Frage

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten
Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien
inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung
auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785
aufschlüsseln)? (BT-Drucksache 20/833, Nr. 45)

Antwort des Parlamentarischen Staatssekretärs Saathoff am 25. Februar 2022

Zu den sehr heterogenen Antworten der Ressorts und der besonderen Bedeutung
des Bundesministeriums des Innern und für Heimat mit seiner Abteilung für Cyberund
Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird erneut
auf die Beantwortung Ihrer Schriftlichen Frage mit der Arbeits-Nr. 1/391 aus Januar
2020 verwiesen. Die Bundesregierung ist nach sorgfältiger Abwägung erneut der Auffassung, dass
eine Beantwortung der Frage für das Bundesamt für Verfassungsschutz (BfV) aus
Gründen des Staatswohls nicht erfolgen kann. Angaben zur Stellenverteilung, die
über die im Verfassungsschutzbericht gem. § 16 Abs. 2 Bundesverfassungsschutzgesetz
genannten Strukturdaten hinausgehen, sind – aus Gründen der operativen Sicherheit
– nicht angezeigt. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten,
die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere
dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche
Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten sowohl
staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im
Bereich IT-Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen.
Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was
wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre.
Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften
Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts
des parlamentarischen Fragerechts – nicht hingenommen werden. Die in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten und unbesetzten Stellen im Bereich IT-Sicherheit können der nachstehenden Übersicht (s. pdf am Ende) entnommen werden.

Antwortschreiben im Original (pdf)

Fußnoten:

1) Eine Stelle wird zum 1.4.2022 besetzt
2) Drei weitere Stellen sind beantragt
3) Hiervon werden zwei demnächst besetzt, zwei sind im Bewerbungsverfahren, eine ist ausgeschrieben
und bei drei weiteren wird die Ausschreibung vorbereitet.
4) Es wurde nur das IT-Sicherheitsmanagement betrachtet. Stellenanteile für die operative IT-Sicherheit
und fachliche Aufgaben zur IT-Sicherheit (z.B. IT-Sicherheit bei der Energieregulierung & Telekommunikation) wurden für das Ressort BMWK nicht erfasst.
5) Zahlen nur für die nachgeordnete Behörde BBR. Das BMWSB wurde erst mit Organisationserlass
des Bundeskanzlers vom 8. Dezember 2021 im Dezember 2021 gegründet.
Das BMWSB befindet sich daher noch im Aufbau. Erst im weiteren Verlauf der Aufbauarbeiten werden
daher belastbare Aussagen zur Stellenbesetzung bzw. zu deren Nichtbesetzung möglich sein.

Frage

Schließt die Bundesregierung eine Nachnutzung der Corona-Warn-App (CWA) nach dem Ende der Pandemie für irgendeinen anderen, nicht- Pandemie-bezogenen Zweck, ggf. auch durch Zusammenlegung mit anderen Warn-Apps aus (siehe: https://background.tagesspiegel.de/digitali-sierung/corona-warn-app-koennte-ueber-pandemie-hinaus-bleiben) und wenn nicht, wie lassen sich die jeweiligen Überlegungen oder Planungen nach Ansicht der Bundesregierung mit der datenschutzrechtlich vorgegebenen Zweckbindung der CWA vereinbaren? (BT-Drucksache 20/634, Nr.78)

Antwort des Parlamentarischen Staatssekretärs Prof. Dr. Edgar Franke am 09. Februar 2022

Die Corona-Warn-App (CWA) wurde im Auftrag der Bundesregierung in kurzer Zeit entwickelt, um Infektionsketten in der Corona-Pandemie schnell zu beenden. Neben der ursprünglichen Funktion zur Kontaktnachverfolgung wurde die CWA darüber hinaus kontinuierlich unter Be-rücksichtigung der Vorschläge aus Politik, Wissenschaft und der Open-Source-Community wei-terentwickelt und verbessert. Die Weiterentwicklungen waren und sind Reaktionen auf das sich veränderte Pandemiegeschehen und erweitern die CWA um Funktionen, die Bürgerinnen und Bürger darin unterstützen, das durch die Pandemie geprägte Alltagsgeschehen sicherer zu ma-chen. Zugleich erfolgen die Weiterentwicklungen im Einklang mit dem Prinzip der Dezentralität, welches der CWA von Beginn an zugrunde liegt. Die Notwendigkeit, die Fortentwicklung der CWA an der pandemischen Situation auszurichten, ist immer noch aktuell, so dass derzeit weder konkrete Maßnahmen zu einer etwaigen Nachnutzung der CWA nach der Pandemie noch eine Überführung in andere bestehende Systeme erwogen werden.

