LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                Drucksache 17/15002 ausgewiesenen Expertise strategisch begleiten. Diese kooperative Struktur wird über ein Förderverfahren der Digitalen Hochschule NRW ermittelt und aufgesetzt. Aktuell laufen die Vorbereitungsarbeiten zur Initiierung desselben, um ab Juli 2021 in die Umsetzung einsteigen zu können. Die Landesregierung Nordrhein-Westfalen unterstützt diesen Pro- zess mit Mitteln aus der landesweiten Digitalisierungsoffensive. Universitätskliniken: Die sechs Universitätskliniken des Landes Nordrhein-Westfalen haben im Oktober 2020 eine erste Fassung eines „Umsetzungskonzepts zur Erreichung und Aufrechterhaltung eines ange- messenen Informationssicherheitsniveaus an Universitätskliniken in NRW“ vorgelegt. Dieses sieht insbesondere personelle Maßnahmen innerhalb der Universitätskliniken, insbesondere die Einrichtung von Stabsstellen „Informationssicherheit & Business Continuity Management“, ein Informationssicherheitsmanagementsystem (ISMS), ein Business Continuity Management (BCM) sowie dem Stand der Technik entsprechende technische Maßnahmen vor. Die Lan- desregierung Nordrhein-Westfalen unterstützt die Universitätskliniken insbesondere durch Bezuschussung der investiven Maßnahmen. 404. Mit welchen Mitteln fördert die Landesregierung den Ausbau der IT-Sicherheit an Hochschulen und Universitätskliniken? Im Rahmen der landesweiten Digitalisierungsoffensive beabsichtigt das Land den Aufbau ei- ner hochschultypübergreifenden Struktur für die Informationssicherheit sowie für gemeinsame Sicherheits- und Schulungskonzepte zu finanzieren. Entsprechende Konzepte erarbeitet der- zeit die „Digitale Hochschule NRW (DH.NRW)“ (vergleiche die Antwort zur Frage 403). Hochschulen: Zur Absicherung von Haveriefällen haben sich die Hochschulen für die Zukunft auf ein koope- ratives Dienstekonzept für die Datensicherung geeinigt. Ziel ist, mit „Datensicherung.nrw" eine effektive Datensicherung, die an wenigen Hochschulen betrieben werden muss, für alle Hoch- schulen anzubieten. In einem ersten Schritt hat das Land hierfür rund 11 Mio. Euro für die Lizenzen und für einen ersten Backup-Standort an der Rheinisch-Westfälischen Technischen Hochschule (RWTH) Aachen zur Verfügung gestellt. Weitere Backup-Standorte sollen fol- gen. Mit dem Projekt „security.nrw“ fördert das Land die Beschaffung einer Landeslizenz von Schutzsoftware. Der Sicherheitsschutz umfasst alle dienstlich genutzten Endgeräte. Zusätz- lich wird der Maileingangsverkehr auf Schadsoftware und SPAM gefiltert. Das Projekt ist auf fünf Jahre (Juli 2019 bis Juni 2024) angelegt und umfasst eine Fördersumme von rund 1 Mio. Euro. Der damit verbundene Schutz des Maileingangsverkehrs soll mittelfristig in das innova- tive Projekt „Anti-Spam-Cluster.nrw“ integriert werden, dass vom Land mit rund 2,5 Mio. Euro für die Zeit von Juli 2020 bis Juni 2025 gefördert wird. Mit diesem Projekt soll die Abwehr von E-Mails mit schädlichen Inhalt auf eine zukunftsweisende und ausfallsicherere Basis an den Hochschulen gestellt werden. Dieses Projekt soll sich dank der verwendeten Cloud-Technolo- gie nahtlos als weiterer Dienst in zukünftige Clouddienste der „Digitalen Hochschule NRW“ integrieren. Universitätskliniken: Für Investitionen in die Informationstechnik-Infrastruktur haben die sechs als Anstalten des öffentlichen Rechts verfassten Universitätskliniken in Nordrhein-Westfalen in den vergange- nen Jahren jährlich zwölf Mio. Euro erhalten. Diese können auch für Maßnahmen zur 311

