Thüringer Landtag 6. Wahlperiode 6869 Drucksache 6/ 25.02.2019 Kleine Anfrage des Abgeordneten Prof. Dr. Voigt (CDU) und Antwort des Thüringer Finanzministeriums Der bundesweite Online-Datendiebstahl. Wie gut ist Thüringen vor Cyberattacken geschützt? Die Kleine Anfrage 3596 vom 10. Januar 2019 hat folgenden Wortlaut: Bereits im Dezember 2018 wurden über die Social-Media-Plattform Twitter persönliche Daten von Bundesund Landtagsabgeordneten, Schauspielern und Künstlern veröffentlicht. Zudem wurden ebenfalls Daten von Parteien der Öffentlichkeit zugänglich gemacht. Von diesem bundesweiten Hackerangriff sind auch Thüringer Abgeordnete betroffen. Aufgrund dieser Ereignisse möchte ich von der Landesregierung erfahren, wie gut Thüringen auf Hackerangriffe vorbereitet ist. Ich frage die Landesregierung: 1. Wann und von welcher Stelle wurde die Landesregierung über den umfassenden Hackerangriff informiert? 2. Sind nach den bisherigen Erkenntnissen auch Mitglieder der Landesregierung von dem bundesweiten Hackerangriff betroffen? 3. Wie viele Cyberangriffe auf die Thüringer Landesverwaltung sind seit dem Jahr 2015 registriert worden und welche Schäden sind der Landesverwaltung dadurch entstanden (bitte einzeln in Jahresscheiben auflisten)? 4. Besitzt Thüringen eine Cybersicherheitsstrategie? Wenn ja, welche Maßnahmen beinhaltet diese Strategie? Wenn nicht, warum ist bisher nicht auf die zunehmende Gefahr von Cyberangriffen durch eine abgestimmte Vorgehensweise in Form einer Strategie reagiert worden? 5. Hat die Landesregierung Kenntnisse darüber, ob andere Bundesländer über eine Cybersicherheitsstrategie verfügen (bitte getrennt für jedes Bundesland mit dem Datum der Veröffentlichung auflisten)? 6. Wie viele Mittel hat Thüringen seit dem Jahr 2015 für die Abwehr von Cyberangriffen zur Verfügung gestellt? 7. Wie viele Personalstellen sind in der Landesverwaltung für die Abwehr von Cyberangriffen vorhanden sowie tatsächlich besetzt und wie viele Personalstellen sind für das "Computer Emergency Response Team" vorgesehen und bereits besetzt worden? 8. Welche Maßnahmen unternimmt die Landesregierung, um Thüringer Unternehmen bei der Abwehr von Wirtschaftsspionageaktivitäten zu unterstützen? Druck: Thüringer Landtag, 8. März 2019 Drucksache 6/ 6869 Thüringer Landtag - 6. Wahlperiode 9. Wie stellt die Landesregierung sicher, dass die von der Landesverwaltung verwendeten digitalen Kommunikationsmöglichkeiten vor dem Zugriff unberechtigter Dritter geschützt sind? 10. Wie bewertet die Landesregierung die Blockchaintechnologie im Hinblick auf den Schutz von sensiblen Daten und in Bezug auf den Ausbau des E-Governments in Thüringen? Das Thüringer Finanzministerium hat die Kleine Anfrage namens der Landesregierung mit Schreiben vom 25. Februar 2019 wie folgt beantwortet: Zu 1.: Die Landesregierung wurde am Morgen des 4. Januar 2019 sowohl über das CERT-Bund als auch durch das Bundesministerium des Innern, für Bau und Heimat sowie das Bundesamt für Sicherheit in der Informationstechnik informiert. Zu 2.: In der online gestellten Datenbank sind auch Informationen über Mitglieder der Landesregierung enthalten. Zu 3.: Die folgend dargestellten Angriffe wurden am Netzübergang des Internets zum Landesdatennetz aufgezeichnet. Diese sind jedoch überwiegend als Streuangriffe zu werten und stellen keine gezielten Angriffe auf die Infrastruktur des Freistaats Thüringen dar. So werden in dieser Statistik zum Beispiel Schwachstellenscanner, SQL Injection und Versuche, Passwordfiles zu lesen, erfasst. Die aufgeführten Angriffe haben keine erkennbaren Schäden verursacht. Jahr Hohe Kritikalität Mittlere Kritikalität Mails mit Schadcode 2015 2016 2017 2018 Keine Erhebung 241.900 325.500 400.600* Keine Erhebung 197.300 485.000 738.300* Keine Erhebung 19.000 23.000 60.000 SPAM-Mails in Millionen Keine Erhebung 6,5 3,1 1,2 Zu 4.: Für die Thüringer Landesverwaltung stellt die im Jahr 2016 verabschiedete Informationssicherheitsleitlinie die Grundlage für das Handeln im Bereich der Informationssicherheit dar. Diese bestimmt die verbindliche Anwendung der Methoden und Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik in allen Bereichen der Landesverwaltung. Die Leitlinie bildet die Grundlage für eine ressortübergreifende Sicherheitsorganisation bis in jede Dienstelle, die gezielt Maßnahmen zur Stärkung der Informationssicherheit und dem Schutz vor Angriffen ergreift. Dieses Informationssicherheitsmanagementsystem wird seit dem Jahr 2018 durch das im Aufbau befindliche ThüringenCERT operativ unterstützt. Zu 5.: Der IT-Planungsrat hat sich ein einheitliches Sicherheitsniveau der Informationssicherheit in allen Ländern und dem Bund zum Ziel gesetzt. Dies wurde im Jahr 2013 in einer gemeinsamen "Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung" festgelegt. Diese bildet die Grundlage für das gemeinsame Handeln beim Bund und bei den Ländern. Konkrete Erkenntnisse über die Verabschiedung und Veröffentlichung von länderspezifischen Informationssicherheitsleitlinien liegen nicht vor. Zu 6.: Grundsätzlich fallen bei allen Investivmaßnahmen von Hard- und Software, beim Personal, in der Aus- und Fortbildung und in Projekten Kosten für die Abwehr von Cyberangriffen an. Diese lassen sich auf Grund der Komplexität der technischen Komponenten und dem anteiligen Inhalt an Gesamtvorhaben nicht exakt abgrenzen und somit dediziert ausweisen. Daher wird davon ausgegangen, dass 20 Prozent der dafür investierten Gelder, Kosten für die Abwehr von Cyberangriffen darstellen. Diese betragen für die Jahre 2015 bis 2018 circa 65,4 Millionen Euro. 2 Thüringer Landtag - 6. Wahlperiode Drucksache 6/ 6869 Die Thüringer Hochschulen sind auf Grund ihrer Teilrechtsfähigkeit und der besonderen Anforderungen von Forschung und Lehre nicht im definierten Verbund der Thüringer Informationssicherheitsleitlinie für die Landesverwaltung, weshalb die vorgenannten Daten und Zahlen diese nicht mit umfassen. Zu 7.: Für die Abwehr sind sowohl Informationssicherheitsbeauftragte (IT-SiBe) als auch Administratoren im Rahmen ihrer Aufgaben tätig. Nicht in der Aufzählung enthalten sind die Personalstellen im Bereich Cyber-Crime im Landeskriminalamt Thüringen oder im Ermittlungsbereich der Polizeidienststellen. Ressort TSK IT-SiBe (Stellen/Personen) 0,8 h. D. TMIK (allgemeine Verwaltung) TMIK: 0,6 (Vertreter 0,1) g.D.; TLVwA: 0,5 g.D. (zzgl. Abwesenheitsvertreter); TLS: 0,25 h.D. (Vertreter 0,25 g.D.); BZG: 0,3 g.D. TMIK Polizei 1,0 h.D.; 8,0 g.D. TMBJS TMMJV TFM TMWWDG TMASGFF TMUEN TMIL 1,0 (Vertreter 0,5) 1,0 0,7 h.D. 1,0 0,5 (Vertreter 0,3) 0,3 0,5 (TLBV 0,05) Administratoren/SB (Stellen/Personen) 3,0 TLDA 1,0 Landesarchiv 1,0 TMIK: bzgl. Informationssicherheit 0,3 g.D., 0,2 m.D.; TLVwA: bzgl. Informationssicherheit 0,5 g.D.; TLS: bzgl. Informationssicherheit 1,5; TLFKS: bzgl. Informationssicherheit 0,1; BZG: bzgl. Informationssicherheit 0,1 Angabe zu Zeitanteilen nicht kurzfristig möglich/zielführend 1,5 6,75 g.D. und 3,5 m.D. 2,0 0,75 0,6 Im ThüringenCERT sind derzeit drei Mitarbeiter beschäftigt, wobei im Endausbau sechs Mitarbeiter für diesen Bereich tätig sein werden. Zu 8.: Vom Thüringer Ministerium für Wirtschaft, Wissenschaft und Digitale Gesellschaft wird das Kompetenzzentrum Wirtschaft 4.0 gefördert. Dieses steht für die Unternehmen in Thüringen als ein Partner zur Verfügung, der nicht nur bei der Wissensvermittlung allgemein, sondern auch zum Themengebiet "Abwehr von Wirtschaftsspionageaktivitäten" aktiv unterstützen kann. Betreiber von kritischen Infrastrukturen wie auch die kleinen mittelständischen Unternehmen stehen im Fokus beratender Tätigkeit, insbesondere des Landeskriminalamtes Thüringen und des Amtes für Verfassungsschutz. Im Bereich KRITIS wirken insbesondere die Maßnahmen im Rahmen des IT-Sicherheitsgesetzes, dessen Umsetzung in Thüringen das Thüringer Ministerium für Inneres und Kommunales mit einem gesonderten Aufgabenbereich koordiniert. Zu 9.: Die Landesregierung hat in der Informationssicherheitsleitlinie der Thüringer Landesverwaltung festgelegt, dass organisatorische und technische Maßnahmen entsprechend der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik umzusetzen und bei hohem und sehr hohem Schutzbedarf individuelle Betrachtungen und gegebenenfalls weitere Maßnahmen vorzusehen sind. Zum Schutz der Kommunikationsbeziehungen erfolgt die Kommunikation innerhalb der Landesregierung und zwischen den Landkreisen grundsätzlich über das geschützte und exklusive Landesdatennetz. Die Kommunikation zum Bund und anderen Ländern erfolgt grundsätzlich über das gesicherte Verbindungnetz von Bund und Ländern. Zum Schutz der Infrastruktur des Freistaats Thüringen erfolgt die Kommunikation in Richtung Internet über gesonderte Gateways und weitere Sicherheitsmaßnahmen. 3 Drucksache 6/ 6869 Thüringer Landtag - 6. Wahlperiode Zu 10.: Die Thüringer Landesregierung steht neuen Technologien und der Prüfung ihres Einsatzes in der Landesverwaltung grundsätzlich offen gegenüber. Die Blockchaintechnologie kann unter bestimmten Rahmenbedingungen auch in der öffentlichen Verwaltung zum Schutz von sensiblen Daten Verwendung finden, jedoch sind dabei technologische Besonderheiten, wie zum Beispiel die fehlende datenschutzkonforme Ausgestaltung und fehlende Standardisierung, zu berücksichtigen. Taubert Ministerin Endnote: * Statistik nur bis einschließlich Oktober 2018 geführt. 4