Antwortschreiben im Original (pdf)

Frage

Beabsichtigt das Bundesministerium für Gesundheit die Übernahme der Web-App und den da-mit verbundenen Betreuungsaufwand rund um das Projekt schnelltesttest.de zu übernehmen und bis wann stellt das Paul-Ehrlich-Institut seine Daten (über die Evaluation der Schnelltests) als maschinenlesbare offene Daten zur Verfü-gung (gegebenenfalls jeweils bei Verneinung eine Begründung beifügen)? (BT-Drucksache 20/602, Nr.91)

Antwort des Parlamentarischen Staatssekretärs Prof. Dr. Edgar Franke am 02.Februar 2022

Das Paul-Ehrlich-Institut (PEI) hat seit Beginn der Antigentest-Evaluierung das Ziel verfolgt, maximale Transparenz herzustellen, indem es die positiv evaluierten Antigentests kontinuierlich auf seiner Internetseite genannt hat, das Vorgehen wissenschaftlich veröffentlicht hat und nun die Zusammenfassungen aller Ergebnisse auf seiner Website zur Verfügung stellt. Die vom PEI negativ evaluierten Antigentests wurden von der Liste des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) gestrichen. Aufgrund von vielfältigen Anfragen nach einer Bereitstellung der Daten über die Evaluation der SARS-CoV-Antigentests in einem Format, das die Weiterverwendung in Apps zulässt, werden diese inzwischen seit Mitte Januar 2022 auch als herunter-ladbare Excel-Datei auf der Internetseite des PEI bereitgestellt (www.pei.de/antigentests-xls). Auf diese Weise ist die Konvertierung in ein maschinenlesbares Dateiformat (z. B. CSV) für die verschiedenen Nutzungsbedarfe möglich. Grundsätzlich unterstützt und befürwortet das PEI die mit dem Open Data-Prinzip verbundenen Möglichkeiten der Nutzung und Weiterverwendung der vom PEI generierten Daten im Interesse der Allgemeinheit. Weitere Möglichkeiten der Bereitstellung der Daten über die Evaluation der SARS-CoV-2-Antigentests in einem maschinenlesbaren Format werden derzeit unter Berücksichtigung der vorhandenen Ressourcen geprüft.

Antwortschreiben im Original (pdf)

Frage

Wird die Strategie zur Implementierung von Building Information Modeling bei der Deutschen Bahn (hier insbesondere bei DB Netz) vor allem kostendeckend/kommerziell (Monetarisierung) oder auch unter Berücksichtigung des Aspekts der Daseinsfürsorge (Open by default) vorangetrieben, und in welcher Art und Weise werden die gesammelten Daten (z. B. in Form eines Katalogs, eines Datenraums, einer Datendrehscheibe oder offener Schnittstellen) zur Verfügung gestellt? (BT-Drucksache 20/534 Frage 102)

Antwort des Parlamentarischen Staatssekretärs Michael Theurer vom 25. Januar 2022

Nach Auskunft der Deutschen Bahn AG (DB AG) wird das Building Information Modelling (BIM) zumeist in bundesmittelgeförderten Projekten angewendet. Hierbei sind die Grundsätze der Bundeshaushaltsordnung zum sparsamen und wirtschaftlichen Mitteleinsatz zu beachten. Nach Auskunft der DB AG werden mit Abschluss der Projekte die Daten zur erstellten Infrastruktur den entsprechenden Anlagenbetreibern übergeben. Insbesondere in der Planungsphase werden Projektdaten, bspw. im Rahmen von Variantendiskussionen, mit Unterstützung von BIM aufbereitet und z. B. im Rahmen der frühen Öffentlichkeitsbeteiligung oder im Anhörungsverfahren bzw. bei Einsichtnahmen in Planfeststellungsunterlagen bereitgestellt.

Frage

Welche Einrichtungen des Bundes (Bundesministerien und Bundeskanzleramt, inkl. nachgeordneter Behörden) haben kein regelmäßig gepflegtes Assetmanagement für Hardware und Software,
und welche der Stellen, die über ein solches verfügen, erfüllen nach eigener Einschätzung die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an ein solches Assetmanagement?

Wird die Strategie zur Implementierung von Building Information Modeling bei der Deutschen Bahn (hier insbesondere bei DB Netz) vor allem kostendeckend/kommerziell (Monetarisierung) oder auch unter Berücksichtigung des Aspekts der Daseinsfürsorge (Open by default) vorangetrieben, und in welcher Art und Weise werden die gesammelten Daten (z. B. in Form eines Katalogs, eines Datenraums, einer Datendrehscheibe oder offener Schnittstellen) zur Verfügung gestellt? (BT-Drucksache 20/534 Frage 36)