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                                Drucksache 17/15002 Informationssicherheit eingesetzt werden. Diese Mittel wurden mit dem Haushalt 2021 auf 15 Mio. Euro erhöht. Zusätzlich haben die Universitätskliniken aus dem NRW-Konjunkturpaket in 2020 60 Mio. Euro für Digitalisierungsmaßnahmen und Informationstechnik-Sicherheit erhal- ten. Hinzu kommt die Möglichkeit, Mittel aus dem Krankenhauszukunftsfonds zu beantragen, dessen Fördertatbestände ausdrücklich auch Maßnahmen zur Verbesserung der Informati- onstechnik- Sicherheit umfassen. 405. Welche Videokonferenztools und Messengerdienste werden durch die Landesbe- hörden genutzt? (Bitte für alle Ministerien und den jeweils nachgeordneten Be- reich aufführen) Die Fragen 405 und 406 bis 407 werden im Folgenden gemeinsam beantwortet. Der Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW) betreibt die Vide- okonferenzsysteme Cisco Join und Cisco Webex. Zudem besteht bei IT.NRW eine Test-In- stallation eines Videokonferenzsystems auf Basis der Open Source Lösung jitsi. Alle drei Sys- teme werden von IT.NRW in eigener Verantwortung im eigenen Rechenzentrum betrieben („On-Premise“) und entsprechen den Leitplanken der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Neben den von IT.NRW zentral bereitgestellten Systemen werden von den Behörden und Einrichtungen weitere Videokonferenzsysteme in eigener Verantwortung eingesetzt. Da sich diese je nach Konfiguration, Ausgestaltung und Nutzung unterscheiden, kann es bei gleicher Software zu einer unterschiedlichen Bewertung in Bezug auf die Leitplanken kommen. Der teilweise von Behörden und Einrichtungen genutzte Dienst WebEx der Telekom befindet sich in Bezug auf die Leitplanken der Landesbeauftragten für Datenschutz und Informations- freiheit Nordrhein-Westfalen noch in Prüfung. Nach bisheriger Einschätzung ist eine Nutzung unter Einschränkungen (siehe zum Beispiel die unten angegebene Regel 3) möglich. Bedingt durch die Corona-Pandemie ist Anfang 2020 der Bedarf an Videokonferenzmöglich- keiten stark gestiegen, so dass zwischenzeitlich die Nutzung von weiteren Angeboten notwen- dig wurde. Hierzu hat die Landesverwaltung (Beschluss der Staatssekretärs-Konferenz vom 04.05.2020) folgende Regeln festgelegt: 1. Für den Fall, dass Mitarbeiterinnen und Mitarbeiter der Landesverwaltung Videokonfe- renzen initiieren, sind vorrangig die Videokonferenzplattformen der Landesverwal- tung Nordrhein-Westfalen zu nutzen. 2. a. Sollten die Kapazitäten der bereitgestellten Plattformen nicht ausreichend sein, so kann auf Angebote Dritter zurückgegriffen werden, sofern diese die Videokon- ferenztechnik im eigenen Verantwortungsbereich und nicht in einer Public-Cloud betreiben und sie den datenschutzkonformen Betrieb (insbesondere nach der Da- tenschutz-Grundverordnung) gewährleisten. b. Angebote Dritter können für Veranstaltungen mit öffentlichem Charakter oder Konversationen ohne schützenswertem Inhalt auch auf Public-Cloud-Plattformen genutzt werden. Die Wahrung der Amts- und Dienstgeheimnisse obliegt den Nut- zenden. Verwendete dienstliche Geräte müssen zum Schutz der Landesverwal- tung nach Stand der Technik abgesichert sein. 312

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 3. Für den Fall, dass Mitarbeiterinnen und Mitarbeiter Eingeladene von Videokonferenzen auf Plattformen sind, die nicht von anderen Verwaltungen betrieben werden, sollte immer darauf geachtet werden, sensible Daten zu schützen. Diese Nutzung sollte bevorzugt über Telefon (nur Sprache) erfolgen und nur soweit es dienstlich unerlässlich ist unter Nutzung der Videofunktion. Grundsätzlich sollten nur Informationen besprochen und ausgetauscht werden, die keinen besonders schutzwürdigen Interessen unterworfen sind. Anlage „Tabelle zu - Frage 405+406+407 Tabelle1“ enthält die Auflistung der von den einzel- nen Behörden genutzten Videokonferenzsystemen, deren Bewertung den Leitplanken der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen entspricht. Für die Beantwortung der Fragen 405 und 406 wird unter Messenger-Dienst ein inter- bzw. in- tranetbasierter Dienst zum Nachrichtenaustausch verstanden. Der Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW) betreibt