Vielen Dank. – Herr Minister, ist der Landesregierung bewusst, dass nach den neuesten Enthüllungen davon ausgegangen werden muss, dass auch in NordrheinWestfalen keine Steuererklärung, keine elektronische Gerichtsakte, keine Patientenakte, keine SMS, sei es von Bürgern oder von Regierungsverantwortlichen, keine E-Mail, kein elektronischer Personalausweis und kein Online-Banking wirklich sicher sind und personenbezogene private und/oder vertrauliche Daten abgefangen, gespeichert, ausgewertet und manipuliert werden können?
„SPIEGEL“-Artikels nicht überprüfen. Wir haben in den vergangenen Monaten in anderem Zusammenhang mit NSA schriftlich wie mündlich gegenüber dem Bundesinnenministerium deutlich gemacht, dass wir uns da Informationen wünschen. Das Bundesinnenministerium hat regelmäßig geantwortet, dass konkrete Erkenntnisse nicht vorliegen.
Wenn ich das mal diplomatisch ausdrücken will, Herr Paul: Ich komme inzwischen zu dem Schluss, dass diese Aussage einen gewissen Wahrheitsgehalt hat.
Vielen Dank. – Herr Minister, Sie haben gerade ausgeführt die Bemühungen der Landesregierung hinsichtlich Informationsangeboten an die Wirtschaft, um dort die entsprechende IT-Infrastruktur zu schützen.
Sie haben gerade noch einmal darauf hingewiesen, dass Ihnen noch keine gesicherten Erkenntnisse vorliegen über den Wahrheitsgehalt der bisherigen Veröffentlichungen von Snowden. Gleichwohl deutet ja alles darauf hin. Denn zumindest das Gegenteil konnte noch nicht bewiesen werden. Insofern wäre es ja der Situation angemessen, sich sozusagen darauf vorzubereiten, dass das tatsächlich zutrifft, was Herr Snowden bislang geäußert hat.
Vor diesem Hintergrund meine Frage: Welche konkreten ersten Schritte hat denn die Landesregierung jetzt unternommen, um ihre eigene IT-Infrastruktur zu schützen, abgesehen davon, dass Sie sich in dem Response-Team um die Erarbeitung von Richtlinien gekümmert haben?
Herr Abgeordneter Kern, ich dachte, ich hätte das ausgeführt. Aber ich will gerne noch einmal verdeutlichen, dass die Aufbauorganisation insbesondere der IT-Verwaltung beim Land Nordrhein-Westfalen so organisiert ist, dass wir an einer Stelle eine Pförtnerfunktion haben. Das ist IT.NRW. Wir haben nicht erst begonnen, sondern das ist ein laufender Prozess, der in der Vergangenheit bereits stattgefunden hat und in Zukunft auch weiterhin stattfinden wird, dass IT.NRW mit dem, was an Technologie zur Verfügung steht, ausgestattet sein muss, um das Abschöpfen von Daten aus der Landesverwaltung zu verhindern.
Um eine Kennzahl zu nennen: IT.NRW verzeichnet im Monat etwa fünf Millionen Angriffe auf die Serverstruktur des Landes Nordrhein-Westfalen, über
Das zeigt, dass viele Attacken auf die Datenbestände des Landes Nordrhein-Westfalen von IT.NRW erkannt werden. Es ist allerdings auch nicht auszuschließen – wenn die „SPIEGEL“-Berichterstattungen zuträfen –, dass bereits in den Hardwarekomponenten einzelner Hersteller Schadstoffsoftware installiert wurde, was weder für den Kunden noch für die Landesregierung in irgendeiner Weise erkennbar ist.
Vielen Dank. – Aus jüngsten Veröffentlichungen geht hervor, dass die NSA in ihrer Abteilung TAO ein Programm namens Quantumtheory entwickelt hat, mit dem es möglich ist, via Control-Server und Foxacid-Server Zielrechner im Internet zu kompromittieren, zu überwachen und zu übernehmen. Vor diesem Hintergrund frage ich Sie: Sind der Landesregierung versuchte oder erfolgte Angriffe auf Rechner bekannt, die aus dem Quantumtheory-Netzwerk erfolgten?
Ich hatte Ihnen gerade geschildert, dass wir es monatlich mit etwa 5 Millionen Angriffen auf die ITStruktur des Landes Nordrhein-Westfalen zu tun haben. In der Regel ist der Verursacher nicht erkennbar. Deshalb können Angriffe weder bestätigt noch ausgeschlossen werden.
Vielen Dank. – Herr Minister, bei diesem Quantumtheory-Programm ist ein wesentlicher Punkt, dass beispielsweise die Foxacid-Server direkt oder möglichst nahe am Angriffsziel stehen müssen. Das heißt, die Qualität der Angriffe ist schon eine andere als ein Angriff von irgendwo. Ich entnehme Ihren bisherigen Äußerungen, dass die Landesregierung nicht ausschließen kann, dass in NRW Server stehen oder gestanden haben, die zu diesem Quantumtheory-Netzwerk der NSA gehören, also etwa Foxacid-Server.
Wie bewertet die Landesregierung die genannten Methoden und Maßnahmen der QuantumtheoryProgramme, insbesondere hinsichtlich der Sicher
heitsgefährdung der NRW-Bevölkerung und der ansässigen Unternehmen und Landesbehörden? Wie wir wissen, haben wir hier besonders wichtige Unternehmen, die sicherlich ein interessantes Ziel sind.
