Niedersächsischer Landtag  17. Wahlperiode Drucksache 17/2489 1 Antwort auf eine Kleine schriftliche Anfrage - Drucksache 17/1936 - Wortlaut der Anfrage der Abgeordneten Dr. Marco Genthe, Jan-Christoph Oetjen und Jörg Bode (FDP), eingegangen am 04.09.2014 No-Spy-Garantie für künftige IT-Aufträge? Über ein Jahr ist es inzwischen schon her, dass der NSA-Abhörskandal durch den ehemaligen Mit- arbeiter des amerikanischen Geheimdienstes Edward Snowden aufgedeckt wurde. Seitdem wer- den regelmäßig neue Praktiken und Programme der NSA und auch anderer Geheimdienste veröf- fentlicht. Demnach haben einige Landesverwaltungen in den letzten Jahren mit IT-Firmen zusam- mengearbeitet, die im Zuge dieses Skandals aufgefallen sind und die Kundeninformationen an bri- tische und amerikanische Geheimdienste übermittelt haben. Aus diesem Grund fordert die Bundes- regierung (laut einigen Medienberichten) schon seit längerer Zeit eine No-Spy-Garantie für die Vergabe von IT-Aufträgen. Dabei sollen die Unternehmen vor Auftragsvergabe zusichern, dass sie verantwortungsvoll mit den Daten umgehen und diese nicht weiterleiten werden. Vor diesem Hintergrund fragen wir die Landesregierung: 1. Wie bewertet die Landesregierung die Forderung nach einer solchen No-Spy-Garantie? 2. Inwiefern gibt es in Niedersachsen schon Bemühungen, die dafür sorgen sollen, dass ver- trauensvoll mit den Kundeninformationen umgegangen wird? 3. Inwiefern besteht aus Sicht der Landesregierung bezogen auf diese Thematik die Notwendig- keit für eine bundesweite Lösung? 4. Wo und bei welchen Firmen sind Daten der Landesverwaltung auf welchen Datenträgern (z. B. Server oder Cloud) gespeichert, und inwiefern kann die Landesregierung in einem sol- chen Fall Datenmissbrauch ausschließen und sicherstellen, dass an diesen Standorten deut- sche Standards eingehalten werden? (An die Staatskanzlei übersandt am 15.09.2014) Antwort der Landesregierung Niedersächsisches Ministerium Hannover, den 27.11.2014 für Inneres und Sport - 42.20-01425/0001-0010 - In den Behörden der niedersächsischen Landesverwaltung wird Informationstechnologie in vielfälti- ger Weise zur Aufgabenerfüllung genutzt. Hierbei ist es ein besonderes Anliegen der Landesregie- rung, die Vertraulichkeit, Verfügbarkeit und Integrität aller Daten, die zur Aufgabenerfüllung der öf- fentlichen Verwaltung verarbeitet werden, sicherzustellen. Bereits im Jahr 2011 hat der Niedersächsische IT-Planungsrat die Leitlinie zur Gewährleistung der Informationssicherheit (ISLL) beschlossen und in Kraft gesetzt (Nds. MBl. 2011, Seite 518). Sie verpflichtet die unmittelbare Landesverwaltung, ein wirkungsvolles Informationssicherheitsmana- gementsystem (ISMS) aufzubauen sowie dauerhaft aufrechtzuerhalten und weiterzuentwickeln. Die Sicherheitslage wird für die niedersächsische Landesverwaltung durch das beim Ministerium für Inneres und Sport bestehende Niedersachsen-CERT (Computer Emergency Response Team), Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/2489 2 den Informationssicherheitsbeauftragten der Landesverwaltung (Chief Information Security Officer - CISO) und durch die Informationssicherheitsbeauftragten der Behörden ständig bewertet. Gegebe- nenfalls notwendige organisatorische und technische Maßnahmen werden in direkter Zusammen- arbeit mit den IT-Dienstleistern in der niedersächsischen