in eigener Verantwortung und in landeseigenen Rechenzentren den Messenger-Dienst Cisco Jabber, der in Kombination mit der Voice-over-IP-Telefonie genutzt wird. Der von einigen Behörden genutzte Dienst iMessage von Apple versendet SMS-Nachrichten, falls Geräte anderer Her- steller adressiert werden, nur zwischen Apple-Geräten erfolgt eine –Ende-zu-Ende verschlüs- selte – Kommunikation über das Internet. Die Nutzung von iMessage erfolgt ohne Apple-ID und ohne iCloud-Anbindung. Anlage „Anlage Tabelle zu – 405+406 Tabelle2“ enthält die Auflistung der von den einzelnen Behörden und Einrichtungen genutzten Messenger-Dienste. 406. Welche Videokonferenztools und Messengerdienste entsprechen den Empfehlun- gen bzw. „Leitplanken“ der Landesdatenschutzbeauftragten vom 18.05.2020? (Bitte für alle Ministerien und den jeweils nachgeordneten Bereich aufführen) Für die Beantwortung der Frage 406 wird auf die Antwort der Frage 405 verwiesen. 407. Wann werden solche Videokonferenztools, die den Empfehlungen der Landesda- tenschutz-beauftragten nicht entsprechen, durch datenschutzkonforme Pro- gramme ersetzt? Für die Beantwortung der Frage 407 wird auf die Antwort der Frage 405 verwiesen. 408. Betreibt die Landesregierung die Entwicklung eigener Messengerdienste für die Behörden-kommunikation? Die Landesregierung Nordrhein-Westfalen prüft zurzeit den Aufbau eines eigenen Messen- gerdienstes auf Basis von Open Source Lösungen. Dieser Dienst soll entsprechend der Leit- planken der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfa- len von einem IT-Dienstleister der Landesverwaltung Nordrhein-Westfalen im eigenen Re- chenzentrum betrieben werden. Bei der Polizei des Landes Nordrhein-Westfalen wurde auf Basis eines kommerziellen Pro- duktes (Teamwire) eine angepasste Version entwickelt, die dort in eigener Hoheit betrieben wird. 313

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 409. Wie werden Vorgänge der behördeninternen Kommunikation, die über Messen- gerdienste abgewickelt werden, veraktet, um eine Nachvollziehbarkeit des Regie- rungshandelns sicherzustellen? Die Chatfunktion über Messengerdienste in der behördeninternen Kommunikation dient nur dem niedrigschwelligen Informationsaustausch ohne Aktenrelevanz. Sollte eine behördenin- terne Kommunikation über Messengerdienste dennoch Aktenrelevanz aufweisen, wird sie ver- aktet wie eine Kommunikation über Telefonate oder persönliche Gespräche. Das heißt ein Ge- sprächsinhalt mit Aktenrelevanz ist gegebenenfalls mittels Vermerk, Protokoll oder Screens- hot festzuhalten und zu verakten. Eine Ausnahme bei der Veraktung der Inhalte von Messengerdiensten stellt die Polizei Nord- rhein-Westfalen dar: Bei der Polizei Nordrhein-Westfalen wurde auf Basis eines kommerziel- len Produktes (Teamwire) eine angepasste Version entwickelt, die dort in eigener Hoheit be- trieben wird. Innerhalb der Polizei Nordrhein-Westfalen gibt es für keine Teilnehmenden des Verfahrens Teamwire die Möglichkeit, Chatinhalte zu löschen. Auf dem Endgerät verbleiben die Inhalte 14 Tage, auf dem Server 30 Tage. Bis zu dem Zeitpunkt können selektiv Chat- Inhalte der Nutzenden archiviert werden. Aus dem Archiv gehen der Teilnehmendenkreis und der Chatverlauf, fortlaufend sortiert nach „Datum und Uhrzeit“, hervor sowie alle Veränderun- gen innerhalb des Chats, hier insbesondere Hinzufügen oder Entfernen von Teilnehmerinnen und Teilnehmer, Zuweisen und Entfernen von Chat-Administratorrechten und Veränderungen an den Chat-Eigenschaften (Nachrichten nur durch Chat-Administrierende oder durch alle Chat-Mitglieder). Nach 30 Tagen ist kein Zugriff mehr auf die Chat-Inhalte möglich. Eine Ar- chivierung findet nur auf Anforderung der zuständigen Behördenleitung in Absprache mit den Datenschutzbeauf-tragten der Behörde statt. 