LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                               Drucksache 17/15002 Der Fokus dieser Dienststelle liegt zum einen auf der optimierten Früherkennung von Radika- lisierungsverläufen durch intensivierte, zielgerichtete und anlassunabhängige Recherchen im offen zugänglichen Internet sowie den sozialen Netzwerken. Zum anderen begleitet diese Dienststelle im Rahmen eines standardisierten Monitorings bestimmte Phänomenbereiche, um so frühzeitig Trends und Entwicklungen identifizieren zu können. Diese Begleitung ge- schieht anlassunabhängig, aber auch auf Grund anstehender (Groß-)Ereignisse wie zum Bei- spiel im Rahmen von Wahlen. Hintergrund dieser Methode ist ein gefahrenabwehrender An- satz, der sich aus der zielgerichteten Informationsgewinnung ergibt. Hierbei liegt ein wesentli- cher Schwerpunkt auf dem Bereich der Hasskriminalität. Darüber hinaus erfolgen anlassunabhängige Recherchen durch Ermittlerinnen und Ermittler parallel im Cyber-Recherche- und Fahndungszentrum im Landeskriminalamt Nordrhein-West- falen. Eng begleitet hat die Landesregierung die Bundesgesetzgebung zum Netzwerkdurchset- zungsgesetz und seiner Novelle sowie zum Gesetzespaket gegen Rechtsextremismus und Hasskriminalität. Mit dem am 01.07.2021 in Kraft getretenen „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ ist unter anderem im Netzwerkdurchsetzungs- gesetz eine Pflicht für Anbieter von Sozialen Netzwerken eingeführt worden, ab dem 01.02.2022 bestimmte strafbare Inhalte dem Bundeskriminalamt zu übermitteln. Dementspre- chend ist bei dem Bundeskriminalamt eine „Zentrale Meldestelle strafbare Internetinhalte“ ge- schaffen worden, die in jedem Bundesland zentrale Ansprechstellen hat. Von der künfti- gen Meldepflicht erfasst sind Straftaten, die anhaltende negative Auswirkungen auf die Aus- übung der Meinungsfreiheit in den sogenannten sozialen Medien haben können. Zusätzlich wird das Zugänglichmachen kinderpornographischer Inhalte von der Übermittlungspflicht er- fasst. Die an das Bundeskriminalamt übermittelten Inhalte werden nach einer dort vorgenommenen ersten Sichtung und Bewertung auf strafrechtliche Relevanz an das jeweils zuständige Bun- desland zur Weiterermittlung und Einleitung justizieller Maßnahmen übersandt werden. Nach derzeitigen konservativen Schätzungen ist von einem Vorgangsvolumen für die Polizei Nord- rhein-Westfalen von circa 30.000 Neuvorgängen zu rechnen, womit sich die Implementierung des „Zentrale Meldestelle strafbare Internetinhalte“-Prozesses in Nordrhein-Westfalen voraus- sichtlich zu einem Schwerpunkt in der Bekämpfung der „Hasskriminalität im Internet“ entwi- ckeln wird. Darüber hinaus verpflichtet der Medienstaatsvertrag der Länder die Anbietenden von Rund- funk und Telemedien zur Einhaltung von Vorschriften der allgemeinen Gesetze und gesetzli- cher Bestimmungen zum Schutz der persönlichen Ehre. Risiken speziell für Kinder und Ju- gendliche werden durch den Jugendmedienschutz-Staatsvertrag und das Jugendschutzge- setz berücksichtigt, indem bspw. Interaktionsrisiken auch zur Alterseinstufung von Angeboten einbezogen werden. Weiterhin hat die Landesregierung Nordrhein-Westfalen das Computerspiel "Leons Identi- tät" https://leon.nrw.de/ (Abruf am 25.06.2021, 13:03 Uhr) in Auftrag gegeben, dass Kin- der und Jugendliche über rechtsextreme Einflüsse im Internet aufklärt und ihre Medienkompe- tenz stärkt. Die Gesamtkosten für die Entwicklung des Spiels betrugen ca. 220.000 Euro. Das von der Landesregierung Nordrhein-Westfalen geförderte Grimme-Institut Gesellschaft für Medien, Bildung und Kultur mbH organisiert über die Grimme-Akademie Vorträge und Workshops zu Hass im Netz sowie psychologische Coachings für Menschen, die beruflich mit dem Thema Hass im Netz konfrontiert sind. Zudem werden Referentinnen und Referenten 301

