Cyber-Attacken auf Netze des Landes

Die Bundesregierung warnt vor zunehmenden Angriffen auf Computernetze. Auch die IT-Infrastruktur der Regierung ist betroffen. Im Verfassungsschutzbericht des Bundes aus dem Jahr 2009 heißt es: Seit dem Jahr 2005 werden auf breiter Basis durchgeführte zielgerichtete elektronische Angriffe auf Behörden und Wirtschaftsunternehmen in Deutschland erkannt, die bis heute in unverminderter Intensität anhalten.

Der wirtschaftliche Schaden ist enorm. In Studien wird das Schadenspotential allein für die deutsche Wirtschaft auf 20 bis 50 Milliarden Euro pro Jahr geschätzt.

Die Bundesregierung hat zwischenzeitlich reagiert und die Einrichtung eines Nationalen Cyber-Abwehrzentrum angekündigt.

Vorbemerkung der Landesregierung Bedrohungen aus dem Internet gehören heutzutage zum Tagesgeschäft. Es ist erkennbar, dass die Schutzmaßnahmen häufig den Bedrohungen hinterher hinken und der Aufwand technischer Schutzmaßnahmen immer stärker ansteigt. So werden fast 20 Prozent der Kosten für das Landesverwaltungsnetz unmittelbar für Sicherheitsmaßnahmen eingesetzt.

Die Bedrohung gilt vor allem für IT-Systeme, die im Internet betriebenen werden und regelmäßig Angriffen ausgesetzt sind. Dazu zählt neben den gezielten Angriffen auch die wahllose automatische Verbreitung von Schadsoftware ohne organisierten kriminellen Hintergrund, die dabei neben anderen Zielen auch mehr oder weniger zufällig Webangebote der Landesverwaltung treffen.

Vor dem Hintergrund der vorhandenen Bedrohung betreibt das Land NRW seit vielen Jahren ein eigenes Landesverwaltungsnetz, an dem alle Behörden und Einrichtungen des Landes angeschlossen sind. Ebenfalls daran angebunden sind die Sondernetze der Polizei und der Steuerverwaltung.

Eine wichtige technisch-organisatorische Maßnahme ist es, dass der Zugang zum Internet sowie sonstige Kommunikation mit Stellen außerhalb der Landesverwaltung über eine gesicherte, zentrale Kopfstelle des Landesverwaltungsnetzes bei IT.NRW erfolgen muss. Ein unmittelbarer Anschluss der Behörden und Einrichtungen des Landes an das Internet ist nicht zugelassen. Lediglich die beiden Sondernetze der Polizei und der Steuerverwaltung verfügen über eigene Zugänge zum Internet.

1. Wie schätzt die Landesregierung die Sicherheit der eigenen IT-Systeme ein?

Eine Einschätzung der Sicherheit der IT-Systeme der Landesverwaltung ist pauschal nicht möglich. Um ein hohes Maß an Sicherheit zu gewährleisten, werden in der Landesverwaltung die notwendigen Maßnahmen entsprechend der aktuellen technischen Erkenntnisse eingesetzt. Dabei wird beachtet, dass alle technischen und organisatorischen Schutzmaßnahmen ineinandergreifen und die zur Verfügung stehenden etablierten und bewährten Technologien zum Schutz von IT-Systemen genutzt werden.

2. Welche Schritte wird die Landesregierung unternehmen, bzw. hat bereits unternommen, um eigene Netze gegen unbefugte Angriffe zu sichern?

Landesverwaltungsnetz IT.NRW ist als zentrale Anlaufstelle für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in IT-Systemen beauftragt. Das hier eingerichtete Computer Emergency Response Team (CERT) dient als Informationsschnittstelle zwischen den Behörden und Einrichtungen der Landesverwaltung. Das CERT NRW informiert die Teilnehmer des Landesverwaltungsnetzes per Mailingliste über aktuelle Bedrohungen und neue Schwachstellen. Darüber hinaus erstellt das CERT NRW Analysen und Handreichungen zu verschiedenen Sicherheitsthemen. Schließlich führt das CERT NRW Sicherheitstests durch, begleitet Audits, berät in Sicherheitsfragen und organisiert Workshops oder Schulungsangebote.

IT.NRW betreibt darüber hinaus bereits seit Jahren zahlreiche Systeme zum Schutz der Netze. Dies umfasst Firewalls, Antivirusprodukte, Antispamprodukte, Intrusion Detection Systeme u. v. m.

Sondernetz der Steuerverwaltung:

Das Sondernetz der Steuerverwaltung ist technisch und organisatorisch in die Sicherheitsstrukturen des Landesverwaltungsnetzes eingebunden und entspricht den dargestellten Sicherheitsanforderungen.

Ergänzend erfolgt eine regelmäßige Überprüfung der Verfügbarkeit und Sicherheit der Systeme durch Sicherheitsscans und durch von außen durchgeführte Penetrationstests. Neue Erkenntnisse zu Fragen der Verwundbarkeit werden zeitnah umgesetzt.

Darüber hinaus betreibt das Rechenzentrum der Finanzverwaltung (RZF) zentral für die deutsche Steuerverwaltung die Betriebsinfrastruktur des E-Government-Verfahrens ELSTER. Die IT-Infrastruktur der ELSTER-Clearingstelle Düsseldorf im RZF ist mit ihren Systemen und Netzzugängen, den darauf betriebenenen Basisdiensten und Anwendungen nach der ISO 27001 auf der Basis von IT-Grundschutz des BSI sicherheitszertifiziert.