410. Welche Einrichtungen des Landes sind nach BSI-Grundschutz zertifiziert? (Bitte nach Schutzbedarfskategorien differenzieren und Jahr der Zertifizierung ange- ben) Für die Beantwortung der Frage 410 wird auf die Antwort der Frage 412 verwiesen. 411. Bei welchen der zertifizierten Einrichtungen wurde zusätzlich der durch den Bun- desbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammen- arbeit mit den Datenschutzbehörden der Länder entwickelte Datenschutz-Bau- stein berücksichtigt? Für die Beantwortung der Frage 411 wird auf die Antwort der Frage 412 verwiesen. 412. Bei welchen Einrichtungen ist bis zu welchem Zeitpunkt eine Zertifizierung nach BSI-Grundschutz geplant? Die Fragen 410 – 412 werden im Folgenden gemeinsam beantwortet. Die Landesregierung Nordrhein-Westfalen verfolgt im Rahmen der Leitlinie zur Informations- sicherheit der Landesverwaltung Nordrhein-Westfalen (Informationssicherheitsleitlinie NRW) die Sicherheitsstrategie, mit wirtschaftlichem Ressourceneinsatz ein höchst mögliches Maß an Sicherheit zu erreichen und verbleibende Restrisiken zu minimieren. Eine Zertifizierung des 314

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                               Drucksache 17/15002 Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird vor diesem Hintergrund ins- besondere für zentrale Strukturen und Informationsverbünde vorgesehen. Für Verbünde mit besonderer zentraler Bedeutung oder Öffentlichkeitswirkung ist diese Qualitätssicherungs- maßnahme mittels externer Auditorinnen und Auditoren gerechtfertigt. Durch die sorgfältige Umsetzung von IT-Grundschutzmaßnahmen und interne Grundschutz-Checks sind allerdings auch gute Ergebnisse zu erzielen. Unabhängig von der Zertifizierung hat sich die Landesregierung Nordrhein-Westfalen zur res- sortübergreifenden Verwirklichung der Informationssicherheit orientiert an ISO 27001 auf Ba- sis des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI), verpflichtet. Anlage: Tabelle zu Frage 410-412 413. Wie bewertet die Landesregierung grundsätzlich die Gefahr für Nutzerinnen und Nutzer, die von unveröffentlichten Backdoors ausgeht? Im Zuge der fortschreitenden Digitalisierung steigt die Anzahl der genutzten Anwendungen sowie korrespondierend die Anzahl unveröffentlichter Backdoors bzw. Sicherheitslücken in In- formationstechnik-Anwendungen und Informationstechnik-Systemen. Die Zahl der Sicher- heitslücken, bzw. Backdoors hat sich ebenso stetig vergrößert, wie die Zahl der potenziellen Angriffsversuche. Gleichzeitig hat sich der Zeitraum zwischen dem Bekanntwerden einer Si- cherheitslücke und dem Versuch, diese aktiv auszunutzen, erheblich reduziert. Zur Risikominimierung kommen beispielsweise der Einsatz von Informationstechnik-Systemen und Informationstechnik-Anwendungen unterschiedlicher Hersteller, die Nutzung der durch das Bundesamt für Sicherheit in der Informationstechnik zertifizierten Produkte, die Berück- sichtigung systemrelevanter Warnmeldungen (Computer Emergency Response Team (CERT), herstellerspezifisch, etc.) und die Systemüberwachung in Betracht. Grundsätzlich wird dafür Sorge getragen, dass Sicherheitslücken zeitnah bekannt und durch Software- updates behoben werden. Daher sind hier häufig automatische Updatefunktionen der Herstel- ler eine Möglichkeit, erkannte Backdoors zu beseitigen. Bei Cyberangriffen von fremden Mächten werden Backdoors von den Angreifern installiert, um unter Umgehung von Zugriffssicherungen Zugang zum Netz des Opfers zu erhalten. Der Zu- gang wird von den Angreifern zum Zweck der Spionage, aber auch zum Zweck der Sabotage missbraucht. In diesem Zusammenhang dienen Backdoors als ein Werkzeug von Cyberangrif- fen und bedeuten aufgrund der maliziösen Absichten der Angreifer eine Gefahr für das Opfer. Nutzerinnen und Nutzer außerhalb von Verwaltungen und Unternehmen sind insbesondere für diesen Angreifertyp jedoch im Regelfall weniger interessant. Allerdings steht ihnen auch keine aktive, professionelle Informationstechnik- und Informationssicherheitsberatung zur Ver- fügung. Darüber hinaus bewertet die Landesregierung Nordrhein-Westfalen fortlaufend die Gefähr- dung für die in eigener Verantwortung betriebenen Informationstechnik-Infrastrukturen des Landes Nordrhein-Westfalen. Die Gefahr für Nutzerinnen und Nutzer ist dabei grundsätzlich vergleichbar, unabhängig davon, ob diese zu den Beschäftigten der Landesverwaltung Nord- rhein-Westfalen gehören oder Privatpersonen sind. 315

