Vom 3. August 2011
Deutscher Bundestag Drucksache 17/6757
17. Wahlperiode 03. 08. 2011
Kleine Anfrage
der Abgeordneten Frank Tempel, Petra Pau, Jens Petermann, Raju Sharma,
Halina Wawzyniak und der Fraktion DIE LINKE.
Datenleck auf Servern von Ermittlungsbehörden
Mitglieder der sogenannten no-name-crew haben nach eigenen Angaben neben
dem zentralen Server für das Observationsprogramm „Patras“ auch andere Ser-
ver der Bundespolizei kompromittiert und heruntergeladene Dateien ins Netz
gestellt. Diese Dateien sind teilweise noch verschlüsselt. FOCUS ONLINE hat
am 16. Juli 2011 gemeldet, dass zumindest bei den Servern für das Observa-
tionsprogramm „Patras“ grundlegende Sicherheitsmängel den Diebstahl ermög-
lichten. Zahlreiche Server der Bundespolizei, der Zollverwaltung und der Lan-
deskriminalämter sind daraufhin vom Netz genommen worden.
Laut dem Bundesvorsitzenden, Klaus Jansen, Bund Deutscher Kriminalbeamter,
ist wegen der Kompromittierung von Bundespolizeiservern der Arbeitskreis II
der Innenministerkonferenz zusammengetreten. Entgegen der Forderung des
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wurden
weder Öffentlichkeit noch Parlament noch die Betroffenen selbst konkret über
diese Datenlecks in hochsensiblen Bereichen und die dabei zugänglich gewor-
denen Daten informiert (vgl. Presseerklärung des BfDI vom 12. Juni 2011
„Informationspflicht muss auch für Datenschutzpannen bei Behörden eingeführt
werden“).
Wir fragen die Bundesregierung:
1. Welche Arten von Dateien und Daten wurden in welchem Umfang von
Servern der Bundespolizei und des Zolls von Mitgliedern der sogenannten
no-name-crew entwendet?
2. Welche weiteren Sicherheitsbehörden waren gleichartigen Angriffen mit
welchen Ergebnissen ausgesetzt?
3. Wie haben die Bundesregierung und die Sicherheitsbehörden von den Daten-
lecks Kenntnis erhalten?
4. Wie viele laufende Ermittlungen bzw. laufende Verfahren sind potentiell be-
troffen?
5. Welche Auswirkungen haben nach Einschätzung der Bundesregierung die
bisherigen Veröffentlichungen und potentielle weitere Veröffentlichungen
der Dateien auf laufende Ermittlungen bzw. laufende Verfahren?
6. Welche Datennetze waren betroffen, und wie viele Server der entsprechenden
Netze sind kompromittiert worden?
7. Wie schätzt die Bundesregierung die Qualität der Maßnahmen in Bezug auf
Datenschutz und Datensicherheit auf den betroffenen Servern ein?
Drucksache 17/6757 – 2 – Deutscher Bundestag – 17. Wahlperiode
8. Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt ge-
wordenen mangelhaften Sicherheitsvorkehrungen und dem Personaleinsatz
bzw. dem Ausbildungsstand der betroffenen IT-Abteilungen und der jeweils
Verantwortlichen?
9. Werden eventuell festzustellende mangelnde Sicherheitsvorkehrungen zu
dienstlichen Konsequenzen bei den Verantwortlichen führen?
10. Welche konkreten Sicherheitsstandards und -prozesse wurden beim Betrieb
der betroffenen Server missachtet?
11. Wie lange wurden die Server der Bundespolizei, der Zollverwaltung und der
Landeskriminalämter (bitte konkret angeben) in Folge der Angriffe abge-
schaltet?
12. Welche Aufgaben von Zollverwaltung und Bundespolizei konnten aufgrund
der Angriffe wie lange nicht oder nur unzureichend erfüllt werden, und wel-
che Folgen haben die Angriffe für die Aufgabenerfüllung?
13. Welche kurzfristigen Maßnahmen wurden unternommen, um die Sicherheit
der kompromittierten Netze und Server wiederherzustellen?
14. Sieht die Bundesregierung einen Zusammenhang zwischen den bekannt ge-
wordenen mangelnden Sicherheitsvorkehrungen und dem in der Antwort
der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache
17/6655 konstatierten Investitionsmehrbedarf von 8 Mio. Euro bei der IT
der Bundespolizei?
15. Welche Maßnahmen, z. B. zusätzliche Investitionen, Neueinstellungen und
Ausbildungsinitiativen, gedenkt die Bundesregierung in Angriff zu nehmen,
um die Sicherheit von Datennetzen und Servern von Zoll und Bundespolizei
zu verbessern?
16. Wann wurde der Bundesbeauftragte für den Datenschutz und die Informa-
tionsfreiheit und von wem über die Datenlecks informiert?
17. Ist die Bundesregierung bereit, auch für Bundesbehörden gesetzliche Rege-
lungen anzustreben, die sicherstellen, dass „bei Verlust, Diebstahl oder
Missbrauch sensibler personenbezogener Daten (…) unverzüglich die hier-
von Betroffenen sowie die Aufsichtsbehörden zu unterrichten (sind)“
(PE BfDI vom 12. Juli 2011)?
Wenn nein, warum nicht?
Berlin, den 3. August 2011
Dr. Gregor Gysi und Fraktion