1093/AB XXII. GP
Eingelangt am 15.01.2004
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind
möglich.
BM für
Verkehr, Innovation und Technologie
Anfragebeantwortung
Die schriftliche parlamentarische Anfrage Nr.
1119/J-NR/2003 betreffend Wireless Lan; Sicherheits-
und
Datenschutzprobleme, die die Abgeordneten Maier und GenossInnen am
21. November 2003 an mich gerichtet haben, beehre ich mich wie folgt zu
beantworten:
Frage 1:
Wird
in Ihrem Ministerium bzw. in einer nachgeordneten Dienststelle oder in einem
ausgegliederten
Unternehmen ein W-LAN verwendet (ersuche um Aufschlüsselung)?
Antwort:
Im
Bundesministerium für Verkehr, Innovation und Technologie gibt es derzeit keine
Access Points
um sich mittels W-LAN zum internen Netzwerk zu verbinden.
Im
Zuge von externen Konferenzen und Tagungen, wird den Teilnehmern bei Bedarf
Zugang zum
Internet über einen externen Internet-Provider mittels W-LAN (ein Access Point) vor Ort
ermöglicht.
Frage 2:
Wann wurde dieses jeweils in Betrieb
genommen?
Antwort:
Der
Access Point für den Einsatz bei externen Tagungen wird seit dem Frühjahr 2003
im Bedarfs-
falle eingesetzt.
Frage 3:
Welche Kosten fielen jeweils bei der
Installation an?
Antwort:
Die Anschaffungskosten betrugen ca. €
2000,-.
Fragen 4 und 5:
Wie sind diese drahtlosen Netzwerke
jeweils gesichert?
Welche
zusätzlichen Sicherheitsvorkehrungen (zu denen eines
"Standard"-Netzwerkes) wurden
jeweils getroffen?
Antwort:
Da W-LAN nur extern eingesetzt wird, werden die nach dem
Stand der Technik entsprechende
Sicherungsmöglichkeiten verwendet.
Fragen 6 bis 10:
Wurden
für die Verwendung von W-LAN auch Verhaltensvorschriften erlassen?
Wenn
ja, wie lauten diese?
Wenn nein, warum nicht?
Welche
Personen erhalten Zugang zum W-LAN?
Wie viele Personen haben einen Zugang?
Ist eine Bewilligung dafür notwendig?
Antwort:
Für
die Nutzung von W-LAN bei Tagungen gibt es keine Verhaltensvorschriften. Es
erhalten nur
externe Teilnehmer und Referenten Zugang über einen externen Provider zum
Internet.
Fragen 11 und 12:
Wer bewilligt diese Zugänge?
Wer vergibt die Passwörter für solche
Zugänge?
Antwort:
Für
den Fall, dass mein Ressort W-LAN in Zukunft einsetzen sollte, wird die
IT-Abteilung diese
Zugänge bewilligen und auch die Passwörter vergeben.
Frage 13:
Ist es für den Benutzer möglich, sein
Passwort selbst zu ändern?
Antwort:
Dies wird im Bedarfsfalle durch
Richtlinien festgelegt werden.
Frage 14:
Welche
Kriterien müssen diese Personen erfüllen, um einen Zugang zum W-LAN bewilligt
zu be-
kommen?
Antwort:
Sollte
in Zukunft ein entsprechender Bedarf bestehen, so werden die Zugangskriterien
erarbeitet
werden.
Frage 15:
Werden
diese Personen gesondert auf Ihre Pflichten bezüglich des W-LAN's hingewiesen
(Weiter-
gabe des Passworts, etc.)?
Antwort:
Der
Hinweis auf die Pflichten erfolgt über die allgemeinen Belehrungen für die
Nutzung von EDV-
Geräten.
Frage
16:
Haben
diese Personen durch das Einloggen über das W-LAN Zugang zum ganzen Netzwerk,
oder
nur Teilen davon?
Wenn nein - Zu welchen Teilen erhält man
Zugang und wie sind die anderen Bereiche des Netz-
werks vor unberechtigten Zugang geschützt?
Antwort:
Nein,
im bmvit besteht keine Möglichkeit sich via W-LAN am Netzwerk bzw. Teilen davon
anzu-
melden. Ein Zugriff auf die Website ist via Internet möglich. Das interne
Netzwerk ist vom Internet
mit einer Firewall geschützt.
Frage
17:
Zu
wie vielen Versuchen unberechtigt auf Teile des Netzwerks zuzugreifen kam es
inzwischen
(über interne sowie externe Computer)?