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 vermittelt    sowie    Unterrichtskonzepte       und    -materialien  zur    Verfügung     ge- stellt    https://www.grimme-akademie.de/themen/aktiv-gegen-hate-speech/         (Abruf    am 25.06.2021, 13:03 Uhr). Das Grimme-Institut Gesellschaft für Medien, Bildung und Kultur mbH informiert in zahlreichen Publikationen über das Thema Hate Speech. Beispielhaft kann die Schriftenreihe zur Digitalen Gesellschaft, Band 4: "Online Hate Speech" (2017), aufgeführt werden. Zudem ist das Grimme-Institut Gesellschaft für Medien, Bildung und Kultur mbH Mitglied im Nationalen Komitee des "No Hate Speech Movement", https://no-hate-speech.de/de/netz- werk/ (Abruf am 25.06.2021, 13:03 Uhr). 2018 wurde im Auftrag des Deutschen Volkshochschul-Verbandes die Modulbox „Politische Medienbildung für Jugendliche. Auf Hate Speech und Fake News reagieren“ entwickelt, https://www.volkshochschule.de/verbandswelt/projekte/politische_jugendbildung/modulbox- zu-hate-speech-und-fake-news.php (Abruf am 25.06.2021, 13:03 Uhr). Zusammengefasst sind die Polizei- und Strafverfolgungsbehörden in Nordrhein-Westfalen so- wohl in der operativen Analyse unter Einbindung versierter Expertinnen und Experten als auch im Bereich der Verfolgung konkreter Straftaten gut aufgestellt. Die Bekämpfung der Hetze und Hasskriminalität im Internet bildet einen Schwerpunkt ihrer Arbeit. 395. Welche Position vertritt die Landesregierung zur Möglichkeit der anonymen bzw. pseudonymen Nutzung von sozialen Netzwerken und anderen digitalen Diens- ten? Die Landesregierung Nordrhein-Westfalen ist der Auffassung, dass eine anonyme bzw. pseu- donyme Nutzung sozialer Netzwerke und anderer digitaler Dienste grundsätzlich zulässig ist, aber in bestimmten Konstellationen die Identifizierung der Nutzenden möglich sein muss. Ins- besondere im Hinblick auf illegale Inhalte hält die Landesregierung Nordrhein-Westfalen daher eine Identifikationsmöglichkeit über die dem jeweiligen Nutzeraccount zugrundeliegenden Da- ten für notwendig, aber auch ausreichend. Soziale Netzwerke haben eine große Bedeutung und Reichweite zum Informations- und Mei- nungsaustausch erlangt. Die Meinungsfreiheit ist ein hohes Gut, welches durch die Möglichkeit einer anonymen Meinungsäußerung gefördert wird. So ist beispielsweise zu berücksichtigen, dass es Menschen gibt, die für legale Aussagen Repressionen in ihrem sozialen und berufli- chen Umfeld fürchten müssen und daher ihre Meinung nicht unter ihrem Klarnamen veröffent- lichen können oder wollen. Andererseits ist nicht zu verkennen, dass soziale Netzwerke teilweise gezielt zur Verbreitung von politischen Ideologien und Hassreden genutzt werden. Entsprechende Beiträge einzelner Nutzender können demokratiegefährdend sein und gegen gesetzliche Bestimmungen versto- ßen. Daher wurde von der Bundesregierung das Maßnahmenpaket zur "Bekämpfung des Rechtsextremismus und der Hasskriminalität" beschlossen. Als zentrale Neuerung sieht es unter anderem vor, durch die Änderung des Netzwerkdurchsetzungsgesetzes (NetzDG) eine Meldepflicht für Anbietende von Telemediendiensten einzuführen. Der am 01.01.2022 in Kraft tretende § 3a Netzwerkdurchsetzungsgesetzes verpflichtet Anbietende sozialer Netz- werke zur Meldung des Nutzernamens und weiterer Informationen an das Bundeskriminalamt, sofern es konkrete Anhaltspunkte dafür gibt, dass die Inhalte einen der in § 3a Abs. 2 Netz- werkdurchsetzungsgesetzes benannten Straftatbestände erfüllt. 302

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                Drucksache 17/15002 396. Durch welche Maßnahmen sichert die Landesregierung die Netzneutralität für ei- nen diskriminierungs-freien Zugang zum Internet? Die Landesregierung Nordrhein-Westfalen hat die regulatorischen (insbesondere EU-rechtli- chen) Entwicklungen zur „Netzneutralität“ im Sinne von gleichberechtigtem Transport aller In- halte im Internet begleitet. Im Juni 2015 haben sich Europäisches Parlament, Europäischer Rat und Europäische Kommission auf eine Grundsatzeinigung verständigt, die Netzneutralität im offenen Internet erstmals europaweit geregelt hat. Am 27. Oktober 2015 hat das Europäi- sche Parlament die politische Einigung formal verabschiedet. Das Telekommunikationsgesetz wurde entsprechend angepasst. EU-rechtlich sind die Mitgliedstaaten verpflichtet, Zugang zum offenen Internet zu sichern: Verstöße sind bußgeldbewährt und werden durch die Bun- desnetzagentur geahndet. Zur Sicherung von Medienvielfalt ist die Landesanstalt für Medien Nordrhein-Westfalen als unabhängige und staatsferne Medienaufsicht damit betraut, an der Entwicklung von Anforde- rungen an die Netzneutralität mitzuwirken. 