Cyber-Angriffe auf das Land Nordrhein-Westfalen 2021 und 2022

Kleine Anfrage 1530

der Abgeordneten Sven W. Tritschler und Andreas Keith vom 15.03.2023

Cyber-Angriffe auf das Land Nordrhein-Westfalen 2021 und 2022

Seit Beginn des Ukrainekriegs gibt es mehr Hackerangriffe auf öffentliche Einrichtungen in NRW, so Innenminister Herbert Reul (CDU). Allein im Dezember sind 1,5 Millionen gefährliche Mails in der Landesverwaltung identifiziert worden.

Für öffentliche Einrichtungen wird Online-Kriminalität zunehmend zum Problem. 70 Prozent aller Mails an die Landesverwaltung im Dezember letzten Jahres wurden als gefährlich eingestuft und abgewiesen, so das zuständige Ministerium für Digitalisierung in NRW.

Auch die IT-Systeme der Kommunen sind jeden Tag Cyberangriffen ausgesetzt. Zum Glück seien die bislang kaum erfolgreich, sagt ein Vertreter vom Städte- und Gemeindebund NRW. Aber man sei in einem ständigen Wettbewerb um kommunale IT-Sicherheit, weil die Angreifer immer neue Wege und Mittel finden. Und bei der Masse der Angriffe werde es früher oder später eben auch zu erfolgreichen Angriffen kommen, so der Vertreter des Städte- und Gemeindebundes NRW.¹

Wir fragen daher die Landesregierung:

1. Wie viele Cyber-Angriffe auf IT-Systeme des Landesverwaltung und landeseigener Betriebe gab es seit dem 01.01.2021? (Bitte aufschlüsseln nach Jahr, Landesbehörde und Straftatbeständen)
2. In wie vielen Fällen konnten die konkreten Angreifer ermittelt werden? (Bitte aufschlüsseln nach Jahr, Landesbehörde und Straftatbeständen)
3. In wie vielen Fällen haben derartige Angriffe zu einer Beeinträchtigung des Betriebsablaufes geführt? (Bitte aufschlüsseln nach Jahr und Landesbehörde)
4. Welche Maßnahmen zur Erhöhung der IT-Sicherheit wurden innerhalb dieser Zeit umgesetzt, um das Risiko eines erfolgreichen Cyberangriffs zu minimieren?
5. Welche weiteren Maßnahmen zur Erhöhung der IT-Sicherheit der Landesverwaltung sind in Umsetzung oder geplant, um die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs weiter zu minimieren?

Sven W. Tritschler
Andreas Keith

Anfrage als PDF

¹ https:// www1 .wdr.de/nachrichten/landespolitik/cybersicherheit-kommunen100.html Datum des Originals: 14.03.2023/Ausgegeben: 15.03.2023

Die Ministerin für Heimat, Kommunales, Bau und Digitalisierung hat die Kleine An­frage 1530 mit Schreiben vom 13. April 2023 namens der Landesregierung im Einvernehmen mit dem Ministerpräsidenten sowie allen übrigen Mitgliedern der Landesregierung beantwor­tet.

Vorbemerkung der Landesregierung

Die angefragten Sachverhalte hat die Landesregierung bereits im Rahmen einer Kleinen An­frage 5608 (Drucksache 17/14249) beantwortet (Drucksache 17/14826). Die aktualisierten Sachstände finden sich in der – teilweise zusammenfassenden – Antwort.

1. Wie viele Cyber-Angriffe auf IT-Systeme des Landesverwaltung und landeseigener Betriebe gab es seit dem 01.01.2021? (Bitte aufschlüsseln nach Jahr, Landesbe­hörde und Straftatbeständen)
2. In wie vielen Fällen konnten die konkreten Angreifer ermittelt werden? (Bitte auf­schlüsseln nach Jahr, Landesbehörde und Straftatbeständen)
3. In wie vielen Fällen haben derartige Angriffe zu einer Beeinträchtigung des Be­triebsablaufes geführt? (Bitte aufschlüsseln nach Jahr und Landesbehörde)

Die Fragen 1 bis 3 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Eine genaue Aufstellung ist der Anlage 1 zu entnehmen.

Die „Beeinträchtigung des Betriebsablaufs“ wird in zwei grundsätzlichen Kategorien beantwor­tet. Bei keiner oder einer geringen Beeinträchtigung wurde der Vorfall im Rahmen des tägli­chen Normalbetriebs ohne die Notwendigkeit von Folgemaßnahmen verarbeitet (Strichver­merk). Sollte eine Behörde, Behördenabteilung oder ein geschäftskritisches Verfahren betrof­fen und eine Behebung nicht im Normalbetrieb möglich gewesen sein, ist die Antwort „Ja“.

4. Welche Maßnahmen zur Erhöhung der IT-Sicherheit wurden innerhalb dieser Zeit umgesetzt, um das Risiko eines erfolgreichen Cyberangriffs zu minimieren?

