12.01.2010

Verlust von Datentechnik und sensiblen Datenbeständen in den Thüringer Landesbehörden

Thüringer Landtag
5. Wahlperiode
12.01.2010

K l e i n e A n f r a g e 201
des Abgeordneten Bergner (FDP)
Verlust von Datentechnik und sensiblen Datenbeständen in den Thüringer Landesbehörden

Die Computertechnik der Behörden und Ministerien des Freistaats Thüringen verarbeitet sensible und vor einem unbefugten externen Zugriff unbedingt zu schützende Daten.

Ich frage die Landesregierung:

1. Wie groß ist der aktuelle Bestand an stationären und tragbaren Computern, dienstlich genutzten Mobiltelefonen und Taschencomputern in den Thüringer Landesbehörden (bitte nach Behörden aufschlüsseln)?

2. Wie viele stationäre und tragbare Computer, dienstlich genutzte Mobiltelefone und Taschencomputer sind in den Jahren 2004 bis 2009 den Behörden des Freistaats Thüringen abhanden gekommen, gestohlen worden oder nicht mehr auffindbar (bitte nach Behörden und Jahren aufschlüsseln)?

3. Wie viele mobile Datenträger (CD-Rom, DVD, USB-Speicherstift, portable Festplatten) sind in den Jahren 2004 bis 2009 den Behörden des Freistaats Thüringen abhanden gekommen, gestohlen worden oder nicht mehr auffindbar (bitte nach Behörden und Jahren aufschlüsseln)?

4. Welche sensiblen Daten befanden sich auf den abhanden gekommenen, gestohlenen oder nicht mehr auffindbaren Geräten und mobilen Datenträgern (bitte nach Daten und Behörden aufschlüsseln)?

5. In welchen Fällen und aufgrund welcher Tatbestände wurden strafrechtliche Ermittlungen eingeleitet?

6. Auf welche Höhe beziffert die Landesregierung den gesamten Sachwert der abhanden gekommenen, gestohlenen oder nicht mehr auffindbaren Geräte und mobilen Datenträger (Frage 2 und 3)?

7. Durch welche Maßnahmen sind sensible Daten auf den in Behörden des Freistaats Thüringen verwendeten stationären und tragbaren Computern sowie den mobilen Datenträgern (CD-Rom, DVD,
USB-Speicherstift, portable Festplatten) im Falle eines Verlusts dieser Geräte und Datenträger vor einem unbefugten Zugriff durch Dritte geschützt?

8. Verfügen die abhanden gekommenen, gestohlenen oder nicht mehr auffindbaren Geräte über Einrichtungen, die es dritten Personen ermöglicht, auf vertrauliche Daten zuzugreifen, welche auf zentralen Rechnern gespeichert sind?

9. Welche Sicherheitsmaßnahmen bestehen zum Schutz vor einem derartigen Zugriff?

10. Auf welche Art und Weise werden stationäre und tragbare Computer in den Behörden des Freistaats Thüringen gegen ein Ausspähen von Daten mittels spezieller Schadprogramme (sog. "Trojaner") geschützt?

11. Auf welche Art und Weise werden stationäre und tragbare Computer in den Behörden des Freistaats Thüringen gegen Angriffe durch so genannte "Hacker" geschützt?

12. Welche Mechanismen hat die Landesregierung zum Schutz vor Datenverlusten eingerichtet?

13. Mit welchen Vorkehrungen will die Landesregierung den Schutz vor Datenverlusten gegebenenfalls verbessern?

Bergner

Die Antwort der Landesregierung:

Thüringer Landtag
5. Wahlperiode
Drucksache 5/685
24.03.2010

Das Thüringer Finanzministerium hat die Kleine Anfrage namens der Landesregierung
mit Schreiben vom 24. März 2010 wie folgt beantwortet:

Vorbemerkung
Gemäß § 18 Thüringer Verfassungsschutzgesetz (ThürVSG) unterliegt die Thüringer Landesregierung hinsichtlich der Tätigkeit des Thüringer Landesamtes für Verfassungsschutz (TLfV) der parlamentarischen Kontrolle. Diese Kontrolle wird von der Parlamentarischen Kontrollkommission ausgeübt. Nach § 19 Abs.1 ThürVSG unterrichtet die Landesregierung die Parlamentarische Kontrollkommission mindestens viermal im Jahr umfassend über die allgemeine Tätigkeit des TLfV und über Vorgänge von besonderer Bedeutung. Zu sonstigen Vorgängen aus dem Aufgabenbereich des TLfV berichtet die Landesregierung der Parlamentarischen Kontrollkommission, sofern diese dies verlangt. Gemäß § 18 Abs. 3 ThürVSG sind die Beratungen der Parlamentarischen Kontrollkommission geheim. Da bei Beantwortung der Fragen 1 bis 13 eine Ausforschung der Arbeitsweise des TLfV zu befürchten ist, wird auf diese Kontrollbefugnis verwiesen. Aussagen zum TLfV erfolgen daher nicht.