397. Inwiefern besteht bei der Risikobewertung sowie bei Präventions- und Schutz- maßnahmen für den Verbraucherschutz in der digitalen Welt aus Sicht der Lan- desregierung der Bedarf einer geschlechterspezifischen Unterscheidung? Angesichts fortschreitender Digitalisierung gilt es, die aufgeklärte, gleichberechtigte und dis- kriminierungsfreie Teilhabe aller Verbraucherinnen und Verbraucher auch in der digitalen Welt sicherzustellen. Die Chancen der Digitalisierung müssen geschlechtergerecht genutzt und Ri- siken minimiert werden. Aus Sicht der Landesregierung Nordrhein-Westfalen müssen geschlechterspezifische Risiken der digitalen Welt transparent werden, um ihnen aktiv entgegentreten zu können. Nur mit ent- sprechendem Bewusstsein in der Bevölkerung und bei verantwortlichen Akteurinnen und Akt- euren lassen sich unbewusste Diskriminierungen vermeiden und bewusste Diskriminierungen bekämpfen. In der digitalen Welt setzen sich Diskriminierungsrisiken aus der realen Welt fort und werden teilweise noch zugespitzt. Dies betrifft auch Diskriminierungen aufgrund des Geschlechts. Lange Speicherzeiten diskriminierender Äußerungen oder die Verstetigung diskriminierender Elemente in digitalen Prozessen verstärken die Problematik zusätzlich in ihrer Wirkung. Leicht werden so (beabsichtigt oder unbeabsichtigt) diskriminierende Verfahren oder Verhaltenswei- sen in der digitalen Welt etabliert und für lange Zeit zementiert. Das kann weitreichende wirt- schaftliche, soziale und emotionale Folgen haben. Das Risiko der geschlechtsbezogenen Dis- kriminierung durch Algorithmen besteht zum Beispiel bei arbeitsmarktbezogenen Anwendun- gen, bei Entscheidungen über Kreditgewährungen und bei der Schaltung von Werbeanzeigen im Internet. Gleichzeitig bietet die Digitalisierung von Prozessen aber auch die Chance, bestehende Prak- tiken zu hinterfragen und nachhaltig diskriminierungsfrei auszugestalten. Vor diesem Hintergrund hat die 30. Konferenz der Gleichstellungs- und Frauenministerinnen und -minister, -senatorinnen und -senatoren der Länder (GFMK) im Jahr 2020 auf Initiative von Nordrhein-Westfalen den Beschluss „Diskriminierung durch Algorithmen vermeiden durch mehr Prävention und Transparenz“ gefasst. 303

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                 Drucksache 17/15002 Zur Minimierung von Diskriminierungsrisiken ist es erforderlich, potentiell diskriminierende Ele- mente zu identifizieren und – möglichst bereits im Vorfeld – zu bereinigen. Der Beschluss der Konferenz der Gleichstellungs- und Frauenministerinnen und -minister, -senatorinnen und - senatoren der Länder (GFMK) regt daher unter anderem bei der Bundesregierung an, verbind- liche Verhaltensregeln (Kodizes) zum Umgang mit algorithmenbasierten Entscheidungssyste- men einzuführen und Gütesiegel für vertrauenswürdige algorithmenbasierte Entscheidungs- systeme zu entwickeln. Hierbei ist ein besonderes Augenmerk auf die Diskriminierungsfreiheit in Bezug auf das Geschlecht zu setzen. Beide Maßnahmen würden Klarheit und Verbindlich- keit für den diskriminierungsfreien Einsatz solcher Systeme schaffen und den Nutzerinnen und Nutzern transparent machen, inwieweit diese Systeme bestimmte Anforderungen erfüllen. Auch die Verbraucherschutzministerkonferenz (VSMK) hat im Jahr 2019 mit ihrem Beschluss „Für mehr Transparenz und effektive Schutzmechanismen bei Algorithmen. Gegen digitale Diskriminierung“ festgestellt, dass algorithmenbasierte Entscheidungsprozesse im Verbrau- cheralltag rasant zugenommen haben. Die Verbraucherschutzministerkonferenz fordert daher eine intensive Beschäftigung mit dem Umgang und den Auswirkungen von algorithmenbasier- ten Prozessen, um auszuschließen, dass Verbraucherinnen und Verbraucher einseitig be- nachteiligt, diskriminiert oder gar ausgeschlossen werden. Weiter hat sich die Verbraucher- schutzministerkonferenz mit diesem Beschluss dafür eingesetzt, einen verbraucherfreundli- chen und diskriminierungsschutzgerechten Rechtsrahmen für den Einsatz von persönlich- keitssensiblen, algorithmenbasierten Entscheidungsprozessen