Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/3250 1 Kleine Anfrage zur schriftlichen Beantwortung gemäß § 46 Abs. 1 GO LT mit Antwort der Landesregierung Anfrage der Abgeordneten Dragos Pancescu und Helge Limburg (GRÜNE) Antwort des Niedersächsischen Ministeriums für Ernährung, Landwirtschaft und Verbraucherschutz namens der Landesregierung Wie schützt die Landesregierung niedersächsische Verbraucherinnen und Verbraucher im Internet der Dinge? Anfrage der Abgeordneten Dragos Pancescu und Helge Limburg (GRÜNE), eingegangen am 20.02.2019 - Drs. 18/2945 an die Staatskanzlei übersandt am 22.02.2019 Antwort des Niedersächsischen Ministeriums für Ernährung, Landwirtschaft und Verbraucherschutz namens der Landesregierung vom 19.03.2019 Vorbemerkung der Abgeordneten Die WELT berichtete online am 3. Februar 2019: „Smarte Glühbirnen verraten WLAN-Passwörter noch im Müll“. Smarte, vernetzte Geräte wie per App steuerbare Glühbirnen oder Überwachungskameras könnten in vielen Fällen leicht gehackt werden, und IoT-Geräte (IoT = internet of things) könnten selbst nach dem Wegwerfen noch sensible Daten verraten. Darauf gespeicherte Daten wie WLAN-Passwörter seien in vielen Fällen unverschlüsselt in den Geräten gespeichert und könnten auch nach der Entsorgung noch ausgelesen und missbraucht werden. Selbst Sexspielzeuge wie per App steuer- und vernetzbare Vibratoren bergen solche Gefahren, wie in einem Artikel vom 16. Januar 2019 auf der Website des Cybersicherheitsunternehmens Kaspersky Lab zu lesen ist (www.kaspersky.de/blog/35c3-insecure-sex-toy/18375/). Die Anwendungen im Internet der Dinge sind vielfältig und reichen von der Paketverfolgung über automatische Nachbestellungen von Verbrauchsartikeln und Messungen der Luftqualität bis hin zu vernetzter Haustechnik wie Heizungsthermostaten und Rollläden. Vorbemerkung der Landesregierung Die digital vernetzte Gesellschaft hat ihr Miteinander in den letzten Jahren nachhaltig verändert. Nahezu jedermann hat jederzeit Zugang zu sozialen Medien, Netzwerken und leistungsfähigen technischen Geräten. Durch die Reichweite der Vernetzung werden sich Technologien immer noch schneller entwickeln, und vernetzte Alltagshelfer halten verstärkt Einzug in das Zuhause der Bürgerinnen und Bürger. Trotz vielfacher Warnungen von öffentlichen oder privaten Stellen erfolgt allerdings nur eine unzureichende regelmäßige Wartung von Accounts, Passwörtern und Schutzmechanismen im Zusammenhang mit der Vernetzung im WLAN. Auch künftig ist die weitere und vor allem stärkere Nutzung neuer Technologien zu erwarten. Vernetzte Geräte wie Waschmaschinen, Heizungsanlagen, Kaffeemaschinen, Kühlschränke, Fernsehgeräte, Glühlampen oder andere SmartHome-Geräte wie Alexa oder Siri werden nahezu sorglos in das private WLAN eingebunden, in dem auch Festplatten und Computer mit ganz privaten und persönlichen Daten betrieben werden . Viele Geräte der Internet-of-Things (IoT)-Welt verfügen jedoch über schlechte oder gar keine Sicherheitstechnologien. Als Verbraucherin oder Verbraucher ist es nicht oder nur schwer erkennbar , dass über die mit dem Internet verbundenen Geräte Schadsoftware eingeschleust wird. Cybersicherheit entsteht in erster Linie durch risikoangepasstes Verhalten und den Einsatz sicherer Systeme im Verantwortungsbereich der jeweiligen Betreiberin oder des jeweiligen Betreibers und der Anwenderin oder des Anwenders. Bereits durch bewährte Basismaßnahmen, u. a. die konse- Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/3250 2 quente Anwendung risikoangemessener, wirksamer und aktueller Sicherheitsprodukte und Standards , kann eine Vielzahl von Cyber-Angriffen mit vertretbarem Aufwand auch von den Nutzerinnen und Nutzern abgewehrt werden. 