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                               Drucksache 17/15002 Zur Gefährdungsermittlung werden unterschiedlichste Informationsquellen ausgewertet. Eine wesentliche Rolle kommt dabei den Einschätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des landeseigenen Computer Emergency Response Team (CERT NRW) zu. Auf dieser Basis ist die Gefährdungslage für die Informationssicherheit der öffentlichen Informationstechnik-Infrastrukturen des Landes als „hoch“ mit steigender Tendenz einzustufen. Backdoors sind eine Teilmenge, die diese Gefährdungslage bestimmen, unab- hängig davon, ob diesen ein Programmierfehler, von Herstellenden werksseitig installiert, oder das absichtsvolle Schaffen durch Angreifer im Sinne einer Schadsoftware zugrunde liegt. Zu den Vorgehensweisen der Landesverwaltung wird auf die Antwort zur Frage 398 verwie- sen, nebst dem Verweis auf den dort bereits angegebenen Bericht der Landesregierung „In- formationssicherheit in der Landesverwaltung NRW – Sicherheit der IT-Systeme“ (Vorlage 17/4780). 414. Hatte die Landesregierung seit 2017 zu irgendeinem Zeitpunkt Kenntnis von Si- cherheitslücken in IT-Systemen und hat die Öffentlichkeit bewusst nicht darüber informiert? (Bitte alle Einzelfälle seit 2017 aufführen, unter Angabe einer Begrün- dung für die Nichtveröffentlichung sowie den Zeitraum der Nichtveröffentlichung) Im Hinblick auf den Schutz eigener Informationstechnik-Systeme der Landesverwaltung Nord- rhein-Westfalen erlangt die Landesregierung Nordrhein-Westfalen im Kontext der Informati- onssicherheit in der Landesverwaltung fortwährend durch Heranziehung unterschiedlicher In- formationsangebote Kenntnis von einer Vielzahl von Sicherheitslücken in Informationstechnik- Produkten und -systemen. Die zentrale Rolle bei der Erlangung, Auswertung und Behandlung dieser Informationen kommt dem landeseigenen Computer Emergency Response Team (CERT NRW) zu. Das CERT NRW folgt dabei einer bereits seit dem Jahr 2013 etablierten und bewährten, schriftlich fixierten sowie dem Parlament bereits zur Kenntnis gegebenen Responsible Disclo- sure Policy (Information 16/427). Für die verantwortungsvolle Weitergabe bzw. Veröffentlichung (Responsible Disclosure) han- delt das CERT NRW nach den Grundsätzen der Schadensvermeidung, Fairness und Nach- vollziehbarkeit. Das Vorgehensmodell basiert auf einer Einstufung der Sicherheitslücken mittels des Com- mon Vulnerability Scoring System (CVSS). Das CERT NRW informiert bei bestehender Ko- operationsbereitschaft zunächst stets den Hersteller der betroffenen Hard- und Software. Ab- hängig vom Risikopotenzial, der Kooperationsbereitschaft des Herstellers und den Erkennt- nissen zur bereits laufenden Ausnutzung der Schwachstellen werden dabei festgelegte Fristen zur Beseitigung der Schwachstellen eingeräumt. Werden diese definierten Rahmenbedingun- gen verletzt, teilt das CERT NRW Informationen und Erkenntnisse über Schwachstellen in Hardware- und Software sowie Bedrohungen zum Beispiel mit dem Verwaltungs-CERT-Ver- bund (VCV). Auf diese Weise können betroffene Organisationen eigene Risikoeinschätzungen und Maßnahmen treffen. Das CERT NRW veröffentlicht hierbei keinen Exploit Code, sondern nur solche Informationen, die der Warnung und Prävention dienen. 316