Zu 1.:
Siehe Anlage zu Frage 1

Zu 2.:
Siehe Anlage zu Frage 2

Zu 3.:
Siehe Anlage zu Frage 3

Zu 4.:
Siehe Anlage zu Fragen 4 und 5

Zu 5.:
Siehe Anlage zu Fragen 4 und 5

Zu 6.:
Siehe Anlage zu Frage 6

Zu 7.:
In zahlreichen Behörden werden auf den stationären und tragbaren Computern sowie den mobilen Datenträgern grundsätzlich keine sensiblen Daten gespeichert. Dazu existieren entsprechende organisatorische Regelungen. Alle in Netzwerken betriebenen Geräte dienen demnach nicht zur Ablage von Daten. Hierfür werden ausschließlich Serversysteme eingesetzt. Somit ist davon auszugehen, dass sich keine sensiblen Daten auf den Datenträgern dieser Geräte befinden.

Zudem werden die im Folgenden aufgezählten Schutzmechanismen verwendet:
- diverse Verschlüsselungstechniken
- Nutzerauthentifizierung

- Passwortschutz
- Einschränkung des Anwender- und Nutzerkreises sowie ein restriktives Schnittstellenmanagement bei mobilen Datenträgern
- persönliche Übergabe mobiler Datenträger durch Kuriere mit Datenträgerbegleitschein
- diverse Dienstanweisungen bzw. -vereinbarungen
- Beachtung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik
- Fingerprint

Zu 8.:
Für Unbefugte besteht keine Möglichkeit, von den abhandengekommenen Geräten der Thüringer Landesregierung auf zentrale Rechner und damit auf vertrauliche Daten zugreifen zu können.

Zu 9.:
Der Zugriff von Rechnern außerhalb des Corporate Network (CN) auf jegliche Art von Daten erfolgt mittels VPN-Verschlüsselungstechnologie, die auf dem jeweiligen Gerät eingerichtet ist. Bei Verlust besteht dennoch Datenschutz, da nur autorisiertes Personal durch Verwendung von OTP(One Time Pass)-Technik einen generierten Zugangsschlüssel bekommt.

Zusätzlich werden in den einzelnen Behörden folgende Sicherheitsvorkehrungen getroffen:
- Firewalls
- restriktiv verwaltete aktive Netzkomponenten
- Passwortschutz
- diverse Authentifizierungsmechanismen
- Kontrollen
Vgl. auch die Antwort zu Frage 8

Zu 10.:
Gegen das Ausspähen von Daten auf allen stationären und mobilen Computern ist die aktuelle Antivirensoftware diverser Hersteller eingerichtet und wird regelmäßig gewartet. Zusätzlich werden die Zugriffe durch dritte Personen durch Firewall-Lösungen verhindert.

Zum Schutz der Behörden gegen Angriffe aus dem öffentlichen Internetbereich sind zudem Cachesysteme und ein zentrales Mailgateway mit Spamerkennung und Markierung sowie Virenfilterung installiert.

Vgl. auch Antwort zu Frage 9

Zu 11.:
Vgl. Antwort zu Frage 10

Zu 12.:
Für den Umgang mit dienstlichen Daten bestehen entsprechende organisatorische Regelungen, z. B. in Form von Dienstanweisungen bzw. -vereinbarungen.
Zusätzlich werden folgende technische Vorkehrungen zur Erhöhung der Datensicherheit und -verfügbarkeit getroffen:´

- zentrale Datenhaltung in einem hochverfügbaren Speichersystem mit Backup-Lösung
- regelmäßige Datensicherung
- Aufbewahrung der gesicherten Daten in feuerfesten Datensafes
- Beschränkung des Anwenderkreises, insbesondere bei tragbaren Computern, Mobiltelefonen und mobilen Datenträgern
- elektronisches Zugangskontrollsystem
- Umsetzung der gesetzlichen Verpflichtung aus § 9 Thüringer Datenschutzgesetz
- automatisierte Archivierungssysteme
- gespiegelte Festplatten

Vgl. auch Antworten zu den vorhergehenden Fragen

Zu 13.:
Die organisatorischen und technischen Vorkehrungen werden permanent dem technischen Fortschritt und den aktuellen Anforderungen unter Beachtung der wirtschaftlichen Rahmenbedingungen angepasst.

Zudem wurde ein Arbeitskreis zu IT-Sicherheit gebildet, der zentrale Sicherheitsmaßnahmen erarbeiten wird und diese in den Geschäftsbereichen koordiniert.

Walsmann
Ministerin