Der Einmarsch russischer Truppen am 24. Februar 2022 in die Ukraine hat insgesamt zu einer Neubewertung der sicherheitspolitischen Lage in Deutschland geführt. Im Bereich der Cyber-abwehr werden in diese Bewertung mögliche Bedrohungen durch Russland aber auch durch andere Akteure einbezogen. Für die Cyberabwehr des nordrhein-westfälischen Verfassungs­schutzes bedeutet dies eine erhöhte Alarmbereitschaft.

Mit Beginn des Kriegs in der Ukraine musste unmittelbar mit der Möglichkeit gerechnet wer­den, dass Russland seine Cyberfähigkeiten in Deutschland vermehrt für Spionage und Sabo­tage, für Desinformationskampagnen und zur Einflussnahme einsetzt. Daher hat die Cyberab-wehr des Verfassungsschutzes seit Februar 2022 die Sensibilisierung potentiell besonders gefährdeter Unternehmen und Institutionen, zu denen auch die Landesverwaltung zählt, inten­siviert.

Im Fall staatlich gesteuerter Cyberangriffe deuten in den kompromittierten Systemen häufig nur minimale technische Spuren auf die Angreifer hin. Diese können anhand bestimmter Pa­rameter erkannt werden. Aus diesem Grund werden die technischen Parameter auch als Indi-cators of Compromise (IOC) bezeichnet. Um bereits erfolgte oder neu geschaffene Kompromittierungen zu erkennen, hat die Cyberabwehr des Verfassungsschutzes eine Vielzahl von Indikatoren zusammengestellt und die Liste laufend aktualisiert.

IT-Sicherheit liegt nicht in der originären Zuständigkeit der Polizei Nordrhein-Westfalens; gleichwohl hält sie Präventionsangebote vor. Diese richten sich allgemein an alle potentiellen Opfer, und so auch an Mitarbeitende in der Landesverwaltung. Polizeiliche Maßnahmen zur Prävention von Cybercrime zielen darauf ab, potenzielle Opfer zu sicherheitsbewusstem Ver­halten zu veranlassen und dadurch die Zahl der Straftaten und Opfer zu verringern. Die Polizei informiert durch eigene Informationsveranstaltungen und die Teilnahme an Veranstaltungen weiterer Akteure und Netzwerke über die unterschiedlichen Erscheinungsformen von Cyber-crime und weist auf ein sicherheitsbewusstes Verhalten im Umgang mit Informations- und Kommunikationstechnik hin.

Zur Meldung von Cyberattacken und zur Anzeigenerstattung stehen den Betroffenen neben den örtlich zuständigen Polizeibehörden rund um die Uhr die Expertinnen und Experten des Cybercrimekompetenzzentrums des Landeskriminalamts NRW sowie die 24/7/365-Hotline des operativen Teils der ZAC NRW zur Verfügung. In Parallelität dessen agiert der bei der Generalstaatsanwaltschaft Köln angesiedelte Teil der ZAC NRW als Ansprechstelle für sämt­liche verfahrensunabhängige Fragestellungen im Zusammenhang mit der Bekämpfung von Cybercrime-Phänomenen. Der Landesverwaltung und den landeseigenen Betrieben steht da­mit in allen Stadien eines – potentiellen – Cyberangriffs ein einheitlicher justizieller Ansprech­partner zur Verfügung.

Im Übrigen wird auf den Bericht der Landesregierung zur Sitzung des Innenausschusses am 10.03.2022 zum TOP „Abwehr von Cyberangriffen“ i.V.m. „Schutz vor Cyberattacken und an­deren hybriden Angriffen“ (Vorlage 17/6557) verwiesen.

5. Welche weiteren Maßnahmen zur Erhöhung der IT-Sicherheit der Landesverwal­tung sind in Umsetzung oder geplant, um die Wahrscheinlichkeit eines erfolgrei­chen Cyberangriffs weiter zu minimieren?

Die Landesregierung verfolgt die Strategie der agilen Weiterentwicklung ihrer Schutz- und Re­aktionsmaßnahmen; dabei werden sachgerechte Anpassungen vorgenommen, die der Lage­entwicklung gerecht werden. Insofern findet eine kontinuierliche Bewertung der bereits ge­troffenen Maßnahmen statt. Im Falle von erkennbaren Verbesserungspotentialen werden diese im Rahmen des Modells des kontinuierlichen Verbesserungsmanagements nach BSI-IT-Grundschutz eingesetzt.

Als konkrete Maßnahme wird beispielhaft die Zusammenführung und Ergänzung vorhandener Auswertemaßnahmen in einem Security Operation Center (SOC) bei IT.NRW vorgenommen. Das Ziel ist – auch durch stärker automatisierte Prozesse – Verdachtsfälle einer möglichen Kompromittierung schneller zu erkennen und dann einer genauen Prüfung zu unterziehen.

Antwort samt Anlage als PDF