LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/5580 11.04.2014 Datum des Originals: 10.04.2014/Ausgegeben: 16.04.2014 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 2092 vom 12. März 2014 der Abgeordneten Daniel Schwerd und Kai Schmalenbach PIRATEN Drucksache 16/5232 Scheunentore in IT-Systemen des Landes – Achtung, Eindringlinge! Der Minister für Inneres und Kommunales hat die Kleine Anfrage 2092 mit Schreiben vom 10. April 2014 namens der Landesregierung im Einvernehmen mit der Ministerpräsidentin sowie allen übrigen Mitgliedern der Landesregierung beantwortet. Vorbemerkung der Kleinen Anfrage Der Fachbegriff "Penetrationstest" bezeichnet einen umfangreichen Sicherheitstest möglichst aller Systembestandteile und Anwendungen eines IT-Systems. Dabei werden Werkzeuge und Vorgehensweisen eines Angreifers bzw. Hackers genutzt, um von außen in das System einzudringen. Die Nachbildung der typischen und bekannten Angriffsvektoren auf ein System sind wichtiger Teil des Tests, um die Verletzlichkeit des Systems für diese Art von Angriffen herausfinden. In der Anhörung zum Piraten-Antrag "Achtung! YES, WE SCAN. Bürger in NRW vor PRISM und anderen Überwachungsprogrammen schützen!" (Drucksache 16/3249) berichtete der Sachverständige Herr Tobias Morsches, Senior Security Resulter aus Bergisch Gladbach, wie leicht es ihm im Rahmen solcher Penetrationstests gefallen ist, von außen in kommunale IT-Systeme einzudringen und hierdurch Zugriff auf hochsensible Daten zu erlangen. Die Fragen 1 und 2 werden wegen des Sachzusammenhangs gemeinsam beantwortet, wobei es im Rahmen der Beantwortung der Kleinen Anfrage nicht möglich war, alle nachgeordneten Geschäftsbereiche zu erfassen. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/5580 2 1. Welchen Penetrationstests wurden die IT-Systeme des Landes, der Ministerien, Landesbehörden und landeseigenen Betriebe in den letzten fünf Jahren unterzogen? (Bitte unter Angabe des jeweiligen Test-Datums) 2. Die IT-Systeme welcher Behörden bzw. Einrichtungen wurden bei jedem einzelnen dieser Tests untersucht? Gemäß den Kommunikationsrichtlinien NW erfolgen der Zugang vom und zum Internet sowie die sonstige Kommunikation mit Stellen außerhalb der Landesverwaltung über eine gesicherte, zentrale Kopfstelle bei dem zentralen IT-Dienstleister der Landesverwaltung IT.NRW. Die Betreiber der Sondernetze Polizei und Steuerverwaltung übernehmen für ihr Netz und im Rahmen ihrer fachlichen Zuständigkeit die Aufgaben und Pflichten, die ansonsten von IT.NRW gemäß dieser Vorschrift zu erfüllen sind. Da die Behörden und Einrichtungen des Landes nur darüber Verbindung zum Internet haben, werden die Penetrationstests regelmäßig in den drei Rechenzentren durchgeführt. Das CERT NRW führt Penetrations- und Sicherheitstests an IT-Systemen und Anwendungen durch, die bei IT.NRW betrieben werden. Weiter prüft das CERT NRW stichprobenartig Webseiten der Landesverwaltung NRW auf die zehn häufigsten und gefährlichsten Schwachstellen. Internetserver bei IT.NRW scannt das CERT NRW