Ich hatte schon eingangs gesagt und wiederhole es, wir können den Wahrheitsgehalt dieser „SPIEGEL“Veröffentlichungen nicht bewerten. Dazu fehlen uns Erkenntnisse. Träfen sie zu – wohlgemerkt: Konjunktiv –, empfände ich es insgesamt als seltsam, dass Nachrichtendienste befreundeter Staaten nicht für die eigene Sicherheit ausspähen, sondern offensichtlich als Zugewinn für die eigene heimische Wirtschaft insbesondere Wirtschaftsspionage in Richtung befreundeter Staaten betreiben.
Was ich davon halte, habe ich mehr als deutlich gesagt. Ich wiederhole, auch ganz konkrete Nachfragen bei Bundesstellen, insbesondere beim Bundesinnenministerium, haben offenbart, dass von dort zumindest erklärt wird, keine näheren Kenntnisse zu haben.
Vielen Dank. – Sie weisen immer darauf hin, was Sie schon alles bewertet haben. Deswegen eine Bewertungsfrage: Wie bewertet die Landesregierung die genannten Methoden und Maßnahmen der QuantumtheoryProgramme, insbesondere hinsichtlich der Sicherheitsgefährdung der NRW-Bevölkerung, der ansässigen Unternehmen und Landesbehörden?
So präzise, wie Sie die Frage gestellt haben, so präzise die Antwort: Wir können nicht Maßnahmen bewerten, von denen wir nicht wissen, ob sie stattgefunden oder nicht stattgefunden haben.
Aus den Enthüllungen von Snowden ist bekannt geworden, dass die NSA der amerikanischen Firma RSA 10 Millionen $ hat zukommen lassen, um einen Zufallszahlengenerator zu manipulieren, der anschließend in den Produkten der Firma RSA verwendet worden ist.
Bereits 2011 ist die Firma RSA dadurch aufgefallen, dass bei einem digitalen Einbruch in diese Firma Seeds, also „Generalschlüssel“ sowie Seriennummern entwendet worden sind. Daraufhin sind 40 Millionen RSA-Tokens, wie wir sie auch hier im Landtag verwenden, ausgewechselt worden.
Im Hinblick darauf frage ich Sie: In welchem Umfang finden die Produkte der US-Firma RSA in den Behörden und Organen des Landes Verwendung?
Das kann ich jetzt nicht beantworten, weil es deutlich über die eigentliche Fragestellung hinausgeht. Sie haben es als Fakt dargestellt, dass das so stattgefunden hat. Das können wir nicht beurteilen. Art. 32 Abs. 1 unserer Verfassung regelt, dass die Vertretung der Bundesrepublik Deutschland und damit auch der Länder ausschließlich vom Bund vorgenommen wird.
Wir haben ausschließlich zwei Landesvertretungen außerhalb Nordrhein-Westfalens, eine in Berlin und eine in Brüssel. Somit können sich unsere Erkenntnisse nur darauf beziehen, was Bundesstellen, insbesondere das Bundesinnenministerium, uns auf Nachfragen erklärt hat. Die Antwort lautete, selbst keine Erkenntnisse zu haben.
Vielen Dank, Herr Präsident. – Daran anknüpfend – es sind bereits viele Aspekte angefragt worden –, ganz speziell bezüglich der Erkenntnisse, die Sie noch nicht haben: Wenn Sie die Erkenntnisse vorliegen haben, beabsichtigt die Landesregierung dann Gewährleistungsansprüche oder gar Schadensersatzansprüche für etwaige fehlerhafte oder manipulierte, in den Behörden und Organen des Landes verwendete Verschlüsselungshard- und -software geltend zu machen bzw. zu fordern?
Ich glaube, dass man Schadensersatzforderungen nur dann stellen kann, wenn einem bekannt ist, dass ein Schaden entstanden ist. Das ist aus den genannten Gründen zurzeit etwas schwierig, weil wir nicht einmal wissen, ob jemand versucht hat, Schaden zuzufügen, geschweige denn, ob einer entstanden ist.
insbesondere eine politische ist. Die Bundesregierung ist gut beraten, auf ein echtes No-SpyAbkommen mit den USA zu drängen, und zwar auf ein echtes und kein weichgespültes. Meine persönliche Meinung – nicht die der Landesregierung – ist, man kann eher auf ein No-Spy-Abkommen verzichten, wenn es windelweich ist und keine klaren Kriterien enthält.
Vielen Dank. – Das Serverbetriebssystem Solaris gehört seit 2010 dem Unternehmen Oracle, dessen Geschäftsführer Larry Ellison wortwörtlich gesagt hat: Die Überwachung der NSA sei wichtig und klasse.
Produkte in sicherheitsrelevanten Behörden bzw. Bereichen ein, zum Beispiel bei dem Ministerium für Inneres und Kommunales, dem Finanzministerium, der Polizei, der Feuerwehr, Strafvollzugseinheiten oder der öffentlichen Daseinsvorsorge? – Vielen Dank.
Herr Abgeordneter, ich vermute, dass diese Frage eher rhetorischer Natur war, als dass Sie tatsächlich eine konkrete Antwort erhalten wollten.
Ich stelle noch mal fest: Das geht deutlich über den eigentlichen Fragegrund hinaus. Ich bin zurzeit nicht in der Lage, die Frage zu beantworten, welchen Servertyp welche Behörde bei der Landesverwaltung Nordrhein-Westfalen benutzt.