zu schaffen. Unbewusste Diskriminierung in der digitalen Welt wird unter anderem durch die unausgewo- gene Beteiligung von Frauen in diesem Bereich begünstigt. Gleichzeitig sind Frauen damit in wachsenden, gut bezahlten, einflussreichen Branchen unterrepräsentiert. Die Landesregie- rung Nordrhein-Westfalen setzt sich dafür ein, den „Digital Gender Gap“ zu reduzieren. So verfolgt sie eine Vielzahl von Aktivitäten, um eine Entscheidung für MINT-Fächer (Mathematik, Informatik, Naturwissenschaft und Technik) auch für Frauen attraktiver zu machen und Frauen beim Einstieg in entsprechende Berufe zu unterstützen. Mit den Girls´ and Boys´ Acade- mies hat die Landesregierung Nordrhein-Westfalen zudem ein neues Konzept geschaffen, um Mädchen und Jungen neue Einblicke in geschlechtsuntypische Berufe zu ermöglichen. Wich- tig ist in diesem Zusammenhang aber auch, die generelle Digitalkompetenz der Bevölke- rung zu stärken. Stärkung der digitalen Kompetenz und Aufklärung sind daher wichtige Bei- träge des Bildungssektors und des Verbraucherschutzes. Absichtlicher Diskriminierung im Netz wie durch Cybermobbing oder Cybersexismus ist ent- schieden entgegenzutreten. Hier zeigt sich ebenfalls, dass Frauen besonders betroffen sind. Insofern sind der Landesregierung Nordrhein-Westfalen auch hier Aufklärung und Unterstüt- zung betroffener Frauen neben polizeilicher Präventionsarbeit und effektiver Strafverfolgung besonders wichtig. Entsprechend wurden zum Beispiel die Hilfenetze für von Gewalt be- troffene Frauen und die Opferunterstützungseinrichtungen durch die Landesregierung noch- mals gestärkt. Zudem informiert das Opferschutzportal der Landesregierung Nordrhein-West- falen auch über Cybercrime und Digitale Gewalt. Die für dieses Jahr seitens der Landesregie- rung Nordrhein-Westfalen geplante landesweite Aktionswoche zum Thema „Gewalt an Frauen“ wird auch neuere Gewaltphänomene wie digitale Gewalt in den Blick nehmen und die örtlichen Schutz- und Unterstützungsangebote noch bekannter machen. 304

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                 Drucksache 17/15002 398. Wie ist die generelle Gefährdungsanalyse der Landesregierung mit Blick auf die IT-Sicherheit der öffentlichen IT-Infrastrukturen? Die Landesregierung Nordrhein-Westfalen bewertet fortlaufend die generelle Gefährdung für die in eigener Verantwortung betriebenen Informationstechnik-Infrastrukturen des Landes Nordrhein-Westfalen. Dies umfasst auch die Infrastrukturkomponenten, die der Bereitstellung von Dienstleistungen für Bürgerinnen und Bürger dienen. Hierfür werden unterschiedlichste Informationsquellen ausgewertet. Eine wesentliche Rolle kommt dabei – auch im Kontext einer gesamtstaatlichen Bewertung – den Einschätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des landeseigenen Com- puter Emergency Response Teams (CERT NRW) zu. Auf dieser Basis ist die Gefährdungslage für die Informationssicherheit der öffentlichen Infor- mationstechnik-Infrastrukturen des Landes (sowie aus den vorliegenden Informationen ableit- bar bundesweit) als „hoch“ mit steigender Tendenz einzustufen. Das bedeutet, dass jederzeit mit potentiell wirkungsvollen Cyberangriffen auf die staatlichen Institutionen und Einrichtungen und die hiervon angebotenen Dienstleistungen zu rechnen ist. Die Bewertung liefert keine Aussage über die Erfolgswahrscheinlichkeit eines solchen Angriffs. Um diese Wahrscheinlichkeit zu reduzieren, wurde das CERT NRW personell verstärkt. Alle erkannten Schwachstellen werden nach einer raschen fachlichen Bewertung, meist mit kon- kreten Handlungsempfehlungen, den betriebsverantwortlichen Stellen zur Umsetzung zuge- leitet. In kritischen Lagen wurden auch bereits temporäre Teilabschaltungen von Funktionen empfohlen, um eine Ausnutzung von Schwachstellen zu verhindern. Weiterhin wirken die Informationssicherheitsbeauftragten in Ihren Bereichen auf die Umset- zung des BSI-IT-Grundschutzes hin, da die Behörden und Einrichtungen im Landesverwal- tungsnetz (LVN) durch zentrale Maßnahmen zwar bereits sehr gut geschützt sind, allerdings auch Angreifer Möglichkeiten suchen, Ihre Wirkung in den Behörden und Einrichtungen zu entfalten. Angreifende