Beiträge

Frage

Kann man die Netze des Bundes nach allgemeinem Stand der Technik jetzt sowie für die nächsten Jahre als sicher, gut gewartet und allgemein in einem guten (verlässlichen und vertrauenswürdigen) Zustand bezeichnen (in der Antwort bitte explizit angeben, ob z.B. sichergestellt ist, dass jede einzelne Komponente aktuelle Sicherheitsupdates erhält, wie vom BSI allgemein gefordert) und wenn nicht, was plant die Bundesregierung an konkreten Maßnahmen, um die Sicherheit und den Zustand der Netze des Bundes und ihre Wartung kurzfristig und mittelfristig zu verbessern (bitte in der Antwort auch die diesbezügliche Einschätzung des BSI übermitteln sowie die spezifizierten Maßnahmen in einer Tabelle mit Zeitrahmen der Umsetzung und Finanzierungsvolumen beschreiben)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff vom 07. Juni 2022

Im Rahmen der Netzstrategie 2030 für die öffentliche Verwaltung werden auch die Architekturvorgaben und Architekturlösungen im Hinblick auf die Skalierbarkeit und Performance der Netze des Bundes auf den Prüfstand gestellt und stetig angepasst. Covid-19 hat den Bedarf nach einem übergreifenden Netzverbund (IVÖV) verstärkt. Modern und digital in die Zukunft zu gehen, ist die Herausforderung für die Netze des Bundes (NdB).

Dabei stehen kurzfristige Erweiterungen bei der Performanz der Kundenanschlüsse, aber auch grundlegende Veränderungen von mobilen Einwahllösungen auf der Agenda. Mobile Home-Office Lösungen aber auch mobile Sicherheit für Polizei, Feuerwehr und Rettungsdienst sind Themenbereiche, die die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) in der Entwicklung zu IVÖV zukunftsorientiert entwickelt und im Rahmen der Netzstrategie 2030 umsetzen wird. Die entsprechenden Mittelbedarfe sind ständiger Gegenstand der Haushaltsaufstellungsprozesse.

Die BDBOS und der technisch unterstützende Dienstleister (Dt. Telekom) stellen gemeinsam sicher, dass die derzeit gültigen, aktuellen und dem Stand der Technik entsprechenden Informationssicherheitsbelange, u. a. den aktuellen Vorgaben nach dem IT-Grundschutz des BSI entsprechend, eingehalten werden. Das schließt ein, dass aktuelle Sicherheitsupdates entsprechend den Dringlichkeiten und Risiken für die einzelnen Komponenten berücksichtigt werden. Für die Wartung der Komponenten im Netz gibt es einen abgestimmten Wartungsplan, der von der BDBOS und den diesbezüglichen Dienstleistern umgesetzt wird.

Frage

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten
Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien
inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung
auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785
aufschlüsseln)? (BT-Drucksache 20/833, Nr. 45)

Antwort des Parlamentarischen Staatssekretärs Saathoff am 25. Februar 2022

Zu den sehr heterogenen Antworten der Ressorts und der besonderen Bedeutung
des Bundesministeriums des Innern und für Heimat mit seiner Abteilung für Cyberund
Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird erneut
auf die Beantwortung Ihrer Schriftlichen Frage mit der Arbeits-Nr. 1/391 aus Januar
2020 verwiesen. Die Bundesregierung ist nach sorgfältiger Abwägung erneut der Auffassung, dass
eine Beantwortung der Frage für das Bundesamt für Verfassungsschutz (BfV) aus
Gründen des Staatswohls nicht erfolgen kann. Angaben zur Stellenverteilung, die
über die im Verfassungsschutzbericht gem. § 16 Abs. 2 Bundesverfassungsschutzgesetz
genannten Strukturdaten hinausgehen, sind – aus Gründen der operativen Sicherheit
– nicht angezeigt. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten,
die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere
dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche
Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten sowohl
staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im
Bereich IT-Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen.
Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was
wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre.
Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften
Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts
des parlamentarischen Fragerechts – nicht hingenommen werden. Die in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten und unbesetzten Stellen im Bereich IT-Sicherheit können der nachstehenden Übersicht (s. pdf am Ende) entnommen werden.

Antwortschreiben im Original (pdf)

Fußnoten:

1) Eine Stelle wird zum 1.4.2022 besetzt
2) Drei weitere Stellen sind beantragt
3) Hiervon werden zwei demnächst besetzt, zwei sind im Bewerbungsverfahren, eine ist ausgeschrieben
und bei drei weiteren wird die Ausschreibung vorbereitet.
4) Es wurde nur das IT-Sicherheitsmanagement betrachtet. Stellenanteile für die operative IT-Sicherheit
und fachliche Aufgaben zur IT-Sicherheit (z.B. IT-Sicherheit bei der Energieregulierung & Telekommunikation) wurden für das Ressort BMWK nicht erfasst.
5) Zahlen nur für die nachgeordnete Behörde BBR. Das BMWSB wurde erst mit Organisationserlass
des Bundeskanzlers vom 8. Dezember 2021 im Dezember 2021 gegründet.
Das BMWSB befindet sich daher noch im Aufbau. Erst im weiteren Verlauf der Aufbauarbeiten werden
daher belastbare Aussagen zur Stellenbesetzung bzw. zu deren Nichtbesetzung möglich sein.

