|
LANDTAG
NORDRHEIN-WESTFALEN
|
Drucksache 16/5133 |
|
|
21.02.2014 |
Kleine Anfrage 2062
des Abgeordneten Daniel Schwerd PIRATEN
BSI-Meldung über 16 Millionen kompromittierte Login-Datensätze: Ist die Landesregierung aktiv?
"Es ist keine Schande nichts zu wissen, wohl aber, nichts lernen zu wollen." – Sokrates
Laut des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden 16 Millionen gestohlenen Login-Datensätze für Benutzerkonten im Internet entdeckt.[1]
Logins bestehen aus zwei Teilen: Einem Benutzernamen, oft in Form einer E-Mail-Adresse, und einem Passwort. Im Internet und in Intranets werden solche Logins für eine ganze Reihe unterschiedlichster Dienste verwendet. Wer im Besitz der Login-Daten ist, kann im Namen des registrierten Nutzers die entsprechenden Dienste meist nach Belieben nutzen. Fallen diese Login-Daten in die falschen Hände – wie in den 16 Millionen Fällen, von denen das BSI berichtet - so besteht die akute Gefahr eines Identitätsdiebstahls. Diese Gefahr ist noch größer, wenn Nutzer die gleichen Kombinationen aus E-Mail-Adresse und Passwort für mehrere Dienste verwenden, auf die mögliche Datendiebe dann ebenfalls Zugriff erlangen können.
Die Liste mit den gestohlenen Login-Datensätzen liegt dem BSI mindestens seit Dezember, vermutlich sogar seit August 2013 vor. Seit dem 21.01.2014 besteht auf der Webseite des BSI die Möglichkeit, eigene E-Mail-Adressen dahingehend zu prüfen, ob diese in der BSI-Liste kompromittierter Login-Datensätze auftauchen. Liegt ein Treffer vor, so muss davon ausgegangen werden, dass ein Login, in dem die entsprechende E-Mail-Adresse als Benutzername dient, gestohlen wurde.
Die zuständige Staatsanwaltschaft übermittelte bereits im August 2013 über das Bundeskriminalamt einen Datensatz mit ca. 600 betroffenen E-Mail-Adressen der Bundesverwaltung und 17 E-Mail-Adressen des Bundestags an das BSI zur Analyse.[2]
Im Land Nordrhein-Westfalen werden von Regierung, Ministerien und Behörden des Landes sowie landeseigenen Betrieben diverse E-Mail-Adressen verwendet. Diese werden sowohl von zentralen Stellen als auch von einzelnen Mitarbeitern für die unterschiedlichsten Zwecke benutzt.
Mit dieser kleinen Anfrage möchte ich erfahren, inwieweit geprüft wurde, ob E-Mail-Adressen des Landes, der Regierung, von Ministerien, Landesbehörden oder landeseigenen Betrieben bzw. dienstliche Adressen der jeweiligen Mitarbeiter betroffen sind.
Ich frage die Landesregierung:
1. Wann haben Behörden des Landes NRW erstmals von der BSI-Liste der betroffenen E-Mail-Adressen Kenntnis erlangt? Bitte geben Sie an, auf welchem Wege die Kenntnis erlangt wurde.
2. Wann hat die Landesregierung bzw. haben zuständige Behörden des Landes vom BSI die Liste der E-Mail-Adressen (vollständig oder in den für die Behörden des Landes relevanten Teilen) angefragt?
3. Welches Ergebnis hatte die systematische Suche nach Übereinstimmungen zwischen der Adressliste des BSI und den E-Mail-Adressen von Regierung, Ministerien und Behörden des Landes sowie landeseigenen Betrieben (bzw. den Dienst-E-Mail-Adressen ihrer Mitarbeiter)? Bitte schlüsseln Sie das Prüfergebnis nach Behörden auf und geben Sie die jeweilige Trefferanzahl und den Zeitpunkt des Tests an.
4. Welche der auf der Adressliste des BSI gefundenen E-Mail-Adressen des Landes sind sicherheitsrelevanten Bereichen zuzuordnen? Bitte listen Sie die entsprechenden Fälle (ggf. verkürzt) und das damit verbundene Risiko auf.
5. Welche Maßnahmen werden bzw. wurden in Bezug auf die in der Adressliste des BSI gefundenen E-Mail-Adressen des Landes ergriffen? Bitte listen Sie jede einzelne Maßnahme mit Zeitpunkt bzw. Zeitplan der Umsetzung auf.
Daniel Schwerd