handeln dabei aus unterschiedlichen Motiven. Exemplarisch seien folgende Bei- spiele angeführt: • Staatliche Akteurinnen und Akteure beabsichtigen dauerhaft unentdeckt zu bleiben, In- formationen zu sammeln und diese auszuschleusen sowie im Konfliktfall endgültig und unwiderruflich die Kontrolle über informationstechnische Systeme zu erlangen bzw. diese zu zerstören. • Kriminelle Organisationen beabsichtigen nur so lange unerkannt zu bleiben, bis sie sich eine Position erarbeitet haben, ihr Erpressungspotenzial ausspielen zu können. • Aktivistinnen und Aktivisten sind im Regelfall daran interessiert, ihre Botschaften zu ver- breiten und politische Ansehensverluste herbeizuführen. • Jugendliche oder andere Interessengruppen testen ihre Fähigkeiten aus einem For- schungs- oder Spieltrieb heraus, häufig zunächst mit nicht selbstprogrammierten, aber potenten Werkzeugen. Staatliche Akteurinnen und Akteure stellen im Regelfall so mächtige Angreifende dar, dass ihre Aktionen häufig nur unter Rückgriff auf Erkenntnisse der Verfassungsschutzbehörden o- der des Polizeilichen Staatsschutzes entdeckt bzw. aufgeklärt werden können. Für alle ande- ren Beispielsfälle besteht zumindest die Chance, dass eine betroffene Informationstechnik- 305

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                Drucksache 17/15002 Infrastruktur des Landes gegen sie gerichtete Aktionen mit eigenen Mitteln erkennt. Meist ge- lingt eine Verhinderung oder eine Abschwächung (Mitigation) des Angriffs. Für den Fall des Versagens aller Maßnahmen sind Notfallkonzepte erforderlich, die die zügige Wiederherstel- lung des ungestörten Betriebszustands ermöglichen. Im Hinblick auf die Gewährleistung der Informationssicherheit in der Landesverwaltung wird an dieser Stelle auf den dem Ausschuss für Digitalisierung und Innovation (ADI) zum 8. März 2021 erstatteten, ausführlichen Bericht der Landesregierung „Informationssicherheit in der Landesverwaltung NRW – Sicherheit der IT-Systeme“ (Vorlage 17/4780) verwiesen. Bezogen auf die generelle Gefährdungslage ist zu beobachten, dass sich die Zahl der Sicher- heitslücken in fast allen Informationstechnik-Komponenten, die im Rahmen der beschriebenen Informationstechnik-Infrastrukturen eingesetzt werden, ebenso stetig vergrößert, wie die Zahl der potenziellen Angriffsversuche. Gleichzeitig hat sich der Zeitraum zwischen dem Bekannt- werden einer Sicherheitslücke und dem Versuch diese aktiv auszunutzen, erheblich reduziert. Dies verkürzt vorhandene Reaktionszeiten im Rahmen der Vorfallsbearbeitung und erhöht das Risiko eines Schadensfalls. Besorgniserregend sind die zunehmenden Angriffe auf Kritische Infrastrukturen und die – von Seiten der Landesverwaltung Nordrhein-Westfalen nicht bestehende – Bereitschaft von Op- fern, den Angreifenden Lösegelder zu zahlen. Dieses Verhalten erhöht die Attraktivität solcher Angriffe und damit auch die Gefährdungslage für die Landesverwaltung Nordrhein-Westfalen. Auch die sich ausbreitende Taktik mit sogenannten „Supply-Chain-Angriffen“, reguläre Soft- ware zu unterwandern, erschwert die Detektion von Angriffen zunehmend. Die geschäftsmä- ßige „Öffentlichkeitsarbeit“ der Cyberkriminellen darf dabei nicht davon ablenken, dass es sich hier um schwere, zum Teil staatsgefährdende Straftaten aus dem Milieu der organisierten Kri- minalität handelt. In der Presse werden regelmäßig Verlautbarungen der Cyberkriminellen wie- dergegeben, die fälschlicherweise den Eindruck erwecken, es handle sich um regulär agie- rende Wirtschaftsunternehmen mit legitimen finanziellen Interessen. Vor diesem Hintergrund wird das CERT NRW planmäßig noch in diesem Jahr seine Dienst- leistungen im 24/7-Modus anbieten. Das CERT NRW überwacht fortlaufend die Lage der In- formationssicherheit innerhalb des Landesverwaltungsnetzes (LVN) sowie aller hieraus betrie- benen Verfahren und Dienstleistungen und erstellt hierzu ein entsprechendes Lagebild. Hier- bei steht es im kontinuierlichen bundesweiten Austausch mit anderen CERTs und wertet eine Vielzahl weiterer Quellen und Informationsangebote aus. Insbesondere die nordrhein-westfä- lischen Kommunen nutzen zunehmend das Angebot des CERT NRW der Übermittlung sämt- licher