Erkenntnisse nach den „Prominenten-Doxing“-Fällen im Januar 2019

Parlamentarische Initiativen von Anke Domscheit-Berg, Petra Sitte, Birke Bull-Bischoff, Doris Achelwilm, Katrin Werner, Norbert Müller, Nicole Gohlke, Petra Pau, Simone Barrientos, Ulla Jelpke, 21. August 2019

21.08.19 – Kleine Anfrage – Drucksache Nr. 19/12456

Anfang Januar wurde bekannt, dass die Daten von knapp 1000 Prominenten, darunter viele Politiker*innen, im Netz veröffentlich worden waren. Kurz darauf kündigte BMI Seehofer als Reaktion das IT-Sicherheitsgesetz 2.0 mit konkreten Maßnahmen an. Wir wollen wissen, was über das Vorgehen der Täter*innen inzwischen bekannt ist, ob weitere Fälle bekannt sind und wie die Bundesregierung Betroffene schützt oder in Zukunft schützen will.

Inhalt

Vorbemerkung der Fragesteller:
Vom 1. bis zum 28. Dezember 2018 wurden über die Platform Twiter persönliche Daten von knapp 1.000 Politiker*innen und weiteren Prominenten veröfentlicht. Dieses Vorgehen wurde als ,Adventskalender‘ bekannt, da jeden Tag neue Informationen veröfentlicht wurden (https:/www.heise.de/newsticker/meldung/Politiker-und- Promi-Hack-Ehemaliges-Twitter-Konto-eines-YouTubers-missbraucht-4265608.html). Die Daten wurden darüber hinaus auf zahlreichen Spiegelservern abgelegt, was die Löschung erheblich erschwerte (https://twitter.com/thegrugq/status/1081191019993915392).
Durch einen Tweet des selbst betrofenen YouTubers Unge und einen Bericht des Senders RBB am 4. Januar 2019 wurden die auch als ,Doxing‘ bezeichneten Veröffentlichungen von persönlichen Daten einer breiten Öffentlichkeit bekannt. Zwei Tage später wurde ein Verdächtiger ermittelt und festgenommen.
In vielen Fälen waren öfentlich bereits verfügbare Informationen wie Büro-Adressen, Telefonnummern oder Mailadressen zusammengetragen worden, in anderen wurden aber auch tatsächlich private Informationen wie Wohnadressen, Fotos oder Inhalte von Chats veröfentlicht.
Bereits vor Dezember 2018, nämlich mindestens seit dem Juli 2017, wurden über den Twiter-Account des Täters persönliche Daten veröfentlicht, u. a. die des Satirikers Jan Böhmermann (https://www.donaukurier.de/nachrichten/topnews/inland/art388865,4037598).
Der Bundesregierung und den Sicherheitsbehörden waren die Doxingfäle nach eigener Aussage vor Januar 2019 nicht bekannt.

Vorbemerkung der Bundesregierung:
Dem Ermitlungsverfahren der Generalstaatsanwaltschaft Frankfurt a. M., Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT), Az. 60 Js 17/19, gegen den Beschuldigten wegen des Verdachts des Ausspähens von Daten, Verstoßes gegen das Bundesdatenschutzgesetz und andere Delikte, liegt die im Rahmen eines sogenannten „Adventskalenders“ im Dezember 2018 erfolgte Veröffentlichung persönlicher Daten von Personen des öffentlichen Lebens (Prominente, Politikerinnen und Politiker) zugrunde. Das Ermittlungsverfahren ist noch nicht beendet.
Trotz der grundsätzlichen verfassungsrechtlichen Pflicht der Bundesregierung, Informationsansprüche des Deutschen Bundestages zu erfüllen, tritt hier nach konkreter Abwägung der betroffenen Belange das Informationsinteresse des Parlaments hinter den berechtigten Geheimhaltungsinteressen zurück. Das Interesse der Allgemeinheit an der Gewährleistung einer funktionstüchtigen Strafrechtspflege leitet sich aus dem Rechtsstaatsprinzip ab und hat damit ebenfalls Verfassungsrang. Die gewünschte Auskunft würde weitergehende Ermittlungsmaßnahmen erschweren oder gar vereiteln, weshalb aus dem Prinzip der Rechtsstaatlichkeit folgt, dass vorliegend das betroffene Interesse der Allgemeinheit an der Gewährleistung einer funktionstüchtigen Strafrechtspflege und Strafverfolgung (vgl. dazu BVerfGE 51, 324 (343 f.) Vorang vor dem Informationsinteresse hat.
Im Übrigen wird auf die gemeinsame Pressekonferenz von ZIT und BKA vom 8. Januar 2019 verwiesen.