Antwort:
Bezogen auf W-LAN kann diese Frage nicht beantwortet
werden, da die Zahl der Versuche nach
dem Stand der Technik durch die Möglichkeit des passiven Mitlauschens nicht
erhebbar ist.
Frage 18:
Mit welchen Sanktionen muss eine Person rechnen, die ihr
Passwort und Login an Dritte weiter-
gibt? Werden die Personen gesondert darauf hingewiesen?
Antwort:
Bei
Missbrauch wird der Zugriff auf das Netzwerk gesperrt. Sollte eine Verletzung
der Dienstpflicht
vorliegen, so gelten die dienstrechtlichen Vorschriften.
Frage 19:
Werden diesen Personen W-LAN fähige Computer zu diesem
Zweck zur Verfügung gestellt oder
können diese ihre privaten Geräte verwenden? Im Falle der Bereitstellung der
Geräte - Wie viele
Geräte wurden zur Verfügung gestellt und auf wie viel beliefen sich die Kosten
dafür?
Antwort:
Derzeit werden im bmvit keine Computer mit
integrierter W-LAN Funktion ausgegeben.
Frage 20:
Wer installiert die Zugänge zum W-LAN auf
diesen externen PC's (privat wie auch zur Verfügung
gestellte)?
Antwort:
EDV-Geräte werden generell von der
IT-Abteilung vorkonfiguriert zur Verfügung gestellt.
Frage 21:
Wie werden diese Computer vor
Hacker-Angriffen geschützt?
Antwort:
Derzeit werden im bmvit keine Computer mit
integrierter W-LAN Funktion ausgegeben.
Fragen
22 und 23:
Erfolgt
die Anmeldung dieser externen Computer mittels einfachem Login und Passwort,
oder wird
zusätzlich eine "Whitelist" mit fixen IP-Adressen dieser Geräte
geführt?
Wird das VPN (Virtual Private
Network)-Protokoll von Microsoft verwendet?
Antwort:
Ich
verweise dazu auf die Beantwortung zu Frage 1. Daher gibt es im internen
Netzwerkbereich
diese Möglichkeit nicht sich via W-LAN anzumelden bzw. VPN zu verwenden. Für
den Einsatz bei
Tagungen kann keine Aussage gemacht werden.
Frage
24:
Werden
in nachgeordneten Dienststellen (z.B. Behörden) Ihres Bundesministeriums
Wireless-
LAN's verwendet?
Antwort:
In nachgeordneten Dienststellen kommt
W-LAN derzeit nicht zum Einsatz.
Frage
25:
Wenn
ja - in welchen? Auf wie viel Euro beliefen sich die Kosten der Installationen
(Erbitte Auf-
schlüsselung auf BM, nachgeordnete Dienststellen, ausgegliederte Unternehmen
und Kosten)?
Antwort:
Die
Anschaffungskosten des bmvit sind in der Beantwortung zu Frage 3 angeführt.
Für
die nachgeordneten Dienststellen und ausgegliederten Unternehmen sind, da bis
jetzt kein W-
LAN
installiert wurde, keine Installationskosten angefallen.
Fragen
26 bis 28:
Wurde
eines dieser Netze (Ministerium, untergeordnete Behörden, ausgegliederte
Unternehmen)
bereits angegriffen?
Wenn
ja - welche, wie oft und wann (Erbitte Aufschlüsselung nach Monaten seit
Inbetriebnahme
des Netzes)?
Wenn
nein - Sehen Sie hierin die Möglichkeit eines erfolgreichen Missbrauchs, d.h.
dass das Ein-
dringen nicht bemerkt wurde - oder sind Sie der Meinung, dass dies mit aller
Gewissheit auszu-
schließen ist?
Wie
oft waren die Angriffe erfolglos (Aufschlüsselung auf Gesamtattacken)?
Welche Manipulationen wurden begangen, bzw. versucht zu begehen?
Antwort:
Es
gibt keine Verbindung zwischen W-LAN und dem internen Netzwerk. Diese sind
voneinander
galvanisch getrennt.
Fragen
29 bis 31:
Wurde
Anzeige erstattet?
Wenn
nein - warum nicht?
Wenn
ja - konnte(n) der (die) Täter zweifelsfrei identifiziert und angezeigt werden?
Falls
Täter identifiziert wurden - aus welchen Berufskreisen stammen die Täter?
Falls
der/die Täter nicht ausgeforscht werden konnten - Warum war dies nicht möglich?