1. Wie schützt die Landesregierung niedersächsische Nutzerinnen und Nutzer von vernetzten elektronischen Geräten vor Identitätsdiebstahl, Erpressung und anderen Schäden durch Datenmissbrauch? Vonseiten der niedersächsischen Polizei werden bereits viele präventive Initiativen zur Aufklärung umgesetzt. Das Landeskriminalamt Niedersachsen betreibt seit 2013 den Ratgeber Internetkriminalität (RIK) über die Homepage www.polizei-praevention.de/home.html. Nahezu tagesaktuell wird auf Gefahren im Internet sowie auf typisches Vorgehen von Täterinnen und Tätern und neue Phänomene hingewiesen. Smart Home und Internet of Things sind bereits seit mehreren Jahren Bestandteil des Ratgebers Internetkriminalität, der im Herbst 2018 überarbeitet und deutlich mit Informationen aufgestockt wurde. Einfach und verständlich werden die Möglichkeiten, aber auch Risiken in den Punkten Komfort , Energie und Sicherheit aufgezeigt. So ist neben Einbruchschutz, wo geprüfte und zertifizierte Smart-Home-Produkte als sinnvolle Ergänzung betrachtet werden, auch die Sicherheit der genutzten Geräte im Allgemeinen ein wesentlicher Bestandteil. So ist nahezu zeitgleich mit der Broschüre „SICHER WOHNEN“ (Broschüre zum Einbruchschutz der Polizeilichen Kriminalprävention des Bundes und der Länder) ein gesonderter Bereich eröffnet worden, der die Smart-Home- bzw. IoT- Thematik konkret behandelt: www.polizei-praevention.de/themen-und-tipps/smarthome.html. Wichtige Verhaltenshinweise für die Nutzung, aber auch generelle Hinweise für die datensichere Entsorgung sind Teil der Tipps. Die Polizei Niedersachsen setzt verstärkt auf den präventiven Bereich. Neben den Informationen über den Ratgeber Internetkriminalität findet Aufklärung über die Gefahren durch die Nutzung von IoT-Geräten auf externen Veranstaltungen der Polizei Niedersachsen und in den Medien statt. Neben der Teilnahme und den Beratungen auf typischen Verbraucher- und Fachmessen (B.I.G., Infa, Hannover Messe, örtliche Baumessen usw.), wo in den letzten Jahren das Thema Smart Home verstärkt aufgenommen worden ist, wird die Thematik wiederholt über Medienberichte (TV, Radio, Zeitungen/Zeitschriften) vermittelt und begleitet. Zum Tag des Einbruchschutzes Ende Oktober 2018 wurde eine siebentägige Kampagne zu Smart Home über die sozialen Medien (Twitter und Facebook) des LKA Niedersachsen gestartet, um das Bewusstsein für die Risiken und Gefahren zu stärken. Vor dem Hintergrund der jüngsten Hackerangriffe und der damit im Zusammenhang stehenden Veröffentlichungen hat sich der Niedersächsische Minister für Inneres und Sport zum Safer Internet Day am 05.02.2019 für mehr Sicherheit im Internet ausgesprochen und im Rahmen einer damit im Zusammenhang stehenden Kampagne zum Schutz von Passwörtern und Accounts aufgerufen . Für die Verbesserung der Bekämpfung von Cybercrime wurden im Jahr 2016 zwölf sogenannte Taskforces Cybercrime/Digitale Spuren eingerichtet. Darüber hinaus wurden seit 2016 in der Polizei insgesamt mehr als 80 zusätzliche Stellen für sogenannte externe IT-Experten bereitgestellt. 2. Welche Strategien zum Schutz der Verbraucherinnen und Verbraucher verfolgt die Landesregierung hinsichtlich der Entwicklungen im Internet der Dinge? Der Minister für Inneres und Sport hat daher die Initiative ergriffen und einen Tagesordnungspunkt in die Ständige Konferenz der Innenminister und -senatoren der Länder (IMK) in der 206. Sitzung am 12.06.2017 eingebracht und auf die Bedrohungslage mit der steigenden Zahl anfälliger IoT- Geräte hingewiesen. Die IMK hat dazu festgestellt, dass die massenhafte Verbreitung von mit dem Internet verbundenen Gebrauchsgeräten (Internet der Dinge) ohne ausreichende Sicherheitsvorkehrungen eine erhebliche Bedrohung für den Cyberraum darstellt. Zur Intensivierung der Maßnahmen zur Verbesserung der Cybersicherheit bezogen auf das Internet der Dinge sollten im Rahmen eines umfassenden Handlungskonzepts Themenfelder adressiert werden wie die Schaffung verbindlicher Produktsicherheitsstandards für mit dem Internet verbundene Geräte sowie Re- Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/3250 3 gelungen zur Produkthaftung für mit dem Internet verbundene Geräte unter Berücksichtigung von IT-spezifischen Schadensfällen. Hierzu wurde die länderoffene Arbeitsgruppe Cybersicherheit gebeten , diese Thematik umfassend zu prüfen und hierbei den IT-Planungsrat im erforderlichen Umfang zu beteiligen. Niedersachsen hat sich an der Erarbeitung des Berichts in der länderoffenen Arbeitsgruppe Cybersicherheit intensiv beteiligt. Der Bericht wurde der IMK in der 209. Sitzung am 28.11.2018 vorgelegt. Die IMK begrüßt dazu den Vorschlag der EU-Kommission für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“). Sie bittet den Bund, diesen Vorschlag