Anfälligkeit kritischer Infrastrukturen vor Hackerangriffen in Deutschland
der Abgeordneten Dr. Jürgen Martens, Stephan Thomae, Grigorios Aggelidis, Renata Alt, Christine Aschenberg-Dugnus, Nicole Bauer, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg (Südpfalz), Dr. Marco Buschmann, Hartmut Ebbing, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Peter Heidt, Katrin Helling-Plahr, Markus Herbrand, Dr. Gero Clemens Hocker, Ulla Ihnen, Olaf in der Beek, Dr. Christian Jung, Dr. Marcel Klinge, Pascal Kober, Carina Konrad, Konstantin Kuhle, Michael Georg Link, Alexander Müller, Hagen Reinhold, Bernd Reuther, Judith Skudelny, Dr. Hermann Otto Solms, Bettina Stark-Watzinger, Katja Suding, Manfred Todtenhausen, Dr. Andrew Ullmann, Sandra Weeser, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Kriminalpolizisten haben seit Beginn der Corona-Pandemie vor vermehrten Hackerattacken auf IT-Systeme von Krankenhäusern und Energieversorgern gewarnt. Im Fall einer stärkeren Auslastung vieler Kliniken wären die Folgen von Hackerangriffen besonders gravierend. So könnten Operationen nicht stattfinden oder Patienten müssten abgewiesen werden. Schlimmstenfalls hätten Hackerangriffe tödliche Folgen für Patienten.
Am 10. September 2020 war die Düsseldorfer Uniklinik von einem Hackerangriff betroffen. Kriminelle hatten sich Zugang zum IT-System der Klinik verschafft, verschlüsselten daraufhin 30 Datenserver und hinterließen ein Erpresserschreiben, in dem sie Lösegeld von der Klinik forderten. Als die Täter bemerkten, dass anstatt der Düsseldorfer Heinrich-Heine-Universität die Uniklinik von der Hackerattacke betroffen war, konnten trotz der Herausgabe des Schlüssels für die Datenentsperrung die dramatischen Folgen nicht mehr aufgehalten werden. Operationen mussten abgesagt werden und eine lebensbedrohlich erkrankte Patientin musste in ein anderes Krankenhaus eingeliefert werden, wo sie kurz danach verstarb. Die Polizei ermittelt, ob zwischen dem Tod der Patientin und den Folgen des Hackerangriffs ein Zusammenhang besteht (https://www.faz.net/aktuell/feuilleton/toedliche-folgen-hackerangriff-auf-universitaetsklinik-duesseldorf-16969390.html).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt deshalb vor weiteren Attacken auf Kliniken und vor der hohen Anfälligkeit öffentlicher Einrichtungen vor Hackerangriffen in der Bundesrepublik Deutschland.
Vor diesem Hintergrund fragen wir die Bundesregierung:
Fragen9
Welche Erkenntnisse hat die Bundesregierung zur Anfälligkeit von IT-Systemen gegenüber Hackerangriffen folgender kritischer Infrastrukturen in der Bundesrepublik Deutschland (bitte pro Sektor nach Anlagenkategorien aufschlüsseln):
a) Energie,
b) Gesundheit (insbesondere Krankenhäuser),
c) Staat und Verwaltung,
d) Ernährung,
e) Transport und Verkehr,
f) Finanz- und Versicherungswesen,
g) Informationstechnik- und Telekommunikation und
h) Wasser?
i) Welche anderen öffentlichen Einrichtungen (z. B. Polizei, Feuerwehr) sind besonders Ziel von Hackerattacken?
Wie viele erfolgreiche Hackerangriffe gab es in den Jahren 2015, 2016, 2017, 2018, 2019 und 2020 auf folgende Einrichtungen in der Bundesrepublik Deutschland (bitte pro Sektor nach Anlagenkategorien aufschlüsseln):
a) Energie,
b) Gesundheit (insbesondere Krankenhäuser),
c) Staat und Verwaltung,
d) Ernährung,
e) Transport und Verkehr,
f) Finanz- und Versicherungswesen,
g) Informationstechnik- und Telekommunikation und
h) Wasser?
i) Wie viele Hackerangriffe sind davon jeweils zur Anzeige gebracht worden?
Wie viele Ermittlungsverfahren und Hauptverfahren wurden in den Jahren 2015, 2016, 2017, 2018, 2019 sowie 2020 eingeleitet?
a) Wie viele Ermittlungsverfahren wurden in den Jahren 2015, 2016, 2017, 2018, 2019 und 2020 eingestellt?
b) Wie viele Personen wurden 2015, 2016, 2017, 2018, 2019 und 2020 rechtskräftig verurteilt (bitte nach Straftatbestand aufschlüsseln)?
c) Wie viele Meldungen wurden dem BSI gemäß der Meldepflicht nach § 8b Absatz 4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in den Jahren 2015, 2016, 2017, 2018, 2019 und 2020 gemeldet?
Hat die Bundesregierung Erkenntnisse über die vermutete Dunkelziffer von Hackerangriffen auf die oben genannten kritischen Infrastrukturen?
Hat die Bundesregierung Erkenntnisse darüber, auf wie hoch sich der finanzielle Schaden aufgrund von Ransomware und erfolgreichen Hackerattacken in den letzten fünf Jahren von folgenden Einrichtungen beziffert:
a) Krankenhäuser,
b) Energieversorger,
c) Polizei und
d) Feuerwehr?
Wie lange brauchen folgende Einrichtungen, um nach erfolgreichen Hackerangriffen aus dem Notbetrieb wieder in den ursprünglichen Normalbetrieb zu kommen (bitte Dauer in Stunden nennen):
a) Krankenhäuser,
b) Energieversorger,
c) Polizei und
d) Feuerwehr?
Wie viele Fälle von Ransomware sind der Bundesregierung in den Jahren 2015, 2016, 2017, 2018, 2019 und 2020 bekannt?
a) Sind der Bundesregierung Fälle von Ransomware oder erfolgreichen Hackerattacken auf Gerichte bekannt (falls ja, bitte nach Bundesländern aufschlüsseln)?
Hat die Bundesregierung Erkenntnisse über den Tatort von erfolgreichen Hackerangriffen in den letzten fünf Jahren (bitte nach Land auflisten)? Gibt es Indizien bzw. Anhaltspunkte, ob Einzelpersonen oder kriminelle Organisationen bzw. Netzwerke dahinterstecken?
Welche Schutzmaßnahmen sind nach Auffassung der Bundesregierung notwendig, um vernetzte Autos vor Hackerangriffen z. B. auf das Verschließsystem besser zu schützen?
a) Wie viele Fälle von erfolgreichen Hackerangriffen im Automobilsektor sind der Bundesregierung bekannt?
b) Befasst sich die Bundesregierung mit der wachsenden Gefahr von DDoS-Attacken (DDoS = Distributed Denial of Service) auf vernetzte Autos insbesondere bei der Einführung von 5G-Netzen?
c) Wie viele vernetzte Autos werden in den nächsten fünf Jahren voraussichtlich in Deutschland und in der EU unterwegs sein?