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 Diese Responsible Disclosure Policy ist im Jahr 2017 im Kontext einer Erörterung mit Sach- verständigen aus der Perspektive des Datenschutzes und der IT-Sicherheit im Innenaus- schuss des Landtages (Ausschussprotokoll 16/1607, Seite 9, 11, 13 f.) als nicht verände- rungsbedürftig bzw. „sehr vernünftig“ bezeichnet worden. 415. Wie viele Beschäftigte des Landes mit PC-Arbeitsplatz haben eine mit der Unter- weisung im Arbeitsschutz vergleichbare verbindliche und regelmäßige Unterwei- sung in Fragen der IT-Sicherheit erhalten? (Bitte monatlich seit Bestehen der Un- terweisung aufführen) Die Landesregierung Nordrhein-Westfalen plant auf Basis ihrer Digitalisierungsstrategie die Einführung einer entsprechenden zentralen Schulungsmaßnahme zu Fragen der Informati- onssicherheit für die Beschäftigten der gesamten Landesverwaltung Nordrhein-Westfalen. Diese wird auf der zentralen E-Learning-Plattform beim Landesbetrieb Information und Tech- nik Nordrhein-Westfalen (IT.NRW) betrieben werden. Der technische Aufbau dieser Plattform befindet sich bereits in der Umsetzungsphase und wird noch im Jahr 2021 zur Verfügung ste- hen. Der Beauftragte der Landesregierung Nordrhein-Westfalen für Informationstechnik (CIO) hat IT.NRW angewiesen, eine Leistungsbeschreibung für eine solche Schulungsmaßnahme zu erstellen (abgeschlossen) und ein Vergabeverfahren für ein entsprechendes Web-Based- Training-Programm durchzuführen (wird zurzeit durchgeführt). Die Umsetzung des Projektes hat sich aufgrund der Corona-Pandemie insgesamt verzögert. Pandemiebedingt war es erforderlich, sowohl beim Beauftragten der Landesregierung für In- formationstechnik (CIO) als auch dem Auftragnehmer Landesbetrieb Information und Technik Nordrhein-Westfalen Prioritäten neu zu ordnen und das eigentlich zur frühzeitigeren Realisie- rung der Schulungsmaßnahme vorgesehene Personal anderweitig einzusetzen. Die dadurch entstehende Verzögerung im Projekt wurde als tolerabel bewertet, da die bereits vorhande- nen Sensibilisierungsangebote Wirkung zeigen. Das Projekt wird trotzdem für erforderlich ge- halten und durchgeführt. Eine Pilotphase mit zunächst bis zu 10.000 Beschäftigten der Lan- desverwaltung Nordrhein-Westfalen ist noch für das Jahr 2021 vorgesehen. Darüber hinaus führt das dem Geschäftsbereich des Ministeriums der Finanzen des Landes Nordrhein-Westfalen zuzuordnende Rechenzentrum der Finanzverwaltung des Landes Nord- rhein-Westfalen (RZF) seit November 2011 monatlich eine verbindliche Veranstaltung zur Sensibilisierung von neu eingestelltem Personal durch. Seit Beginn dieser Unterweisung wur- den 1.033 Beschäftigte entsprechend geschult. Im Geschäftsbereich des Ministeriums für Kinder, Familie, Flüchtlinge und Integration des Lan- des Nordrhein-Westfalen werden seit Oktober 2020 fortlaufend Online Schulungen zu den Themen Home-Office & Mobile Arbeit angeboten (Anbieter Secutain). Bisher haben ca. 100 Mitarbeitende (bei ca. 350 PC-Arbeitsplätzen) das Angebot wahrgenommen. Neue Mitarbei- tende werden regelmäßig über das Angebot informiert. Die Teilnahme an der Online-Schulung ist freiwillig. Im Geschäftsbereich des Ministeriums des Innern des Landes Nordrhein-Westfalen finden bei den Behörden und Einrichtungen der Polizei Nordrhein-Westfalen verpflichtende Unterwei- sungen bei Neuantritt bzw. Wechsel statt. Ebenso erfolgen in mehr als der Hälfte der Polizei- behörden jährliche Belehrungen. 317