Die erste fachliche Sitzung des Digitalausschuss in der 20. Legislatur befaßte sich mit 2 Themen: 1. den immer noch nicht schnell und reibungslos funktionierenden #Meldeketten im Gesundheitswesen (ein Thema, das wir im Februar 2021 schon einmal debattiert hatten und dass ich erneut zur Befassung vorschlug) und 2. der im Dezember öffentlich gewordenen Sicherheitslücke in dem extrem verbreiteten Software-„Baustein“ #log4j.

Weiterlesen

Frage

Welche konkreten Handlungsempfehlungen zu „strategischen Themen“ (wie in Cyber-Sicherheitsstrategie 2016, S.45, beschrieben) wurden seit 2016 im Nationalen Cyber-Sicherheitsrat erarbeitet bzw. vorbereitet und welche dieser Handlungsempfehlungen wurden durch die Bundesregierung bis heute umgesetzt? (Drs. 19/29166)

Antwort des Staatssekretärs Dr. Markus Richter (BMI)
Zu 1. Der Nationale Cyber-Sicherheitsrat diskutiert und identifiziert fortlaufend langfristige Handlungsnotwendigkeiten und Trends zur Stärkung der Cybersicherheit in Deutschland. Zu den hierunter behandelten Themen gehörten seit 2016:

  • Technologische Souveränität
  • Gefährdung demokratischer Willensbildung durch Desinformation
  • Digitale Souveränität
  • Sicherheit im Internet der Dinge
  • Sicherheit durch Maschinelles Lernen
  • Digitaler Verbraucherschutz
  • Aus- und Weiterbildung im Bereich Cybersicherheit
  • Cyber-Sicherheit in der Bundestagswahl
  • Vertrauenswürdige Elektronik
    Zu diesen Themen schriftlich oder in den Sitzungen des Nationalen Cyber-Sicherheitsrats mündlich eingebrachte Handlungsempfehlungen finden regelmäßig Eingang
    in die Arbeit der Bundesregierung.
Ein russischer Hacker mit GMail-Account? Details zum Bundeshack 2015 (13.05.2020)

Ich war damals zwar noch keine Abgeordnete, aber an den Bundeshack von 2015 kann ich mich noch sehr genau erinnern. Nach nun viereinhalb Jahren Ermittlungen gibt es mehr Informationen. Heute war ein Vertreter der Bundesanwaltschaft zu Besuch im Ausschuss Digitale Agenda und hat einige Informationen an uns weitergegeben und Details bestätigt. Viele Namen und Zahlen sind als geheim eingestuft, vom Rest erzähle ich euch in diesem Ausschussreport.

Weiterlesen

Frage: Wie viele der von Bundesministerin von der Leyen angekündigten 100 Stellen der neugegründeten Cyberagentur (Pressemitteilung BMVg vom 31. Januar 2019) werden tatsächlich in ostdeutschen Bundesländern angesiedelt sein, da die Zahl der Beschäftigten am Hauptstandort im Raum Halle/Leipzig laut Aussage des Staatssekretärs Klaus Vitt zu TOP 4 im Ausschuss Digitale Agenda des Deutschen Bundestages am 30. Januar 2019 lediglich zwölf betragen wird? (BT-Drucksache 19/8082)

Antwort des Parlamentarischen Staatssekretärs Dr. Peter Tauber vom 26. Februar 2019

Die Agentur für Innovation in der Cybersicherheit (Cyberagentur) soll im Frühjahr 2019 in der Wirtschaftsregion Leipzig/Halle als GmbH gegründet werden. Dort werden bis zum Jahre 2022 bis zu 100 neue Arbeitsplätze entstehen. Diese werden in diesem Zeitraum sukzessive aufwachsen, beginnend in der frühen Aufbauphase mit etwa 15 Beschäftigten. Die Region Mitteldeutschland bietet neben der lebendigen Hochschul und Forschungslandschaft eine günstige Verkehrsanbindung mit Flughafen und eine attraktive IT-Szene. Mit der Entscheidung, die Agentur für Innovation in der Cybersicherheit in der Region Leipzig/Halle anzusiedeln, wird die bundesdeutsche Forschungslandschaft insgesamt gestärkt. Neben dem Hauptsitz der Agentur werden mit Beauftragung der Projekte – je nach Erfordernis im Einzelfall – ggf. am jeweiligen Standort der Auftragnehmer Projektbüros mit einzelnen Mitarbeitern der Agentur gegründet. Die Auftragnehmer können Forschungseinrichtungen, Industrie und Einzelpersonen sein, die Innovationen versprechen, welche für die gesamtstaatliche Sicherheitsvorsorge einen strategischen Vorteil in der Technologiesouveränität bieten können.