Sondernetz der Polizei (CN-Pol):

Entsprechend der Beschlusslage des AK II der Innenministerkonferenz sind die polizeilichen Kommunikationsnetze der Kritischen Infrastruktur in Deutschland zuzurechnen. Zum Schutz des polizeilichen Kommunikationsnetzes wurden umfangreiche Sicherheitsmaßnahmen in Anlehnung an die Standards und Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umgesetzt. Die Polizeibehörden in NRW sind ebenfalls in diesen Prozess eingebunden. Die Umsetzung der in den IT-Sicherheitskonzepten vorgesehenen Maßnahmen ist zentraler Bestandteil für die mittel- und langfristige Gewährleistung der IT-Sicherheit auf hohem Niveau im Bereich der Polizei NRW. Mit dieser Vorgehensweise orientiert sich die Polizei NRW am Nationalen Plan zum Schutz der kritischen Informationsinfrastrukturen in Deutschland.

Das CN-Pol wird aktuell als autarkes Netz für Sprach- und Datenkommunikation der Polizei betrieben. An den Netzübergängen zum Internet und Netzen Dritter ist das CN-Pol durch ein mehrstufiges Sicherheitsgateway geschützt. Dieses Sicherheitsgateway regelmäßig im Rahmen länderübergreifender IT-Sicherheitsaudits durch Auditoren anderer Polizeien überprüft. Alle stationären und mobilen Standard-Arbeitsplatz-PC sind mit einem Programm zum Schutz vor Schad-Software ausgestattet. Auswertungen über erkannte und gebannte werden den Polizeibehörden monatlich zur Verfügung gestellt. Aktuelle Sicherheitslücken in den Betriebssystemen und Standard-Software-Produkten werden zeitnah, soweit möglich, durch Patche bzw. Updates behoben. Auf den E-Mail-Servern wird zusätzlich zu der Software zum Schutz vor Schad-Programmen eine Software eingesetzt, die E-Mail-Anlagen auf nur erlaubte Datenformate (White-List) überprüft.

Der Bereich der operativen IT-Sicherheit beim LZPD ist in den CERTBund-Verbund eingebunden und erhält von dort aktuelle Warnmeldungen.

Bei rechtzeitiger Erkennung eines Angriffs wäre es der Polizei möglich, am Sicherheitsgateway eine Netztrennung vorzunehmen und so die Arbeitsfähigkeit innerhalb des CN-POL NRW zu gewährleisten. Für die formelle Kommunikation gemäß der Polizeidienstvorschrift 810 (PDV810) wurden entsprechende Notfallkonzepte erarbeitet, so dass eine Kommunikation mit Polizeibehörden ggf. auch außerhalb des CN-Pol NRW möglich wäre.

3. Wie viele Angriffe auf eigene Netze (zuzüglich nachgeordneter Behörden) wurden in den vergangenen fünf Jahren festgestellt (bitte nach Jahren aufschlüsseln)?

In der Kürze der für die Beantwortung der Fragen zur Verfügung stehenden Zeit ist eine Aufschlüsselung nach Jahren ist nicht leistbar.

Grundsätzlich sind die Internetsysteme regelmäßig Angriffen in Form von Portscans ausgesetzt. Diese stellen in aller Regel keine Bedrohung dar, sondern gehören zum täglichen Geschäft.

Die Zahl erkannter erfolgreicher Angriffe auf Webangebote der Landesverwaltung beziffert sich bisher auf weniger als zehn pro Jahr. Dagegen ist die Zahl erkannter Angriffe insgesamt in den letzten Jahren stark angestiegen und beziffert sich auf hunderte bis tausende pro Tag.

Angriffe auf das Sondernetz der Polizei (CN-Pol) sind jederzeit möglich (siehe auch Einschätzungen des Nationalen Lagezentrums des BSI).

Bisher sind keine Angriffe auf das CN-Pol bekannt.

4. Wie schätzt die Landesregierung die Relevanz dieser Attacken ein?

Bei den wenigen erfolgreichen Angriffen auf Webangebote der Landesverwaltung handelt es sich regelmäßig um Vorfälle geringen Ausmaßes. Im Übrigen sind die meisten bisher erkannten Attacken nicht gezielt gegen die Landesverwaltung gerichtet und in der Auswirkung regelmäßig nicht relevant, weil die betreffenden Schwachstellen in den Systemen nicht existieren oder seit langem abgestellt wurden.

5. Hat es in den letzten fünf Jahren gravierende Einbrüche in landeseigene Netze gegeben?

Gravierende Einbrüche sind nach Kenntnis des CERT NRW in den letzten fünf Jahren in den von IT.NRW betriebenen Netzen nicht vorgekommen. Am 27.1.2011 hat uns ein Hinweis auf einen möglichen Sicherheitsvorfall aus dem Jahr 2010 erreicht. Diesem Hinweis gehen wir selbstverständlich intensiv nach. Das Ergebnis der Prüfung, ob es sich überhaupt um einen gravierenden Einbruch in landeseigene Netze handelt, liegt derzeit noch nicht vor. Sobald das Ergebnis vorliegt, werde ich Sie hierüber informieren.

Im Sondernetz der Steuerverwaltung hat es keine bekannt gewordenen Einbrüche gegeben.

In Bezug auf das Sondernetz der Polizei (CN-Pol) siehe Antwort auf Frage 3.