Kleine Anfrage des Abg. Dr. Wilken (DIE LINKE) vom 10.07.2014 betreffend die Nutzung von Cloud-Computing durch Hessische Ministerien und nachgeordnete Behörden und Antwort des Ministers der Finanzen Vorbemerkung des Fragestellers: Die Risiken, die Cloud-Infrastrukturen für Anwenderdaten bedeuten, sind nur teilweise abzuschätzen. Cloud-Infrastrukturen sind durch ihre Exponiertheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt. Sie sind öffentlich erreichbar und zumeist betreiben Dritte ihre Infrastruktur. Beides hat hohe Sicherheitsrisiken zur Folge. Zum Beispiel ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um etwa Denial-ofService -Attacken (DoS) zu starten oder Schadsoftware zu hosten, was durch grundlegende Eigenschaften von Cloud-Infrastrukturen (wie die schnelle und einfache Verfügbarkeit neuer Ressourcen) begünstigt wird. Zudem bieten viele Cloud-Anbieter einen einfachen Anmeldeprozess an. Gelingt es einem Angreifer, die Zugangsdaten eines Kundenkontos in Erfahrung zu bringen, kann er so auf fremde Daten zugreifen und Ressourcen missbrauchen. Auch kann es durch technische Probleme zu Datenverlusten kommen. Diese Vorbemerkung des Fragestellers vorangestellt, beantworte ich die Kleine Anfrage wie folgt: Frage 1. Nutzen Hessische Ministerien und/oder ihnen nachgeordnete Behörden Cloud-Computing? Frage 2. Wenn ja, welche? (Bitte aufschlüsseln nach Ministerien bzw. Behörden und den Cloud- Geschäftspartnern) Die HZD bietet den Ministerien und/oder ihnen nachgeordneten Behörden gegenwärtig kein Cloud-Computing an, auch nicht in Zusammenarbeit mit bzw. unter Einbindung von externen privatwirtschaftlichen Cloud-Providern. Lediglich zur Unterstützung des zentralen Virenschutzes nutzt die HZD selbst McAfee-Artemis als Cloud-Service. Der Hessische Datenschutzbeauftragte hat gegen die Nutzung im Rahmen der Prüfung der Vorabkontrolle keine Einwände erhoben . Frage 3. Werden Daten von Bürgerinnen und Bürgern auf den virtuellen Servern gespeichert? Die HZD nutzt Virtualisierung zum wirtschaftlicheren Betrieb des eigenen Rechenzentrums, insbesondere zur Reduzierung von Energie- und Klimalasten. Sie speichert Daten von Bürgerinnen und Bürgern nicht in öffentlichen Cloud-Diensten und nutzt auch keine virtualisierten Systeme von privaten Cloud-Anbietern zur Speicherung der Daten von Bürgerinnen und Bürgern. Frage 4. Wie wird mit den bestehenden Sicherheitsrisiken umgegangen? Gemäß der Informationssicherheitsleitlinie für die Hessische Landesverwaltung und bestehenden Datenschutzbestimmungen werden jeweils anwendungsbezogen Datenschutzbeschreibungen und Sicherheitskonzepte erstellt, in denen die spezifischen Risiken betrachtet und Sicherheitsmaßnahmen entwickelt werden. Diese Vorgehensweise würde auch im Falle einer zukünftigen Nutzung von Services mit Cloud-Charakter realisiert werden. Eingegangen am 6. Oktober 2014 · Ausgegeben am 13. Oktober 2014 Herstellung: Kanzlei des Hessischen Landtags · Postfach 3240 · 65022 Wiesbaden · www.Hessischer-Landtag.de Drucksache 19/665 06. 10. 2014 19. Wahlperiode HESSISCHER LANDTAG 2 Hessischer Landtag · 19. Wahlperiode · Drucksache 19/665 Frage 5. Falls Cloud-Computing bisher nicht genutzt wird: Ist die Nutzung geplant? Seitens der HZD wird derzeit geprüft, in wie weit eigene Cloud-Infrastrukturen als Dienstleistung für die Landesverwaltung aufgebaut und betrieben werden können. Wiesbaden, 18. September 2014 Dr. Thomas Schäfer