Antwort:
Es gibt derzeit keinen Anlassfall.
Frage 32:
Gibt es derzeit diesbezüglich anhängige
Strafverfahren, bzw. rechtskräftige Straferkenntnisse?
Antwort:
Es ist derzeit kein Strafverfahren
anhängig.
Fragen
33 bis 37:
Wird
Ihr Computer-Netzwerk von externen Unternehmen auf die Sicherheit hin geprüft?
Wenn ja - Durch welches Unternehmen und welche Kosten fallen dadurch an?
Wenn nein - Warum nicht?
Wann
erfolgte die letzte Sicherheitsprüfung Ihres gesamten Computer-Netzwerkes?
Was
war das Ergebnis dieser Prüfung?
Konnten
Schwachstellen gefunden werden? Wenn ja - welcher Art?
Wirt
Ihr Netzwerk regelmäßig auf die Sicherheit geprüft? Wenn nein - Warum nicht?
Antwort:
Das Netzwerk des bmvit wird von externen Firmen auf die Sicherheit
geprüft. Da es sich um ein
sehr heikles sicherheitsrelevantes Thema handelt, bitte ich um Verständnis,
dass ich zu diesen
Fragen nicht weiter Stellung nehmen möchte.
Frage 38:
Sind Sie
für oder gegen die Einrichtung einer Behörde, die staatliche Computernetzwerke
auf
deren Datensicherheit hin überprüft?
Wenn nein - Warum nicht?
Antwort:
Da
für die Fragen der Datensicherheit die Datenschutzkommission zuständig ist und
für die Prü-
fung der Sicherheit externe Firmen herangezogen werden, sehe ich keine
Notwendigkeit eine
neue Behörde zu schaffen.
Fragen
39 bis 42:
Falls
in Ihrem Ministerium und den untergeordneten Dienststellen und Behörden derzeit
keine
W-LANs betrieben werden: Sind welche in Planung?
Wenn ja - wie viele und für welche Stellen?
Welche Notwendigkeit besteht dazu?
Welche
Vorteile erwartet man sich dadurch? Welche Nachteile sehen Sie in der
Verwendung eines
W-LAN?
Welche Personengruppe soll Zugang zum
geplanten W-LAN erhalten?
Antwort:
Der
Einsatz von W-LANs wird im Jahr 2004 evaluiert werden, um im Bedarfsfalle,
diese einsetzen
zu können. Derzeit ist der Einsatz von W-LAN im internen Netzwerk nicht
geplant.
Fragen 43 und 44:
Welche
Kriterien werden Personen erfüllen müssen, um einen Zugang zum W-LAN bewilligt
zu
bekommen?
Wer
wird über die Bewilligung entscheiden - also ob es für diese Personen wirklich
notwendig ist,
via W-LAN sich mit dem Netz zu verbinden?
Antwort:
Welche
Kriterien eine Person erfüllen muss ist derzeit noch offen (da ein Einsatz von
W-LAN nicht
geplant ist) und wird im Bedarfsfalle nach den ressortinternen Richtlinien
entschieden.
Fragen 45 bis 47:
Wie sollen diese drahtlosen Netzwerke
gesichert werden?
Welche
zusätzlichen Sicherheitsvorkehrungen (zu denen eines
"Standard"-Netzwerks) sollen ge-
troffen werden?
Welche Kosten werden dadurch entstehen?
Antwort:
W-LANs
sind nach dem Stand der Technik zu sichern. Da der Einsatz von W-LAN derzeit
nicht
geplant ist, werden im Zuge der Evaluierung die anfallenden Kosten ermittelt.
Frage 48:
Werden W-LAN fähige Geräte an zugangsberechtigte Personen
zur Verfügung gestellt?
Antwort:
Derzeit
werden keine W-LAN fähigen Geräte an zugangsberechtigte Personen zur Verfügung
ge-
stellt.
Frage
49:
Sind
regelmäßige Sicherheitskontrollen dieses W-LAN's geplant? Wenn ja, durch
welches Unter-
nehmen bzw. welche Behörde? Welche Kosten fallen dadurch an?
Antwort:
Sollte
W-LAN im Bundesministerium für Verkehr, Innovation und Technologie zum Einsatz
kommen, sind auch regelmäßige Sicherheitskontrollen geplant. Die Entscheidung
welches Unter-
nehmen die Sicherheitskontrolle durchführt, erfolgt im Rahmen des
entsprechenden Vergabever-
fahrens.