STAATSM1NISTERIUM DES INNERN Freistaat SACHSEN DerStaatsminister SÄCHSISCHES STAATSMINISTERIUM DES INNERN 01095 Dresden Präsidenten des Sächsischen Landtages Herrn Dr. Matthias Rößler Bernhard-von-Lindenau-Platz 1 01067 Dresden Aktenzeichen (bitte bei Antwort angeben) 61-1040E/3/14-V1 Dresden, ^ . Juli 2015 Kleine Anfrage des Abgeordneten Nico Brünler, Fraktion DIE LINKE Drs.-Nr.: 6/1971 Thema: Industrie 4.0 und Datensicherheit Sehr geehrter Herr Präsident, namens und im Auftrag der Sächsischen Staatsregierung beantworte ich die Kleine Anfrage wie folgt: Frage 1: In welchem Umfang gab es bei sächsischen Unternehmen oder im öffentlichen Dienst in den letzten fünf Jahren Einbrüche in deren Datennetzwerke und in wie vielen Fällen sind dabei gezielt Daten abgeflossen oder manipuliert worden, bzw. in wie vielen Fällen kam es dadurch zu Störungen im Geschäftsablauf? Erfolgreiche Einbrüche in Datennetzwerke im Sinne externer Angriffe (von außen beabsichtigt herbeigeführte Sicherheitsvorfälle, Z.B. "Hacken") sind Ereignisse mit direkten und/oder indirekten Auswirkungen auf die Informationssicherheit , also die Verletzung der Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Auf das Sächsische Verwaltungsnetz (SVN) als dem Verwaltungsnetz der Landesbehörden des Freistaates sind in den Jahren 2010-2014 vom Staatsbetrieb Sächsische Informatik Dienste (SID) keine erfolgreichen exfernen Angriffe im oben genannten Sinn registriert worden. Auch in den Datennetzen im Geschäftsbereich der Ressorts sowie der Polizei wurden in den letzten fünf Jahren keine Einbrüche mit einem damit verbundenen gezielten Datenabfluss und/oder Manipulationen festgestellt. Es kam aus diesem Grund zu keiner Störung im Geschäftsablauf. Die einzige erfasste und dokumentierte Sicherheitslücke betrifft einen Fall aus dem Jahr 2011 beim Statistischen Landesamt, der detailliert bereits im 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten (Abschnitt 14.6 "Sicherheitslücken bei der Online-Erhebung") beschrieben ist. Hausanschrift: Sächsisches Staatsministerium des Innern Wilhelm-Buck-Str 2 01097 Dresden Telefon +49 351 564-0 Telefax+49 351 564-3199 www.smi.sachsen.de Verkehrsanbindung: Zu erreichen mit den Straßenbahnlinien 3, 6. 7, 8, 13 Besucherparkplätze: Bitte beim Empfang WilhelmBuck -Str. 2 oder 4 melden. STAATSMINISTERIUM DES INNERN Freistaat SACHSEN Die veröffentlichte Sicherheitslücke wurde nach Bekanntwerden schnellstmöglich geschlössen , so dass sie nach Erkenntnissen der Behörde nicht ausgenutzt werden konnte . Erkenntnisse, in welchem Umfang es bei sächsischen Unternehmen "Einbrüche" in deren Datennetz gab, lassen sich nicht abbilden, da in der Polizeilichen Kriminalstatistik (PKS) des Freistaates Sachsen Straftaten im genannten Sachzusammenhang nicht gesondert ausgewiesen werden. Im Jahr 2014 wurden im Polizeilichen Auskunftssystem Sachsen (PASS) insgesamt 2.992, für die letzten fünf Jahre 15.633 Straftaten der Cybercrime im engeren Sinne registriert. Der Recherche zu Grunde gelegt wurden Straftaten gemäß § 202 a StGB (Ausspähen von Daten), § 202 b StGB (Abfangen von Daten), § 202 c StGB (Vorbereiten des Ausspähens und Abfangens von Daten), § 263 StGB (Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten), § 263 a StGB (Computerbetrug), § 303 a StGB (Datenveränderung) sowie § 303 b StGB (Computersabotage). Frage 2: Welcher wirtschaftliche Schaden ist den Betroffenen dadurch entstanden? Welche wirtschaftlichen Schäden entstanden sind und ob es sich bei den Geschädigten um Privatpersonen, Wirtschaftsunternehmen oder öffentliche Einrichtungen handelt, kann nicht beantwortet werden. Die vollständige Beantwortung der Frage würde die Durchsicht und Auswertung aller in Betracht kommender Ermittlungsverfahren erfordem . Dies ist im Hinblick auf die große Anzahl der in Betracht kommenden Verfahren im Rahmen der zur Beantwortung einer Kleinen Anfrage zur Verfügung stehenden Zeit unverhältnismäßig und ohne Einschränkung der Funktionsfähigkeit der sächsischen Polizei nicht zu leisten. Frage 3: In wie weit sieht die Staatsregierung in gezielten Angriffen auf Netzwerke oder Datenbestände eine Gefahr für die Weiterentwicklung der sächsischen Wirtschaft und welche Rolle spielt dieser Aspekt in der Digitalen Agenda des Freistaates Sachsen? Mit fortschreitender Digitalisierung steigt die wirtschaftliche Bedeutung der Verfügbarkeit , der Integrität und des Schutzes von Daten. Die Staatsregierung erarbeitet derzeit die Digitalisierungsstrategie "Sachsen Digital". Informations- und