Auswirkungen der Sicherheitslücke "Shellshock" auf die IT der Stadt Köln

09.10.2014 Anfragen FDP-Fraktion im Rat der Stadt Köln

Die FDP-Fraktion im Rat der Stadt Köln hat gebeten, folgende Anfrage auf die
Tagesordnung der kommenden Sitzung des AVR setzen zu lassen.

Am 24. September 2014 wurde die Sicherheitslücke „Shellshock“ in der Unix-Shell Bash und nachfolgend weitere damit verwandte Lücken bekannt. Die
Sicherheitslücke in Shellshock besteht bereits seit 1989 und hat gravierende
Auswirkungen auf die betroffenen Systeme. Shellshock wurde daher von dem
amerikanischen „National Institute of Standards and Technology“ mit der höchsten Schadensstufe bewertet.

In diesem Zusammenhang bittet die FDP-Fraktion um Beantwortung folgender
Fragen:

1. Sind (bzw. waren) die IT-Systeme der Stadt Köln bzw. die eines beauftragten
Dienstleisters von Shellshock selber oder verwandten Sicherheitslücken
betroffen?
Falls Ja:

2. Welche diesbezügliche(n) Sicherheitslücke(n) wurden bekannt und welche (ausgela-gerten) Systeme waren davon wie betroffen?
3. Waren insbesondere Web- und/oder DHCP- Server betroffen?
4. Welche Gegenmaßen wurden wann getroffen?
5. Welche Schäden, insbesondere auch Imageschäden, sind dadurch entstanden?