Landtag von Sachsen-Anhalt Drucksache 7/2018 23.10.2017 Hinweis: Die Drucksache steht vollständig digital im Internet/Intranet zur Verfügung. Die Anlage ist in Word als Objekt beigefügt und öffnet durch Doppelklick den Acrobat Reader. Bei Bedarf kann Einsichtnahme in der Bibliothek des Landtages von Sachsen-Anhalt erfolgen oder die gedruckte Form abgefordert werden. (Ausgegeben am 24.10.2017) Antwort der Landesregierung auf eine Kleine Anfrage zur schriftlichen Beantwortung Abgeordneter Jan Wenzel Schmidt (AfD) Digitale Angriffe auf Einrichtungen des Landes Kleine Anfrage - KA 7/1125 Antwort der Landesregierung erstellt vom Ministerium für Inneres und Sport Namens der Landesregierung beantworte ich die Kleine Anfrage wie folgt: Vorbemerkung der Landesregierung: Seit dem Inkrafttreten der Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 3. Mai 2016 gilt für die Betreiber Kritischer Infrastrukturen, die gemäß der BSI-Kritisverordnung unter das BSI-Gesetz fallen, die Verpflichtung, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, IT-Komponenten und IT-Prozesse (IT-Störung), die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastrukturen führen könnten oder bereits geführt haben, dem BSI zu melden. Das BSI analysiert die IT-Störung, korreliert sie mit weiteren vorliegenden Erkenntnissen und erarbeitet ggf. Vorschläge für Maßnahmen. Im Rahmen der Auswertung analysiert das BSI gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und Aufsichtsbehörden zudem die potenziellen Auswirkungen der IT-Störung auf die Verfügbarkeit Kritischer Infrastrukturen. Eine Meldung seitens des BSI an die Strafverfolgungsbehörden erfolgt jedoch nicht. Ein Angriff ist laut der Definition des BSI eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Die nachfolgende Bericht- 2 erstattung bezieht sich ausschließlich auf die der Polizei bekannt gewordenen strafrechtlich relevanten Sachverhalte. Die Falldaten zur Beantwortung der Fragen wurden im Vorgangsbearbeitungssystem IVOPOL für den Zeitraum vom 1. Januar 2007 bis 5. Oktober 2017 recherchiert. Hierfür wurden die dem bundeseinheitlich definierten Deliktbereich der Cybercrime im engeren Sinne (i. e. S.) zugeordneten Delikte zugrunde gelegt, da der vom Fragesteller verwandte Begriff des „digitalen Angriffs“ rechtlich nicht definiert und somit nicht recherchierbar ist. Cybercrime i. e. S. umfasst dabei Straftaten, bei denen Elemente der elektronischen Datenverarbeitung (EDV) in den Tatbestandsmerkmalen der jeweiligen Strafnorm genannt sind. Zur jeweiligen Identität der Angreifer konnten demnach keine weiterführenden Erkenntnisse gewonnen werden. Die Höhe der verursachten Schäden wurde hierbei in IVOPOL offensichtlich nicht belastbar ausgewiesen, wie die Anlagen 1 und 2 verdeutlichen . In allen dargestellten Fällen handelte es sich nicht um zielgerichtete Angriffe auf die geschädigten Institutionen; vielmehr wurde täterseitig Schadsoftware per Zufallsprinzip über das Internet verteilt. Der Begriff „Einrichtungen des Landes Sachsen-Anhalt“ ist abschließend im Gesetz über die Organisation der Landesverwaltung Sachsen-Anhalt (Organisationsgesetz Sachsen-Anhalt - OrgG LSA) vom 27. Oktober 2015 geregelt. Demnach wären für die Beantwortung