1.
Wie viele Personen waren nach Kenntnis der Bundesregierung insgesamt von diesen Doxing-Fällen betroffen?

2.
Wie viele Personen waren direkt und wie viele waren mittelbar betroffen?

3.
Fanden im Rahmen der Ermittlungen nach Kenntnis der Bundesregierung Durchsuchungen statt? (Bitte unter Nennung von Daten, beteiligter Behörden und ggf. sichergestellten Asservaten beantworten.)

4.
Wurden nach Kenntnis der Bundesregierung im Rahmen der Ermittlungen nachrichtendienstliche Mittel angewandt und wenn ja, welche, in welchem Zeitraum und von welchen Behörden? (Bite jeweils detailiert ausführen.)

5.
Verfügt die Bundesregierung über Erkenntnisse über politische Neigungen oder politische Motive des Täters oder der Täter*innen? (Bite jeweils detailiert ausführen.)

6.
Wie ist der Täter oder sind die Täter*innen nach Kenntnis der Bundesregierung vorgegangen, um die dann veröffentlichten Daten zu erhalten? (Bitte Methoden und Häufigkeit je einzeln aufschlüsseln.)

7.
Sind dabei nach Kenntnis der Bundesregierung Methoden des Social Engineering angewandt worden und wenn ja, welche und wie häufig? (Bitte einzeln aufschlüsseln.)

8.
In wie viele Accounts von wie vielen Personen wurde nach Kenntnis der Bundesregierung von den Täter*innen eingebrochen, also in wie vielen Fällen wurden Accounts tatsächlich gehackt?

9.
Wie viele Ermittlungsverfahren gegen wie viele Personen wurden nach Kenntnis der Bundesregierung in der Folge eingeleitet? (Bite nach Straftatbeständen und ermittelnder Behörde aufschlüsseln.)

10.
Wurde das Bundesamt für Verfassungsschutz zu irgendeinem Zeitpunkt in die Ermittlungen einbezogen oder spielte sonst irgendeine Role in der Bewertung oder Ermittlung? Wenn ja, welche?

Zu 1 bis 10:
Die Fragen 1 bis 10 werden gemeinsam beantwortet.
Es wird auf die Vorbemerkung der Bundesregierung verwiesen.

11.
Welche weiteren Fälle von Doxing sind der Bundesregierung bekannt?
a) Wie viele Fälle von Politiker*innen oder anderen in der Öffentlichkeit stehenden Personen sind darunter?
b) Wie viele Fälle sind der Bundesregierung bekannt, in denen Gruppen von Menschen oder sonst jeweils größere Zahlen von Menschen betroffen waren?

Zu 11:
Die Bundesregierung hält keine Daten vor, die eine Beantwortung im Sinne der Fragestellung ermöglichen.

12.
Ist der Bundesregierung der Fall von 200 Namen und Adressen bekannt, die Anfang Januar 2019 bei Indymedia veröfentlicht wurden, darunter Journalisten, Politiker und Künstler und hat es hierzu nach Kenntnis der Bundesregierung insbesondere strafrechtliche Ermitlungen gegeben, wenn ja, mit welchem Ergebnis? (https:/www.neues-deutschland.delartike1/1109331.indymedia-rechte-drohliste-auf- linkes-portal-geschmuggelt.html)

Zu 12:
Der Bundesregierung ist die im Januar 2019 bei Indymedia unter dem Begriff „#WirKriegenEuchAllee“ (Fehler im Original) veröffentlichte Datensammlung bekannt. Inzwischen sind die Beiträge nicht mehr abrufbar.
Das BKA führt diesbezüglich keine Ermitlungen. Über Ermitlungen der Länder liegen der Bundesregierung keine Informationen vor.

13.
Welche konkreten Maßnahmen zum Schutz von betrofenen Politiker*innen, Prominenten und anderen Nutzer*innen hat die Bundesregierung seit dem Bekanntwerden der Vorfälle im Januar ergriffen?

Zu 13:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes zuständig (§ 3 Absatz 1 Satz 2 Nummer 1 des BSI-Gesetzes – BSIG). Im genannten „Doxing“-Vorfall waren Informationstechnik und Daten außerhalb der Regierungsnetze betroffen.

Das BSI kann in solchen Fällen Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten (§ 3 Absatz 1 Satz 2 Nummer 14 BSIG).

