Die informationstechnische Infrastruktur der öffentlichen Hand ist ein bekanntes Ziel von An- griffen mit unterschiedlichsten Motiven. Vor dem Hintergrund der fortschreitenden Digitalisierung aller Verwaltungsabläufe steigt der Bedarf nach einer sicheren und vor Angriffen best- möglich geschützten Systemarchitektur.
Die Angriffe – und damit auch die durch verschiedene Behörden geführten Statistiken – unterscheiden sich stark. Angriffe reichen von einfachen Spam-Mails mit kompromittierten An- hängen bis zu professionellen und schwerwiegenden Attacken. Je nach Definition weisen öffentliche Stellen teils eklatant unterschiedliche Zahlen hinsichtlich der Angriffe aus.
Mit der Kleinen Anfrage 2092 der 16. Wahlperiode (Drucksache 16/5580) wurden insbesondere Penetrationstests, also umfangreiche Sicherheitstests möglichst aller Systembestand- teile und Anwendungen eines IT-Systems, abgefragt. Über derartige Tests seit der Antwort auf die besagte Anfrage (11.04.2014) liegen jedoch keine Informationen vor.
IT-Sicherheit erwächst jedoch nicht allein aus konsequenten Tests, sondern erfordert auch technische, organisatorische und insbesondere personelle (z.B. durch Fortbildung der Mitarbeiter*innen) Maßnahmen.
Vor diesem Hintergrund frage ich die Landesregierung:
- Wie viele Angriffe auf IT-Systeme des Landes, der Ministerien, Landesbehörden und Landeseigenen Betriebe gab es seit dem 01.01.2014? (bitte monatlich, hilfsweise nach Quartalen aufschlüsseln)
- Welche Definition eines Angriffs legt die Landesregierung dabei zugrunde?
- Welche Qualität – sowohl hinsichtlich der Integrität der Einzel- wie der Gesamtsysteme als auch hinsichtlich möglicher strafrechtlicher Relevanz – hatten die in Frage 1 erfrag- ten Angriffe jeweils?
- Welche Penetrationstests wurden seit 2014 bei den Behörden und Einrichtungen des Landes durchgeführt (bitte einzeln aufschlüsseln unter Angabe des Datums, der über- prüften Stelle und – soweit unter Sicherheitsaspekten möglich – der Ergebnisse)
- Welche technischen, personellen und organisatorischen Maßnahmen zur Risikominimierung wurden seit 01.01.2014 geplant und umgesetzt?
Matthi Bolte-Richter