der Fragen 1. und 4. der Kleinen Anfrage insbesondere Schulen in Landesträgerschaft, Institute zur Aus- und Fortbildung oder zu Forschungszwecken sowie andere Stellen, die nur in geringem Umfang hoheitliche und vorrangig verwaltungsinterne Aufgaben wahrnehmen sowie einen eigenen Bestand an Personal und sächlichen Mitteln haben, zu betrachten. Die Landesregierung legt den Begriff der „Einrichtung“ in ihrer Antwort jedoch umfassender aus und bezieht auch die „Obersten Landesbehörden“ und „Oberen Landesbehörden“ gemäß des OrgG LSA in ihre Antwort ein. 1. Wie viele digitale Angriffe auf Einrichtungen des Landes Sachsen-Anhalt wurden in den vergangenen 10 Jahren festgestellt? Bitte nach Art und Datum des Angriffes, den angegriffenen Zielen, verursachtem materiellen und finanziellen Schaden und falls möglich nach ermittelten Verursachern aufschlüsseln. Auf die Anlage 1 wird verwiesen. 2. Welche Bereiche werden zur kritischen Infrastruktur gezählt? Auf der Grundlage des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 1324) sowie der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-KRITIS-Verordnung - BSI-KritisV) vom 22. April 2016 (BGBl. I S. 958), geändert durch die erste Verordnung zur Änderung der BSI- Kritisverordnung vom 29. Juni 2017 (BGBl. I S. 1903), werden Kritische Infrastrukturen in neun Sektoren und 29 Branchen eingeteilt. Demnach zählen zur Kritischen Infrastruktur Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr , Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versor- 3 gungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden . 3. Wie viele digitale Angriffe auf kritische Infrastruktur im Land Sachsen- Anhalt wurden in den vergangenen 10 Jahren festgestellt? Bitte nach Art und Datum des Angriffes, den angegriffenen Zielen, verursachtem materiellen und finanziellen Schaden und falls möglich nach ermittelten Verursachern aufschlüsseln. Die Erfassung aller Kritischen Einrichtungen oder Anlagen ist in Sachsen-Anhalt noch nicht abgeschlossen. Soweit Erkenntnisse vorliegen, können diese der Anlage 2 entnommen werden. Als Angriffsziel wurden hier Einrichtungen, die kritischen Sektoren im Sinne der Verordnung zur Bestimmung Kritischer Infrastrukturen gem. BSI-Gesetz vom 3. Mai 2016 angehören könnten, zugrunde gelegt . 4. Welche Maßnahmen ergreift die Landesregierung, um eigene Einrichtungen als auch kritische Infrastruktur vor digitalen Angriffen zu schützen? Nach welchen Kriterien wird veraltete IT-Infrastruktur modernisiert? Der Betrieb, die Pflege und der Schutz des informationstechnischen Netzes der Landesverwaltung Sachsen-Anhalts liegen in der Zuständigkeit des Ministeriums der Finanzen. Die Maßnahmen zum Schutz eigener Einrichtungen vor digitalen Angriffen basieren auf drei Säulen und umfassen technische Schutzmaßnahmen , organisatorische Maßnahmen und Sensibilisierungsmaßnahmen für die Bediensteten. Der Betrieb von Fachverfahren innerhalb der Landesregierung des Landes Sachsen-Anhalt erfolgt in einem nach den Standards des BSI zertifizierten und vom TÜV Nord mit dem Sicherheitszertifikat Trusted Site Infrastructure ausgezeichneten Rechenzentrum der Dataport AöR. Im Rahmen des Betriebs des Rechenzentrums trägt die Dataport AöR auftragsgemäß