regelmäßig und automatisiert auf Schwachstellen. Anwendungen mit hohem Schutzbedarf werden vor Inbetriebnahme einem ausführlichen Sicherheitstest unterzogen. Durch die Polizei werden polizeiliche Verfahren und IT-Systeme Penetrationstests unterzogen, die in der Verantwortung des LZPD NRW liegen. Alle Systeme im Netz der Finanzverwaltung, die aus dem Internet erreichbar sind, werden regelmäßig einem Penetrationstest unterzogen. Dazu gehören auch einige Systeme der Schulverwaltung und der Justiz, die durch die Finanzverwaltung bereitgestellt werden. Die Penetrationstests werden jährlich durchgeführt. Die seit 2009 von IT.NRW, der Polizei oder der Steuerverwaltung durchgeführten oder beauftragten Penetrationstests sind in der Anlage dargestellt. Darüber hinaus wurde in der heutigen Qualitäts- und Unterstützungsagentur - Landesinstitut für Schule der Server www.standardsicherung.nrw.de einem Web Application Security Penetration Test einer externen Firma unterzogen. Die Fragen 3 und 4 werden wegen des Sachzusammenhangs gemeinsam beantwortet: 3. Welche Ergebnisse haben diese Tests ergeben? Bitte nennen Sie für jeden einzelnen Test die gefundenen Schwachstellen mit Angriffsvektor (ohne Details), soweit sich Schwachstellen gezeigt haben. 4. Welche Maßnahmen wurden aufgrund der Testergebnisse ergriffen? Nennen Sie jede Maßnahme mit jeweiligem Zeitplan der Umsetzung. Die bei den durch IT.NRW oder die Polizei durchgeführten Penetrationstests sowie Sicherheitstests an Webangeboten und webbasierten Verfahren identifizierten Schwachstellen wurden analysiert und Maßnahmen zur Behebung und Absicherung erarbeitet und durchgeführt. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/5580 3 Im Bereich der Finanzverwaltung gliedern sich die Testergebnisse in geringfügige, mittlere, schwerwiegende und kritische Schwachstellen. Die Maßnahmen sind von den Testergebnissen abhängig. Die zuständigen Arbeitsbereiche werden über die Schwachstellen informiert. Je nach Kritikalität wird das System weiterbetrieben oder stillgelegt. Auch werden die Systeme nach umfangreichen Anpassungen einem erneuten Test unterzogen. Die Kombination aus regelmäßigen Gesamttests und anlassbezogenen Einzeltests hat dazu geführt, dass bei der letzten Überprüfung keine schwerwiegenden und kritischen Schwachstellen gefunden werden konnten. Auf die Angabe von konkret festgestellten Schwachstellen mit Angriffsvektoren muss an dieser Stelle aus Sicherheitsgründen verzichtet werden. 5. Welche Penetrationstests auf Systeme des Landes, der Ministerien, Landesbehörden und landeseigenen Betriebe sind derzeit konkret (d. h. zeitlich bestimmbar) geplant? In der Finanzverwaltung ist für 2014 der turnusmäßige Gesamttest geplant. Das CERT NRW beabsichtigt für das Jahr 2014, dass alle öffentlichen IP-Adressen im Verantwortungsbereich von IT.NRW sukzessive via Internet auf Schwachstellen hin gescannt und die daraus resultierenden Schwachstellenhinweise verifiziert werden. Für April 2014 ist ein Penetrationstest des Webangebots für die Kommunal- und Europawahl geplant. Die Polizei plant in diesem Jahr Penetrationstests für drei Bereiche. 1 Anlage zur Antwort auf die Kleine Anfrage 2092 Penetrationstests IT.NRW Datum Gegenstand des Penetrationstests 2009 organisationsweite Scans nach MS08-67 (Conficker) bei IT.NRW 27.10.-30.10.2009 OSSTMM Penetrationstest für die Verfahren "Elektronische Kostenmarken der Justiz" und "ePayBL" 2010 stichprobenartige Tests von Webangeboten der Landesverwaltung Januar www.justizforum.nrw.de Januar www.partner-fuer-schule.nrw.de Januar www.polizei-nrw.de Februar bvlb.nrw.de Februar evergabe.blb.nrw.de Februar podknast.de Februar webshop.it.nrw.de Februar www.evergabe.nrw.de Februar www.gd.nrw.de Februar www.neuro.nrw.de Februar www.parlamentsspiegel.de Februar www.wald-und-holz.nrw.de März seminare.fortbildungsakademie.nrw.de März www.gis.nrw.de März www.oekolandbau.nrw.de April www.ajs.nrw.de April www.bezreg-arnsberg.nrw.de April www.innovation.nrw.de Mai www.schulministerium.nrw.de August luadb.lds.nrw.de Oktober lv.nrw-jahrbuch.it.nrw.de Oktober www.flaechennutzung.nrw.de Oktober www.flussnetzwerke.nrw.de www.gc.nrw.de www.im.nrw.de www.loegd.nrw.de www.nordrheinwestfalendirekt.de www.nps-lum.nrw.de www.pft.lua.nrw.de www.sportland.nrw.de www.streitschlichtung.nrw.de www.svws.nrw.de www.vaeter.nrw.de www.wahlergebnisse.nrw.de www.zvg-portal.de 2 17.01. - 28.03.2011 OSSTMM Penetrationstest der IT-Infrastruktur für den Zensus 2011 2011 stichprobenartige Tests von Webangeboten der Landesverwaltung Februar www.frp7.nrw.de Februar www.gd.nrw.de Februar www.kongress.stammzellen.nrw.de Februar www.studienseminare.nrw.de Februar www.sw.nrw.de März news.lds.nrw.de März www.archive.nrw.de März www.archive.nrw.de März www.flussnetzwerke.nrw.de März www.innovation.nrw.de März www.schule.nrw.de März www.schulministerium.nrw.de April www.fah.nrw.de April www2.badegewaesser.nrw.de Mai www.luadb.nrw.de Mai www.partner-fuer-schule.de Mai www.polizei-nrw.de Juni www.knastladen.de Juni www.pfiffwms.nrw.de Juni www.studienseminare-berufskolleg.nrw.de September www.justiz.nrw.de September www.nrwinvest.com November www.e-codex.eu November www.mgepa.nrw.de Dezember lv.raumreservierung.lds.nrw.de Dezember lv.swba.nrw.de Dezember www.circa.nrw.de Dezember www.flaechennutzung.nrw.de Dezember www.schule-der-zukunft.nrw.de www.polizeibewerbung.nrw.de www.tuqan.nrw.de 2012 extern beauftragter Test auf OWASP Top10 Schwachstellen März epayment.it.nrw.de März news.lds.nrw.de März www.agsv.nrw.de März www.anton.zvs.de März www.arbeit.nrw.de März www.arbeitsschutz.nrw.de März www.archive.nrw.de März www.barrierefrei.nrw.de März www.behördenname.nrw.de März www.bezreg-detmold.nrw.de 3 März www.dwu.nrw.de März www.ea-finder.nrw.de März www.egvp.de März www.ehre.nrw.de März www.ehrenamt.nrw.de März www.engagiert-in-nrw.de März www.esf.nrw.de März www.evergabe.nrw.de März www.fah.nrw.de März www.flussgebiete.nrw.de März www.fm.nrw.de März www.fms.nrw.de März www.frauen.nrw.de März www.grundbuch-portal.de März www.handelsregisterbekanntmachungen.de