LANDTAG DES SAARLANDES 15. Wahlperiode Drucksache 15/1361 (15/1233) 29.04.2015 A N T W O R T zu der Anfrage des Abgeordneten Andreas Augustin (PIRATEN) betr.: Cyberangriffe auf kritische (Infrastruktur-)Einrichtungen im Saarland Vorbemerkung des Fragestellers: „IT-Sicherheitsexperten warnen seit einiger Zeit, dass Deutschland nicht ausreichend gegen drohende Angriffe von Cyberkriminellen auf kritische Infrastrukturen gerüstet sei. Auch der Bundesnachrichtendienst (BND) bestätigt, dass etwa mehrere mit dem IS in Zusammenhang stehende Hackergruppen Cyber-Angriffsmethoden beherrschen und diese bereits aktiv nutzen oder in Zukunft verstärkt nutzen werden. Aber nicht nur Terroristen , die sich beispielsweise zur Durchführung von Terroranschlägen durch gezielte Angriffe auf systemische Schwachstellen im Signalsteuerungsbereich von Bahnunternehmen Zugriff auf die Steuerung von Zügen verschaffen könnten, sind eine Gefahr für die an das Internet angeschlossene Infrastruktur Deutschlands und des Saarlandes. Auch Wirtschaftskriminelle könnten über das Internet Bankkonten manipulieren, Einfluss auf Börsenkurse nehmen und gespeicherte Bürgerdaten oder Betriebsgeheimnisse ausspähen .“ Bei welchen öffentlich-rechtlichen (Infrastruktur- )Unternehmen besteht nach Ansicht der Landesregierung die Gefahr eines Cyberangriffs über das Internet oder durch sonstiges Ausnutzen technischer Sicherheitslücken in der Telekommunikationsstruktur ? Zu Frage 1: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Ausgegeben: 04.05.2015 (02.02.2015) Drucksache 15/1361 (15/1233) Landtag des Saarlandes - 15. Wahlperiode - - 2 - Das Bundesministerium des Inneren gliedert kritische Infrastrukturen in neun Sektoren mit entsprechenden Branchen: 1. Energie: Elektrizität, Gas, Mineralöl 2. Informationstechnik und Telekommunikation: Telekommunikation, Informationstechnik 3. Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr , Straßenverkehr, Logistik 4. Gesundheit: Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore 5. Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung 6. Ernährung: Ernährungswirtschaft, Lebensmittelhandel 7. Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister 8. Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz 9. Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Die Landesregierung folgt dieser Betrachtungsweise. Welche Maßnahmen hat die Landesregierung in der Vergangenheit ergriffen bzw. wird sie zukünftig ergreifen, um Cyberangriffe auf (Infrastruktur- )Einrichtungen im Saarland effektiv abwehren und verhindern zu können? Zu Frage 2: Das Saarland setzt auf ein abgestuftes Schutzkonzept. Dabei steht die Nutzung eines eigenbetriebenen Netzes (Landesdatennetz) im Vordergrund, das gegen Angriffe von außen mit unterschiedlichen Mitteln geschützt wird. Eine detaillierte Darstellung kann ggfs. mündlich in nichtöffentlicher Sitzung gegeben werden. Die Landesregierung setzt im Übrigen die in der „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ des IT-Planungsrates genannten Maßnahmen entsprechend dem Umsetzungsplan vom 19.02.2013 um und wirkt dadurch Cyberangriffen entgegen. Zur Gewährleistung der IT-Sicherheit im IT-Verbund der Polizeien des Bundes und der Länder legt die Kommission IuK-Sicherheit des Arbeitskreises II der Innenministerkonferenz im ständigen Dialog mit dem BSI entsprechende Standards fest. Die Polizeien von Bund und Ländern führen regelmäßig gegenseitige IT-Sicherheitsaudits durch. An diesem Prozess nimmt auch die Vollzugspolizei des Saarlandes teil. Drucksache 15/1361 (15/1233) Landtag des Saarlandes - 15. Wahlperiode - - 3 - Welche Kooperationen bestehen zwischen dem Saarland und IT-Sicherheitsunternehmen/sonstigen Institutionen und welche Sicherungs- und Beratungstätigkeiten verrichten diese Institutionen im Auftrag des Saarlandes? Zu Frage 3: Eine Beratung durch Behörden erfolgt projektübergreifend durch den Arbeitskreis ITSicherheit der Datenzentralen der öffentlichen Verwaltung (ALD) und das Unabhängige Datenschutzzentrum Saarland. Im Rahmen der beabsichtigten ISO 27001-Zertifizierung auf Basis von IT-Grundschutz wurde gemeinsam mit der Stadt Saarbrücken auf die diesbezüglichen Erfahrungen des Kommunalen Rechenzentrum Minden-Ravensburg/Lippe zurückgegriffen. Zur Beratung wurden externe Dienstleister in folgenden Bereichen eingebunden: ITSysteme der Zahlstelle im Bereich der Fördermaßnahmen Landwirtschaft – (InVeKos), IT-Systeme im Bereich der Fördermaßnahmen ESF und EFRE, Beratung im Rechenzentrumsbetrieb der ZDV-Saar, u.a. beim gezielten und gesteuerten Versuch die Sicherheitsarchitektur zu umgehen (Penetrationstests), Analyse- und Zertifizierungsprojekt zur umweltgerechten Modernisierung der IT der Landesregierung im Rechenzentrum als Grundlage zur Erfüllung des European Code of Conduct for Data Centres Energy Efficiency, Einbruch- und Brandmeldeanlagen im Rechenzentrum bei der ZDVSaar sowie Beratung im Berechtigungsmanagement. Eine Nennung der jeweils beauftragten Firmen soll aus Sicherheitsgründen an dieser Stelle nicht erfolgen, da daraus Rückschlüsse auf eingesetzte Sicherheitsarchitekturen gezogen werden könnten. Wie hoch ist der Betrag, den die Landesregierung für die IT-Sicherheit seiner (Infrastruktur-)Einrichtungen im Jahr 2015 investieren will? Zu Frage 4: Die Sicherheitsanforderungen an bestimmte Verfahren und Systeme sind in erster Linie Anforderungen, die sowohl der Verfügbarkeit, einer sachgerechten Aufgabenwahrnehmung als auch gleichzeitig der IT-Sicherheit dienen. Dies lässt eine separate Betrachtung und Berechnung der Aufwände als IT-Sicherheitsaufwände in der Regel nicht zu. Eine diesbezügliche abschließende Aufschlüsselung kann deshalb hier nicht erfolgen.