Datenleck auf Servern von Ermittlungsbehörden
der Abgeordneten Frank Tempel, Petra Pau, Jens Petermann, Raju Sharma, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Mitglieder der sogenannten no-name-crew haben nach eigenen Angaben neben dem zentralen Server für das Observationsprogramm „Patras“ auch andere Server der Bundespolizei kompromittiert und heruntergeladene Dateien ins Netz gestellt. Diese Dateien sind teilweise noch verschlüsselt. FOCUS ONLINE hat am 16. Juli 2011 gemeldet, dass zumindest bei den Servern für das Observationsprogramm „Patras“ grundlegende Sicherheitsmängel den Diebstahl ermöglichten. Zahlreiche Server der Bundespolizei, der Zollverwaltung und der Landeskriminalämter sind daraufhin vom Netz genommen worden.
Laut dem Bundesvorsitzenden, Klaus Jansen, Bund Deutscher Kriminalbeamter, ist wegen der Kompromittierung von Bundespolizeiservern der Arbeitskreis II der Innenministerkonferenz zusammengetreten. Entgegen der Forderung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurden weder Öffentlichkeit noch Parlament noch die Betroffenen selbst konkret über diese Datenlecks in hochsensiblen Bereichen und die dabei zugänglich gewordenen Daten informiert (vgl. Presseerklärung des BfDI vom 12. Juni 2011 „Informationspflicht muss auch für Datenschutzpannen bei Behörden eingeführt werden“).
Wir fragen die Bundesregierung:
Fragen17
Welche Arten von Dateien und Daten wurden in welchem Umfang von Servern der Bundespolizei und des Zolls von Mitgliedern der sogenannten no-name-crew entwendet?
Welche weiteren Sicherheitsbehörden waren gleichartigen Angriffen mit welchen Ergebnissen ausgesetzt?
Wie haben die Bundesregierung und die Sicherheitsbehörden von den Datenlecks Kenntnis erhalten?
Wie viele laufende Ermittlungen bzw. laufende Verfahren sind potentiell betroffen?
Welche Auswirkungen haben nach Einschätzung der Bundesregierung die bisherigen Veröffentlichungen und potentielle weitere Veröffentlichungen der Dateien auf laufende Ermittlungen bzw. laufende Verfahren?
Welche Datennetze waren betroffen, und wie viele Server der entsprechenden Netze sind kompromittiert worden?
Wie schätzt die Bundesregierung die Qualität der Maßnahmen in Bezug auf Datenschutz und Datensicherheit auf den betroffenen Servern ein?
Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt gewordenen mangelhaften Sicherheitsvorkehrungen und dem Personaleinsatz bzw. dem Ausbildungsstand der betroffenen IT-Abteilungen und der jeweils Verantwortlichen?
Werden eventuell festzustellende mangelnde Sicherheitsvorkehrungen zu dienstlichen Konsequenzen bei den Verantwortlichen führen?
Welche konkreten Sicherheitsstandards und -prozesse wurden beim Betrieb der betroffenen Server missachtet?
Wie lange wurden die Server der Bundespolizei, der Zollverwaltung und der Landeskriminalämter (bitte konkret angeben) in Folge der Angriffe abgeschaltet?
Welche Aufgaben von Zollverwaltung und Bundespolizei konnten aufgrund der Angriffe wie lange nicht oder nur unzureichend erfüllt werden, und welche Folgen haben die Angriffe für die Aufgabenerfüllung?
Welche kurzfristigen Maßnahmen wurden unternommen, um die Sicherheit der kompromittierten Netze und Server wiederherzustellen?
Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt gewordenen mangelnden Sicherheitsvorkehrungen und dem in der Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 17/6655 konstatierten Investitionsmehrbedarf von 8 Mio. Euro bei der IT der Bundespolizei?
Welche Maßnahmen, z. B. zusätzliche Investitionen, Neueinstellungen und Ausbildungsinitiativen, gedenkt die Bundesregierung in Angriff zu nehmen, um die Sicherheit von Datennetzen und Servern von Zoll und Bundespolizei zu verbessern?
Wann wurde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und von wem über die Datenlecks informiert?
Ist die Bundesregierung bereit, auch für Bundesbehörden gesetzliche Regelungen anzustreben, die sicherstellen, dass „bei Verlust, Diebstahl oder Missbrauch sensibler personenbezogener Daten (…) unverzüglich die hiervon Betroffenen sowie die Aufsichtsbehörden zu unterrichten (sind)“ (PE BfDI vom 12. Juli 2011)?
Wenn nein, warum nicht?