Frage: Welcher Bundesbehörde wurde die Aufgabe für die Entwicklung von Qualitätsmaßstäben für die
Vergleichbarkeit von Cybersicherheitsprodukten, die in Bundesbehörden eingesetzt werden, übertragen, und welche Maßstäbe finden derzeit Anwendung? (BT-Drucksache 19/6961)

Antwort des Staatssekretärs Klaus Vitt vom 27. Dezember 2018

Die spezifische Aufgabe für die Entwicklung von Qualitätsmaßstäben für die Vergleichbarkeit von Cybersicherheitsprodukten, die in Bundesbehörden eingesetzt werden, wurde keiner  Bundesbehörde übertragen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt jedoch  sicherheitstechnische Anforderungen an informationstechnische Systeme und gibt diesbezügliche Empfehlungen. Beispielsweise erarbeitet das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes (vgl. § 8 Absatz 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – BSIG) und definiert Standards im Rahmen des IT-Grundschutz. In Bezug auf Produkte, die der Zulassung gemäß Verschlusssachenanweisung (VSA) unterliegen, werden die
Qualitätsmaßstäbe im Sinne von Anforderungen insbesondere durch das Zulassungskonzept, Nachweiskataloge und VS-Anforderungsprofile durch das BSI definiert. Weiterhin hat das BSI den gesetzlichen Auftrag, Sicherheitszertifikate für IT-Produkte (Systeme oder Komponenten) zu erteilen. Die im Zuge dieser Zertifizierungen zugrunde gelegten Qualitätsmaßstäbe im Sinne von  Anforderungen sind in sog. Schutzprofilen bzw. vom BSI herausgegebenen Technischen Richtlinien  niedergelegt. Eine Übersicht der entsprechenden Dokumente findet sich unter den nachfolgend aufgeführten Links wieder:
Mindeststandards Bund:
www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_
Bund/Mindeststandards_Bund_node.html
IT-Grundschutz:
www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/
ITGrundschutzStandards_node.html
Verschlusssachenanweisung:
www.bsi.bund.de/DE/Themen/Sicherheitsberatung/Geheimschutzberatung/
VorschriftenStandards/vorschriftenstandards_node.html
Schutzprofile:
www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/
Produktzertifizierung/ZertifizierungnachCC/SchutzprofileProtection
Profiles/schutzprofileprotectionprofiles_node.html
Technische Richtlinien:
www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/
Produktzertifizierung/ZertifizierungnachTR/zertifizierungnachtr_
node.html

Nachdem Anfang des Jahres bekannt wurde, dass ein 20-Jähriger private, teils intime Daten von fast 1000 Politiker*innen und Personen des öffentlichen Lebens über einen Twitter-Account verbreitet hatte, gab es plötzlich ein riesiges öffentliche Interesse am Thema digitale Gewalt. Digitale Gewalt umfasst nämlich sowohl Online-Stalking, Beleidigung in sozialen Netzwerken als auch das Veröffentlichen persönlicher Informationen Dritter im Netz, so genanntes Doxing.

Und das kann uns alle jederzeit treffen. Dazu müssen die Täter nicht einmal ausgebildete IT-Spezialisten sein. Immer noch nutzen die meisten Menschen viel zu unsichere Passwörter, die leicht erraten werden können. Ich war deswegen in einigen Medien vertreten, um über digitale Gewalt und die IT-Sicherheitspolitik der Bundesregierung zu sprechen und zu diskutieren, wie wir uns alle sicherer und geschützter im Internet bewegen können. Weiterlesen

Die Bundesregierung hat heute eine Cyber-Agentur beschlossen. Mehr digitale Sicherheit würde uns allen auf jeden Fall gut tun. Wenn die neue Cyber-Agentur dazu beiträgt, wäre das ein Schritt vorwärts. Wir brauchen zum Beispiel mehr und bessere Verschlüsselung und mehr Open-Source-Software. Ich bin allerdings skeptisch, ob eine Agentur, die zwischen Verteidigungs- und Innenministerium angesiedelt ist, hier den richtigen Schwerpunkt setzt. Fatal wäre, wenn jetzt statt zur Verteidigung zum Cyber-Angriff à la Hackback geblasen würde: Das bindet wichtige Ressourcen und gefährdet uns faktisch alle, weil Sicherheitslücken nicht rechtzeitig geschlossen werden, und Angriffe immer auch Gegenangriffe nach sich ziehen.

Die Linksfraktion im Bundestag hat dazu bereits im Juli das Diskussionspapier »‚Cybersicherheit‘ – ein Beitrag für einen sicheren digitalen Raum« veröffentlicht. Dazu wird es am 12. September 2018 auch ein Fachgespräch im Bundestag geben.

Medienecho