Landesverwaltung umgesetzt. Dabei wer- den die nach dem jeweiligen Stand der Technik angemessenen Schutzmechanismen angewendet, um Daten vor unberechtigtem Zugriff zu schützen. In den Vergabeverfahren der niedersächsischen Landesverwaltung ist es gängige Praxis, dass von den Bietern auch die Anforderungen aus Sicht des Datenschutzes, des Geheimschutzes, der In- formationssicherheit, der Notfallvorsorge und des vorbeugenden personellen Sabotageschutzes er- füllt werden müssen. Bei der Vergabe von IT-Leistungen werden die allgemein gültigen Bestim- mungen des Vergaberechts auf nationaler und europäischer Ebene angewendet. Dies vorausgeschickt, beantworte ich die Anfrage namens der Landesregierung wie folgt: Zu 1: Die Bemühungen der Bundesregierung, zum Schutz der inneren und äußeren Sicherheit sowie der staatlichen Souveränität den heimlichen Abfluss von Regierungswissen an fremde Mächte mit einer sogenannten No Spy Garantie und weiteren Regelungen zu verhindern, werden von der Landesre- gierung begrüßt. In der Landesregierung wird die Möglichkeit einer Einführung vergleichbarer Regelungen in der niedersächsischen Landesverwaltung derzeit umfassend geprüft. Zu 2: Die Vergabe von IT-Leistungen erfolgt in der niedersächsischen Landesverwaltung auf Grundlage von Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) gemäß § 55 Bundeshaushaltsordnung (BHO) und Beschlüssen des IT-Planungsrats Bund/Länder, die auch in Niedersachsen durch Runderlass verbindlich sind. Den EVB-IT werden Geheimhaltungs- vereinbarungen und Leistungsbeschreibungen sowie gegebenenfalls zusätzliche Merkblätter (z. B. für Geheimschutz) beigefügt. Die Anforderungen aus Sicht des Datenschutzes, des Geheimschut- zes, der Informationssicherheit, der Notfallvorsorge und des vorbeugenden personellen Sabotage- schutzes sind wichtige Bestandteile der Leistungsverzeichnisse. Die Leistungsanforderungen an die Informationssicherheit, die Notfallvorsorge und den Datenschutz zum Vergabegegenstand wer- den insbesondere anhand der jeweils vorliegenden Vorabkontrollen nach § 7 Nds. Datenschutzge- setz in der gültigen Fassung, der Sicherheitskonzepte gemäß der Leitlinie zur Gewährleistung der Informationssicherheit (Nds. MBl. 2011, Seite 518) und der Notfallvorsorgekonzepte im Leistungs- verzeichnis spezifiziert und anschließend zum Vertragsbestandteil gemacht. Die nationalen Stan- dards des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik und die in- ternationalen Standards (z. B. Internationale Zertifizierungsnorm für Informationssicherheitsmana- gementsysteme - ISO 27001) werden insofern berücksichtigt. Daneben wird von den Bietern mit dem Angebot der Nachweis gefordert, dass die für die Umsetzung des Auftrags vorgesehenen Fir- menmitarbeiter (sowie Mitarbeiter von Subunternehmern) die notwendige Eignung, Fachkunde und Erfahrung im Hinblick auf Informationssicherheit, Notfallvorsorge und Datenschutz besitzen. Im Fal- le des Einsatzes von Firmenmitarbeitern (bzw. Mitarbeitern von Subunternehmern) an sicherheits- empfindlichen Stellen (z. B. Wartungsarbeiten im Rechenzentrum) gelten die Regelungen des vor- beugenden personellen Sabotageschutzes i. d. F. vom 30.03.2004. Die Einforderung der Bereit- schaft, dass sich Mitarbeiter der zu beauftragenden Firmen den Bedingungen des Nds. Sicher- heitsüberprüfungsgesetzes (Nds. SÜG) zu unterwerfen