Gefährdung der Sicherheit der städtischen IT-Systeme durch den Hessentrojaner

Anfrage zur Überweisung in den Ausschuss für Finanzen, Wirtschaft und Grundsatzfragen

Wir fragen den Magistrat:

1.In welchen städtischen Netzwerken werden schützenswerte personenbezogene Daten und Daten besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO (1)) der Kasseler Bürger gehalten?

2.Wie viele Endgeräte (Desktop-PCs, Notebooks, Tablets, Mobiltelefone) sind mit diesen Netzwerken und dem Internet verbunden?

3.Welche dieser Endgeräte können potentiell durch den Hessentrojaner infiziert werden?

4.Welche dieser Endgeräte können mit anderer Schadsoftware, die dieselben Sicherheitslücken ausnützt wie der Hessentrojaner infiziert werden?

5.Kann der Magistrat ausschließen, dass diese Endgeräte über die bestehenden Sicherheitslücken durch andere Angreifer infiziert und ausgespäht werden, so dass es zu einem Datenmissbrauch kommen kann?

6.Hat die Stadt bei der Landesregierung Informationen zur Schließung der Sicherheitslücken angefragt? Wenn ja, wie lautete die Antwort?

7.Welche Schutzmaßnahmen hat die Stadt gegen die Infizierung ihrer Geräte mit Schadsoftware, die dieselbe Sicherheitslücke nutzt, getroffen?

8.Wie gewährleistet die Stadt Kassel angesichts bekannter, bestehender Sicherheitslücken den Schutz besonders schützenswerter personenbezogener Daten?


Update:
Der Antrag wurde am 6. Februar 2020 behandelt:
(Notizen ohne Gewähr)

Die Fraktion FDP + Freie Wähler + Piraten erläutern den Grund der Anfrage. In letzter Zeit seien einige Systeme lahmgelegt wurden, beispielsweise die Stadt Gießen oder das Gericht in Berlin, mit erheblichen Schäden.

Der Oberbürgermeister erklärt zunächst was der Hessen Trojaner ist. Damit könne man Daten „erfassen“, Quellen TKÜ und Online-Durchsuchung durchführen, wenn Gefahr für die öffentliche Sicherheit vorliege. Nun sei die Frage in Bezug auf die städtische IT gestellt. Natürlich könnten Parlamente auch Dinge beschließen, die letztlich verfassungswidrig sein, diese Anfrage sei aber arg intendiert. Weder in öffentlicher, noch in nicht-öffentlicher Sitzung würde er konkrete Antworten zur IT Sicherheit beantworten. Wie man diese organisiere, müssten nicht alle wissen.

Wir fragen den Magistrat:

1.In welchen städtischen Netzwerken werden schützenswerte personenbezogene Daten und Daten besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO (1)) der Kasseler Bürger gehalten?

Man habe verschiedene Netze, die personenbezogenen Daten würden nur in internen Netzen gespeichert.

2.Wie viele Endgeräte (Desktop-PCs, Notebooks, Tablets, Mobiltelefone) sind mit diesen Netzwerken und dem Internet verbunden?

3300 Endgeräte, die aber nicht direkt mit dem Internet, sondern über entsprechende Firewall Strukturen verbunden seien.

3.Welche dieser Endgeräte können potentiell durch den Hessentrojaner infiziert werden?
4.Welche dieser Endgeräte können mit anderer Schadsoftware, die dieselben Sicherheitslücken ausnützt wie der Hessentrojaner infiziert werden?

Diese beiden Fragen beantwortet er nicht.

5.Kann der Magistrat ausschließen, dass diese Endgeräte über die bestehenden Sicherheitslücken durch andere Angreifer infiziert und ausgespäht werden, sodass es zu einem Datenmissbrauch kommen kann?

Es sei allgemein bekannt, dass Trojaner und Sprachprogramme über Lücken auf Rechner gelangen könnten. Natürlich könne man das bei der heutigen Komplexität nicht zu 100 % ausschließen. 100-prozentige Sicherheit gebe es nirgends.

6.Hat die Stadt bei der Landesregierung Informationen zur Schließung der Sicherheitslücken angefragt? Wenn ja, wie lautete die Antwort?

Man arbeite mit dem CyberCompetenzCenter Hessen zusammen. Man erhalte Warnmeldung und Berichte von Hessen 3C.

7.Welche Schutzmaßnahmen hat die Stadt gegen die Infizierung ihrer Geräte mit Schadsoftware, die dieselbe Sicherheitslücke nutzt, getroffen?
8.Wie gewährleistet die Stadt Kassel angesichts bekannter, bestehender Sicherheitslücken den Schutz besonders schützenswerter personenbezogener Daten?

Man setze auf ein mehrstufiges IT Sicherheitskonzept, abgesprochen mit dem BSI, Und habe so ein solides Fundament zum Schutz der digitalen Prozesse und Daten. Die durch den Titel vermittelte Intention weise man zurück, man arbeite eng mit dem Start zusammen. Eine Gefährdung durch den Hessen Trojaner gebe es nicht.

Die Fraktion FDP + Freie Wähler + Piraten erläutert noch einmal das Problem, welches entsteht, wenn über ein Gesetz festgelegt wird, dass IT Systeme nicht sicher sein dürfen, damit der Staat eigenen Schadcode einschleusen kann. Diese Lücken könnten auch durch andere Anbieter zu Missbrauchszwecken genutzt werden. Die Piratenpartei Hessen habe deshalb Klage vor dem Verfassungsgericht eingereicht. Aus Sicht des Redners habe der Oberbürgermeister nicht nachvollziehbar darlegen können, dass die Lücken für Kassel kein Problem darstellen, damit könnten weder Land noch Stadt sich zufriedengeben.

Der Oberbürgermeister wiederholt, man solle nichts intendieren was nicht der Fall sei und erst mal abwarten was bei der Klage vor Gericht rauskommt.