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff vom 25. Januar 2022

Unter Einrichtungen des Bundes i. S. der Abfrage werden das Bundeskanzleramt (BKAmt), alle Bundesministerien sowie ihre unmittelbaren Geschäftsbereichsbehörden verstanden. Dem Bundesministerium für Bildung und Forschung (BMBF) und dem Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ) ist kein entsprechender Geschäftsbereich zugeordnet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat keine Definitionen für ein „Assetmanagement für Hardware und Software“ veröffentlicht, fordert jedoch im Rahmen des BSI Standards 200-2 IT Grundschutz eine Strukturanalyse (s. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf, Kapitel 8.1) und die Umsetzung entsprechender Maßnahmen zum Schutz der in der Strukturanalyse identifizierten Geschäftsprozesse, Informationen, Anwendungen, IT- und ICS-Systeme, Räume und Kommunikationsnetze. Der Umsetzungsplan Bund 2017, Leitlinie für Informationssicherheit in der Bundesverwaltung (UP Bund, www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/up-bund-2017.html;jsessionid=634452FC169506E453C281F37876A1CE.1_cid295), verpflichtet alle Ressorts und Bundesbehörden zur Umsetzung des IT-Grundschutzes. In der als Anlage beigefügten Übersicht sind die Einrichtungen des Bundes genannt, die über ein regelmäßig gepflegtes Assetmanagement für Hardware und Software verfügen bzw. nicht verfügen. Die Übersicht gibt die im Rahmen der geltenden Fristen ermittelbaren Ergebnisse wieder und ist insoweit sowohl qualitativ wie quantitativ mit Unsicherheiten behaftet.

Frage

Wie definiert die amtierende Bundesregierung Digitale Souveränität und welche Maßnahmen/Projekte sind diesbezüglich in Planung/Umsetzung (gegebenenfalls bitte nach den fünf größten
Maßnahmen/Projekten jeweils tabellarisch nach Partner/Stakeholder, Kurzbeschreibung d. Projekts, beteiligtes Bundesministerium, inkl. Bundeskanzleramt und nachgeordnete Behörden, Förderhöhe sowie -zeitraum aufschlüsseln)? (BT-Drucksache 20/456 Frage 7)

Antwort des Staatssekretärs Udo Philipp vom 17. Januar 2022

„Digitale Souveränität beschreibt die Fähigkeit sowohl von Individuen als auch der Gesellschaft, die digitale Transformation – mit Blick auf Hardware, Software, Services, sowie Kompetenzen – selbstbestimmt zu gestalten. Digital souverän zu sein bedeutet im Rahmen des geltenden Rechtes, souverän zu entscheiden, in welchen Bereichen Unabhängigkeit erwünscht oder notwendig ist.“ (Datenstrategie der Bundesregierung, 2021). Drucksache 20/456 – 8 – Deutscher Bundestag – 20.

Frage

Welche Prüfprovider sind für die Zertifikatprüfung bei Ticketbuchungen über die Corona-WarnApp (seit Version 2.15, siehe genauere Beschreibungen: www.coronawarn.app/de/blog/2021-12-20-cwa-2-15/) bisher in Deutschland zugelassen, und wird das Impfzertifikat einem User/einer Userin so zum Prüfprovider übertragen, dass es dort zur Prüfung in vollständiger Form vorliegt? (BT-Drucksache: 20/428, Frage 44)

Antwort des Parlamentarischen Staatssekretärs Dr. Edgar Franke vom 10. Januar 2022

Eine vorläufige Zulassung für den Testbetrieb eines Onlineverifikationsdienstes hat der Anbieter T-Systems International GmbH erhalten. Im Rahmen des Testbetriebs kann die Corona-Warn-App noch nicht von der Öffentlichkeit zur Validierung genutzt werden. Die endgültige Zulassung ist von der abschließenden Bewertung des Testbetriebs und von der abschließenden Prüfung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abhängig. Die vollständige Spezifikation eines Onlineverifikationsdienstes wurde in Form einer EU-Guideline erstellt. Diese ist im Internet veröffentlicht: https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-certificate_traveller-onlinebooking_en.pdf. Diese Guideline sieht vor, dass das vollständige Impfzertifikat durch die Corona-Warn-App bzw. die CovPass-App ausschließlich zum Onlineverifikationsdienst übertragen wird. Der Ticketanbieter hingegen erhält nur das Ergebnis der Prüfung. Nach der Prüfung werden die Zertifikate beim Onlineverifikationsdienst wieder gelöscht.

Frage

Wer stellt die in der Schriftlichen Frage 29 erwähnte Studie bis wann fertig? (BT-Drucksache 20/311, Frage 30)

Antwort des Staatssekretärs Hans-Georg Engelke vom 23. Dezember 2021

Die geschlechterübergreifende Opferbefragung wird durch das Bundesministerium für Familie, Senioren, Frauen und Jugend, das Bundesministerium des Innern und für Heimat und das Bundeskriminalamt gemeinsam verantwortet. Die Vorbereitungen zur Konzipierung der Studie haben 2021 begonnen. Das Ausschreibungsverfahren für die Vergabe der Datenerhebung soll in Kürze in die Wege geleitet werden. Die Datenerhebung/Befragung wird voraussichtlich 2023 beginnen. Der Abschlussbericht soll Anfang 2025 vorliegen.