März www.ig.nrw.de März www.insolvenzbekanntmachungen.de März www.integration.nrw.de März www.ioev.nrw.de März www.it.nrw.de März www.jaau.nrw.de März www.jm.nrw.de März www.justiz.de März www.justizauktion.de März www.kfi.nrw.de März www.knastkultur.de März www.knastladen.de März www.landesbeirat.nrw.de März www.lbmrv.nrw.de März www.ldi.nrw.de März www.lva.nrw.de März www.mais.nrw.de März www.mfkjks.nrw.de März www.mgepa.nrw.de März www.mik.nrw.de März www.miwf.nrw.de März www.msw.nrw.de März www.mwebwv.nrw.de März www.nrw.de März www.oekolandbau.nrw.de März www.osipiii.bezreg-duesseldorf.nrw.de März www.podknast.de März www.pruefungsamt.nrw.de März www.rauchmelder.nrw.de März www.rechtsdienstleistungsregister.de 4 März www.registerportal.de März www.service.nrw.de März www.sozialberichte.nrw.de März www.take-care.nrw.de März www.tarifregister.nrw.de März www.umgebungslaerm.nrw.de März www.umwelt.nrw.de März www.vaeter.nrw.de März www.verkehrssicherheit.nrw.de März www.vgh.nrw.de März www.wirtschaftsdialog.nrw.de März www.zabinw.de März www.zvg-portal.de März www.zvs.de stichprobenartige Tests von Webangeboten der Landesverwaltung Januar webshop.it.nrw.de Januar wiki.flussgebiete.nrw.de Januar www9.a1.nrw.de Januar www.partner-fuer-schule.nrw.de Februar luadb.lds.nrw.de Februar redaktion.polizei-nrw.de Februar www.bonn-conference.nrw.de Februar www.flussnetzwerke.nrw.de Februar www.forstliches-bildungszentrum.nrw.de Februar www.gd.nrw.de Februar www.gis.nrw.de Februar www.ha.it.nrw.de Februar www.ioev.nrw.de Februar www.it.nrw.de Februar www.ldi.nrw.de Februar www.lichthof.nrw.de Februar www.service.nrw.de Februar www.umwelt.nrw.de Februar www.verkehrsinfo.nrw.de Februar www.wald-und-holz.nrw.de Februar www.wissenschaft.nrw.de März asinfo.komnet.nrw.de März komnet.nrw.de März seminare.fortbildungsakademie.nrw.de März www2.lanuv.nrw.de März www.50plus.nrw.de März www.aamee.de März www.anton.zvs.de März www.arbeit.nrw.de 5 März www.archive.nrw.de März www.bezreg-koeln.nrw.de März www.engagiert-in-nrw.de März www.esf.nrw.de März www.handelsregisterbekanntmachungen.de März www.handelsregister.de März www.ig.nrw.de März www.integration.nrw.de März www.kita-finder.nrw.de März www.knastladen.de März www.komnet.nrw.de März www.krebsregister.nrw.de März www.mbv.nrw.de März www.messen.nrw.de März www.mik.nrw.de März www.netzwerk.nrw.de März www.nps-lum.nrw.de März www.nrw.de März www.nua.nrw.de März www.oekolandbau.nrw.de März www.rechtsdienstleistungsregister.de März www.vaeter.nrw.de März www.verkehrssicherheit.nrw.de März www.vgh.nrw.de März www.zabinw.de April www9.wahlergebnisse.nrw.de April www9.wald-und-holz.nrw.de April www.fah.nrw.de April www.gis4.nrw.de Mai wohngeldrechner.nrw.de Mai www.info-vogelgrippe.nrw.de Mai www.standardsicherung.nrw.de Mai www.vergabeoffice.nrw.de Juni igsvtu.lanuv.nrw.de, Juni schulverwaltungsprogramme.msjk.nrw.de Juni www.bildungsportal.nrw.de Juni www.familie-in-nrw.de Juli intralua.lds.nrw.de Juli lv.nrw.de Juli www.awk.nrw.de Juli www.blb.nrw.de Juli www.creative.nrw.de Juli www.gwz.it.nrw.de Juli www.justiz-auktion.de Juli www.justizauktion.de 6 Juli www.lebenmitbehinderungen.nrw.de Juli www.mags.nrw.de Juli www.pft.lanuv.nrw.de Juli www.polizeibewerbung.nrw.de Juli www.sadipa.nrw.de Juli www.sw.nrw.de Juli www.unser.nrw.de Juli www.verkehr-intern.nrw.de Juli x500.nrw.de August www.justiz.nrw.de August www.schulministerium.nrw.de Oktober bvlb.lv.nrw.de Oktober jobmappe.nrw.de Oktober sp1.safe.nrw.de Oktober st1.safe.nrw.de Oktober st9.safe.nrw.de Oktober www.apug.nrw.de Oktober www.breitband.nrw.de Oktober www.egon.nrw.de Oktober www.fdz.nrw.de Oktober www.frauennrw.de Oktober www.gerichtsvollzieher.nrw.de Oktober www.gis5.nrw.de Oktober www.justizadressen.nrw.de Oktober www.kfi.nrw.de Oktober www.landgestuet.nrw.de Oktober www.mgepa.nrw.de Oktober www.spd-fraktion.landtag.nrw.de Oktober www.static.fhr.nrw.de Oktober www.wirtschaft.nrw.de November www.ag-dueren.nrw.de November www.agsv.nrw.de November www.bezreg-detmold.nrw.de November www.competentia.nrw.de November www.datenbanken.justiz.nrw.de November www.flaechennutzung.nrw.de November www.geodatenzentrum.nrw.de November www.landtag.nrw.de November www.mais.nrw.de November www.olg-duesseldorf.nrw.de November www.onlineanmeldung.it.nrw.de November www.standardsicherung.schulministerium.nrw.de November www.tarifregister.nrw.de November www.wahlergebnisse.nrw.de Dezember ernaehrungsportal.nrw.de 7 Dezember ikt.nrw.de Dezember www.economy.nrw.de Dezember www.familieundberuf.nrw.de Dezember www.fhoev.nrw.de Dezember www.insolvenzbekanntmachungen.de Dezember www.insolvenzen.nrw.de Dezember www.netzwerk-finanzkompetenz.nrw.de Dezember www.udk.nrw.de Dezember www.ziel2-nrw.de uis.nrw.de www.alkis.nrw.de www.arbeit-demografie.nrw.de www.arbeitsschutz.nrw.de www.aussenhandel.lds.nrw.de www.bordinfo-subproject.eu www.bpcm.eu www.brain-flow.eu www.brand-subproject.eu www.gerichts-dolmetscher.de www.integrationsmonitoring.nrw.de www.kunststiftungnrw.de www.lagota-subproject.eu www.podknast.de www.pushtherightbutton.eu www.qualityoflife-subproject.eu www.stepforward-subproject.eu www.tass-subproject.eu www.zvg-portal.de Mai 2012 OWASP Top 10 WebSecurity Test für die Webseiten der Landtagswahlen 01.10.2012 - 11.03.2013 OSSTMM Penetrationstest der "ZPOnF"-Systeme bei IT.NRW (Bundesweites Vollstreckungsportal) 27.08. - 04.09.2013 OWASP Top 10 WebSecurity Test für die Webseiten der Landtagswahlen 2013 stichprobenartige Tests von Webangeboten der Landesverwaltung Januar egvp.spocs.bos-asp.de Januar www.datenbanken.justiz.nrw.de Januar www.justiz.nrw.de Februar www.apug.nrw.de Februar www.gd.nrw.de Februar www.landtag.nrw.de Februar www.vollstreckungsportal.de März apps.wahlergebnisse.nrw.de März frp.nrw.de März schulischer-datenschutz-owl.nrw.de 8 März veranstaltungen.mfkjks.nrw.de März www.blb.nrw.de März www.competentia.nrw.de März www.egvp.de März www.fhoev.nrw.de März www.justizadressen.nrw.de März www.lbme.nrw.de März www.mgepa.nrw.de März www.verwaltungsgerichtsbarkeit.de April busse-und-bahnen.nrw.de