zu unterstützen und die Definition von Mindeststandards für die Sicherheit informationstechnischer Geräte, insbesondere von Consumer-IoT-Geräten, aktiv voranzutreiben und die nationalen Kapazitäten zur Definition von IT-Sicherheitsstandards und zur Akkreditierung von Zertifizierungsdienstleistern weiter auszubauen. Sie bittet den Bund weiter, zum aktuellen Stand der Prüfungen der Bundesregierung zur Erforderlichkeit weiterer Rechtsänderungen im Bereich der Produkt- und Produzentenhaftung sowie des Gewährleistungsrechts zu berichten. In Anbetracht der besonderen Aktualität dieses Themas hat der Niedersächsische Minister für Inneres und Sport im Nachgang zur 209. IMK angeregt, den Bericht des Bundesministers des Innern, für Bau und Heimat bereits im Vorfeld der nächsten Konferenz der Innenminister und -senatoren entgegen zu nehmen. Auch die Verbraucherschutzministerkonferenz (VSMK) hat sich in der 12. Sitzung mit dem Themenkomplex „Smart Home“ befasst. Die Ministerinnen und Minister, Senatorinnen und Senatoren der Verbraucherschutzressorts der Länder haben u. a. deutlich gemacht, dass Smart-Home-Angebote den Schutz und die Sicherheit der Privatsphäre, außerdem Bedienfreundlichkeit, Kostenschutz sowie Transparenz über technische Voraussetzungen und Vertragsbedingungen gewährleisten müssen, damit auch Verbraucherinnen und Verbraucher ohne besondere Vorkenntnisse geeignete Systeme ausreichend geschützt, kompetent und souverän nutzen können. Sie haben Anforderungen an Smart-Home-Angebote gestellt, insbesondere Datensparsamkeit, Transparenz der Datenverarbeitung , Verschlüsselungstechniken und die Bereitstellungen von Sicherheitsupdates. Zudem ist auch die Verbraucherzentrale Niedersachsen e. V., die u. a. mit Landesmitteln gefördert wird, im Bereich Datenschutz und Digitale Welt tätig. Bei Veranstaltungen werden Schülerinnen und Schüler über die Gefahren des digitalen Identitätsmissbrauchs aufgeklärt und Informationen und Hilfestellungen für diesen Fall gegeben. Auf der Internetseite der Verbraucherzentrale Niedersachsen werden Verbraucherinnen und Verbraucher in der Rubrik „Vorsicht Falle“ regelmäßig zu digitalen Themen gewarnt und aufgeklärt, z. B. zu vernetzten Spielzeugen und Identitätsmissbrauch . 3. Wie sorgt die Landesregierung für eine umweltgerechte und datentechnisch sichere Entsorgung von vernetzten elektronischen Geräten? Gemäß § 18 Abs. 1 Satz 2 Nr. 7 des Gesetzes über das Inverkehrbringen, die Rücknahme und die umweltverträgliche Entsorgung von Elektro- und Elektronikgeräten (ElektroG) informieren die öffentlich -rechtlichen Entsorgungsträger die privaten Haushalte über die Eigenverantwortung der Endnutzer im Hinblick auf das Löschen personenbezogener Daten auf den zu entsorgenden Altgeräten . Gemäß § 3 Nr. 12 ElektroG ist öffentlich-rechtlicher Entsorgungsträger die nach Landesrecht zur Entsorgung verpflichtete juristische Person. Dies sind gemäß § 6 Abs. 1 des Niedersächsischen Abfallgesetzes (NAbfG) die Landkreise, die kreisfreien Städte sowie die Städte Celle, Cuxhaven, Göttingen, Hildesheim und Lüneburg. An deren Stelle treten die Zweckverbände, die von diesen Körperschaften zum Zweck der Abfallbewirtschaftung gegründet werden, wenn die Verbandsordnung dies vorsieht. Dies gilt für kommunale Anstalten im Sinne des § 141 Abs. 1 Satz 1 des Niedersächsischen Kommunalverfassungsgesetzes und für gemeinsame kommunale Anstalten im Sinne des § 3 des Niedersächsischen Gesetzes über die kommunale Zusammenarbeit entspre- Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/3250 4 chend. Die Aufgaben, die die öffentlich-rechtlichen Entsorgungsträger zu erfüllen haben, gehören zum eigenen Wirkungskreis. Darüber hinaus ist eine Verpflichtung des Landes Niedersachsen zur datentechnisch sicheren Entsorgung von vernetzten elektronischen Geräten nicht bekannt. (Verteilt am 25.03.2019) Drucksache 18/3250 Kleine Anfrage zur schriftlichen Beantwortung gemäß § 46 Abs. 1 GO LT mit Antwort der Landesregierung Anfrage der Abgeordneten Dragos Pancescu und Helge Limburg (GRÜNE) Antwort des Niedersächsischen Ministeriums für Ernährung, Landwirtschaft und Verbraucherschutz Wie schützt die Landesregierung niedersächsische Verbraucherinnen und Verbraucher im Internet der Dinge?