Herr Minister Jäger, ich versuche es etwas allgemeiner. Sie sprachen gerade eine gewisse Bestandsaufnahme an. Werden Sie – sprich: die Landesregierung – Ihre Server und sonstige Hardware dabei ganz oder teilweise auch auf mögliche Spionageimplantate hin überprüfen?
Sofern es dazu technische Möglichkeiten gibt, gehe ich fest davon aus, dass die Mitarbeiterinnen und Mitarbeiter bei IT.NRW ohnehin ausreichend sensi
Vielen Dank. – Um der Fragestellung nach den Tailored Access Operations – TAO –, deren Aufgabe es ist, explizit einzelne Produkte zu manipulieren, um sie überwachbar zu machen, gerecht zu werden, formuliere ich eine Frage, die sich mir in diesem Zusammenhang stellt. Sie forderten ja gerade ein: Wer eine spezifischere Frage stellt, bekommt eine spezifischere Antwort. Ich würde ganz gerne wissen: In welchem Umfang setzt die Landesregierung PowerEdge Server von DELL ein, also die Produkte des Herstellers, die auch wir hier im Landtag hauptsächlich einsetzen? – Vielen Dank.
Offen gestanden: Ich überlege gerade, welchen privaten Server ich zu Hause habe und ob ich dessen Fabrikatsnummer und Hersteller kenne.
Ernsthaft! Ich bin zu diesem Zeitpunkt nicht in der Lage, Ihnen aus meinem Gedächtnis heraus eine Liste aufzusagen, welche Fabrikate von welchem Hersteller im Rahmen der Hardwareausstattung der einzelnen Behörden in Nordrhein-Westfalen wo stehen.
Vielen Dank. – Unter den neuen Veröffentlichungen befinden sich Listen mit Sicherheitslücken und Backdoors, die in Routern und Firewalls unterschiedlicher Hersteller bestehen und die die NSA nutzen kann, um in die Computernetzwerke einzudringen und Rechner anzugreifen. Sind unter den betroffenen Routern und Firewalls auch Geräte, die die Landesregierung oder andere Behörden des Landes verwenden, bzw., ist dies überhaupt überprüft worden?
Da muss ich bedauerlicherweise genauso antworten wie bei der Frage zuvor. Über solche technischen Details kann ich im Rahmen einer parlamen
tarischen Fragestunde bedauerlicherweise keine Auskunft erteilen. Wenn ich es könnte, würde ich es natürlich tun.
Verehrte Kolleginnen und Kollegen, da ich von der Sache zu wenig Ahnung habe, um das letztlich beurteilen zu können, bitte ich Sie sehr herzlich darum, nur solche Fragen zu stellen, die im Zusammenhang mit der eingereichten Ursprungsfrage an die Landesregierung stehen.
Vielen Dank, Herr Präsident. – Vorab, vor der eigentlichen Frage, Herr Minister: Es würde mich sehr freuen, wenn Sie die Fragen, die Sie hier jetzt nicht direkt beantworten können, im Nachgang schriftlich beantworten könnten. Das wäre sehr schön.
Nein, das ist nicht meine Frage. Das habe ich ja gerade gesagt: bevor ich zur eigentlichen Frage komme...
Zur eigentlichen Frage! Sie erwähnten eben den neu eingerichteten Posten eines CIO hier in Nordrhein-Westfalen. Da würde mich das Verhältnis interessieren: Wie viele Fachleute unterstehen dem CIO direkt in seiner Abteilung? Und dazu im Verhältnis: Für wie viele IT-Systeme sind diese Menschen in der Landesverwaltung im Land NordrheinWestfalen insgesamt zuständig? Beides hätte ich gerne in der Endausbaustufe gewusst, also sowohl bei der Abteilung des CIO – diese Abteilung ist ja gerade erst im Aufbau – wie auch bitte bei der zweiten Zahl, also den Systemen, weil es da anscheinend noch Verhandlungen gibt, dass auch die Systeme der Polizei später mal vom CIO betreut werden sollen. – Vielen Dank.