dafür Sorge, dass die Serversysteme dem aktuellen Stand der Technik entsprechend ausgestattet sind. Als große Maßnahme des Landes Sachsen-Anhalt zur Erneuerung veralteter IT-Infrastruktur wird derzeit das bisherige Landesdatennetz (ITN-LSA) durch ein leistungsfähigeres und den aktuellen Stand der Sicherheitstechnik berücksichtigendes neues Datennetz (ITN-XT) ersetzt. Innerhalb dieses neuen Datennetzes erfolgt beispielsweise die Datenübertragung grundsätzlich stark verschlüsselt. Die organisatorischen Maßnahmen umfassen Regelungen für die Bediensteten des Landes zum sicheren Umgang mit den dienstlich bereitgestellten Computersystemen und zum Aufbau und Betrieb eines Informationssicherheitsmanagementsystems nach Empfehlungen des BSI. Obwohl rechtlich nicht verpflichtend für das Land Sachsen-Anhalt, erfolgt bei allen Maßnahmen grundsätzlich eine Orientierung an den Standards, Methoden und Empfehlungen des BSI. Ebenso beteiligt sich das Land Sachsen-Anhalt an den im Bereich der Informationssicherheit existierenden Bund-Länder Arbeitsgruppen und im IT-Planungsrat . Zur Sensibilisierung der Mitarbeiter wurden seit dem Jahr 2013 in nunmehr insgesamt sechs Veranstaltungen über 1.200 Bedienstete der Landesverwaltung und des kommunalen Bereiches über die drohenden Gefahren bei der Benut- 4 zung von Computern und mobilen Geräten informiert und im sicheren Umgang mit der Computertechnik geschult. Dieser Bereich ist besonders wichtig, da heutzutage die meisten Angriffsversuche über E-Mail oder über mit Schadsoftware infizierte Webseiten erfolgen. Zur Prävention im Vorfeld und für die Unterstützung bei der Abwehr konkreter Angriffe beteiligt sich das Land Sachsen-Anhalt am länderübergreifenden Computer Emergency Response Team (CERT) Nord. CERT Nord ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen der Bundesländer Bremen, Hamburg und Sachsen-Anhalt. CERT Nord bietet seinen Mitgliedern einen Warn- und Informationsdienst hinsichtlich der aktuellen Bedrohungslage sowie fachliche und technische Unterstützung bei der Abwehr von Angriffen auf Computersysteme des Landes. Darüber hinaus wurden bundesweit, insbesondere für den Bereich der kritischen Infrastrukturen, polizeiliche, untereinander vernetzte Zentrale Ansprechstellen Cybercrime (ZAC) eingerichtet. Diese werden für Unternehmen sowie öffentliche und nicht öffentliche Institutionen tätig, um als kompetenter Partner IT- Sicherheitsvorfälle aus diesen Bereichen entgegenzunehmen und zeitnah Erstmaßnahmen mit anschließender Zuweisung an die zuständigen Ermittlungsstellen zu veranlassen. ZAC-Dienststellen initiieren, koordinieren und beteiligen sich an vielfältigen Cybercrime-Kooperationen mit anderen Sicherheitsbehörden , Institutionen der Wirtschaft und des Finanzwesens, der IT-Branche, der Wissenschaft und Forschung auf Bundes-, Länder- sowie internationaler Ebene zur Bekämpfung von Cybercrime. Die ZAC des Landes Sachsen-Anhalt ist organisatorisch dem Landeskriminalamt zugehörig. Hier ist ein Beamter mit den vorstehenden Aufgaben betraut. Beispielsweise werden Tagungen von Wirtschaftsverbänden genutzt, um die Aufgaben und die Möglichkeiten der ZAC darzustellen. Es finden sowohl bilaterale Gespräche mit einzelnen