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                              Drucksache 17/15002 Im Geschäftsbereich des Ministeriums für Wirtschaft, Innovation, Digitalisierung und Ener- gie des Landes Nordrhein-Westfalen sind bei IT.NRW Inhalte zur Informationssicherheit be- reits seit 2014 anteilig Bestandteil der Unterweisungen zum Arbeitsschutz. Zuletzt wurden diese Bestandteile 2019 mit einem größeren Anteil versehen. Diese kombinierten Unterwei- sungen werden jährlich durchgeführt. Das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen hat im Zeitraum von August 2018 bis März 2019 eine Unterweisung zur Informationstechnik-Sicher- heit im Homeoffice durchgeführt. Diese haben insgesamt 147 Mitarbeitende erhalten (Au- gust 2018: 30, September 2018: 57, Oktober 2018: 17, November 2018: 26, Dezember 2018: 6, Januar 2019: 8, Februar 2019: 1, März 2019: 2). Die dem Geschäftsbereich des Ministeriums für Umwelt, Landwirtschaft, Natur- und Verbrau- cherschutz des Landes Nordrhein-Westfalen zuzuordnende Landwirtschaftskammer Nord- rhein-Westfalen einschließlich des Landesbeauftragten führt seit 2008 fortlaufend eine ver- bindliche Schulung zur Informationssicherheit durch, die auf Basis eines Schulungs- und Sen- sibilisierungskonzepts in fünf Module zusammengefasst ist: •   Modul 1: Grundlagen der Informationstechnik-Sicherheit •   Modul 2: Informationssicherheit am Arbeitsplatz •   Modul 3: Operativer Bereich •   Modul 4: Technische Realisierung von IT-Sicherheitsmaßnahmen •   Modul 5: Neue Entwicklungen im IT-Bereich Einschließlich des Landesbeauftragten wurden in der Landwirtschaftskammer Nordrhein- Westfalen circa 1.850 Beschäftigte geschult. Ebenfalls mit einer hohen Wirksamkeit versehen werden den Beschäftigten in der Landesver- waltung Nordrhein-Westfalen eine Vielzahl von weiteren Angeboten zur Schulung und Sensi- bilisierung durch die einzelnen Ressorts unterbreitet. Darüber hinaus besteht für die Informa- tionssicherheit in der Landesverwaltung Nordrhein-Westfalen seit 2016 im Aufgabenbereich des Beauftragten der Landesregierung für Informationstechnik (CIO) die landesweite Sensibi- lisierungskampagne „Na sicher! NRW“, die allen Beschäftigten in der Landesverwaltung Nord- rhein-Westfalen zur Verfügung steht. Kernelement dieser Kampagne ist eine im Landesverwaltungsnetz (LVN) verfügbare Webseite mit spezifischen Inhalten zu verschiedenen Themen im Bereich der Informationssicherheit. Über die Kampagne werden, neben elektronischen Angeboten, themenbasierte Flyer, Plakate oder Kalender an interessierte Behörden und Einrichtungen in der Landesverwaltung Nord- rhein-Westfalen bereitgestellt. Die Behörden und Einrichtungen der Landesverwaltung Nord- rhein-Westfalen können sich zudem bei der Durchführung eigener Sensibilisierungskampag- nen durch die zentrale Kampagne unterstützen lassen. Dieses Angebot haben in den vergan- genen Jahren 15 Behörden und Einrichtungen abgerufen. Im Kontext der zentralen Kampagne werden jedes Jahr sogenannte Live-Hacking-Veranstaltungen im Rahmen des landesweiten Schulungsangebots durchgeführt. An insgesamt 107 Veranstaltungen dieser Art haben seit 2016 6.024 Beschäftigte aus der Landesverwaltung Nordrhein-Westfalen teilgenommen. 318

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                        Drucksache 17/15002 Im Geschäftsbereich des Ministeriums der Justiz des Landes Nordrhein-Westfalen sind nachfolgend aufgeführte, dem Arbeitsschutz vergleichbare verbindliche und regelmä- ßige Unterweisung in Fragen der IT-Sicherheit durchgeführt worden: Zahl der Monat der Beschäf- Unterwei- Inhaltliche Beschreibung Ressortbe-                               tigten Titel der Unterweisung                sung      der          Unterweisung zeichnung                                 mit PC- (MM.JJJJ) in Fragen der IT-Sicherheit Arbeits- platz Informationen, Anregungen Ministerium Verteilung des Flyers Nr. 1 und Tipps für einen sicheren der Justiz "Sicherer Arbeitsplatz - Aber 41.500   05.2019 Arbeitsplatz nebst einer NRW         wie?" Webcam-Abdeckung Informationen, Anregungen Ministerium Verteilung des Flyers Nr. 2 und Tipps zum Umgang mit der Justiz "E-Mail-Sicherheit - Aber     41.500   02.2021 E-Mails am Arbeitsplatz und NRW         wie?" /Print-/Web-Version im Home-Office Verteilung des Flyers Informationen, Anregungen Informationssicherheit 4.240    03.2021   