Landtag von Sachsen-Anhalt Drucksache 6/2455 27.09.2013 (Ausgegeben am 30.09.2013) Antwort der Landesregierung auf eine Kleine Anfrage zur schriftlichen Beantwortung Abgeordneter Sebastian Striegel (BÜNDNIS 90/DIE GRÜNEN) Überwachung sachsen-anhaltischer Bürgerinnen und Bürger, Unternehmen sowie Institutionen durch Geheimdienste Kleine Anfrage - KA 6/8017 Vorbemerkung des Fragestellenden: Die insbesondere durch Enthüllungen des Whistleblower Edward Snowden publik gemachten Überwachungsprogramme PRISM des amerikanischen Geheimdienstes National Security Agency (NSA) und Tempora des britischen Geheimdienstes Government Communications Headquarters (GCHQ) sind derzeit Gegenstand breiter politischer und gesellschaftlicher Debatten. Die nach Berichten vollständige Überwachung des weltweiten internetbasierten Datenverkehrs und dessen Analyse auf der Grundlage von Metadaten wirft eine Vielzahl von Fragen zur Sicherheit informationstechnischer Systeme, zum Datenschutz und zur Rolle der Geheimdienste in der Demokratie und ihrer Gebundenheit an Prinzipien des Rechtsstaates auf. Antwort der Landesregierung erstellt vom Ministerium für Inneres und Sport Namens der Landesregierung beantworte ich die Kleine Anfrage wie folgt: Vorbemerkung: Die IT-Verfahren PRISM und Tempora des amerikanischen Nachrichtendienstes NSA und des britischen Nachrichtendienstes GCHQ sind hier bisher nicht bekannt gewesen. Zur Zentralstellenfunktion des Bundesamtes für Verfassungsschutz (BfV) gehört auch die Zusammenarbeit mit ausländischen Nachrichtendiensten. Informationen ausländischer Nachrichtendienste, die für die Landesbehörden für Verfassungsschutz relevant sein könnten, werden diesen ausschließlich über das Bundesamt für Verfassungsschutz zugeleitet. 2 Hinsichtlich der Informationen und Daten, die vom Bundesnachrichtendienst über das Bundesamt für Verfassungsschutz bzw. vom Bundesamt für Verfassungsschutz den Verfassungsschutzbehörden der Länder übermittelt werden, liegen regelmäßig keine konkreten Angaben über die Art und Weise ihrer Erlangung vor. Die insbesondere durch Enthüllungen des Whistleblower Edward Snowden publik gemachten Überwachungsprogramme PRISM des amerikanischen Geheimdienstes National Security Agency (NSA) und Tempora des britischen Geheimdienstes Government Communications Headquarters (GCHQ) sind derzeit Gegenstand breiter politischer und gesellschaftlicher Debatten. Die nach Berichten vollständige Überwachung des weltweiten internetbasierten Datenverkehrs und dessen Analyse auf der Grundlage von Metadaten wirft eine Vielzahl von Fragen zur Sicherheit informationstechnischer Systeme, zum Datenschutz und zur Rolle der Geheimdienste in der Demokratie und ihrer Gebundenheit an Prinzipien des Rechtsstaates auf. 1. Welche Erkenntnisse hat die Landesregierung über die Anwendung von PRISM, Tempora sowie ähnlicher Programme ausländischer Dienste, die Bürgerinnen und Bürger, Unternehmen sowie Institutionen des Landes Sachsen-Anhalt betreffen bzw. gegen diese gerichtet waren? Seit wann liegen diese Erkenntnisse bei der Landesregierung vor? Erkenntnisse über die Anwendung von PRISM, Tempora oder ähnlicher Programme liegen der Landesregierung nicht vor. 2. Liegen der Landesregierung Erkenntnisse vor, dass Daten von Bürgerinnen und Bürgern, Unternehmen sowie Institutionen aus Sachsen-Anhalt durch ausländische Dienste erhoben, gespeichert und weiterverwendet werden? Falls ja, um welche Daten handelt es sich? Nein. 3. Ist die Landesregierung durch den Bund über dort vorliegende Erkenntnisse zur Anwendung von PRISM, Tempora sowie ähnlicher Programme ausländischer Dienste die Bürgerinnen und Bürger, Unternehmen sowie Institutionen des Landes Sachsen-Anhalt betreffen könnten, unterrichtet worden? Falls ja, wann und mit welchem Ergebnis? Siehe Antwort zu Frage 1. 