Unternehmensvertretern als auch Fachvorträge vor einem breiteren Publikum statt. Weiterhin werden regelmäßige und fortführende Beurteilungen der Gefährdungslage für Personen/Objekte des politischen Lebens durchgeführt, die Teil kritischer Infrastrukturen sind. Anlage 1 zur Antwort auf die Kleine Anfrage 7/1125 Angriffe auf Einrichtungen des Landes Sachsen-Anhalt 2007 - 2017 Delikttext Name nationale Rechtsform Tatdatum bis Jahr Vermögensschaden Sachsschaden Gesamtschaden Computersabotage Technisches Polizeiamt Madgeburg Landeseinrichtung 21.10.2011 2011 0 0 Datenveränderung Polizei Sachsen-Anhalt Landeseinrichtung 14.07.2012 2012 0 0 Ausspähen von Daten § 202a StGB Polizei Sachsen-Anhalt Landeseinrichtung 08.08.2012 2012 Datenveränderung Polizei Sachsen-Anhalt Landeseinrichtung 12.08.2013 2013 Computersabotage Oberfinanzdirektion Magdeburg, Landesrechenzentrum 46 Landeseinrichtung 28.08.2013 2013 1 Computersabotage Landtag Sachsen-Anhalt Landeseinrichtung 10.09.2013 2013 vorbereitendes Ausspähen/Abfangen von Daten § 202c StGB Polizei Sachsen-Anhalt Landeseinrichtung 09.01.2014 2014 Computersabotage Polizei Sachsen-Anhalt Landeseinrichtung 10.01.2014 2014 vorbereitendes Ausspähen/Abfangen von Daten § 202c StGB Landeskriminalamt Sachsen-Anhalt Landeseinrichtung 26.05.2014 2014 Computersabotage Landtagsverwaltung Sachsen-Anhalt Landeseinrichtung 17.06.2014 2014 Ausspähen von Daten § 202a StGB Polizei Sachsen-Anhalt Landeseinrichtung 05.09.2014 2014 2 vorbereitendes Ausspähen/Abfangen von Daten § 202c StGB Polizei Sachsen-Anhalt Landeseinrichtung 07.11.2014 2014 Computersabotage Polizei Sachsen-Anhalt Landeseinrichtung 09.04.2015 2015 5 vorbereitendes Ausspähen/Abfangen von Daten § 202c StGB Polizei Sachsen-Anhalt Landeseinrichtung 14.10.2015 2015 Fälschung beweiserheblicher Daten § 269 StGB Polizei Sachsen-Anhalt Landeseinrichtung 14.10.2015 2015 Computersabotage Technisches Polizeiamt Madgeburg Landeseinrichtung 04.04.2016 2016 Computersabotage Landesamt für Verfassungsschutz Landeseinrichtung 06.04.2016 2016 0 Computersabotage Polizei Sachsen-Anhalt Landeseinrichtung 17.04.2016 2016 Computersabotage Landesverfassungsgericht Sachsen-Anhalt Körperschaft 02.03.2017 2017 0 0 Computersabotage Landtag Sachsen-Anhalt Landeseinrichtung 24.08.2017 2017 Computersabotage Landtag Sachsen-Anhalt Landeseinrichtung 30.08.2017 2017 Datenveränderung Amtsgericht Stendal Landeseinrichtung 18.09.2017 2017 Anlage 2 zur Antwort auf die Kleine Anfrage 7/1125 Angriffe auf kritische Sektoren Delikttext Name Tatdatum bis Jahr Vermögensschaden Sachsschaden Gesamtschaden vorbereitendes Ausspähen/Abfangen von Daten § 202c StGB Harzklinikum Dorothea Christiane Erxleben GmbH 29.01.2015 2015 Computersabotage SWM Magdeburg 16.12.2015 2015 Computersabotage MVB 11.07.2015 2015 Computersabotage Klinikum Magdeburg GmbH 16.02.2016 2016 Computersabotage Krankenhaus St. Marienstift 08.02.2016 2016 0 0 Computersabotage TGA Energietechnik Wittenberg GmbH 06.12.2016 2016 2 Computersabotage Klinik Alte Ölmühle Magdeburg 16.02.2016 2016 Computersabotage Burgenlandklinik 17.02.2016 2016 Computersabotage Klinikum Bergmannstrost 18.04.2017 2017 d2018_Anlage.pdf 7-1125 Anl 1.pdf 7-1125 Anl.2_ Angriffe auf kritische Sektoren