Entsprechende Beratungen hat das BSI mit großem personellen Einsatz durchgeführt.
Über das Informations- und Beratungsangebot BSI für Bürger“ (www.bsi-fuer-buerger.de), das als Zielgruppe Privatanwenderinnen und -anwender hat, richtete das BSI nach dem „Doxing“-Vorfall ein Angebot zur Kontaktaufnahme an alle Betroffenen des Vorfalls, sodass die Inanspruchnahme einer Beratung durch das BSI für alle betroffenen Personen möglich war. Zudem wurden auf dieser Webseite Handlungsempfehlungen für Betroffene veröffentlicht, die unter anderem eine Anleitung zum Vorgehen beim Zurücksetzen von Passwörtern und Hinweise zu weiteren Maßnahmen zum Schutz persönlicher Daten enthielten (htps:/www.bsi-fuer-buer- ger.de/BSIFB/DE/Risiken/ID-Diebstahl/Hilfe/Hilfe Betrofene node.html). In den folgenden Wochen und Monaten nach Bekanntwerden des „Doxing“-Vorfalls wurden weitere Sensibilisierungsmaßnahmen für Bürgerinnen und Bürger ergriffen, wie z. B. der Versand eines themenbezogenen Sonder-Newsletetrs, Sensibilisierungsmaßnahmen in sozialen Medien (u. a. Bereitstellung von Videos, Grafiken und Hinweise zu den Themen „Passwort“ und „Zwei-Faktor-Authentisierung“) und eine Beilage in einer überregionalen Zeitung. Weitere Sensibilisierungsmaßnahmen sind geplant. So wird das BSI z.B. den europäischen Aktionsmonat zur Cyber-Sicherheit (European Cyber Security Month – ECSM) im Oktober 2019 zur Bürgersensibilisierung nutzen.

Im Mittelpunkt wird dabei das Thema „Hilfe zur Selbsthilfe“ stehen, wobei sich die vorgestellten Maßnahmen unter anderem auf das Thema „Doxing“ beziehen werden. Für betrofene Mitglieder des Deutschen Bundestages fanden unter anderem Einzelberatungen vor Ort gemeinsam mit BSI und BKA statt. Auch für diese Zielgruppe hat das BSI Handlungsempfehlungen erarbeitet und zur Verfügung gestellt. Seit Anfang Mai 2019 versendet das BSI auch Warnmeldungen an die Fraktionen des Deutschen Bundestags.

Um die Situation Betroffener besser nachvollziehen zu können und möglichen weiteren Handlungsbedarf zu eruieren, fanden losgelöst vom konkreten Vorfall im Dezember 2018 im Bundesministerium der Justiz und für Verbraucherschutz Gespräche mit Personen statt, die Opfer von „Doxing“ wurden oder über Erfahrungen mit „Doxing-Fällen“ berichten können.
Maßnahmen der allgemeinen Gefahrenabwehr zum Schutz von Politikerinnen und Politikern, Prominenten und anderen Nutzerinnen und Nutzern fallen nach der Kompetenzordnung des Grundgesetzes grundsätzlich in die Zuständigkeit der Bundesländer und richten sich nach den jeweiligen Polizeigesetzen.

Durch die Abteilung Sicherungsgruppe des BKA wurden alle von der Adventskalender-Veröffentlichung betroffenen „§ 6-BKAG-Personen“ (Mitglieder der Verfassungsorgane des Bundes) über die Tatsache der Nennung ihrer Namen und den Umfang der zu ihrer Person veröffentlichten Daten in Kenntnis gesetzt. Darüber hinaus erfolgten eine individuelle Gefährdungsanalyse sowie das Angebot eines Sicherheitsgespräches (insbesondere in Bezug auf Gefahren in Zusammenhang mit der Nutzung informationstechnischer Systeme) an diesen Personenkreis.

14.
In welcher Weise beschäftigt sich das BSI mit dem Thema „Doxing“ und wurden seit den Vorfällen im Januar neue oder ergänzende Maßnahmen festgelegt oder geplant, gegebenenfalls welche? (Bite jeweils detailiert ausführen.)

Zu 14:
Das BSI beschäftigt sich mit dem Thema Doxing im Rahmen seiner Zuständigkeit für Beratungen und Warnungen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen. In diesem Zusammenhang werden fortlaufend umfangreiche Handlungsempfehlungen und Informationen für Anwenderinnen und Anwender u. a. zur sicheren Nutzung von Social-Media- und E-Mail-Accounts erarbeitet und der Öffentlichkeit zur Verfügung gestellt.
Zudem wird von BSI und BMI gemeinsam eine nationale Informations- und Sensibilisierungskampagne geplant und beginnend ab 2020 umgesetzt.

Im Übrigen wird auf die Antwort zu Frage 13 verwiesen.

15:
Fokussieren sich die genannten Maßnahmen zum „Doxing“ auf im weitesten Sinne Personen des öffentlichen Lebens, und wie wird der Schutz weniger prominenter Nutzer*innen dabei berücksichtigt?

Zu 15:
Die Maßnahmen des BSI im Zusammenhang mit dem Phänomen Doxing richten sich grundsätzlich an alle Betroffenen. Das Informations- und Beratungsangebot „BSI für Bürger“ hat dabei insbesondere Privatanwenderinnen und -anwender als Zielgruppe definiert.

