LANDTAG NORDRHEIN-WESTFALEN
16. Wahlperiode

Drucksache 16/5247

17.03.2014

Antwort

der Landesregierung

auf die Kleine Anfrage 2023 vom 14. Februar 2014

der Abgeordneten Daniel Schwerd und Frank Herrmann PIRATEN

Planungen und Maßnahmen der Landesregierung für ein NRW-„LandesCERT“

Der Minister für Inneres und Kommunales hat die Kleine Anfrage 2023 mit Schreiben vom 14. März 2014 namens der Landesregierung beantwortet.

Vorbemerkung der Kleinen Anfrage

Ein Computer Emergency Response Team (CERT) soll Knowhow bereitstellen, um sich bereits im Vorfeld vor möglichen Angriffen auf IT-Infrastrukturen zu wappnen. Nach einem erfolgten IT-Sicherheitsvorfall soll ein CERT Unterstützung beim Wiederanlauf des Regelbetriebs sowie bei der Ermittlung der Verursacher leisten.

Der IT-Planungsrat hat zum Stand 19.02.2013 ein Dokument mit dem Titel „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ veröffentlicht.[1] Darin werden besondere Maßnahmen beschrieben, auf die sich die Länder und der Bund in der Arbeits-bzw. Kooperationsgruppe „Informationssicherheit des IT-PLR“ geeinigt haben.

Gegenstand dieser Vereinbarung sind unterschiedliche Maßnahmen zur aktiven und passiven Sicherheit bzw. Gefahrenerwiderung, welche in jedem Bundesland zu einem standardisierten Mindestsicherheitsniveau führen sollten. Grundlage für diese Vereinbarung ist laut Aussage der Verfasser der IT-Staatsvertrag.

Das Dokument rekurriert dabei unter anderem auf die Arbeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Einige Standards des BSI werden hierbei besonders hervorgehoben und zur Umsetzung in den Ländern empfohlen.

Die Einrichtung von CERTs auf Landesebene ist ebenfalls Bestandteil der Maßnahmen, die in der Leitlinie genannt werden.

Seit Veröffentlichung dieser Vereinbarung ist nun fast genau ein Jahr vergangen. In diesem vergangenen Jahr wurde das Thema IT-Sicherheit durch die Enthüllungen von Edward Snowden in der Öffentlichkeit so intensiv wie selten debattiert. Die Berichte über ausländische Nachrichtendienste und deren Spionagetätigkeiten auch in der Bundesrepublik reißen nicht ab.

1. Wie weit sind die Planungen bzw. Ausführungen der Landesregierung zu einem „LandesCERT“ bereits vorangeschritten?

2. Welche Person wurde ggf. damit beauftragt, entsprechende Planungen und/oder das Gesamtprojekt zu leiten?

Das Innenministerium hat IT.NRW bereits im Jahr 2004 mit dem Projekt zum Aufbau eines Computer Emergency Response Teams (CERT) für die Landesverwaltung NRW beauftragt. Seit dem Jahr 2005 betreibt IT.NRW das CERT NRW dauerhaft. Die fachliche Aufsicht liegt bei der CIO-Stabsstelle im MIK.

3. Welche vergleichbaren Abteilungen gibt es in den Behörden des Landes bereits?

In den Behörden und Einrichtungen des Landes sind Ansprechpartner benannt, die im regelmäßigen Kontakt mit dem CERT NRW stehen. Darüber hinaus betreibt die Polizei seit dem Jahr 2004 das CERT Polizei.

4. Welche Mindestanforderungen für sichere Produkte, Systeme und Verfahren hat das Land NRW in die Verhandlungen der Arbeitsgruppe Informationssicherheit zu einem länderübergreifenden Standard eingebracht?

Aus Sicht des Landes NRW soll grundsätzlich der Einsatz von durch das BSI zertifizierten bzw. empfohlenen Produkten angestrebt werden.

5. An welchen Punkten weichen die vom Land NRW präferierten Mindestanforderungen von den Empfehlungen des BSI ab?

Siehe Antwort zu Frage 4