und Verpflichtungserklärungen zur Informa- tionssicherheit zu unterzeichnen haben, hat sich bewährt. Ferner sind bei bestimmten Vergaben die Vorgaben der Verschlusssachenanweisung für das Land Niedersachen i. d. F. vom 13.02.1997 mit ihren ergänzenden Richtlinien beim Einsatz von Informationstechnik zu beachten. Im Übrigen verweise ich auf die Vorbemerkungen. Zu 3: Die Landesregierung prüft derzeit umfassend, ob bundesweit einheitliche Regelungen erforderlich sind, um ein Auseinanderdriften der vergaberechtlichen Anforderungen zur IT-Sicherheit in Bund und Ländern zu vermeiden und ein hohes gemeinsames Sicherheitsniveau zu erreichen. Vor die- Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/2489 3 sem Hintergrund steht die Landesregierung in engem Austausch mit anderen Ländern und dem Bund. Zu 4: Die Daten der Landesverwaltung werden grundsätzlich auf behördeneigenen Servern oder Servern im Herrschaftsbereich des landeseigenen Dienstleisters IT.Niedersachsen gespeichert. Dabei wer- den die Daten auf magnetischen Speichermedien, weit überwiegend auf Festplatten in Servern oder speziellen Speichersystemen (Storagesysteme) gespeichert. IT.Niedersachsen wird als Dienstleister im Rahmen der Auftragsdatenverarbeitung für andere Lan- desbehörden tätig und ergreift verschiedene Maßnahmen, um eine missbräuchliche Nutzung von Daten bei IT.Niedersachsen auszuschließen: – IT.Niedersachsen betreibt ein eigenes Informationssicherheitsmanagementsystem (sogenann- tes ISMS), welches in einem fortwährenden Prozess den Umgang mit Informationen vor dem Hintergrund der Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität regelt und kon- trolliert. – Den Belangen der Informationssicherheit trägt IT.Niedersachsen entsprechend Nummer 7.1.2 der Leitlinie zur Gewährleistung der Informationssicherheit (ISLL/Nds. MBl. 2011, Seite 518) insbesondere durch einen hauptamtlichen Informationssicherheitsbeauftragten mit den Aufga- ben gemäß Nummer 6.3.2 ISLL Rechnung. Dessen Tätigkeit wird durch den ebenfalls haupt- amtlich bestellten behördlichen Datenschutzbeauftragten flankiert. – Für jedes Verfahren bei IT.Niedersachsen werden die dem Stand der Technik entsprechenden angemessenen Sicherungsmaßnahmen anhand anerkannter Standards (z. B. IT-Grundschutz- kataloge des Bundesamts für Sicherheit in der Informationstechnik, DIN/ISO 27001) ermittelt und umgesetzt. – Neben einer Reihe von technischen Einzelmaßnahmen, welche von den jeweils eingesetzten IT-Infrastrukturkomponenten abhängen, legen z. B. Rechtekonzepte fest, wer Zugriff auf die in den Systemen verarbeiteten Daten haben darf und welche Arten der Verarbeitung im Einzelfall zulässig und folglich technisch möglich sind. Die bei IT.Niedersachsen tätigen Landesbediensteten sind kraft Gesetzes dem Datengeheimnis gemäß § 5 des Niedersächsischen Datenschutzgesetzes (NDSG) verpflichtet. Bei der Möglichkeit des Zugangs zu sensiblen Systemen wird überdies eine Überprüfung nach dem Nds. SÜG durch- geführt. Auftragnehmer von IT.Niedersachsen werden vertraglich dazu verpflichtet, ihr Personal auf das Datengeheimnis zu verpflichten und auf die damit im Zusammenhang stehenden Strafvorschrif- ten hinzuweisen. Vor dem ersten Einsatz wird Personal von Auftragnehmern durch IT.Niedersach- sen nochmals belehrt. Auch im Zusammenhang mit Personal von Auftragnehmern werden