16:
Definiert die Bundesregierung Doxing als Cybercrime bzw. unter welchen Umständen definiert sie Doxing als Cybercrime?

Zu 16:
Nach der auch vom Bundeskriminalamt verwendeten Definition handelt es sich bei Cybercrime um Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden.
Unter Cybercrime im engeren Sinne fällt „Doxing“, wenn die unberechtigt öffentlich zugänglich gemachten Daten durch Taten erlangt werden, welche sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten, wie beispielsweise durch das Ausspähen von Daten nach §202a des Strafgesetzbuchs (StGB), durch Datenhehlerei (§ 202d StGB), durch Datenveränderung (§ 303a StGB) oder durch Computersabotage (§ 303b StGB).

Anfrage mit Antwort als PDF herunterladen

/von

Schriftliche Frage in der Woche vom 5. August 2019

Frage: Ein wie großer Teil der seit Inkrafttreten der Richtlinie der Bundesanstalt für Immobilienaufgaben (BImA) zur verbilligten Abgabe von Grundstücken (VerbR 2018) in Brandenburg abgegebenen Grundstücke wurden an Wohnungsbaugenossenschaften übertragen (bitte nach
Landkreisen aufschlüsseln und in absoluten Zahlen und als Prozent-Anteil angeben)?

Antwort des Staatssekretärs Werner Gatzer vom 6. August 2019:

Im Land Brandenburg wurden bis zum 30. Juni 2019 unter Anwendung der „Richtlinie der Bundesanstalt für Immobilienaufgaben (BImA) zur verbilligten Abgabe von Grundstücken (VerbR 2018)“ den Gebietskörperschaften in drei Verkaufsfällen Kaufpreisabschläge für den Verbilligungszweck „Nutzung für den Bau und Betrieb allgemeiner Basisinfrastruktureinrichtungen, die ohne Gegenleistung zur öffentlichen Verwendung bereitgestellt werden“ gewährt. Liegenschaftsverkäufe für Zwecke des sozialen Wohnungsbaus erfolgten im Land Brandenburg bisher nicht und somit auch keine Weiterveräußerungen an Wohnungsbaugenossenschaften.

/von

Schriftliche Frage in der Woche vom 5. August 2019

,

Frage: Wie groß war bisher der finanzielle Aufwand im Zusammenhang mit der Behebung der Hardware-Sicherheitslücken Meltdown und Spectre (z. B. durch Neuanschaffungen zum Austausch von Hardware oder Hardwarekomponenten, Entwicklung und Einsatz von Lösungen zur Risikomitigierung und sonstige Maßnahmen wie beispielsweise externe Beratungsleistungen im Zuständigkeitsbereich des Bundes (bitte Eigenleistung als Personenstunden angeben)) und wie hoch ist der Anteil (absolut und prozentual) potenziell angreifbarer Rechner, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbar zu sein (bitte nach Bundesministerien einschließlich nachgeordnete Behörden aufschlüsseln)?

Antwort des Staatssekretärs Klaus Vitt (BMI) vom 6. August 2019:

Grundsätzlich gilt: Sämtliche im Zusammenhang mit Spectre und Meltdown bekannten Schwachstellen auf allen potenziell gefährdeten IT-Systemen wurden durch die von den Herstellern kostenlos bereitgestellten Patches im Rahmen des regulären Patchmanagements mitigiert. Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine und -Maßnahmen sowie eine vielschichtige/mehrstufige Sicherheitsarchitektur gewährleisten grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown.

Die Tätigkeit der Administratoren und des Personals der Informationssicherheitsorga¬ nisation in den Ressorts und deren Geschäftsbereichen umfasst regelmäßig als Dau¬ eraufgabe eine Bewertung von Sicherheitslücken und das Ergreifen von geeigneten organisatorischen und/oder technischen Maßnahmen. Der finanzielle oder personelle Aufwand im Zusammenhang mit der Behebung einzelner Schwachstellen wird nicht erfasst. Daher kann der Aufwand in Zusammenhang mit der Hardware-Sicherheitslücke Meltdown und Spectre nicht spezifisch nach Behörden aufgeschlüsselt beziffert werden.

Das BSI hatte im Rahmen seiner gesetzlichen Aufgaben zum Schutz der Informati¬ onssicherheit in diesem Zusammenhang Aufwände in technischer Hinsicht i. H. v. 114.787,50 Euro (externe Leistungen) und 2.876 Personenstunden (interner Aufwand). Der Anteil potenziell angreifbarer Rechner im BSI, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbarzu sein, liegt aus Sicht des BSI daher bei 100 Prozent.

/von

IT-Sicherheit geht anders: Bundesregierung erschütternd naiv im Umgang mit Hardware-Sicherheitslücken

, , ,

Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.

