1110/AB XXII. GP
Eingelangt am 19.01.2004
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind
möglich.
BUNDESMINISTER FÜR
INNERES
Anfragebeantwortung
Die Abgeordneten zum Nationalrat
Mag. Johann Maier und GenossInnen haben am
21.November 2003 unter der Nr. 1114/J-NR 2003 an mich eine schriftliche
parlamentarische
Anfrage betreffend „Wireless LAN; Sicherheits- und Datenschutzprobleme"
gerichtet.
Diese Anfrage beantworte ich nach den mir
vorliegenden Informationen wie folgt:
Zu Frage 1-17:
Das BM.I setzt die W-LAN Technologie in
keinem Produktionsnetzwerk ein.
Zu Frage 18:
Die Verpflichtung zur Wahrung des (Daten-)Geheimnisses
durch Auftraggeber, Dienstleister
und ihre Mitarbeiter über Daten aus Datenanwendungen, die ihnen ausschließlich
auf Grund
ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind,
ist
insb. im § 15 Datenschutzgesetz 2000 normiert, und zwar unbeschadet sonstiger
gesetzlicher Verschwiegenheitspflichten (z.B. § 46
Beamten-Dienstrechtsgesetz,
§ 5
Vertragsbedienstetengesetz, etc.).
Gemäß § 14 Abs. 2Z3 DSG 2000 ist
jeder
Mitarbeiter über seine nach dem
Datenschutzgesetz
2000 und nach innerorganisatorischen Datenschutzvorschriften
einschließlich
der Datensicherheitsvorschriften bestehenden Pflichten zu belehren.
Aus
allfälligen Verstößen gegen die Verpflichtung zur Wahrung des Datengeheimnisses
(bezüglich einer passwortgeschützten Benutzeridentifikation) können
dienstrechtliche,
arbeitsrechtliche und/oder strafrechtliche Konsequenzen (siehe insb.
§§ 51 und 52
DSG
2000, §§ 118a, 119, 119a, 126a, 126b, 126c, 148a, 302 und 310 StGB)
resultieren.
Zu Frage 19-22:
Sofern solche Geräte (Notebooks, PDA's) existieren, so
bildete die W-LAN-Fähigkeit kein
Kaufkriterium. Diese Geräte können im Produktionsnetzwerk des BM.I nicht
betrieben
werden, eine private Nutzung einer solchen eventuell implizit vorhandenen
Funktionalität
kann nicht grundsätzlich ausgeschlossen werden. Support wird seitens des
Bundesministeriums für Inneres nicht geleistet.
Zu Frage 23 :
Derzeit erfolgt ein Einsatz nur in einer
Laborumgebung und ohne W-LAN-Bezug.
Zu Frage 24-32 :
Das BM.I setzt in den nachgeordneten Dienststellen die
W-LAN Technologie in keinem
Produktionsnetzwerk ein.
Zu Frage 33:
Seitens des BM.I werden in unregelmäßigen Abständen
Penetrations-Tests beauftragt. Der
letzte erging an die Fa. Xsoft und belief sich auf 240.000 ATS inkl. MWSt.
Zu Frage 34:
Das letzte seitens der Abteilung IV/2
beauftragte und durch ein externes Unternehmen
durchgeführte Netzwerkaudit erfolgte im Oktober 1998.
Zu
Frage 35:
Seitens der das Netzwerkaudit durchführenden Firma erfolgte
eine positive Bewertung der
Penetrationssicherheit des Netzwerkes.
Zu Frage 36:
Es gelang auf keine Art und Weise das
Netzwerk zu penetrieren.
Zu Frage 37:
Ja. (siehe auch Beantwortung der Frage
33).
Zu
Frage 38:
Prinzipiell ist die Einrichtung einer Behörde mit genannter
Aufgabenstellung vorstellbar,
wenngleich zu klären wäre innerhalb welcher Ressortkompetenz diese Behörde
verankert
werden soll.
Zu Frage 39-44
und 48-49:
Für den gesamten Netzwerk-Bereich des BM.I
existieren keinerlei Planungen.
Zu Frage 45-46 :
Die W-LAN-Technologie entspricht prinzipiell einem
Transportmedium analog den
galvanischen Leitungsverbindungen. Es sind daher dieselben hohen Anforderungen
im
Bereich der IKT-Sicherheit zu erfüllen. Insbesondere sind zertifikatsbasierende
VPN-
Technologien einzusetzen bei denen vor allem darauf zu achten ist, dass sich im
eigenen
Netzwerk nur berechtigte Hardware an der Kommunikation beteiligen kann (z.B.
MAC-
Locking).
In Summe bilden diese Methoden einen dem Stand der Technik
entsprechenden,
ausreichenden Schutz.
Zu
Frage 47:
Diese Frage kann nicht beantwortet werden,
da die Kosten primär von der Klassifizierung
der zu übermittelnden Informationen und der daraus resultierenden IKT-
Sicherheitsanforderungen an das Equipment und die Art der Implementierung
abhängig
sind.