IFG-Antrage zu den Gefahrenabwehrbefugnissen des BSI

Anfrage an: Bundesamt für Sicherheit in der Informationstechnik

1. zur Befugnis nach § 7b Abs. 1 BSIG:

a. Werden bei dem Portscan durch das BSI sämtliche Ports oder nur eine gewisse Auswahl gescannt? Sollte nur eine gewisse Vorauswah von Ports gescannt werden, wie erfolgt deren Auswahl?

b. Wie häufig scannt das BSI IP-Adressen auf der "Weißen Liste"? Erfolgt dies rein anlassbezogen oder regelmäßig bzw. in welchen Zeitabständen?

c. Scannt das BSI auch andere IP-Adressen, die nicht auf der “Weißen Liste” stehen? Und wenn ja, basierend auf welchen Befugnissen und aus welchen Anlässen?

d. Unter welchen Umständen rechnet das BSI mit einem Eingriff in das Telekommunikationsgeheimnis (Art. 10 GG)? Wie häufig griffen Portscans bereits in das Telekommunikationsgeheimnis ein?

e. Aus der IFG-Anfrage via FragDenStaat vom 27.10.2022, vom BSI beantwortet mit Bescheid vom 23.11.2022, (Kurzlink: https://fragdenstaat.de/a/261826) geht hervor, dass das BSI Informationen von “Partnern und weiteren vertrauenswürdigen externen Quellen“ zu „Systemen, welche mit hoher Wahrscheinlichkeit mit einem Schadprogramm infiziert sind, offen aus dem Internet erreichbare
Systeme, welche kritische Sicherheitslücken aufweisen, sowie offene Server-Dienste, welche für DDoS-Reflection-Angriffe gegen Systeme Dritter missbraucht werden können bzw. bereits aktiv missbraucht wurden“ erhält. Erhält das BSI diese Informationen ausschließlich als zentrale Meldestelle für IT-Sicherheit oder liegen dem (auch) Auftragsverhältnisse zugrunde? Betreffen diese Informationen lediglich die in § 7b Abs.1 BSIG genannten Adressaten oder auch andere?

2. Zur Befugnis nach § 7b Abs. 4 BSIG:

a. Wie viele Honeypot-Server betreibt das BSI?

b. Leitet das BSI Daten, die seine Honeypots erheben, an Polizei- und Strafverfolgungsbehörden weiter?

3. Zur Befugnis nach § 7c Abs. 1 Nr. 1 BSIG:

a. Wie häufig hat das BSI bislang eine Anordnung nach § 7c Abs. 1 Nr. 1 BSIG in Verbindung mit § 169 Abs. 6 und Abs. 7 TKG gegenüber Telekommunikations-Anbietern erteilt?

b. Sind dem BSI im Rahmen von Maßnahmen nach § 7c Abs. 1 Nr. 1 BSIG in Verbindung mit § 169 Abs. 6 und Abs. 7 TKG Kollateralschäden bzw. Beeinträchtigungen des Datenverkehrs Unbeteiligter bekannt geworden?

4. Zur Befugnis nach § 7c Abs. 1 Nr. 2 BSIG:

a. Hat das BSI die Befugnis nach § 7c Abs. 1 Nr. 2 BSIG bereits genutzt, um Schadprogramme von betroffenen IT-Systemen zu bereinigen? Wie häufig hat das BSI bislang technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt?

b. Hat das BSI die Befugnis nach § 7c Abs. 1 Nr. 2 BSIG bereits genutzt, um Sicherheitsupdates auf betroffenen IT-Systemen zu installieren?

c. Wie bereinigt das BSI betroffene IT-Systeme von Schadprogrammen? Sendet das BSI deinstallierende Befehle von etwaigen Command&Control-Servern, wenn betroffene IT-Systeme Teil eines Botnetzes wurden? Lässt das BSI den jeweiligen Telekommunikationsanbieter automatisiert Sicherheitsupdates entsenden? Tastet das BSI auch die Integrität des betroffenen IT-Systems an, weil es direkt auf betroffene IT-Systeme zugreift und z. B. schädliche Webshells entfernt?

5. Zur Befugnis nach § 7d BSIG:

a. Wie häufig hat das BSI gegenüber Telemedienanbietern technische und organisatorische Maßnahmen angeordnet, die zur Herstellung des ordnungsgemäßen Zustands der unsicheren, gefährdeten oder beeinträchtigten Telemedienangebote erforderlich waren?

b. Hat das BSI hierbei konkrete Vorgaben oder Empfehlungen ausgesprochen?

c. Unter welchen Umständen geht das BSI von “begründeten Einzelfällen” i. S. v. § 7d Abs. 1 S. 1 BSIG aus? Ist hierfür eine bestimmte Kritikalität oder ein bestimmtes Schadenspotenzial erforderlich?