verfügbarer Warnmeldungen. Das Angebot wird in unmittelbarer Zusammenarbeit des Beauftragten der Landesregierung für Informationstechnik (CIO) mit den Kommunalen Spit- zenverbänden und dem Dachverband kommunaler IT-Dienstleister KDN im Rahmen einer an- dauernden Kooperation zu einem Kommunalen Warn- und Informationsdienst (KWID) weiter- entwickelt. Für den Bereich des polizeilichen Sondernetzes existiert insbesondere aufgrund der Beson- derheit als Behörden und Organisationen mit Sicherheitsaufgaben (BOS) ein eigenes polizei- liches CERT. Das polizeiliche CERT steht in engem Austausch mit dem CERT NRW. Gleichzeitig wirkt die Landesregierung Nordrhein-Westfalen präventiv daraufhin, die generelle Gefährdungslage der öffentlichen Informationstechnik-Infrastrukturen zu minimieren: Für alle E-Government-Verfahren des Beauftragten der Landesregierung für Informationstechnik 306

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                 Drucksache 17/15002 (CIO) oder des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen ist seit Inkrafttreten der Leitlinie zur Informationssicherheit der Landes- verwaltung Nordrhein-Westfalen (Informationssicherheitsleitlinie NRW) ein Penetrationstest vor Inbetriebnahme verpflichtend durchzuführen. Im Rahmen eines simulierten Hackerangriffs auf ein produktionsnahes Testsystem durch fachlich versierte Spezialistinnen und Spezialisten werden dabei bereits im Vorfeld Sicherheitslücken erkannt und können vor Inbetriebnahme geschlossen werden. 399. Wie viele Cyber-Angriffe hatten die Hochschulen und Universitätskliniken in NRW jährlich seit 2015 zu verzeichnen? Hochschulen Alle Hochschulen waren, wenn auch in unterschiedlichem Maße, im Zeitraum von 2015 bis heute von Cyberangriffen betroffen. Tendenziell kann gesagt werden, dass Hochschulen mit eher technischer Ausrichtung stärker im Fokus der Angriffe stehen als beispielsweise Kunst- und Musikhochschulen. Die Angriffswege Spear Phishing und CEO (Chief Executive Officer) Frauding waren an allen Hochschulen feststellbar und sind durch Sensibilisierung des Personals weitgehend folgenlos geblieben. Aufgrund der Vielzahl der unspezifischen als auch zielgerichteten Angriffe auf die Hochschulen beschränkt sich die nachfolgende Aufführung auf die dem Land bekannten Cyber-Angriffe auf Hochschulen, die erfolgreich waren und zu einem Schadenereignis geführt haben. Hierbei handelt es sich um Angriffe auf die folgenden Hoch- schulen im Jahr 2020: •    Universität Bochum •    Universität zu Köln •    Universität Bonn •    Universität Duisburg-Essen •    Universität Wuppertal (gemeinsames System mit der Universität Regensburg am For- schungszentrum Jülich) Universitätskliniken Universitätskliniken sind täglich einer Vielzahl an Phishingmails und ähnlichem ausgesetzt, die aber bislang in der Regel keine Auswirkungen hatten und auch nicht gezielt gegen die Univer- sitätskliniken gerichtet sind. Nach Angaben der Universitätskliniken gab es seit 2015 nur we- nige Cyberangriffe, die gezielt auf die Universitätskliniken gerichtet waren bzw. relevante Aus- wirkungen auf diese hatten: •    Universitätsklinikum Düsseldorf: Ein Angriff in 2020 mit erheblichen Auswirkungen. •    Universitätsklinikum Essen: Je ein Angriff in 2016, 2020 und 2021; alle drei nicht ge- zielt, aber mit Auswirkungen. •    Universitätsklinikum Münster: Gezielte Angriffe: einer in 2019 und je zwei in 2020 und 2021. 400. Welche Auswirkungen hatten diese Angriffe? (Bitte nach Fällen differenzieren und bei identischen Auswirkungen clustern) Hochschulen Grundsätzlich ist für die Summe der erfolgten Cyber-Angriffe auf die Hochschulen zu konsta- tieren, dass die Grundziele der Informationssicherheit durch die Angriffe durchweg gefährdet 307