Weiterlesen
/von

Schriftliche Frage in der Woche vom 8. Juli 2019

,

Frage: Welche Anweisungen und Verfahren gibt es im Rahmen des zweiten Teilprojekts der Deutschen Bahn AG und der Bundespolizei zum Test intelligenter Videoanalyse-Technik am Berliner Südkreuz bei Fällen, in denen die zu testende Software Situationen erkennt, die nicht durch eigens eingesetzte Darsteller erzeugt werden (z. B. von Dritten abgestellte Gegenstände, gestürzte unbeteiligte Personen), und wie werden solche nicht gestellten Situationen in der Auswertung des Teilprojekts berücksichtigt? (BT-Drucksache 19/11515)

Antwort des Staatssekretärs Dr. Helmut Teichmann vom 10. Juli 2019:

Im Rahmen des zweiten Teilprojekts zum Test intelligenter Videoanalyse-Technik am Bahnhof Berlin Südkreuz erfolgt die Erprobung parallel zum Realbetrieb, ohne Einbindung in bestehende Prozesse. Es werden hierzu aktuell vier Kameras, in vier zuvor festgelegten und durch auffällig blaue Markierungen gekennzeichneten Testbereichen, parallel betrieben. Die Szenarien werden durch die Bundespolizei durchgehend überwacht. Eine Verwechslung mit Situationen, die nicht durch eigens eingesetzte Darsteller erzeugt werden, ist aufgrund des Testaufbaus ausgeschlossen.

/von

Schriftliche Frage in der Woche vom 8. Juli 2019

,

Frage: Welche wissenschaftlichen Analysen und Ausarbeiten hat die Bundesregierung in den letzten sieben Jahren zur Folgenabschätzung von Hackbacks angefertigt oder durch Dritte anfertigen lassen? (BT-Drucksache 19/11515)

Antwort des Staatssekretärs Klaus Vitt vom 8. Juli 2019:

Der von der Fragestellerin verwendete Begriff „Hackback“ wird von der Bundesregierung konzeptionell weder für Aktivitäten der Cyber-Abwehr noch der Cyber-Verteidigung verwendet. Der Beantwortung dieser Frage legt die Bundesregierung das Verständnis zugrunde, dass unter dem Begriff „Hackback“ Maßnahmen der aktiven Cyber-Abwehr oder der Cyber-Verteidigung zu verstehen sind, die im Ausland angewendet werden.

Die Bundesregierung hat in den letzten sieben Jahren keine wissenschaftlichen Analysen und Ausarbeiten zur Folgenabschätzung von Maßnahmen im Sinne der Fragestellung angefertigt oder in Auftrag gegeben.

/von

Schriftliche Frage in der Woche vom 8. Juli 2019

,

Frage: Über welche Befugnisse verfügen die Bundesnetzagentur und andere zuständige Bundesbehörden, um die Bereitstellung von IPv6 für Datendienste durch Internet Service Provider und Mobilfunkprovider im Rahmen allgemeiner Internetzugänge durchzusetzen, und welche Pläne für eine solche Verpflichtung gibt es seitens der Bundesregierung, um im Sinne des Verbraucherschutzes sicherzustellen, dass auch nur mit IPv6 erreichbare Dienste für alle Nutzerinnen und Nutzer abrufbar sind? (BT-Drucksache 19/11515)

Antwort der Staatssekretärin Claudia Dörr-Voß vom 9. Juli 2019:

Die Bundesnetzagentur befasst sich nicht mit der Verwaltung von IPAdressen, da es sich hierbei nicht um nationale Nummernressourcen handelt. Sie hat insoweit auch keine Eingriffsbefugnisse oder Beratungsaufgaben. Die Verwaltung von IP-Adressen erfolgt für Europa, den Nahen Osten und Zentralasien durch die Selbstverwaltungsorganisation des Internets RIPE NCC. Näheres findet sich auf deren Internetseite www.ripe.net.

Die Wahl des Internetprotokolls für die Datenübertragung ist eine unternehmerische Entscheidung der Netzbetreiber und Dienstanbieter. Die Bundesregierung plant nicht, Unternehmen zu verpflichten, Dienste, die nur über IPv6 erreichbar sind, allen Nutzerinnern und Nutzern zur Verfügung zu stellen.

Innerhalb der Bundesverwaltung erfolgt die prozessuale Steuerung der Einführung von IPv6 durch das Bundesministerium des Innern, für Bau und Heimat, das im Rahmen der Local Internet Registry de.government öffentliche Netzwerkadressierungsressourcen verwaltet und diese autorisierten Organisationseinheiten zur Selbstverwaltung zuweist. Die Einführung von IPv6 ist ein bedeutender Baustein der vom IT-Rat im Februar 2019 beschlossenen „Netzstrategie 2030 für die öffentliche Verwaltung“.

