Dringlichkeitsantrag: IT-Sicherheit vor dem Hintergrund von Log4J

Ergebnis

Die Dringlichkeit wurde in der Kreistagssitzung am 14. Dezember 2021 festgestellt und der Antrag einstimmig angenommen.

Stand Februar 2022: Die Verwaltung hat angefangen, sich um einen externen Dienstleister zur Durchführung der Pentests zu bemühen.

Antragstext

Die vom Kreistag in der Sitzung am 21. September 2021 beschlossenen externen Pentests in Bereichen kritischer Infrastruktur sollen schnellstmöglich durchgeführt werden. Insbesondere soll überprüft werden, ob Server-Systeme mit Log4J (bspw. Apache) verwendet werden, die von einer schwerwiegenden Sicherheitslücke betroffen sind.

Begründung

Aus dem aktuellen Bericht des Landrats vom 14. Dezember 2021 geht hervor, dass die Überprüfungen der IT-Sicherheit in Bereichen kritischer Infrastruktur vorerst nicht erfolgen soll. Dies wird mit fehlenden personellen Ressourcen begründet. Da die Pentests extern durchgeführt werden sollen, ist dieses Argument wenig einleuchtend. In Anbetracht der Beauftragung externer Dienstleister ist sowieso nicht mit einer kurzfristigen Einbindung des Personals des Gesundheitsamts zu rechnen.

Gerade jetzt – angesichts hoher Infektionszahlen – ist es wichtig, dass die IT-Infrastruktur sicher ist. Die Gesundheitsämter müssen funktionstüchtig bleiben.

Am Wochenende hat zudem das BSI mit der Meldung CVE-2021-44228 die höchste Warnstufe „rot“ ausgerufen. Dieses bedeutet: „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.“ Hintergrund ist eine schwerwiegende Sicherheitslücke im Java-Framework Log4J, die Millionen an Servern für die Ausführung arbiträren Codes anfällig macht. Das BSI bestätigte zuletzt, dass diese Lücke bereits kriminell ausgenutzt wird (u. a. zum Cryptomining) und Hacker*innen sogenannte „Backdoors“ (engl. Hintertüren) einbauen, um bspw. zu späteren Zeitpunkten Ransomware-Angriffe durchzuführen. Genau dieser Angriffsvektor wurde in der Begründung unseres Antrags auf externe Pentests skizziert. Die Sicherheit der IT darf gerade jetzt nicht hintangestellt werden.