Cybersicherheit sind dabei eines von fünf strategischen Zielen der Digitalisierungsstrategie des Freistaates Sachsen. Die Cybersicherheit in Unternehmen ist von hoher strategischer Bedeutung insbesondere für das Funktionieren von kritischen Infrastrukturen (KRITIS). Daher ist es das Ziel der Landesverwaltung mit anderen Institutionen und Einrichtungen, die zu den KRITIS gezählt werden, eng zusammenzuarbeiten. Derzeit ist das IT-Sicherheitsniveau bei kritischen Infrastrukturen sehr unterschiedlich, was an uneinheitlichen gesetzlichen Vorgaben, aber auch an einem unterschiedlich ausgeprägten Risikomanagement liegt. Seite 2 von 4 STAATSM1N1STER1UM DES INNERN Freistaat SACHSEN Durch den hohen Grad der Vernetzung und den daraus resultierenden wachsenden Abhängigkeiten zwischen den Bertreibern von KRITIS muss dieser Zustand verbessert werden. Zuletzt sind auch aufgrund systematischer Umwälzungen in der Wirtschaft - Z.B. Industrie 4.0 und Internet der Dinge - Defizite im Bereich der IT-Sicherheit abzubauen , damit die Wirtschaft zukunftsfähig und der Freistaat Sachsen ein attraktiver Standort für Hightech-Unternehmen bleibt. Basierend auf der hohen Bedeutung der IT für die Daseinsvorsorge und die Entwicklung des Wirtschaftsstandort Sachsen werden in den nächsten Jahren geeignete Rahmenbedingungen und gemeinsame Maßnahmen zur übergreifenden Förderung der Informations- bzw. Cybersicherheit abgestimmt und etabliert. Frage 4: Welche konkreten Anstrengungen unternimmt der Freistaat Sachsen um Unternehmen bei der Sicherung ihrer Daten und ihrer Datenkommunikation zu unterstützen ? Die Maßnahmen der polizeilichen Prävention im Freistaat Sachsen in diesem Bereich sind auf die Verhinderung von Cybercrime ausgerichtet. Speziell für klein- und mittelständische Unternehmen initiierten das Landeskriminalamt und die Polizeidirektion Chemnitz gemeinsam mit dem Sächsischen Verband für Sicherheit in der Wirtschaft e. V. (SVSW) im Jahr 2010 das Präventionsangebot "Sicheres Unternehmen". Die Koordinierung obliegt dem Landeskriminalamt Sachsen. Ziel dieses Präventionsangebotes ist die Sensibilisierung der Unternehmen für die Themen "Wirtschaftskriminalität" und "Wirtschafts- und Industriespionage" mittels eines kostenlosen ganzheitlichen Beratungsangebotes zum Schutz der äußeren und inneren Sicherheit. Prüffelder sind neben dem Thema Cybercrime auch die Objekt- und Gebäudesicherheit sowie die personelle und organisatorische Sicherheit. Fragen der Wirtschafts- und Industriespionage werden im Rahmen des Präventionsangebotes durch das Landesamt für Verfassungsschütz bearbeitet. Mit dem Beratungsangebot sollen Sicherheitslücken/-risiken erkannt und Empfehlungen für deren nachhaltige Beseitigung gegeben werden. Zielgruppe des Präventionsangebotes "Sicheres Unternehmen" sind sächsische klein- und mittelständische Unternehmen aller Branchen. Besonders im Fokus stehen exportorientierte Unternehmen und Institutionen mit innovativen Forschungs- und Entwicklungsaufgaben, die Weltmarktführer sind, sowie Firmen mit einem mittleren bzw. hohen Gefährdungsgrad , welche nicht über ein firmeneigenes hauptamtliches Securitymanagemerrt verfügen . Mit Stand 1. Juli 2015 zeigten insgesamt 80 Unternehmen Interesse an diesem Präventionsangebot. Bei 34 Unternehmen hiervon erfolgte bereits eine abschließende Beratung. Zu den Aktivitäten des Landesamtes für Verfassungsschutz in diesem Bereich wird auf Antwort 3 in Drs.-Nr. 6/1827 verwiesen. Ferner unterstützt der Freistaat Sachsen im Rahmen des Programms "E-Business, Informationssicherheit und Wissensbilanz" der Mittelstandsrichtlinie vom 21. August 2014 (SächsABI. S. 1111) aus Mitteln des EFRE kleine und mittlere Unternehmen bei der Einführung moderner Informations- und Kommunikationstechnologien - zum Beispiel zur Abbildung elektronischer Geschäftsprozesse - sowie bei der Verbesserung des Informationssicherheitsniveaus. Mit der Förderung sollen Unternehmen in die Lage versetzt werden, eine stringente Schutzstrategie zu entwickeln und erforderliche MaßSeite 3 von 4 STAATSMINISTERIUM DES INNERN Freistaat SACHSEN nahmen umzusetzen. Zuwendungsfähig sind Ausgaben, die im Zusammenhang mit der Einführung beziehungsweise Zertifizierung eines InformationssicherheitsmanagementSystems (ISMS) nach ISO/IEC 27001 oder eines alternativen Systems stehen. Mit freundlichen Grüßen In Vertretung ^£^^ SebastiätT Gemkow Seite 4 von 4 2015-07-24T10:35:22+0200 GRP: Elektronisches Dokumentations- und Archivsystem Erstellung des Nachweisdokumentes