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                 Drucksache 17/15002 waren. Je nachdem, wann der Angriff detektiert und gestoppt werden konnte, waren überwie- gend die Integrität, öfters die Vertraulichkeit und gelegentlich (aber dann mit gravierenden Be- einträchtigungen) die Verfügbarkeit betroffen. Für die Darlegung der konkreten Auswirkungen der unter der Frage 400 aufgeführten Cyber- Angriffe mit einem Schadensereignis wird auf die nachfolgend aufgeführten, an den Landtag gerichteten, Vorlagen des Ministeriums für Kultur und Wissenschaft des Landes Nordrhein- Westfalen verwiesen: 17/3410 vom 18. Mai 2020 17/3487 vom 10. Juni 2020 17/3691 vom 14. August 2020 Universitätskliniken Hinsichtlich der Kategorien für mögliche Auswirkungen wurde auf die Schutzziele der Informa- tionssicherheit abgestellt (Vertraulichkeit, Verfügbarkeit und Integrität). •   Universitätsklinikum Düsseldorf: Ausfall weiter Teile der Informationstechnik- und Kommunikationssysteme. Gravierende Auswirkungen auf die Verfügbarkeit von Da- ten. •   Universitätsklinikum Essen: In allen drei Fällen begrenzte vorübergehende Auswirkun- gen auf die Verfügbarkeit von Daten. •   Universitätsklinikum Münster: Teilweise Einschränkungen von Verfügbarkeit von Da- ten. 401. Welche Maßnahmen haben Hochschulen, Universitätskliniken und Landesregie- rung gegen Cyber-Angriffe auf Hochschulen und Universitätskliniken ergriffen? Um die Cybersicherheit an den Hochschulen und Universitätskliniken nicht zu gefährden und den Angreifenden nicht zusätzliche detaillierte Informationen über konkrete Maßnahmen ein- zelner Einrichtungen zur Verfügung zu stellen, wird diese Frage allgemein beantwortet. Grundsätzlich sind die von den Hochschulen und Universitätskliniken ergriffenen Maßnahmen sehr stark von den an der jeweiligen Einrichtung bereits eingesetzten Mitteln der Cyberabwehr abhängig. Neben dem Ausbau der technischen und automatisierten Abwehr von Angriffen lie- gen Ausbauschwerpunkte in der Stärkung der Sensibilität des Personals (Awareness-Schu- lungen) zur Abwehr von Social Engineering als rasch wirksame Maßnahme und der Umset- zung des IT-Grundschutzes als langfristige Strategie. Zu den Maßnahmen der Landesregierung Nordrhein-Westfalen wird auf die Antworten auf die Fragen 403 und 404 verwiesen. 402. Welche Hochschulen, Universitätskliniken und außerhochschulischen For- schungseinrichtungen sind nach BSI-Grundschutz zertifiziert? (Bitte nach Schutz- bedarfskategorien differenzieren und Jahr der Zertifizierung angeben) Hochschulen und Universitätskliniken: Hinsichtlich der Zertifizierung von Hochschulen und Universitätskliniken ist vorab festzuhal- ten: 308

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                   Drucksache 17/15002 Die konkrete Umsetzung eines Informationsmanagementsystems kann mittels der internatio- nalen Norm ISO/IEC 27001 oder ISO 27001 auf Grundlage des IT-Grundschutzes des Bun- desamtes für Sicherheit in der Informationstechnik (BSI) erfolgen. Die internationale Norm ISO/IEC 27001 führt Sicherheitsmaßnahmen nach einer abstrakten sowie effizienten Top- Down Methode durch, der IT-Grundschutz setzt auf die Bottom-up-Methode mit klarer Anfor- derungsbehandlung. Die Hochschulen verfügen bisher noch über keine Zertifizierung. Die Universitätskliniken in Nordrhein-Westfalen erfüllen als Kritische Infrastrukturen die Anfor- derung des § 8 a Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und haben den entsprechenden Nachweis erbracht. Der Zertifizierungsstand stellt sich darüber hinaus wie folgt dar: Universitätsklinikum Aachen           Zertifizierung nach ISO 27001 seit 2015 in Bezug auf den Betrieb klinischer und kaufmännischer Anwendungen. Universitätsklinikum Bonn             Implementierung des Branchenspezifischen Sicherheits- standstandards für die Gesundheitsversorgung im Kran- kenhaus (Branchenspezifische Sicherheitsstandards B3S) ist erfolgt. Universitätsklinikum Düsseldorf       Nachweis nach § 8a BSI-Gesetz als Kritische Infrastruktur erfolgt. Zertifizierung nach ISO 27001 angestrebt. Universitätsklinikum Essen            Alle 2 Jahre werden die Kritische Infrastrukturen (KRITIS)- Audits (nach § 8a BSI-Gesetz) extern beauftragt und durchgeführt. Keine zusätzliche Zertifizierung nach dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik. Universitätsklinikum Köln             Zertifizierung des Informationssicherheitsmanagementsys- tems (ISMS) nach ISO 27001 seit 2018 mit Fokus auf kriti- sche IT-Systeme der Patientenversorgung und der IT-Inf- rastruktur. Ab 2019 Nachweis nach § 8a BSI-Gesetz als Kritische Inf- rastruktur auf Grundlage des