Anfrage erfolgreich

  • Datum
    4. Juni 2023
  • Frist
    7. Juli 2023
  • Ein:e Follower:in
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 04.06.2023
Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu: 1. zur Befugnis nach § 7b Abs. 1 BSIG…
An Bundesamt für Sicherheit in der Informationstechnik Details
Von
<< Anfragesteller:in >>
Betreff
IFG-Antrage zu den Gefahrenabwehrbefugnissen des BSI [#280449]
Datum
4. Juni 2023 14:34
An
Bundesamt für Sicherheit in der Informationstechnik
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:
1. zur Befugnis nach § 7b Abs. 1 BSIG: a. Werden bei dem Portscan durch das BSI sämtliche Ports oder nur eine gewisse Auswahl gescannt? Sollte nur eine gewisse Vorauswah von Ports gescannt werden, wie erfolgt deren Auswahl? b. Wie häufig scannt das BSI IP-Adressen auf der "Weißen Liste"? Erfolgt dies rein anlassbezogen oder regelmäßig bzw. in welchen Zeitabständen? c. Scannt das BSI auch andere IP-Adressen, die nicht auf der “Weißen Liste” stehen? Und wenn ja, basierend auf welchen Befugnissen und aus welchen Anlässen? d. Unter welchen Umständen rechnet das BSI mit einem Eingriff in das Telekommunikationsgeheimnis (Art. 10 GG)? Wie häufig griffen Portscans bereits in das Telekommunikationsgeheimnis ein? e. Aus der IFG-Anfrage via FragDenStaat vom 27.10.2022, vom BSI beantwortet mit Bescheid vom 23.11.2022, (Kurzlink: https://fragdenstaat.de/a/261826) geht hervor, dass das BSI Informationen von “Partnern und weiteren vertrauenswürdigen externen Quellen“ zu „Systemen, welche mit hoher Wahrscheinlichkeit mit einem Schadprogramm infiziert sind, offen aus dem Internet erreichbare Systeme, welche kritische Sicherheitslücken aufweisen, sowie offene Server-Dienste, welche für DDoS-Reflection-Angriffe gegen Systeme Dritter missbraucht werden können bzw. bereits aktiv missbraucht wurden“ erhält. Erhält das BSI diese Informationen ausschließlich als zentrale Meldestelle für IT-Sicherheit oder liegen dem (auch) Auftragsverhältnisse zugrunde? Betreffen diese Informationen lediglich die in § 7b Abs.1 BSIG genannten Adressaten oder auch andere? 2. Zur Befugnis nach § 7b Abs. 4 BSIG: a. Wie viele Honeypot-Server betreibt das BSI? b. Leitet das BSI Daten, die seine Honeypots erheben, an Polizei- und Strafverfolgungsbehörden weiter? 3. Zur Befugnis nach § 7c Abs. 1 Nr. 1 BSIG: a. Wie häufig hat das BSI bislang eine Anordnung nach § 7c Abs. 1 Nr. 1 BSIG in Verbindung mit § 169 Abs. 6 und Abs. 7 TKG gegenüber Telekommunikations-Anbietern erteilt? b. Sind dem BSI im Rahmen von Maßnahmen nach § 7c Abs. 1 Nr. 1 BSIG in Verbindung mit § 169 Abs. 6 und Abs. 7 TKG Kollateralschäden bzw. Beeinträchtigungen des Datenverkehrs Unbeteiligter bekannt geworden? 4. Zur Befugnis nach § 7c Abs. 1 Nr. 2 BSIG: a. Hat das BSI die Befugnis nach § 7c Abs. 1 Nr. 2 BSIG bereits genutzt, um Schadprogramme von betroffenen IT-Systemen zu bereinigen? Wie häufig hat das BSI bislang technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt? b. Hat das BSI die Befugnis nach § 7c Abs. 1 Nr. 2 BSIG bereits genutzt, um Sicherheitsupdates auf betroffenen IT-Systemen zu installieren? c. Wie bereinigt das BSI betroffene IT-Systeme von Schadprogrammen? Sendet das BSI deinstallierende Befehle von etwaigen Command&Control-Servern, wenn betroffene IT-Systeme Teil eines Botnetzes wurden? Lässt das BSI den jeweiligen Telekommunikationsanbieter automatisiert Sicherheitsupdates entsenden? Tastet das BSI auch die Integrität des betroffenen IT-Systems an, weil es direkt auf betroffene IT-Systeme zugreift und z. B. schädliche Webshells entfernt? 5. Zur Befugnis nach § 7d BSIG: a. Wie häufig hat das BSI gegenüber Telemedienanbietern technische und organisatorische Maßnahmen angeordnet, die zur Herstellung des ordnungsgemäßen Zustands der unsicheren, gefährdeten oder beeinträchtigten Telemedienangebote erforderlich waren? b. Hat das BSI hierbei konkrete Vorgaben oder Empfehlungen ausgesprochen? c. Unter welchen Umständen geht das BSI von “begründeten Einzelfällen” i. S. v. § 7d Abs. 1 S. 1 BSIG aus? Ist hierfür eine bestimmte Kritikalität oder ein bestimmtes Schadenspotenzial erforderlich?