4. Welche Auswirkungen sieht die Landesregierung durch die Anwendung von PRISM, Tempora und ähnlichen Programmen auf die Bürgerinnen und Bürger, Unternehmen sowie Institutionen des Landes Sachsen-Anhalt, insbesondere aus der Perspektive des Schutzes von Persönlichkeitsrechten , des Schutzes von Unternehmensdaten sowie des Schutzes der Verfassungsorgane des Landes Sachsen-Anhalt? Da der Landesregierung keine Erkenntnisse über die Anwendung von PRISM, Tempora oder ähnliche Programme vorliegen, können keine Aussagen zu den Auswirkungen getroffen werden. 3 5. Welche Aktivitäten unternimmt die Landesregierung, um der Überwachung des Internet-Datenverkehrs von Bürgerinnen und Bürgern, Unternehmen sowie Institutionen des Landes Sachsen-Anhalt zu begegnen? 5.1. Wie sichert die Landesregierung im Einzelnen die sich aus Grundge- setz und Landesverfassung ergebenden Rechte der Bürgerinnen und Bürger des Landes im Hinblick auf die Wahrung insbesondere des Post- und Fernmeldegeheimnisses sowie des Rechtes auf informationelle Selbstbestimmung vor dem Hintergrund der bekannt gewordenen Überwachungsmaßnahmen, ihres Umfangs und ihrer Reichweite? Welche Aktivitäten hat die Landesregierung ergriffen, um Bürgerinnen und Bürgern wirksame Maßnahmen zum Schutz vor Überwachung bereitzustellen oder zu empfehlen? In Sachsen-Anhalt wird im Hinblick auf die Tätigkeit öffentlicher Stellen des Landes das Recht der Bürger auf informationelle Selbstbestimmung durch das Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt - DSG LSA) vom 12. März 1992 (GVBl. S. 152) in der Fassung der Bekanntmachung vom 18. Februar 2002 (GVBl. LSA S. 54), zuletzt geändert durch Artikel 1 des Gesetzes vom 27. September 2011 (GVBl. LSA S. 648) gesichert. Im Hinblick auf die Tätigkeit privater Stellen sowie öffentlicher Stellen des Bundes wird das Recht auf informationelle Selbstbestimmung bundesweit durch das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814), geschützt. Die Einhaltung der genannten gesetzlichen Bestimmungen wird sowohl bei Behörden und sonstigen öffentlichen Stellen des Landes als auch bei den nichtöffentlichen Stellen (z. B. bei Unternehmen und Vereinen) mit Sitz in Sachsen-Anhalt vom Landesbeauftragten für den Datenschutz kontrolliert. Bei den Gerichten des Landes beschränkt sich die Kontrolle des Landesbeauftragten auf deren Verwaltungstätigkeiten . Demgegenüber unterliegen die in Sachsen-Anhalt ansässigen Bundesbehörden (z. B. das Umweltbundesamt) der Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit . Die Landespolizei sensibilisiert im Rahmen der polizeilichen Kriminalprävention regelmäßig zu Phänomenen der Internetkriminalität und informiert die Bürgerinnen und Bürger über Möglichkeiten einer sicheren Nutzung des Internets. Hierbei werden insbesondere Präventionshinweise zum sicheren Online-Banking, Einkaufen im Internet und dem Umgang mit sozialen Netzwerken gegeben. Ein Schwerpunkt dabei ist auch der Schutz vor Phishing, dem „Abfischen“ von vertraulichen und personenbezogenen Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern im Internet. In diesem Zusammenhang hat das Landeskriminalamt Sachsen-Anhalt im Jahr 2012 das Medienpaket „Ich bin online!“ kostenfrei herausgegeben. Das Medienpaket besteht aus einer DVD mit einem pädagogisch-didaktisch aufbereiteten Begleitheft für Lehrkräfte zur Unterrichtsgestaltung. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen. 4 5.2. Welche Maßnahmen ergreift die Landesregierung im Einzelnen, um sachsen-anhaltische Unternehmen gegen Wirtschafts- und Industriespionage zu wappnen, die den Wirtschaftsstandort Sachsen-Anhalt gefährdet, vor dem Hintergrund der bekannt gewordenen Überwachungsmaßnahmen , ihres Umfangs und ihrer Reichweite? Vorbemerkung: Unter Wirtschaftsspionage versteht man die staatlich gelenkte oder gestützte von fremden Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen , Betrieben und wissenschaftlichen Einrichtungen. Industriespionage ist die umgangssprachliche Bezeichnung für Konkurrenzausspähung , die Ausforschung eines Unternehmens durch einen Wettbewerber . Die Bekämpfung der Computer- und Internetkriminalität ist ein strategischer Arbeitsschwerpunkt der Polizei in Sachsen-Anhalt. Das im Landeskriminalamt Sachsen-Anhalt eingerichtete „Cybercrime Competence Center“ (4C) ist dabei ein zentraler Baustein. Dort werden unter anderem neue Risiken der Mediennutzung und Erscheinungsformen der Computer- und Internetkriminalität ausgewertet. Im Bereich des 4C ist des Weiteren die „Zentrale Ansprechstelle Cybercrime“ (ZAC) für die Wirtschaft sowie für öffentliche und nichtöffentliche Einrichtungen eingerichtet. Ferner steht das Landeskriminalamt Sachsen-Anhalt in Kontakt mit Wirtschaftsunternehmen des Landes und berät über Möglichkeiten zum Schutz vor Datenspionage und -sabotage. Unter den Aspekten der Wirtschaftsund Industriespionage werden Angehörige von Unternehmen in SachsenAnhalt in persönlichen Beratungen auf die Risiken hingewiesen sowie für die Thematik „Angriffe fremder Nachrichtendienste“ sensibilisiert. Die vom Bundeskriminalamt herausgegebene Broschüre „Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime“, an deren Erstellung auch das Landeskriminalamt Sachsen-Anhalt beteiligt war, enthält konkrete Empfehlungen zum Umgang mit Angriffen auf dem Gebiet der Cybercrime, um insbesondere den von Cybercrime betroffenen Unternehmen Hilfestellung zu bieten und Unsicherheiten bei der Anzeige von strafrechtlich relevanten Vorfällen in Wirtschaftsunternehmen zu begegnen. Die Broschüre wird den Industrie- und Handelskammern und den interessierten Wirtschaftsunternehmen im Rahmen der Vortragstätigkeit des Landeskriminalamtes zur Verfügung gestellt. Die Verfassungsschutzbehörde des Landes Sachsen-Anhalt unterhält eine Organisationseinheit „Wirtschaftsschutz“, deren Aufgabe darin besteht, Unternehmen und Unternehmensverbände, Institutionen, Hochschulen, Universitäten und Forschungseinrichtungen für die Gefahren durch Wirtschafts - und Industriespionage zu sensibilisieren. Dies geschieht mittels öffentlicher und nichtöffentlicher Vorträge aber auch durch bilaterale vertrauliche Sensibilisierungsgespräche mit den Entscheidungsträgern. Die Verfassungsschutzbehörde verteilt oder versendet auf Wunsch Faltblätter mit Informationen zu den Themen Auslandsreisen, Verhalten in sozialen Netzwerken, elektronische Angriffe, Wissenschaftsspionage, Personalauswahl , Wirtschaftsspionage durch Einbruchsdiebstahl, Sicherheit beim Know-how-Transfer und Besuchermanagement, die ebenso wie die Bro- 5 schüre „Wirtschaftsspionage - Risiko für Ihr Unternehmen“ auch von der Homepage des Ministeriums für Inneres und Sport des Landes SachsenAnhalt herunter geladen werden können. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen. 5.3. Wie sichert die Landesregierung den Schutz sachsen-anhaltischer In- stitutionen insbesondere der Verfassungsorgane gegen Überwachung durch ausländische Dienste vor dem Hintergrund der bekannt gewordenen Überwachungsmaßnahmen, ihres Umfangs und ihrer Reichweite ? Setzt die Landesregierung im Rahmen ihrer eigenen internetbasierten Kommunikation wirksame Techniken zum Schutz vor Überwachung durch Programme wie PRISM, Tempora etc. ein? Welche Techniken sind dies? Zur Sicherung der Kommunikation innerhalb der Landesregierung, zwischen den Landesbehörden sowie zwischen Landesverwaltung und Parlament wird der gesamte Datenverkehr