und Tipps für Referendarin- Referendarinnen/Referen- nen/Referendare dare Ministerium Verteilung des Flyers Nr. 3                     Informationen, Anregungen der Justiz "Sichere Passwörter - Aber    41.500   06.2021   und Tipps zum Thema Pass- NRW         wie?" /Print-/Web-Version                       wörter Live-Hacking-Veranstaltung durch die Fa. Secunet: Be- hördenleiter/Führungs- kräfte wurden darüber infor- miert, wie den Risiken für Ministerium Live-Hacking-Veranstaltung                      unsere Informationen auch 04.2019 - der Justiz für Behördenleiter/Führungs- 500                 außerhalb technischer Lö- 12.2020 NRW         kräfte                                          sungen durch die Mitarbeite- rinnen und Mitarbeiter be- gegnet werden kann und welche verantwortungsvoll Rolle den Führungskräften hierbei zukommt. 319

LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode                            Drucksache 17/15002 Informationsveranstaltungen für Rechtspflegerinnen und Rechtspfleger-Anwärter, An- wärtinnen/Anwärter für den             05.2019,  Vortrag zum Thema Informa- Ministerium gehobenen Vollzugs- und Ver-           09.2019,  tionssicherheit; immer auf die der    Justiz                                 500 waltungsdienst, für den mittle-        10.2019,  einzelnen Berufsgruppen be- NRW ren Dienst, Justizwachtmeis-           08.2020   zogen; teranwärtinnen-     und anwär- ter; Gerichtsvollzieheran-wär- terinnen- anwärter Auf der Intranetseite "Infor- mationssicherheit" stehen für alle Mitarbeiterinnen und Mit- Ministerium Intranet-Seite zum Thema In-                     arbeiter in der Justiz Informa- der    Justiz                                 41.500 dauernd formationssicherheit                             tionen zum Thema Informati- NRW onssicherheit zur Verfügung. Die Intranetseite wird regel- mäßig aktualisiert. In den E-Mails werden die Mitarbeiterinne und Mitarbei- ITD-Aktuell - Regelmäßige E- Ministerium                                                    ter der Justiz zu aktuellen Mails zu besonders aktuellen           regelmä- der    Justiz                                 41.500           Themen zum Thema Infor- Themen der Informationssi-             ßig NRW                                                            mationssicherheit ausführ- cherheit lich und verständlich infor- miert. Dienstanweisung zum Daten-                       den Mitarbeiterinnen und Mit- schutz und zur Datensiche-                       arbeiter in der Justiz NRW Ministerium rung beim Einsatz von IT-Ge-                       werden die Dienstanweisun- regelmä- der    Justizräten bei Justizbehörden des 41.500               gen regelmäßig durch die ßig NRW           Landes Nordrhein-Westfalen -                     Behördenleiterinnen und Be- DA - DS - RV d. JM vom 25.                       hördenleiter bekanntgege- März 2002 (1510 -I D. 15                         ben. von drei Informationssicher- heitsbeauftragten erarbeite- tes Konzept für die Schulung Ministe-                                                       "Informationssicherheit kom- Online-Schulung "Informati- rium der                                      20     05.2021   pakt" und die entsprechende onssicherheit kompakt" Justiz                                                         Durchführung der Online- Schulung/ Teilnehmer von Behördenleiter bis Wacht- meister 416. Welche Vorteile für NRW erhofft sich die Landesregierung von der geplanten eu- ropäischen Cloud- und Dateninfrastruktur GAIA-X? Datengetriebene, digitale Geschäftsmodelle werden künftig weiter an Bedeutung gewinnen, nicht nur im Endkundengeschäft (Business-to-Consumer), sondern zunehmend auch zwi- schen Unternehmen (Business-to-Business). Bei der Entwicklung datengetriebener Ge- schäftsmodelle und der Nutzung von Daten spielt es für Unternehmen eine immer wichtigere 320