Sachverhalt: 

Die kritische Schwachstelle "Log4Shell" in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren. [1]

Aus Sicht des BSI ist mit einer breiten Ausnutzung der Schwachstelle und mit weiteren erfolgreichen Cyber-Angriffen zu rechnen. Diese können auch noch in einigen Wochen und Monaten folgen, wenn die genannte Schwachstelle jetzt für eine Erstinfektion genutzt wird. Es ist daher weiterhin wichtig, die vom BSI empfohlenen IT-Sicherheitsmaßnahmen schnellstmöglich umzusetzen.

Vor diesem Hintergrund fragen wir die Verwaltung:

1. Kann die Verwaltung abschätzen, in welchem Umfang die städtische Verwaltung sowie die städtischen Gesellschaften betroffen sind?

2. Welche kurzfristigen Maßnahmen hinsichtlich der Detektion und Reaktion der Schwachstelle wurden seitens der Verwaltung und der städtischen Gesellschaften unternommen? [2]

3. Welche weiteren Maßnahmen sind seitens der Verwaltung und der städtischen Gesellschaften hinsichtlich der Gefahrenabwehr geplant?