Herr Präsident, wenn ich das richtig verstanden habe, sind jetzt zwei Fragen an mich gerichtet worden. Das geht über den üblichen Rahmen hinaus. Aber ich bin gerne bereit, beide Fragen zu beantworten.
Die Frage zu den Servern, welche Servertechnik, welche Fabrikate welchen Herstellers wir in welcher Behörde benutzen, will ich Ihnen gerne schriftlich beantworten, sofern dies in zumutbarer Zeit und in einem zumutbaren Umfang möglich ist. – Das zur ersten Frage.
Zum Zweiten. Ich glaube, dass Sie eine etwas unpräzise Vorstellung dessen haben, was Aufgabe des CIO ist. Die Aufgabe des CIO ist es nicht, die Sicherheit innerhalb der IT-Struktur in NordrheinWestfalen zu überprüfen, sondern Aufgabe des CIO ist es im Wesentlichen, die Vertretung des Landes Nordrhein-Westfalen im IT-Planungsrat sicherzustellen und nach innen so zu wirken, dass die ITStrategie des Landes Nordrhein-Westfalen kompatibel ist mit der der übrigen Bundesländer, der Kommunen und auch des Bundes.
Die Sicherheit für das Netz in der Landesverwaltung Nordrhein-Westfalen zu gewährleisten, ist Aufgabe von IT.NRW. Ich hatte gerade die Pförtnerfunktion dieser Behörde dargestellt. Aus meiner Erinnerung heraus kann ich Ihnen sagen, dass da ca. 1.800 Menschen arbeiten, wobei die nicht alle mit der Sicherheitsüberprüfung und dem Support für das ITNetz beauftragt sind. Sie wissen, dass IT.NRW insbesondere die ursprüngliche Aufgabe des Landesamtes für Statistik und Datenverarbeitung übernommen hat. Das heißt, ein großer Teil dieser Mitarbeiter ist auch mit statistischen Aufgaben betraut. Die Differenzierung zwischen diesen beiden Aufgabenfeldern können wir Ihnen, was personelle Ressourcen angeht, sicherlich nachliefern.
Vielen Dank. – Zu einer zweiten Frage hat sich der Kollege Kern von der Fraktion der Piraten gemeldet.
Vielen Dank. – Herr Minister, auf dem Chaos Communication Congress Ende Dezember letzten Jahres in Hamburg wurde darauf hingewiesen, dass die besagte NSAAbteilung, die in der Eingangsfrage genannt wurde, so vorgeht, dass sie bei Bestellungen von Kunden die gelieferten Sendungen von irgendwelchen Computerherstellern abfängt, manipuliert und gegebenenfalls mit Implantaten versieht.
Meine Frage an Sie: Prüft die Landesregierung ihre Hardware darauf, ob diese manipuliert und dort gegebenenfalls Implantate eingebaut wurden?
Ich hatte Ihnen bereits erläutert, dass derartige Fragen eigentlich unmittelbar durch Bundesbehörden mit der NSA zu klären sind. Nach meinem Verständnis sollten Nachrichtendienste, die das gegen
über einem befreundeten Staat tun, das erstens unterlassen. Zweitens sollten Sie darüber Auskunft geben, ob und in welchem Umfang so etwas in der Vergangenheit stattgefunden hat.
Bei meinen rudimentären technischen Kenntnissen gehe ich davon aus: Wenn es in der Vergangenheit stattgefunden haben sollte, ist es für alle Kunden – einschließlich der Landesverwaltung NordrheinWestfalen – äußerst schwierig, zu erkennen, ob Hardwareprodukte in derartiger Weise manipuliert worden sind.
Danke schön. – Zur Abwechslung gibt es eine Frage aus der FDPFraktion, nämlich vom Kollegen Ellerbrock.