April nexus-central.it.nrw.de April www.active-ageing-of-migrant-elders.com April www.ajs.nrw.de April www.allianz-fuer-die-flaeche.nrw.de April www.arbeit.nrw.de April www.beispiele.nrw.de April www.bonn-conference.nrw.de April www.elektromobilitaet.nrw.de April www.energieagentur.nrw.de April www.ernaehrungsportal.nrw.de April www.gutachterausschuesse-online.de April www.hist-stadt.nrw.de April www.integrationsmonitoring.nrw.de April www.it-fortbildung.nrw.de April www.jaau.nrw.de April www.justiz.de April www.leben-mit-behinderungen.nrw.de April www.lfb-brd.nrw.de April www.mags.nrw.de April www.marktplatz.oekolandbau.nrw.de April www.nrwinvest.com April www.oekolandbau.nrw.de April www.onlineanmeldung.it.nrw.de April www.partner-fuer-schule.nrw.de April www.schulministerium.nrw.de April www.studienseminar-wuppertal1.nrw.de April www.wald-und-holz.nrw.de April www.weiterbildung.in.nrw.de April www.zvg-portal.nrw.de Mai bscw.msw.nrw.de Mai online-anmeldung.mfkjks.nrw.de Mai www.ernaehrung.nrw.de Mai www.gars.nrw.de Mai www.landgestuet.nrw.de Mai www.lvs.nrw.de 9 Mai www.netzwerk-fgf.nrw.de Mai www.tim-online.nrw.de Mai www.umwelt.nrw.de Mai www.wiedereinstieg.nrw.de Mai www.zeitarbeit.nrw.de Juli www.esf.nrw.de Juli www.wahlergebnisse.nrw.de August www.bafoeg-online.nrw.de September mobil.wahlergebnisse.nrw.de November webshop.it.nrw.de Dezember www.flussnetzwerke.nrw.de jp.liga.nrw.de www.arbeit-demografie.nrw.de www.autocluster.nrw.de www.lehrerfortbildung.schulministerium.nrw.de www.nwsib-online.nrw.de www.radroutenplaner.nrw.de www.statlas.nrw.de www.vbl.de 10 Penetrationstests LZPD Jahr Monat Gegenstand des Penetrationstests 2012 Januar Internet-Präsenz der Polizei NRW (Presseportal, Internetwache, Fahndungsportal) März Sicherheitsgateway des Corporate Network der Polizei NRW (CN-Pol NRW) April Formelle elektronische Post gemäß PDV 810 (EPOST810) Mai Bewerbungsportal der Polizei NRW Oktober SharePoint-Plattformen November Polizeiliche Personen- und Sachfahndung (PO-LAS) 2013 Mai Bewerbungsportal der Polizei NRW Juni Infrastruktur-Betriebssysteme UNIX/LINUX, die für polizeiliche IT-Verfahren eingesetzt werden (Härtungskonzept ) Juli Polizeiliches Vorgangsbearbeitungssystem (IGVP) November Verwaltungskonsole für die Software zum Schutz vor Schadprogrammen auf polizeilichen IT-Systemen (ePOKonsole McAfee) Dezember Verfahren zur integrierten Vorgangsbearbeitung und - auswertung (VIVA) Örtliche Waffenverwaltung (ÖWS) im Rahmen der Anbindung an das Nationale Waffenregister 2014 Februar Strategisch-Taktisches Einsatz- und Ermittlungsunterstützendes Recherche-Netzwerk (STERN) März Bewerbungsportal der Polizei NRW 11 Penetrationstests RZF Jahr Monat Gegenstand des Penetrationstests 2009 Juni Gesamttest 2010 September Gesamttest 2011 September Gesamttest 2012 Oktober November Gesamttest 2013 November Gesamttest Beim Neueinsatz von Systemen oder bei negativen Testergebnissen wurden anlassbezogene Einzeltests durchgeführt 2009 März 2009 Juni 2010 Juni 2011 April 2011 Mai 2012 Juni 2013 Oktober