/von

Schriftliche Frage in der Woche vom 8. Juli 2019

Frage: Über welche Informationen verfügt die Bundesregierung über den – auch geplanten – Einsatz von „intelligenten Videoüberwachungssystemen“ in Deutschland (www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2018/10/gesichtserken nung-suedkreuz.html; www.iosb.fraunhofer.de/ servlet/is/93474/; https://im.baden-wuerttemberg. de/de/service/presse-und-oeffentlichkeitsarbeit/pressemitteilung/pid/startschuss-fuer-die-algo rithmenbasierte-videoueberwachung-beim-poli zeipraesidium-mannheim/), die beispielsweise unnatürliche Bewegungen, Schläge und Tritte erkennen sollen, und welche Firmen waren bei der Erstellung der „Drehbücher“ für den Test intelligenter Videoanalyse-Technik mit eigens hierfür eingesetzten Darstellern beteiligt?

Antwort des Staatssekretärs Dr. Helmut Teichmann vom 10. Juli 2019:

Bei dem Test intelligenter Videoanalyse-Technik durch die Deutsche Bahn AG und die Bundespolizei sind die von der Fragestellerin beschriebenen Szenarien nicht Bestandteil der Erprobung. Die folgenden Szenarien sollen während des Tests erprobt werden: liegende Personen, Betreten definierter Bereiche/Zonen, Personenströme/Ansammlungen, Personenzählung, abgestellte Gegenstände, Nachvollziehen von Positionen/Gegenständen, retrograde Auswertung der vorgenannten Szenarien. Die Erstellung der „Drehbücher“ für den Test erfolgte federführend durch die Deutsche Bahn AG in Abstimmung mit der Bundespolizei.

Das von der Fragestellerin bereits referenzierte Projekt der algorithmenbasierten Videoüberwachung des Polizeipräsidiums Mannheim ist bekannt. Weitere Informationen zu dem – auch geplanten – Einsatz von intelligenten Videoüberwachungssystemen in Deutschland im Sinne der Fragestellung liegen nicht vor.

/von

Schriftliche Frage in der Woche vom 11. Juni 2019

Frage: Wie groß ist der Anteil an durch den Bund oder im Auftrag des Bundes betriebenen Diensten im Internet (Webseiten, Apps, Services, APIs etc.), die zum heutigen Tag nativ über IPv6 erreichbar sind (bitte aufschlüsseln nach Bundesministerium), und was ist der Stand der Umsetzung der IKT-Strategie der Bundesregierung „Deutschland Digital 2015“ bezüglich der Einführung und Nutzung von IPv6 in der öffentlichen Verwaltung Deutschlands? (BT-Drucksache 19/10897)

Antwort des Staatssekretärs Klaus Vitt vom 11. Juni 2019:

Das Bundesministerium des Innern, für Bau und Heimat (BMI) verwaltet im Rahmen der Local Internet Registry (LIR) de.government (auf der Grundlage von Beschlusslagen im Bund sowie in den föderalen Gremien) öffentliche Netzwerkadressierungsressourcen und weist diese autorisierten Organisationseinheiten zur Selbstverwaltung zu.

Die Einführung von IPv6 ist ein bedeutender Baustein der vom IT-Rat im Februar 2019 beschlossenen „Netzstrategie 2030 für die öffentliche Verwaltung“. Gesamtheitlich ist eine verbindliche übergreifende Zielarchitektur auf Netzwerklayer 3 für die Bundesverwaltung erforderlich, insbesondere zur mittelfristigen Umsetzung von „IPv6 only“. Zur Umsetzung dieses Zieles wurde im März 2019 ein ressortübergreifendes Mandat durch die Konferenzen IT-Beauftragten der Ressorts (KoITB) erwirkt. Das Referat CI 5 im BMI übernimmt demzufolge die ressortübergreifende inhaltliche und prozessuale Steuerung zur Einführung von IPv6 in der Bundesverwaltung in Abstimmung mit dem Projekt „IT-Konsolidierung Bund“.

Zum ersten Teil der Frage:

Eine Übersicht zu den durch den Bund oder im Auftrag des Bundes betriebenen Diensten im Internet (Webseiten, Apps, Services, APIs etc.), die bis zum heutigen Tag nativ über IPv6 erreichbar sind, finden Sie in Anlage 1. Die Übersicht beruht auf Rückmeldungen aus der Bundesverwaltung. Im Rahmen der für die Beantwortung der Schriftlichen Frage zur Verfügung stehenden Zeit konnte eine abschließende Aufstellung nicht erstellt werden.

