Piraten Anfrage nach § 4.pdf

An den Vorsitzenden des Rates der Stadt Köln Thomas Hegenbarth Herrn Oberbürgermeister Jürgen Roters Rathaus - Spanischer Bau Lisa Gerlach 50667 Köln Tel.: +49 (221) 221 - 25541 Mail: Thomas.Hegenbarth@stadt-koeln.de Mail: Lisa.Gerlach@stadt-koeln.de Eingang beim Amt des Oberbürgermeisters: 11.12.2014 AN/1805/2014 Anfrage gem. § 4 der Geschäftsordnung des Rates Gremium Rat Datum der Sitzung 16.12.2014 Schutz vor Angriffen auf kommunale IT-Systeme in Köln Sehr geehrter Herr Oberbürgermeister, die Antragstellenden bitten Sie, folgenden Anfrage in die Tagesordnung des Rates am 16. Dezember 2014 aufzunehmen: Das Bundesamt für Sicherheit und Informationstechnik (BSI) bietet unter www.bsi.bund.de Informationen zum Schutz vor Angriffen auf IT-Systeme für kleine Behörden, Unternehmen und Kommunen an. Empfohlen wird neben den üblichen Sicherheitsvorkehrungen, Werkzeuge und Vorgehensweisen von „Angreifern“ (z. B. Hackern) zu nutzen, um eventuelle Schwachstellen der IT-Systeme aufzudecken. Dafür empfiehlt das BSI IS-Penetrationstests und IS-Webchecks. Bei IS-Penetrationstests werden die Schnittstellen untersucht, über die "Angreifer" auf die IT-Systeme zugreifen könnten. IS-Webchecks überprüfen den Sicherheitsstand von Internetpräsenzen. Das BSI bietet solche Tests gegen Geld für Organisationen an, deren IT-System angegriffen wurde und die im besonderen öffentlichen Interesse stehen. Beides trifft auf die Stadt Köln zu, gab es doch nach einem Bericht des „SPIEGEL“ vom 15. September 2014 vermutlich einen Angriff des britischen Geheimdienstes GCHQ auf NetCologne. Es gibt aber auch andere externe Tester. In einer Anhörung im Landtag NRW Anfang 2014 berichtete der Senior Security Resulter Tobias Morsches darüber, dass es besonders einfach ist, von außen in kommunale ITSysteme einzudringen. "Im Rahmen der von mir und unserer Firma durchgeführten Sicherheitsüberprüfungen zahlreicher Systeme der öffentlichen Verwaltung erhielten wir in fast al- -2- len Fällen binnen kürzester Zeit (ca. 2-8 Stunden), ohne vorherige Kenntnisse der IT vollen Zugriff auf alle Systeme der jeweiligen Kommunen oder Behörden", so Tobias Morsches in der Stellungnahme 16/1358 im Landtag NRW.[1] Vor diesem Hintergrund fragen wir die Verwaltung: 1. Werden die IT-Systeme in der kommunalen Verwaltung, den kommunalen Unternehmen und den kommunalen Einrichtungen (Bibliotheken, Schulen, Jobcenter usw.) mithilfe von Penetrationstests und Webchecks regelmäßig überprüft? (Wenn nicht, begründen Sie bitte, warum nicht.) 2. Die IT-Systeme welcher kommunaler Einrichtungen, Behörden usw. wurden in den letzten fünf Jahren Penetrationstests und Webchecks unterzogen? (Bitte unter Angabe des Test-Datums.) 3. Welche Ergebnisse haben diese Tests ergeben? (Bitte nennen sie die gefundene Schwachstelle, wenn möglich.) 4. Welche Maßnahmen wurden aufgrund der Testergebnisse ergriffen, und wurden diese schon umgesetzt? 5. Wäre eine Vorführung eines Pentrationstesters und Webcheckers oder ein Hearing im Rat der Stadt Köln möglich, um die Mitarbeiter der Stadtverwaltung für Datensicherheit zu sensibilisieren? gez. Thomas Hegenbarth gez. Lisa Hanna Gerlach [1] http://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMST161358.pdf?von=1&bis=0 http://www1.wdr.de/themen/politik/itsicherheit108.html