über eine vom Land betriebene und gesicherte Infrastruktur weitergeleitet und auf vom Land betriebenen Systemen gespeichert. Das Landesrechenzentrum und das Technische Polizeiamt Sachsen-Anhalt betreiben für die Landesverwaltung ein eigenes, geschlossenes Landesnetz (ITN-LSA). Dieses Netz ist ein vom öffentlichen Datennetz getrenntes privates Netz der Landesverwaltung und wird auf der Basis von Dienstleistungen von Telekommunikationsunternehmen betrieben . Der Datenverkehr der Landesverwaltung fließt nicht über Drittstaaten. Für die Kommunikation von Verwaltungen über das Internet wird OSCI1 unter anderem für die Verschlüsselung verwendet. Die Datenübertragung kann innerhalb des geschlossenen Landesnetzes zusätzlich verschlüsselt werden . Hierzu stehen verschiedene technische Lösungen auf Netz- und Anwendungsebene zur Verfügung. Der Zugriff auf die Datenübertragung kann durch zusätzliche Ende-zu-Ende-Verschlüsselung ausgeschlossen werden. Es erfolgt keine unverschlüsselte Übertragung von personenbezogenen Daten im Landesnetz. Durch den Einsatz von zusätzlichen FirewallSystemen in vielen Behörden (z. B. Finanzverwaltung) wird eine Überwachung der Datenflüsse durch externe Dritte ausgeschlossen. Das Landesnetz wird außerdem regelmäßig vom Landesbeauftragten für den Datenschutz Sachsen-Anhalt geprüft. Die Kommunikation mit anderen Landesverwaltungen und dem Bund erfolgt über das Verbindungsnetz „Deutschland-Online Infrastruktur“. Hier erfolgt eine Verschlüsselung auf Leitungsebene ab Zugangspunkt. Das Verbindungsnetz ist ein vom Internet getrenntes Netz und wird vom Bund betrieben . 1OSCI (Online Services Computer Interface) ist der Name eines Protokollstandards für die deutsche öffentliche Verwaltung. Er steht für mehrere Protokolle, deren gemeinsames Merkmal die besondere Eignung für das E-Government ist. Der Datentransport mittels OSCI dient somit der sicheren, vertraulichen und rechtsverbindlichen Übertragung digitaler Daten über das Internet. 6 Die Landesvertretungen in Berlin und Brüssel sind über dieses Netz mit dem Landesnetz verbunden. Der E-Mail-Verkehr innerhalb der Landesverwaltung und zu den Landes- und Bundesbehörden erfolgt nicht über das Internet , sondern nur über das Landesnetz und über das Verbindungsnetz des Bundes. Das Technische Polizeiamt Sachsen-Anhalt ist Servicedienstleister für den Übergang vom Landesnetz zum Internet, für eine sichere Einwahllösung in das Landesnetz für die gesamte Landesverwaltung sowie für die Landespolizei im Bereich der Informations- und Kommunikationstechnologie. Das Technische Polizeiamt Sachsen-Anhalt setzt die mit dem unmittelbaren Netzbetrieb erforderlichen Maßnahmen bezüglich einzuhaltender ITSicherheitsvorgaben bei der Nutzung des Landesnetzes um. Zu diesen Sicherheitsvorgaben gehören die Administration der zentralen Netzübergänge zu Fremdnetzen und eine Zugangs- und Dienstebeschränkung zu und aus Fremdnetzen. Dies wird mit den im Land eingesetzten dreistufigen Firewalls, sowie dem den Landesfirewalls vorgeschalteten „Intrusion Prevention System“ realisiert. Die Firewalls bilden ein System aus drei Hardwarekomponenten sowie einer herstellerspezifischen gehärteten Firewallsoftware. Mittels dem „Intrusion Prevention System“ wird überprüft, ob innerhalb des erlaubten Datenverkehrs Schadsoftware oder andere illegale Dienste in das Landesnetz eingeschleust werden. Alle für die Kommunikation mit dem Internet bestimmten Daten fließen aus dem Landesnetz über die eingesetzten Firewalls zu Routern des Kommunikationsdiensteanbieters . Die Zuständigkeit und auch der administrative Einfluss des Technischen Polizeiamtes Sachsen-Anhalt enden am „Netzrand“ des Landesnetzes. Im Übrigen wird auf die Antwort zu Frage 1 verwiesen.