Frage

Welche Formen digitaler Gewalt wem gegenüber wird die in der vom BKA am 23. November 2021 veröffentlichten Kriminalstatistischen Auswertung zur Partnerschaftsgewalt für das Jahr 2020 angekündigten gemeinsamen Studie von BMFSFJ, BMI und BKA untersuchen (www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Partnerschaftsgewalt/Partnerschaftsgewalt_2020.html, dort S. 32)? (BT-Drucksache 20/311, Frage 29)

Antwort des Staatssekretärs Hans-Georg Engelke vom 23. Dezember 2021

Die geschlechterübergreifende Opferbefragung (Arbeitstitel) verfolgt das Ziel, das Dunkelfeld im Bereich von Gewaltvorkommnissen geschlechterdifferenzierend zu untersuchen. Inhaltlich wird ein Schwerpunkt auf den Themen Partnerschaftsgewalt, sexualisierte Gewalt und digitale Gewalt liegen. Neben der Abbildung von Schweregraden der Gewaltvorkommnisse, sollen auch Risikofaktoren für Partnerschaftsgewalt identifiziert werden. Darüber hinaus werden Informationen zum Anzeigeverhalten und dessen fördernde und hemmende Bestimmungsfaktoren einbezogen.
Aktuell befindet sich die Studie in der Konzeption. Inhalt und Umfang des Fragebogens werden derzeit mit Unterstützung des für die Studie eingesetzten Forschungsbeirates erarbeitet.

Frage

Welche Erkenntnisse liegen der Bundesregierung gegebenenfalls zu Aktivitäten von „KAX17“ in dem Anonymisierungsnetzwerk Tor (s. dazu
https://nusenu.medium.com/is-kax17-performingde-anonymization-attacksagainst-tor-users-42e566defce8) vor, und planen bzw. führen Institutionen im Geschäftsbereich der Bundesregierung und ihrer nachgeordneten Behörden (z. B. BND, BfV, MAD, ZITiS, BKA) ähnliche Aktivitäten im Tor-Netzwerk durch (z. B. indem eigene sog. Relays betrieben werden)? (BT-Drucksache: 20/311, Frage 28)

Antwort des Staatssekretärs Dr. Markus Richter vom 23. Dezember 2021

Hinsichtlich der ersten Teilfrage liegen der Bundesregierung keine Erkenntnisse vor. Hinsichtlich der zweiten Teilfrage wird mitgeteilt, dass die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) nicht über operative Befugnisse verfügt. Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann. Im vorliegenden Fall ist die Bundesregierung zu der Einschätzung gelangt, dass eine Beantwortung der zweiten Teilfrage für die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, einschließlich der Nachrichtendienste des Bundes, nicht erfolgen kann. Bezüglich der erbetenen Informationen hinsichtlich der inzident angefragten Methoden der Sicherheitsbehörden im Bereich der Informationstechnischen Überwachung stehen überwiegende Belange des Staatswohls einer Beantwortung entgegen. Mit Auskünften zu den zur Verfügung stehenden kriminaltaktischen und nachrichtendienstlichen Vorgehensweisen und damit zu konkreten Strategien und Maßnahmen würde die Bundesregierung polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheits- und Strafverfolgungsbehörden sowie der Nachrichtendienste gefährdet werden, weil Täter oder potentielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln könnten. Somit würde eine Preisgabe dieser sensiblen Informationen sich auf die staatliche Aufgabenwahrnehmung im Gefahrenabwehrbereich wie auch auf die Durchsetzung des Strafverfolgungsanspruchs und die nachrichtendienstliche Informationsbeschaffung außerordentlich nachteilig auswirken. Eine VS-Einstufung und Weiterleitung der angefragten Informationen an die Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden. Die angefragten Inhalte beschreiben die technischen Fähigkeiten der Sicherheitsbehörden des Bundes in einem durch den Bezug auf eine bestimmte Vorgehensweise derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen kann. Bei einem Bekanntwerden der schutzbedürftigen Information wäre kein Ersatz durch andere Instrumente möglich. Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftige evidente Geheimhaltungsinteressen berühren, dass auch das geringfügige Risiko eines Bekanntwerdens, wie es auch bei einer Übermittlung dieser Informationen an die Geheimschutzstelle des Deutschen Bundestages nicht ausgeschlossen werden kann, aus Staatswohlgründen vermie den werden muss. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen.