Der Druck wächst – wie ist die aktuelle Cybersicherheitslage in Bremen und welche Aufgaben übernehmen Bremens IT-Dienstleister?
Kleine Anfrage der Fraktion der FDP Bremen.
Das fehlerhafte Update einer IT-Security-Lösung des Herstellers Crowdstrike am 19. Juli 2024 hat gezeigt, dass es bei IT-Sicherheitsmaßnahmen zu schwerwiegenden und teuren Problemen kommen kann. Dieser Vorfall führte zu Systemabstürzen bei geschätzt 8,5 Millionen Windows-Geräten weltweit und hat nach ersten Schätzungen zu Versicherungsschäden in Höhe von 1,5 Milliarden Dollar geführt. Vor diesem Hintergrund stellt sich die Frage, ob es hierdurch auch im Land Bremen zu Schäden kam.
Hinzu kommt die regelmäßige Berichterstattung der Presse über Cyberangriffe auf Behörden, Infrastruktur und Unternehmen in Deutschland und Bremen. Zuletzt beispielsweise am 27.07.24 über einen Angriff auf das Handelsunternehmen Melchers am 02.06.24 über gestohlene Patientendaten bei der Geno oder am 11.04.24 über einen Hackerangriff auf die Lürssen-Werft.
Vor diesem Hintergrund fragen wir den Senat:
- In welchen Behörden, öffentlichen Trägern und öffentlichen Unternehmen wird Crowdstrike eingesetzt?
- Gab es im Zusammenhang mit den durch das Crowdstrike hauseigene Softwareprodukt Falcon Sensor verursachten weltweiten Computerausfällen im Juli 2024 auch Auswirkungen auf Bremen?
a. Wenn ja, welche?
b. Sofern es zu Schäden gekommen ist, wie hoch sind diese?
c. Welche Vorkehrungen werden für solche Fälle getroffen?
d. Wie war die Reaktionskette, wie war der Ablauf?
e. Gab es Fälle von indirekter Betroffenheit, z.B. dass Dienstleister nicht verfügbar waren?
f. Welche Aufgabe hatte Dataport in diesem Zusammenhang? - Wie schätzt der Senat die aktuelle Bedrohungslage im Hinblick auf Cyberkriminalität und Cyberspionage in Bremen ein?
- Wie hoch ist das Budget, das aktuell jährlich insgesamt für die Informations- und IT-Sicherheit aufgewendet wird und wie hat sich dieses Budget seit der letzten großen Anfrage zur Lage der Cybersicherheit in der Freien Hansestadt Bremen entwickelt (Bitte insgesamt und nach Ressort aufgeschlüsselt angeben)?
- Wie viele Fälle von Cyberangriffen gab es in der Freien Hansestadt Bremen seit der letzten großen Anfrage zur Lage der Cybersicherheit (Bitte nach Jahren sowie nach Angriffszielen (kritische Infrastruktur, Behörden, Wirtschaft) aufschlüsseln)?
a. Soweit bekannt, welche Beeinträchtigungen und welche Schäden wurden durch diese Angriffe verursacht?
b. Wie viele Täter konnten im Zusammenhang mit diesen Angriffen ermittelt werden?
c. Wie viele Täter wurden im Zusammenhang mit diesen Angriffen bereits verurteilt? - Wie viele Fachkräfte, die sich hauptsächlich mit der Abwehr von Cyberangriffen beschäftigen stehen der Bremer Polizei zur Verfügung, wie hat sich diese Zahl entwickelt und wie hoch ist das jährliche finanzielle Budget (Bitte die Entwicklung über die letzten 5 Jahre aufgeschlüsselt angeben)?
- Wie entwickelte sich die Anzahl der IT-Mitarbeiterinnen und Mitarbeiter bei den zentralen IT- Dienstleistern des Landes Bremen seit der letzten großen Anfrage zur Lage der Cybersicherheit in der Freien Hansestadt Bremen (Bitte aufgeschlüsselt nach Dienstleister und Positionen inkl. Funktion)?
- Wie viele Stellen sind bei den Dienstleistern derzeit vakant (Bitte insgesamt sowie aufgeschlüsselt nach den Personalbedarfen der Dienstleister angeben)?
- Wie viel Budget wird von den Dienstleistern für die Informationssicherheit und IT-Sicherheit eingeplant (Bitte um Angaben über das Budget für das IT-Personal insgesamt insbesondere mit Angaben zum Budget für das IT-und Informationssicherheitspersonal und ebenfalls zum Budget für die technische IT-Sicherheitsausstattung der Dienstleister sowie nach Dienstleister aufgeschlüsselt)?
- Wie genau und wie regelmäßig erfolgt die Überwachung und Reaktion auf Sicherheitsvorfälle bei den unterschiedlichen IT-Dienstleistern und welche Reportinglines wurden von der Freien Hansestadt Bremen durch welche in der Verantwortung stehende Person organisiert? (Bitte bei der Beantwortung der Fragen sowohl die Anzahl der Mitarbeiterinnen und Mitarbeiter im IT-Sicherheitsteam und deren berufliche Qualifikation ein als auch die Tools/Werkzeuge und Prozesse angeben, die zur Überwachung bei den Dienstleistern eingesetzt werden)?
- Mit welchen präventiven Maßnahmen und Vorgaben erhöht der Senat die Informations- und IT-Sicherheit in den unterschiedlichen Ressorts?
a. Wer ist für die Umsetzung in Personalunion verantwortlich?
b. Mit welchen Maßnahmen technisch und organisatorisch und Sicherheitsvorgaben erhöhen die Dienstleister die Resilienz ihrer IT-Systeme und ihrer Prozesse (Bitte aufgeschlüsselt nach Dienstleister angeben)? - In welchen Abständen werden die IT-Sicherheitsrichtlinien der Dienstleister überprüft (Bitte angeben durch wen die Überprüfung erfolgt und wer auf Seiten des Senats bzw. der Resorts/Behörden über die Ergebnisse bzw. Anpassungsbedarfe (Gaps) informiert wird)?
- Wie werden die Mitarbeiterinnen und Mitarbeiter der Dienstleister für den sicheren Umgang mit IT-Ressourcen und Daten sensibilisiert (Bitte die Maßnahmen nach den jeweiligen Dienstleistern aufschlüsseln)?
- Wie viele Sicherheitsvorfälle wurden an welchen Funktionsträger der Freien Hansestadt Bremen durch die jeweiligen Dienstleister zwischen 2020-2024 gemeldet (Bitte die Sicherheitsvorfälle nach Anzahl und Schwere je Dienstleister aufschlüsseln)?
- Welche gemeinsamen Gremien gibt es, um mit den jeweiligen IT-Dienstleistern IT- und Informationssicherheitsinhalte regelmäßig auszutauschen und zu verbessern?
a. In welchen Abständen finden diese statt?
b. Wer nimmt an diesen Gremien teil?
c. Welche wesentlichen Anpassungsbedarfe haben sich in den letzten drei Jahren technisch und organisatorisch auf Dienstleisterseite ergeben? - Wer führt Audits bei den Dienstleistern durch und überwacht die Maßnahmen und das IT-Risikomanagement?