwalt (§ 120 GVG). Bei der Staatsanwaltschaft Hamburg sind Verfahren wegen derartiger Straftaten im erfragten Zeitraum nicht erinnerlich . 8. Welche festgelegten Meldewege gibt es für Fälle der Wirtschaftsspionage und für Cyberangriffe in Hamburg? Gesetzliche Meldewege bestehen gemäß dem IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen. Diese Betreiber müssen solche Fälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, ansonsten droht ihnen ein Bußgeld . Sonstige Unternehmen sind nicht meldepflichtig. Bei der Polizei erfasst die zuständige Abteilung Staatsschutz (LKA 7) Fälle von Wirtschaftsspionage im bundeseinheitlichen Kriminalpolizeilichen Meldedienst „Politisch motivierte Kriminalität (KPMD-PMK)“ des Bundeskriminalamtes (BKA) unter den Oberthemen „Cybercrime“ sowie „Spionage“; diese gliedern sich in die weiteren Unterthemen „Politik“ und „Wirtschaft“. Das LKA 54 erfasst Ermittlungsverfahren im Bereich von Cybercrime in der Verbunddatei INPOL-Fallanwendung Cybercrime des BKA. Im Übrigen siehe Vorbemerkung. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/7184 5 9. Welche Kenntnisse hat der Senat beziehungsweise die zuständige Behörde über Unternehmen oder organisierte Kriminalität, die in Hamburg Wirtschaftsspionage betreiben? Erkenntnisse im Sinne der Fragestellung liegen der Polizei Hamburg nicht vor. 10. Wie sind der Senat beziehungsweise die zuständige Behörde auf Cyberangriffe auf Hamburger Unternehmen vorbereitet? Welche Probleme gibt es dabei? Im Rahmen seiner Zuständigkeit für den Wirtschaftsschutz bietet das LfV Hamburg ein breites Informationsangebot an. Dazu gehören Warnmeldungen, Sensibilisierungsgespräche , Vorträge sowie eine Beratung im Ereignisfall. Im Übrigen siehe Antworten zu 1., 3. und 8. 11. Wie kann der Senat kleine und mittelständische Unternehmen vor Spionageangriffen schützen? Wie unterstützen der Senat und seine nachgelagerten Behörden die Unternehmen? Innerhalb des LfV Hamburg steht die Spionageabwehr des LfV Hamburg, die eng mit der des Bundesamtes für Verfassungsschutz (BfV) kooperiert, stets zur Unterstützung und Beratung zur Verfügung. Im Übrigen siehe Antworten zu 1., 3., 8. und 10. 12. Wird eine engere Zusammenarbeit zwischen Unternehmen und Sicherheitsbehörde angestrebt? Wenn ja, wie konkret ist diese Zusammenarbeit ausgestaltet und seit wann? Wenn nein, warum nicht? Eine Zusammenarbeit konkretisiert sich insbesondere im Rahmen der Verbandsarbeit, die behördliche und unternehmerische Kontakte zusammenführt (insbesondere mit dem BDI und dem ASW). Der Bund verfolgt hierzu die Nationale Cyberabwehrstrategie (2016) sowie die Nationale Wirtschaftsschutzstrategie (2015). In Hamburg wird eine Zusammenarbeit zwischen Behörden und Unternehmen über das Netzwerk Standortsicherheit sichergestellt. Im Übrigen siehe Antworten zu 1. und 3. 13. Welche finanziellen Mittel plant der Senat zur Verhinderung von Wirtschaftsspionage , Cyberangriffen und Aufklärung im Haushaltsplan bis 2020 einzusetzen? Die im Sinne der Fragestellung verwendeten Ressourcen werden im Gesamtbudget des LfV Hamburg (Einzelplan 8.1, Behörde für Inneres und Sport, Aufgabenbereich 273 – Verfassungsschutz) nicht gesondert erfasst. Im Übrigen siehe Antwort zu 1. und Vorbemerkung. Die finanziellen Mittel zur Umsetzung von Sicherheitsmaßnahmen zur Verhinderung von Cyberangriffen sowie die dazu notwendige Aufklärung sind Bestandteil der IT- Planung. Im Übrigen sind die Überlegungen und Planungen hierzu noch nicht abgeschlossen . Neben technischen Maßnahmen werden auch die Mitarbeiterinnen und Mitarbeiter der FHH entsprechend sensibilisiert und informiert. Diese Information erfolgt bei akuten Gefährdungen umgehend und sowie durch jährliche Informationen zu den IT-Richtlinien . Die hierfür verwendeten Ressourcen werden in den Haushaltsplänen nicht gesondert erfasst. Für die Erarbeitung und die Umsetzung eines Informationssicherheitskonzeptes hat die Behörde für Schule und Berufsbildung 475.000 Euro im Rahmen der behördlichen IuK-Planung für 2018/2019 beantragt. 14. Gab es in Hamburg in den Jahren 2011 – 2016 Fälle von Politikspionage ? Wenn ja, welche und wie viele? Dem Senat sind keine Fälle im Sinne der Fragestellung bekannt.