|
LANDTAG
NORDRHEIN-WESTFALEN
|
Drucksache 16/8028 |
|
|
02.03.2015 |
Antwort
der Landesregierung
auf die Kleine Anfrage 3081 vom 30. Januar 2015
des Abgeordneten Daniel Schwerd PIRATEN
Nicht jeder Keks bringt Glück: Auf wie vielen Ports ist das Land ungeschützt?
Der Minister für Inneres und Kommunales hat die Kleine Anfrage 3081 mit Schreiben vom 27. Februar 2015 namens der Landesregierung im Einvernehmen mit der Ministerpräsidentin und allen übrigen Mitgliedern der Landesregierung beantwortet.
Vorbemerkung der Kleinen Anfrage
"Glück entsteht oft durch Aufmerksamkeit in kleinen Dingen, Unglück oft durch Vernachlässigung kleiner Dinge." Wilhelm Busch
Auf dem alljährlichen "Chaos Communication Congress" Ende vergangenen Jahres haben Sicherheitsexperten des Unternehmens "Check Point" Details einer gravierenden Sicherheitslücke im Internet-Protokoll TR-069 namens "Misfortune Cookie" enthüllt.
Dieses Protokoll basiert auf HTTP und wird insbesondere durch Router im Internet jeweils auf einem Port des Gerätes bereitgestellt. Die in den meisten Geräten für dieses Protokoll genutzte Software heißt "Rompager", offenbar enthalten die meisten Versionen dieser Software eine gravierende Sicherheitslücke.
Die Sicherheitsexperten zeigten, dass 45 Millionen Geräte potentiell von dieser Sicherheitslücke betroffen sind. Die Funktionalität ist in den meisten dieser Geräte nicht abstellbar. Routerhersteller sind dazu übergegangen, neue Firmware für ihre Geräte zur Verfügung zu stellen, die die Lücke nicht mehr enthalten.
Allerdings wird es nicht für alle Geräte aktualisierte Firmware mehr geben. Im Internet stehen Werkzeuge zur Suche nach betroffenen Geräten zur Verfügung.
Vorbemerkung der Landesregierung
Die Landesregierung betreibt mit dem Landesverwaltungsnetz und den angeschlossenen Sondernetzen der Polizei und der Steuerverwaltung eigene Netzinfrastrukturen. Übergänge zu anderen Netzen, wie z.B. dem Internet, erfolgen jeweils zentral bei IT.NRW, LZPD und RZF.
Die Antworten auf die kleine Anfrage beziehen sich damit grundsätzlich auf diese drei Netzübergänge.
Soweit außerhalb dieser Infrastrukturen Zugänge zum Internet angeboten werden, z.B. für Gäste, Tagungs- oder Schulungsteilnehmer sowie Pressevertreter, sind diese streng von den Verwaltungsnetzen getrennt. Sie stellen deshalb keine Gefährdung für die Landesverwaltung dar.
Für die jeweiligen Nutzer dieser Angebote besteht, über die bei eigenen privaten oder vergleichbaren öffentlichen Internetzugängen bestehenden Risiken hinaus, keine besondere Gefährdung.
Auch im Bereich der Telearbeit wird durch die Verwendung des Internets keine Gefährdung für die Landesverwaltung gesehen, da hier lediglich die Infrastruktur des Internets genutzt wird. Die Lösungen sind so konzipiert und gesichert, dass hier eine Gefährdung durch diese oder andere Sicherheitslücken vergleichbarer Art nach Stand der Technik ausgeschlossen ist.
1. Zu welchem Zeitpunkt bzw. in welchem Zeitraum wurden in der Landesregierung, ihren Ministerien oder Behörden, oder in ihren landeseigenen Betrieben Router bzw. andere Internet-Infrastruktur auf das Vorhandensein dieser Sicherheitslücke geprüft? Nennen Sie die Daten für jede einzelne Stelle, und weisen Sie darauf hin, wenn diese Prüfung noch nicht angefangen hat, nicht geplant ist, sowie noch nicht abgeschlossen ist.
Die Router bzw. andere Internet-Infrastruktur werden regelmäßig und bei Bekanntwerden einer Sicherheitslücke zusätzlich auch anlassbezogen geprüft. Die Prüfungen auf das Vorhandensein des „Misfortune Cookie“ sind ohne Befund abgeschlossen.
2. Wie viele Router bzw. andere Internet-Infrastruktur, die die Landesregierung, ihre Ministerien oder Behörden, oder ihre landeseigenen Betriebe nutzen, in von der Sicherheitslücke betroffen? Schlüsseln Sie sie nach der jeweiligen einsetzenden Stelle auf.
3. Wie viele jeweils dieser Router bzw. andere Internet-Infrastruktur haben bis heute eine aktuelle Firmware erhalten? Schlüsseln Sie sie nach der jeweiligen einsetzenden Stelle auf.
4. Welche Router bzw. andere Internet-Infrastruktur, die die beschriebene Lücke aufweist, sind noch im Einsatz? Schlüsseln Sie sie nach der jeweiligen einsetzenden Stelle auf.
5. Wie viele Router bzw. andere Internet-Infrastruktur in welchen Ministerien, Behörden oder landeseigenen Betrieben wurden noch nicht nach betroffenen Geräten überprüft? Nennen Sie pro Stelle die Anzahl von potentiell betroffenen, aber noch nicht geprüften Geräten.
Die Fragen 2 bis 5 werden zusammenfassend beantwortet:
In der Landesverwaltung ist kein Router bzw. andere Internet-Infrastruktur von der Sicherheitslücke betroffen.