LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/2032 05.02.2013 Datum des Originals: 04.02.2013/Ausgegeben: 08.02.2013 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 784 vom 28. Dezember 2012 des Abgeordneten Werner Jostmeier CDU Drucksache 16/1778 Mögliche Datenlecks in der Landesverwaltung Der Minister für Inneres und Kommunales hat die Kleine Anfrage 784 mit Schreiben vom 4. Februar 2013 namens der Landesregierung im Einvernehmen mit der Ministerpräsidentin und allen übrigen Mitgliedern der Landesregierung beantwortet. Vorbemerkung der Kleinen Anfrage Das Bundesministerium für Gesundheit wurde offenbar jahrelang systematisch ausspioniert. Möglich war dies durch das enge Zusammenspiel eines Lobbyisten und eines externen EDVExperten , der für den Betrieb und die Wartung des IT-Systems im Ministerium Verantwortung trug. Vorbemerkung der Landesregierung Um eine Einheitlichkeit der Antwortbeiträge der Behörden und Einrichtungen zu erreichen, wurden gemeinsame Begriffsdefinitionen zu Grunde gelegt. So werden unter "IT-Leistungen" durchgängig diejenigen Leistungen verstanden, die über das Rahmenvertragswerk der öffentlichen Verwaltung (EVB-IT) im Bereich der Informationstechnik beauftragt werden können , wie beispielsweise Wartung, Betrieb, Beratung und Software-Erstellung. Zu den "externen EDV-Kräften und IT-Spezialisten" werden alle nicht verwaltungsinternen Mitarbeiterinnen und Mitarbeiter gezählt, die IT-Leistungen für Behörden und Einrichtungen des Landes erbringen und es sich dabei um Tätigkeiten handelt, bei denen die externen Beschäftigten in den jeweiligen Häusern tätig sind. Unterstützungsleistungen durch IT-Personal von internen IT-Dienstleistern wie beispielsweise IT.NRW sind insofern nicht in der anliegenden Übersicht enthalten. Dies gilt auch für externe Beschäftigte, die lediglich sporadisch in einer Behörde oder Einrichtung tätig werden, LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/2032 2 wie beispielsweise bei der Behebung einer Störung; die Kosten für entsprechende Wartungsund Pflegeverträge sind jedoch ausgewiesen. Von der Beantwortung wurden die Bereiche des Geheimschutzes ausgenommen. Die Angaben für die nachgeordneten Behörden der Polizei konnten angesichts der Kürze der Zeit nur für das LZPD NRW erhoben werden. 1. Welche Konsequenzen werden die Landesregierung und die ihr nachgeordneten Behörden aus diesem Vorfall ziehen? IT-Sicherheit hat in der Landesverwaltung einen hohen Stellenwert und wird durch landesweite und ressort- bzw. behördenspezifische IT-Sicherheitsvorschriften geregelt und durch vielseitige Sicherheitsmaßnahmen unterstützt. Diese orientieren sich an den Maßnahmenkatalogen des vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen ITGrundschutzhandbuchs . Neben allgemeinen technischen Sicherheitsmaßnahmen werden Regelungen für die Unterstützung durch externe Beschäftigte in der Regel in speziellen Sicherheitsvorschriften der jeweiligen Behörde oder Einrichtung getroffen. Zu Einzelheiten verweise ich auf die Antwort zu Frage 4. Der konkrete Vorfall veranlasst die Landesverwaltung nicht, spezielle Maßnahmen zu ergreifen , da die bereits bestehenden Sicherheitsvorkehrungen insoweit ausreichend erscheinen. Ungeachtet dessen werden die Stellen für das Thema "externer Dienstleister" sensibilisiert. 2. Wie viele externe EDV-Kräfte und IT-Spezialisten beschäftigen die Landesregie- rung und die nachgeordneten Behörden (bitte aufschlüsseln)? Im Jahr 2012 wurden 444 externe EDV-Kräfte und IT-Spezialisten in der Landesverwaltung eingesetzt; die Aufschlüsselung ergibt sich aus der anliegenden Übersichtstabelle. Diese werden in der Landesverwaltung vor allem in den Bereichen Wartung, Pflege, Beratung und Software-Erstellung eingesetzt. Überwiegend (ca. 88 %) werden externe EDV-Kräfte und IT-Spezialisten in den Rechenzentren des Landes, also beim zentralen IT-Dienstleister IT.NRW sowie den Fachrechenzentren LANUV, LZPD und RZF eingesetzt. Auf den Einsatz externer Fachkräfte kann insbesondere in den Rechenzentren nicht verzichtet werden, da häufig sehr hohes Spezialwissen erforderlich ist, das aus wirtschaftlichen Gründen nicht dauerhaft für sämtliche IT-Systeme in der Landesverwaltung vorgehalten werden kann. 3. Wie hoch ist das finanzielle Volumen extern vergebener IT-Leistungen in den Ministerien und nachgeordneter Behörden jeweils (bitte aufschlüsseln)? Im Jahr 2012 betrug das finanzielle Volumen extern vergebener IT-Leistungen ca. 63 Mio. €; die Aufschlüsselung ergibt sich aus der anliegenden Übersichtstabelle. Der Wert umfasst dabei das finanzielle Gesamtvolumen extern vergebener IT-Leistungen, auch wenn nur ein Teil der IT-Leistungen durch den Auftragnehmer unmittelbar bei der Behörde erbracht wird. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/2032 3 4. Welche Sicherheitsmaßnahmen sind vorgesehen, um die Vertraulichkeit elektronischer Arbeitsprozesse in den Ministerien und nachgeordneter Behörden zu gewährleisten? Sofern externe Beschäftigte in den Behörden und Einrichtungen des Landes tätig werden, werden diese in der Regel durch Personal der Landesverwaltung begleitet. Die externen Beschäftigten erhalten dabei nur in dem für die Aufgabenerledigung unbedingt erforderlichen Umfang Zugang zu den jeweiligen zugriffsgeschützten IT-Einrichtungen und -systemen. In sicherheitskritischen Bereichen des IT-Betriebs werden Externe nur in begründeten Einzelfällen mit der Wahrnehmung von IT-Aufgaben betraut. Bereits im Rahmen der Vergabeverfahren wird in besonderem Maß auf die Eignung der Unternehmen und Beschäftigten geachtet. Je nach Einsatzgebiet zählen zu den aufgestellten Eignungskriterien besondere Referenzen, Zertifizierungen oder auch das Bestehen einer Geheimschutzbetreuung. Auf der Grundlage der bundesweit geltenden Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB IT) sind alle eingesetzten Mitarbeiterinnen und Mitarbeiter eines externen Dienstleisters auf das Datengeheimnis zu verpflichten. Darüber hinaus werden in der Regel die externen Beschäftigten selbst auf ihre Pflicht zur Vertraulichkeit, auch über die Zeit ihres Einsatzes hinaus, besonders hingewiesen und erst nach Unterzeichnung einer entsprechenden Vertraulichkeitserklärung eingesetzt. Weitere Sicherheitsüberprüfungen erfolgen nach dem Sicherheitsüberprüfungsgesetz des Landes NRW, soweit die gesetzlichen Grundlagen dafür gegeben sind. Auch die regelmäßige Ermittlung korruptionsgefährdeter Bereiche und Arbeitsplätze und die Umsetzung daraus abgeleiteter Maßnahmen gemäß Korruptionsbekämpfungsgesetz NRW im Rahmen der Innenrevision führen zu einer weiteren Risikominimierung. Darüber hinaus sind die Behörden und Einrichtungen des Landes verpflichtet, Sicherheitsvorfälle an die jeweils zuständigen Stellen (u. a. das CERT NRW) zu melden. 5. Sind der Landesregierung in den letzten Jahren Datenlecks durch extern Be- schäftigte bekannt geworden? Bis auf einen Vorfall aus dem Jahr 2009 sind der Landesregierung in den letzten Jahren durch extern Beschäftigte verursachte Datenlecks nicht bekannt geworden. In dem konkreten Fall wurde im Rahmen des PC-Austausches bei der Polizei NRW eine Festplatte durch einen Subunternehmer der vom LZPD NRW beauftragten Firma nicht ordnungsgemäß gelöscht. Dadurch konnten die darauf befindlichen Daten wiederhergestellt werden. Dies wurde im Rahmen eines Ermittlungsverfahrens des Zolls bekannt. Als Reaktion auf diesen Vorfall hat die betroffene Firma ihre Prozessabläufe in Absprache mit der Polizei NRW entsprechend optimiert. Ressort Anzahl externer EDV-Kräfte und IT-Spezialisten Finanzielles Volumen extern vergebener IT-Leistungen im Jahr 2012 Staatskanzlei (einschl. MBEM) - 115.000,00 € Ministerium für Schule und Weiterbildung - 23.062,21 € Finanzministerium 217 22.191.044,00 € Ministerium 19 873.021,00 € Rechenzentrum der Finanzverwaltung (RZF) 198 21.318.023,00 € Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk - 98.705,28 € Ministerium - 68.705,28 € Materialprüfungsamt - 30.000,00 € Ministerium für Arbeit, Integration und Soziales 3 871.500,00 € Ministerium 2 806.500,00 € Landesinstitut für Arbeitsgestaltung des Landes Nordrhein-Westfalen (LIA.NRW) 1 65.000,00 € Justizministerium - 3.785.392,00 € Ministerium - 1.873.288,00 € nachgeordnerter Bereich - 1.912.104,00 € Ministerium für Klimaschutz, Umwelt, Landwirtschaft, Natur- und Verbraucherschutz 19 215.000,00 € Landesamt für Natur, Umwelt und Verbraucherschutz NRW (LANUV) 17 210.000,00 € Landgestüt 2 5.000,00 € Ministerium für Bauen, Wohnen, Stadtentwicklung und Verkehr 7 829.083,47 € Ministerium - 21.093,47 € Landesbetrieb Straßen NRW 7 807.990,00 € Ministerium für Innovation, Wissenschaft und Forschung 1 1.052.756,00 € Ministerium 1 189.271,00 € Hochschulbibliothekszentrum (HBZ) - 776.806,00 € Deutsche Zentralbibliothek für Medizin (ZB MED) - 86.679,00 € Ministerium für Familie, Kinder, Jugend, Kultur und Sport 6 384.440,70 € Ministerium - 44.440,70 € Landesarchiv 6 340.000,00 € Ministerium für Gesundheit, Emanzipation, Pflege und Alter 16 282.305,00 € Ministerium 5 135.206,00 € Landeszentrum Gesundheit Nordrhein-Westfalen (LZG.NRW) 5 135.600,00 € Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten (ZLG) 6 11.499,00 € Ministerium für Inneres und Kommunales 175 33.466.012,00 € Ministerium 1 229.000,00 € Landesamt für zentrale polizeitechnische Dienste (LZPD) 75 22.000.000,00 € Zentraler IT-Dienstleister des Landes (IT.NRW) 99 11.130.082,00 € Fortbildungsakademie Herne - 25.000,00 € Bezirksregierung Köln - 80.000,00 € Bezirksregierung Düsseldorf - 1.930,00 € Summe 444 63.314.300,66 € Anlage zur Kleinen Anfrage 784 LT-Drs 16/1778 Übersicht über den Einsatz externer EDV-Kräfte und IT-Spezialisten in der Landesverwaltung