Branchenspezifischen Si- cherheitsstandards (B3S). Universitätsklinikum Münster          Zertifizierung (zweijährig) nach dem Branchenspezifischen Sicherheitsstandards (B3S) für Kritische Infrastrukturen im Gesundheitswesen. Weiterhin ist eine Zertifizierung nach ISO 27001 in Umsetzung. Forschungseinrichtungen: Sowohl die ausschließlich vom Land als auch von Bund und Ländern gemeinsam finanzierten Forschungseinrichtungen sind in unterschiedlicher Rechtsform wissenschaftlich selbststän- dige Institute. Hinsichtlich ihrer thematischen Ausrichtung, Organisationsform, Größe und ihrer infrastrukturellen Anforderungen zeichnen sich die Institute durch eine enorme Bandbreite aus. Die Entscheidung, ob eine Zertifizierung nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchgeführt wird, liegt ausschließlich in der Verantwortung der jeweiligen Institutsleitungen, die der Landesregierung hierüber keine Rechenschaft 309

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 ablegen müssen. Der Landesregierung Nordrhein-Westfalen liegen daher keine Kenntnisse zur Beantwortung der Frage hinsichtlich der außerhochschulischen Forschungseinrichtungen vor. 403. Welche Ausbaupläne haben Hochschulen, Universitätskliniken und Landesregie- rung im Bereich IT-Sicherheit an Hochschulen und Universitätskliniken? Hochschulen: Informationssicherheit hat auch im Hochschulumfeld eine immer größer werdende Rele- vanz. Hochschulen werden zunehmend zu Zielen für Angriffe im Informationstechnik- Bereich. Aufgrund ihrer offenen Struktur und ihrer systemisch bedingten heterogenen Informationstechnik-Landschaften sehen sich Hochschulen hier einer besonderen Her- ausforderung gegenüber, die nicht mit einem geschlossenen Behörden- oder Firmen- netzwerk vergleichbar ist. Diesen besonderen Bedarf haben die Hochschulen erkannt und beschlossen - begleitend zu lokalen Maßnahmen zur Informationssicherheit, wie zum Beispiel Aufsetzen lokaler Informationstechnik-Sicherheitsbeauftragter und Infor- mationstechnik-Sicherheitskonzepte - auch weitere kooperative Maßnahmen zu ergrei- fen und so die lokalen Aktivitäten zu stärken. Die Hochschulen haben sich in der Verein- barung zur Digitalisierung dazu verpflichtet, mindestens die Basis-Absicherung nach IT- Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder das „IT-Grundschutz-Profil für Hochschulen“ des Zentren für Kommunikation und Informati- onsverarbeitung e.V. anzuwenden und diesen Schutz schrittweise umzusetzen, wobei vorrangig Konzepte und Maßnahmen zum Schutz von Services der zentralen Rechen- zentren sowie der Verwaltungs-informationstechnik im Fokus stehen sollen. Dazu fördert die Digitale Hochschule NRW (DH.NRW) die Entwicklung einer hochschultypübergrei- fenden Struktur, die die Hochschulen bei der Umsetzung der Absicherung nach BSI- Methodik und im Havariefall fachlich unterstützt. Weiterhin erarbeiten die Hochschulen über die Digitale Hochschule NRW gemeinsame Sicherheits- und Schulungskonzepte, implementieren dieselben und werden sich gegenseitig untereinander und mit dem Com- puter Emergency Response Team (CERT) NRW austauschen. Dabei werden die Hochschulen über die Digitale Hochschule NRW auch länderübergrei- fend zusammenarbeiten. Trotz aller Informationstechnik-Sicherheitsmaßnahmen können ein erfolgreicher Angriff oder ein Havariefall nicht gänzlich ausgeschlossen werden. Ein solcher kann erheblichen Schaden anrichten, wenn keine innovativen und verlässlichen Sicherungssysteme zu Verfügung stehen, um im Ernstfall die Systeme schnell und effizient mit möglichst wenig Datenverlust wiederherzustellen. Mit einer Förderung von rund 11 Mio. Euro der Datensicherung unterstützt das Land zu- sammen mit der Digitale Hochschule NRW die Hochschulen bei der Entwicklung und Umsetzung einer innovativen Lösung zu diesem Thema und ermöglicht so einen weite- ren Baustein zur Umsetzung des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für alle Hochschulen durch Bündelung von Kompetenzen und Entlastung der lokalen Informationstechnik-Infrastrukturen. Die im Juni 2020 gegründete Taskforce Informationstechnik-Sicherheit des Pro- grammausschusses der Digitalen Hochschule NRW wird diesen Prozess mit seiner 310