A. Hintergrund:
Am 12. Juli 2022 hat die deutsche Bundesinnenministerin ihre "Cybersicherheitsagenda" vorgestellt: Der Angriffskrieg Russlands auf die Ukraine habe die Bedrohungslage vor dem Hintergrund einer sich ohnehin kontinuierlich verschärfenden Cyberbedrohung zusätzlich zugespitzt, erfordere eine strategische Neuausrichtung und damit auch erhöhte Investitionen in die Cybersicherheit unseres Landes. Zu diesem Zweck soll das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) zu einer Zentralstelle im Bund-Länder-Verhältnis, also zu einer "Art BKA" für die Cybersicherheit ausgebaut werden.
Neben der Zunahme von Straftaten, denen einzelne Personen oder Unternehmen zum Opfer fallen, muss der Schutz der sogenannten Kritischen Infrastrukturen aktuell bei politischen Entscheidungsträgern dringend in den Fokus gerückt werden. Gerade mit dem Angriffskrieg Russlands auf die Ukraine ist das Schutzbedürfnis der Kritischen Infrastrukturen offensichtlich geworden. So meldete die Tagesschau am 13. April 2022, dass die Ukraine einen erneuten Cyberangriff auf die Energieversorgung des Landes abwehren konnte. Im Kontext dieser Meldung wurde darauf hingewiesen, dass auch Kritische Infrastrukturen in der Bundesrepublik Deutschland für die gegen die Ukraine eingesetzte Schadsoftware anfällig sein könnten. Als Beispiel kann hier die Störung der Fernwartung von über 5.800 Windkraftanlagen seit dem 24. Februar 2022, dem Tag des russischen Angriffs auf die Ukraine, genannt werden. Mutmaßlich hatten russische Hacker das Satellitennetzwerk angegriffen, über das unter anderem mit den Windkrafträdern kommuniziert wird.
Ein weiteres (aktuelles) Beispiel ist der Hackerangriff auf die IT der Kreisverwaltung des Rhein-Pfalz-Kreises am Standort Ludwigshafen: alle 600 Computer in der Kreisverwaltung in Ludwigshafen sind betroffen und wurden abgeschaltet.
B. Die Fragen im Einzelnen:
- Welche Infrastrukturen in Lübeck stuft der Bürgermeister als sogenannte Kritische Infrastrukturen ein? (Bitte sowohl private als auch staatliche Infrastrukturen aufzählen.)
- Welche Einrichtungen befassen sich in Lübeck mit dem Thema Cybersicherheit und inwieweit wird dabei zwischen Cyberangriffen, Cyberspionage und Cyberkriminalität unterschieden?
- Wie sind die für die Cybersicherheit in Lübeck zuständigen Einrichtungen personell und finanziell ausgestattet? Ist diese Ausstattung im Angesicht der gegenwärtigen Bedrohungslage noch ausreichend, wenn ja, warum, wenn nein, wo muss mit welchen Geldern nachgebessert werden?
- Wie viele Cyberangriffe hat es jeweils in den vergangenen vier Jahren auf die Lübecker Verwaltung, auf Lübecker Unternehmen sowie auf kritische Infrastruktur in Lübeck gegeben?
a) Auf welche Art und Weise haben diese Angriffe stattgefunden?
b) Welche Schäden haben diese Angriffe jeweils verursacht?
c) Wie hoch waren die Kosten zur Behebung der Schäden durch den jeweiligen Angriff?
d) Wie lange war die Wirkdauer der jeweiligen Angriffe?
e) Welche Störung wurde jeweils durch den Angriff verursacht?
- Inwiefern hat sich nach Auffassung des Bürgermeisters seit 2019 die Gefährdungslage für Kritische Infrastrukturen, Dienststellen und Unternehmen in Lübeck, Opfer von Cyberattacken zu werden, insbesondere auch vor dem Hintergrund des russischen Angriffskrieges auf die Ukraine, verändert?
- Welche zusätzlichen Maßnahmen sind seit 2019 ergriffen worden, um dem Ausfall Kritischer Infrastrukturen (z. B. Strom-, Gas-, Fernwärme- und Wasserversorgung) durch Cyberattacken vorzubeugen?
- Inwieweit gibt es bei den zuständigen Stellen ein "Worst-Case-Szenario" für einen Cyberangriff? Wenn ja, wie zeichnet sich dieses aus und liegen entsprechende Abwehrpläne beziehungsweise Einsatzpläne vor? Wenn nein, warum nicht?
- Inwieweit kooperiert Lübeck bei dem Thema Cybersicherheit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder mit den zuständigen Behörden des Landes Schleswig-Holstein?
- Inwieweit arbeitet die Lübecker Verwaltung mit externen Hackern zusammen, die regelmäßig Angriffe ("friendly attacks") auf die Lübecker Verwaltung ausüben, um Sicherheitslücken aufzudecken?
Beschlusstext zur Bekanntgabe im öffentlichen Teil:
(nur bei nichtöffentlichen Vorlagen)