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 280449 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/280449/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Bundesamt für Sicherheit in der Informationstechnik
am 13.06.2023
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage. Bei Ihrer Anfrage handelt es sich aus hiesi…
Details
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: IFG-Antrage zu den Gefahrenabwehrbefugnissen des BSI [#280449]
Datum
13. Juni 2023 16:35
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage. Bei Ihrer Anfrage handelt es sich aus hiesiger Sicht nicht um eine Anfrage im Sinne des Informationsfreiheitsgesetzes (IFG), sondern um ein allgemeines Auskunftsersuchen. Wir beabsichtigten daher, Ihre Anfrage an das Service-Center des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Bearbeitung weiterzuleiten. Sie erhalten von dort eine Beantwortung Ihrer Fragen. Sofern Sie keine Weiterleitung an das Service-Center, sondern eine rechtsmittelfähige Entscheidung nach dem IFG wünschen, bitte ich um kurzfristige Nachricht. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Bundesamt für Sicherheit in der Informationstechnik
am 20.06.2023
Sehr << Antragsteller:in >> vielen Dank für Ihre E-Mail an das Bundesamt für Sicherheit in der Inform…
Details
Von
Bundesamt für Sicherheit in der Informationstechnik
Betreff
AW: IFG-Antrage zu den Gefahrenabwehrbefugnissen des BSI [#280449]
Datum
20. Juni 2023 14:59
Status
Sehr << Antragsteller:in >> vielen Dank für Ihre E-Mail an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ihre Fragen beantworten wir Ihnen gerne. 1. a-e) Im Rahmen der Portscans nach §7b BSIG erhebt das BSI in unregelmäßigen Abständen Informationen zu aktiven Ports sowie den darauf laufenden Diensten von IPs, die der Bundesverwaltung fest zugeordnet sind. Die Scans beschränken sich auf besonders häufig angegriffene Ports und Dienste, ein aktives Eindringen in die geprüften Systeme findet dabei nicht statt. IP-Adressen außerhalb der Bundesverwaltung wurden bisher nicht gescannt. Weitere fachliche Hintergründe können z.B. der Drucksache 19/26106 des Deutschen Bundestags entnommen werden. Ziel der Portscans ist, unsichere Systeme in den von §7b BSIG umfassten Bereichen proaktiv zu identifizieren, die notwendigen Verbesserungsmaßnahmen anzustoßen und gleichzeitig auch das Ergebnis dieser Maßnahmen nachhalten zu können 2. a) Derzeit acht, die aus dem Internet erreichbar sind. b) Nur bei konkretem Verdacht auf Anforderung der Strafverfolgungsbehörden. 3. a) Einmal. b) Nein. 4. a) Nein. b) Nein. c) Wenn das BSI Kenntnis über eine Infektion erlangt, erfolgte bisher ausschließlich eine Warnung des potentielles Opfers. Eine aktive Bereinigung der betreffenden Systeme wurde bisher nicht vorgenommen. Ein Test der Integrität betroffener Systeme erfolgt nicht. 5. a) Bisher hat das BSI keine Maßnahmen gegenüber Telemedienanbietern angeordnet. b) Zur Herstellung des ordnungsgemäßen Zustands orientiert sich das BSI am Stand der Technik zur Absicherung von Telemediendiensten. Siehe: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_125.pdf c) Anordnungen des BSI gegenüber Anbietern von Telemediendiensten sind gemäß § 7d BSIG nur in begründeten Einzelfällen vorgesehen. Dafür müssen diese ein herausgehobenes Gefahrenpotential und damit eine besondere, von anderen Fällen abgrenzbar hohe Kritikalität aufweisen. Ein denkbares Beispielszenario wäre z. B. das Vorliegen einer hinreichend hohen Wahrscheinlichkeit, dass eine Vielzahl von Nutzern und nicht unwesentliche Vermögenswerte beeinträchtigt werden, wenn eine hochfrequentierte Webseite ein Schadprogramm verteilt, welche die Nutzersysteme verschlüsselt, funktionsunfähig macht oder weiteren Schadcode nachladen kann. Kommen Sie bei weiteren Fragen gerne wieder auf uns zu. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.