Die zentrale Koordinierung der Einführung von IPv6 hat erst jetzt begonnen, deshalb gibt es bislang noch keine zentrale Verwaltung von Webseiten, Apps und Schnittstellen. Die Ressorts und deren nachgeordnete Behörden mussten daher angefragt werden.

Der Anteil der Dienste, die von der Bundesverwaltung unter IPv6 angeboten werden, ist ausweislich dieser Übersicht bislang gering. Mit Voranschreiten der zentralen Koordinierung zur Einführung von IPv6 wird diese aufwachsen.

Zum zweiten Teil der Frage (Stand der Umsetzung der IKT-Strategie der Bundesregierung Deutschland Digital 2015 bezüglich der Einführung und Nutzung von IPv6 in der öffentlichen Verwaltung Deutschlands):

In der IKT-Strategie der Bundesregierung Deutschland Digital 2015 wird IPv6 im Kontext von Netze des Bundes (NdB) und dem Verbindungsgesetz wie folgt erwähnt: „Erarbeitung eines Konzeptes zur Einführung und Nutzung von IPv6 in der öffentlichen Verwaltung Deutschlands“. Die Bundesregierung sieht in der Einführung von IPv6 einen wesentlichen Beitrag zur Stärkung der digitalen Souveränität. IPv6 schafft nachhaltig Handlungsfähigkeit im Internet, minimiert Probleme bei der Adressverwaltung und fördert den Einsatz neuer Technologien und erhöht IT-Sicherheit.

Deshalb haben Bund, Länder und Kommunen entschieden, zentral für die gesamte öffentliche Verwaltung Deutschlands einen IPv6-Adressraum zu beantragen, zu verteilen und zu verwalten. Im Ergebnis hat das BMI im Auftrag der gesamten öffentlichen Verwaltung Deutschlands einen ausreichend großen IPv6-Adressbereich (/23) erhalten. Dieser Adressbereich muss unter Einbindung aller Interessengruppen aus Bund, Ländern und Kommunen verwaltet, verteilt und vor allem genutzt werden.

  • Es wurde unter Leitung des BMI, Referat CI 5 eine deutschlandweite Organisationsstruktur zum Management von Internetadressressourcen über alle föderalen Ebenen hinweg aufgebaut. So können heute IPv6-Adressen, IPv4-Adressen und Autonome-System-Nummern zukunftssicher, souverän und sicher zur Nutzung durch Behörden vergeben werden. Diese Struktur aus LIR und sogenannten SubLIRs, die föderale staatliche Organisationsstrukturen mit den organisatorischen Strukturen der Internetorganisationen IANA, RIRs und LIRs verknüpft, hat weltweiten Vorbildcharakter. Die hierfür zuständige Referentin des BMI wurde hierfür vom IPv6-Rat am Hasso-Plattner-Institut Ende 2017 mit dem international anerkannten Jim Bound Award ausgezeichnet.
  • Um langfristig die Erreichbarkeit von Diensten der öffentlichen Verwaltung im Internet zu gewährleisten und eine sichere und vertrauliche Wegeführung von hoheitlicher Kommunikation nach ITNetzG sicherzustellen, wurde das „IPv6 Routingkonzept für die öffentliche Verwaltung“ erarbeitet und durch den IT-Planungsrat gebilligt.
  • Einige Behörden, Länder und Kommunen haben bereits in Teilen ihrer Infrastruktur IPv6 eingeführt. Zu nennen sind hier die Stadt München, der Freistaat Sachsen sowie die Finanzverwaltung in Bayern mit dem KONSENS-Dienst Elster.
  • Ein ebenfalls notwendiges DNS-Konzept ist in Eckpunkten bereits entworfen und soll bis Anfang 2020 fertiggestellt werden.
  • Aktuell wird im Rahmen der IT-Konsolidierung Bund ein „IPv6 Masterplan“ erarbeitet, der die notwendigen technischen und organisatorischen Schritte aufführt, um IPv6 flächendeckend in der Bundesverwaltung einzuführen. Dieser soll in der Sitzung der KoITB im Dezember zum Beschluss vorgelegt werden.
  • Das Informationstechnikzentrum Bund führt bereits aktiv Labortest zur Vorbereitung der IPv6-Nutzung im Rahmen der IT-Konsolidierung BUND durch.
  • Darüber hinaus wurden die Ergebnisse des Forschungs- und Entwicklungsprojekts mit Fraunhofer Focus seit der Veröffentlichung der IKT-Strategie der Bundesregierung Deutschland Digital 2015 aktualisiert und erweitert und befinden sich aktuell in der Finalisierung.
  • Im NdB-Verbindungsnetz, dem ehemaligen DOI, ist IPv6 bereits im Wirkbetrieb.
  • Bezgl. NdB, dem ehemaligen IVBB, befindet man sich in der Konzeption einer mit der IT-Konsolidierung des Bundes abgestimmten bzw. synchronisierten IPv6-Einführung.
  • „IPv6 only“ ist die Grundlage für den „Informationsverbund der öffentlichen Verwaltung“ (IVÖV), der als Ergebnis der Netzstrategie 2030 die Weitverkehrsnetze im Bund, das NdB-Verbindungsnetz und als Angebot auch Ländernetze auf einer sicheren Netzplattform konsolidieren wird.
  • Die IT-Sicherheit spielt bei der IPv6-Einführung eine besondere Rolle, integriert in die Ausschreibung, Entwicklung und Betrieb.