beim Vorliegen der gesetzlichen Voraussetzungen Überprüfungen nach dem Nds. SÜG durchgeführt, soweit selbiges nicht bereits durch das Bundesministerium für Wirtschaft und Technologie geheim- schutzbetreut ist. Schließlich gewährleistet § 6 NDSG die Einhaltung der Anforderungen aus dem NDSG durch IT.Niedersachsen im Verhältnis zu entsprechenden Auftragnehmern. Hiervon abweichend werden in einigen Bereichen der Landesverwaltung Daten auf Servern von Kommunen einschließlich Dienstleistern in kommunaler Trägerschaft (z. B. HannIT, KDO), anderer Bundesländer oder des Bundes verarbeitet und/oder gespeichert. Vereinzelt werden Daten auch bei privaten IT-Dienstleistern und anderen Firmen im Rahmen von Auftragsdatenverarbeitungen verarbeitet und/oder gespeichert. Auch in diesen Fällen werden die nach innen und außen gelten- den rechtlichen, technischen und organisatorischen Sicherheitsstandards und -techniken ange- wandt. Die Offenlegung detaillierter Angaben der Daten und Firmen in einer auch der Öffentlichkeit zugänglichen Beantwortung einer sogenannten Kleinen Anfrage unterbleibt an dieser Stelle aus Gründen des Wohls des Landes (Artikel 24 Abs. 3 NV), da die IT-Sicherheit des Landes Nieder- sachsen tangiert ist. Auf Wunsch wird die Landesregierung die Einzelheiten gern in einer vertrauli- chen Sitzung des zuständigen Fachausschusses mitteilen. Verwaltungsdaten (Personal-, Studierenden-, Haushalts- und sonstige Daten der Hochschulverwal- tung) der Hochschulen werden grundsätzlich nicht außerhalb des Hochschulbereiches gespeichert. Daten aus dem Bereich Lehre werden i. d. R. im Lernmanagementsystem Stud.IP auf Hochschul- Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/2489 4 servern gespeichert. Forschungsdaten sollen grundsätzlich auf internen Servern gespeichert wer- den. Hierzu wurde an den niedersächsischen Hochschulen die hochschulübergreifende Hochschul- Storage-Cloud aufgebaut. Bei Forschungsverbundprojekten mit bundesweiter oder internationaler Beteiligung kann es erforderlich sein, dass Forschungsdaten außerhalb Niedersachsens gespei- chert werden. Bei Forschungsprojekten mit Beteiligung oder auf Veranlassung von Wirtschaftsun- ternehmen kann es erforderlich sein, Forschungsdaten auch bei den beteiligten Firmen zu spei- chern. Bediensteten der Hochschulen ist die Nutzung von Onlinespeicherdiensten wie DropBox in der Regel über die Nutzungsordnung der Hochschulrechenzentren untersagt. Soweit Daten auf Servern oder Cloud-Strukturen im (gegebenenfalls deutschlandweiten) Hochschulbereich liegen, wird Datenmissbrauch u. a. durch technische Maßnahmen (grundlegende Rechtevergabe, Fire- walls, Kryptotechnik, Zugriffsprotokollierung) und durch Zugangsregelungen über die Niedersächsi- sche Hochschul-Authentifizierungs- und Autorisierungsinfrastruktur (Nds-AAI) oder die deutsch- landweite DFN-AAI des Wissenschaftsnetzes verhindert. Trotz der genannten umfassenden Maßnahmen liegt es in der Natur der Sache, dass es einen ab- soluten Schutz vor Datenmissbrauch nicht geben kann. Boris Pistorius (Ausgegeben am 15.12.2014) Drucksache 17/2489 Antwort auf eine Kleine schriftliche Anfrage - Drucksache 17/1936 - Wortlaut der Anfrage der Abgeordneten Dr. Marco Genthe, Jan-Christoph Oetjen und Jörg Bode (FDP), eingegangen am 04.09.2014 No-Spy-Garantie für künftige IT-Aufträge? Antwort der Landesregierung