Sachverhalt:

Für die Stadtverwaltung Braunschweig und die städtischen Gesellschaften Braunschweig Stadtmarketing GmbH und Braunschweig Zukunft GmbH nehme ich wie folgt Stellung:

zu 1)
Ja, die Verwaltung kann den Umfang ihrer Betroffenheit abschätzen. Es wurde dazu unmittelbar eine verwaltungsweite technische und organisatorische Prüfung der städtischen IT-Systeme eingeleitet. Ziel der Prüfung ist die Detektion verwundbarer Software-Systeme und deren Absicherung. Die bisherigen Zwischenergebnisse zeigen, das bei vielen in kommunalen Verwaltungen eingesetzten Software-Systemen die betroffenen Software-Bibliotheken installiert sind. Sehr wenige dieser Systeme sind hier direkt der Gefahr aus dem Internet ausgesetzt, wenige kommen mit extern erzeugten Daten in Berührung, die Mehrheit verarbeitet ausschließlich intern erzeugte Daten. Teilweise sind die identifizierten Systeme nach Rückmeldung der Hersteller aber nicht betroffen oder es gibt vorläufige Maßnahmen zur Absicherung.

zu 2)

Die Stadtverwaltung Braunschweig orientiert sich stark an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Abt. Informations- und Kommunikationstechnologie arbeitet intensiv daran, die Systeme gegen diese aktuelle Sicherheitslücke abzusichern. Erste Schutzvorkehrungen wurden bereits am Sonntag, den 12.12.2021 umgesetzt.

Am 13.12. wurde der Zugriff auf Server der Geoinformation sowie auf die Volltextsuche auf www.braunschweig.de gesperrt. Die Geoinformations-Server wurden nach Sicherheitsuntersuchungen intern wieder verfügbar gemacht, von der Abteilung Geoinformation wurden die von den Herstellern vorgegebenen Maßnahmen umgesetzt und nach Installation und Test von Sicherheitssoftware auf den Servern wurden die Geoinformations-Server am 20.12. auch wieder extern verfügbar gemacht.

Die Abteilung Informations- und Kommunikationstechnologie hat einen IT-Krisenstab einberufen (erreichbar über IT-Krisenstab@braunschweig.de), der vom Leiter der Abteilung IuK koordiniert wird und dem der IT-Sicherheitsbeauftragte, die ständigen Mitglieder des IT-Sicherheit-Technik-Teams sowie die Stellenleiter der IuK angehören. Neben anlassbezogenen Besprechungen werden dazu tägliche bzw. 2-tägliche Telefonkonferenzen durchgeführt und es werden strukturierte und dokumentierte Gegenmaßnahmen umgesetzt. Mit dem Niedersachsen-CERT und dem kommunalen IT-Sicherheits-Bündnis Niedersachsen werden laufend neueste Erkenntnisse ausgetauscht.

zu 3)

Die vorgeschlagenen Maßnahmen des BSI werden auf einer Vielzahl von IT-Systemen und IT-Fachverfahren umgesetzt. Das Abarbeiten der Meldungen aus den Organisationseinheiten, der Vergleich mit den Ergebnissen der technischen Prüfung und das Durchführen der Updates oder technischer Ersatzmaßnahmen wird einige Zeit in Anspruch nehmen.

Die begonnenen Maßnahmen werden an die jeweilige Informationslage angepasst. Diese entwickelt sich jedoch sehr dynamisch, so dass bereits durchgeführte Schutzmaßnahmen (z.B. Updates) noch nicht abschließend ausreichen werden. (Die betroffene Java-Bibliothek Log4j erhielt innerhalb von 8 Tagen drei Sicherheitsupdates, in denen jeweils eine kritische Schwachstelle geschlossen wurde. Mit Stand vom 21.12.2021 bietet ein Update auf die neueste log4j-Version 2.17.0 den besten Schutz gegen diese akute Bedrohungslage.)

Den übrigen städt. Gesellschaften wurde heute die Anfrage zugeleitet und sie wurden gebeten zu den einzelnen Fragen Stellung zu nehmen. Das Ergebnis wird gesondert mitgeteilt.