Anlage

Webseite
  IPv6 erreichbar		Behörde/RessortIPv6 Adresse
www.patientenrechte.deBMG2001:8d8:100f:f000::26d
ppp.ptb.deBMVI
www.ptb.deBMVI
ftp.ptb.deBMVI
ns1.ptb.deBMVI
uhr.ptb.deBMVI
www.dkd.euBMVI
www.helmholtz-fonds.deBMVI
www.meterologycloud.euBMVI
www.ptb.euBMVI
www.dkd.euBMVI
www.systeminformatiker-berlin.deBMVI
https://formulare.bafa.deBMVI2a01:4f8:231:19a4::2
www.umweltbundesamt.de/daten/
luftbelastung/aktuelle-luftdaten		UBA
www.muell-im-meer.deUBA2a00:4e00:2000:171::99
450 THW Ortsverbände
  www.thw-speyer.de		THW2a01:4f8:191:5142
bundesregierung.deBPA2a02:cb40:200::1e4
https://insitu.info/BKA2a01:238:20a:202:1105::

Hinweis: Im Rahmen der für die Beantwortung der Schriftlichen Frage zur Verfügung stehenden Zeit konnte eine abschließende Aufstellung nicht erstellt werden.

/von

Schriftliche Frage in der Woche vom 11. Juni 2019

Frage: Welche Kriterien für die tatsächliche Erfolgsmessung wurden durch die Projektbeteiligten der zwei Teilprojekte zur Biometrischen Gesichtserkennung am Bahnhof Südkreuz (Bundesministerium des Innern, für Bau und Heimat, Bundespolizeipräsidium, Bundeskriminalamt, Deutsche Bahn AG und ggf. weitere Projektpartner oder Auftragsnehmer) erwogen, und welche davon wurden dann als Kriterium ausgewählt? (BT-Drucksache 19/10897)

Antwort des Parlamentarischen Staatssekretärs Stephan Mayer vom 6. Juni 2019:

Im Teilprojekt 1 „Biometrische Gesichtserkennung“ sollte untersucht werden, ob die biometrische Gesichtserkennung nach dem Stand der Technik ein Unterstützungsinstrument für die polizeiliche Fahndung sein kann und damit einen wertvollen Beitrag zur Gewährleistung von Bahnsicherheit auf dem Gebiet der Bahnanlagen der Eisenbahnen des Bundes zu leisten imstande ist.

Die im Rahmen der Marktsichtung u. a. recherchierten und im Zuge des Teilprojektes 1 letztendlich getesteten unterschiedlichen Gesichtserkennungssysteme sollten Gesichter von Probanden in den Live-Videoströmen der Videoüberwachung am Bahnhof Berlin Südkreuz detektieren und identifizieren. Die Güte der Detektion bzw. Identifikation der Gesichtserkennungssysteme im Einzelnen waren somit die maßgeblichen Kriterien für die Erfolgsmessung. Zu den Ergebnissen der Erprobung im Einzelnen wird auf den entsprechenden Abschlussbericht des Bundespolizeipräsidiums verwiesen.

Im Rahmen des zweiten Teilprojektes des Tests intelligenter Videoanalysetechnik durch die Deutsche Bahn AG und die Bundespolizei sollen durch die zu testende Software verschiedene Situationen, u. a. liegende (hilfsbedürftige) Personen und (über einen längeren Zeitraum) abgestellte Gegenstände erkannt werden. Über das reine Erkennen einer definierten Situation hinaus ist die Differenzierung zu ähnlichen Situationen, die aber keine Relevanz für den Bahnbetrieb oder die öffentliche Sicherheit oder Ordnung auf dem Gebiet der Bahnanlagen der Eisenbahnen des Bundes haben, von wesentlicher Bedeutung. Ziel ist es, dass Meldungen durch die Software nur bei Erkennen der vorher definierten Situation ausgelöst werden. Die Güte des Erkennens vorher definierter Situationen bzw. die Differenzierung zu ähnlichen Situationen ohne Meldeerfordernis sind in diesem Teilprojekt somit die entscheidenden Kriterien für die vergleichende Erfolgsmessung der Systeme.

/von