Herr Minister, ich begrüße immer, dass die Landesregierung dem Bürger in wohlbestellter Sorge auch verfahrensleitende Hinweise gibt. Jetzt hat Minister Kutschaty im Zusammenhang mit der Vorstellung des Strafverfolgungsberichtes eine Äußerung getan, die mich nachdenklich stimmt.
Daher frage ich: Ist das die Meinung der Landesregierung? Er hat nämlich gesagt, dass er, seitdem er sich mit dem IT-Problem und mit Cybercrime beschäftigt, kein Onlinebanking mehr macht. Das ist eine klare Aussage, die mich als betroffenen Bürger denken lässt: Wenn schon ein Minister das so sagt, dann lasse auch ich es lieber sein. – Entspricht das auch Ihrem Erfahrungsschatz? Hat der Justizminister zu Recht gesagt: „Das ist eine so gefährliche Kiste, dass ich lieber die Finger davon lasse“? Welche Position bezieht die Landesregierung zu dieser Aussage?
Das waren auch wieder zwei Fragen; aber auch diese beiden will ich gerne beantworten. – Herr Ellerbrock, es gibt unzweifelhaft beim Onlinebanking – insbesondere dann, wenn zu leichtfertig mit TANNummern oder Passwörtern umgegangen wird – erhebliche Risiken, dass sich Menschen mit krimineller Energie solche Nachlässigkeiten zunutze machen und es im Rahmen des Onlinebankings zu Schaden bei Privatkunden, aber auch Unternehmen kommen kann.
Eine Empfehlung seitens der Landesregierung, in welcher Weise die Menschen in diesem Land Onlinebanking nutzen sollten oder nicht, findet nicht statt, weil ich glaube, dass die Menschen das selbst entscheiden sollten. Wenn Herrn Kutschaty dies hinsichtlich seiner privaten Gewohnheiten geäußert hat – ich glaube nicht, dass er das in seiner Funktion als Minister, insbesondere was den Zahlungsverkehr des Justizministeriums angeht, getan hat,
sondern eher in Bezug auf die Frage, wie er sein Banking privat handhabt –, schlage ich vor, ihm diese Frage privat zu stellen.
Vielen Dank. – Herr Minister, ich möchte gerne wissen, ob die Landesregierung in sicherheitsrelevanten und sensiblen Bereichen auch Computersysteme verwendet, die explizit nicht ans Internet angeschlossen sind, um diese vor Gefahren zu schützen.
Ich grüble gerade, ob ich das in öffentlicher Sitzung sagen darf. – Ich glaube nicht, aber ich will es einmal so formulieren, Frau Abgeordnete: Sie können davon ausgehen, dass gerade in sicherheitsrelevanten Bereichen der Landesverwaltung bzw. des Innenministeriums darauf geachtet wird, dass keine Manipulationen über eine Internetverbindung stattfinden können.
Vielen Dank. – Herr Minister, ich will da noch einmal nachhaken. Ich muss gestehen: Vor einem Jahr hätte ich jemandem, der diese Frage gestellt hätte, wahrscheinlich noch gesagt, dass er seinen Alu-Hut aufsetzen und gehen soll.
In den Snowden-Dokumenten gibt es unter dem Codenamen „angry neighbour“ Berichte darüber, dass die NSA Radarwanzen einsetzt, die selber keine Funksignale senden. Die Abfrage erfolgt aus der Ferne durch Radarstrahlen. Damit ist es möglich, Monitorbild, Tastaturanschläge usw. usf. zu überwachen, ohne dass ein Rechner mit dem Internet verbunden sein muss.
Berichten zufolge sind damit EU-Vertretungen in den USA abgehört worden. Es wurde auf Rechner zugegriffen, die eben keinen Internetzugriff haben. Das veranlasst mich zu der Frage: Sind Ihnen entsprechende Angriffe auf Rechner der Landesbehörden, von Landesbetrieben oder anderer öffentlicher Einrichtungen hier in Nordrhein-Westfalen bekannt?