Mit dem heutigen Antrag möchte die Fraktion der Freien Demokraten den Senat nicht nur ermutigen, sondern zugleich auffordern, auf Institutionen und Einrichtungen im Land Berlin in der Weise einzuwirken, sich diesen neuen IT-Standards und -Nachweisen auch anzunehmen und den Schutz kritischer Infrastrukturen ernst zu nehmen.
Zugleich sind aus unserer Sicht auch die Berliner Aufsichtsbehörden in die Lage zu versetzen, in Bezug auf die IT-Sicherheit und den Schutz kritischer Infrastrukturen ihrer Verantwortung besser gerecht zu werden. Ressourcenaufbau, Aus-, Fort- und Weiterbildung von eigenem Fachpersonal oder gänzlich neue Personalgewinnungsstrategien sind das eine – sicherlich nicht unabdingbar und nicht leicht zu lesen. Das meinen wir an der Stelle aber nicht unbedingt. Wenn Politik, Senat und Verwaltung ihrer Verantwortung bei der Sicherheit, in diesem Fall der IT-Sicherheit oder der Cybersicherheit, ernst nehmen, dann sind schon jetzt Handlungsleitlinien bereitzustellen, die darüber Auskunft geben, wie wir verfahren sollen, wenn Betreiber besonders kritischer Infrastrukturen ihrer Verpflichtung nicht nachkommen werden. Schon heute ist es so, dass manches Krankenhaus oder manches Universitätsklinikum in Berlin offenbar nicht die Notwendigkeiten und Handlungsbedarfe bei der ITSicherheit richtig priorisiert. Das muss vor dem Hintergrund bekannt gewordener Attacken auf Gesundheitseinrichtungen in Nordrhein-Westfalen im letzten Jahr schon sehr verwundern.
Letztlich möchte ich auch vermeiden, dass mein Geschäftsführer im nächsten Jahr an das Rednerpult tritt und sagt: Kritische Infrastrukturen kann der Senat auch nicht. – Vielen Dank!
Vielen Dank! – Für die Fraktion der SPD hat jetzt der Abgeordnete Herr Kohlmeier das Wort. – Bitte schön!
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Liebe Zuhörer zu später Stunde! Lieber Kollege Schlömer! Etwas schade ist es ja um die Bäume, die für diesen Antrag gestorben sind, für das Papier, auf dem er gedruckt ist. Sie stellen letztlich den Antrag, dass der Senat das machen soll, was in einem Bundesgesetz geregelt ist. So, wie ich den Senat in der Vergangenheit kennengelernt habe, hält er sich selbstverständlich an die Gesetze.
Es ist leider ein typischer FDP-Antrag, den wir heute schon einmal erlebt haben – Drucksache 18/0288 „Mehr Transparenz bei Besetzung von Intendantenstellen“. Sie schreiben etwas auf, was dramatisch klingt, was ein bisschen schön klingt, ein bisschen nach einem allgemeinen Placebo. Dem könnte man de facto zustimmen, wenn man es nicht genau liest. Letztendlich sagen Sie aber nicht, was Sie wollen.
Nach offiziellen Berichten gibt es im Land Berlin, jedenfalls wenn es die Struktur des Landes betrifft, eine Cyberattacke pro Woche. Höchstwahrscheinlich dürften es etwas mehr werden. Die Vorgängerkoalition aus SPD und CDU hat darauf reagiert. Ich habe mit dem Kollegen Dregger ein deutschlandweit führendes E-GovernmentGesetz verabschiedet, das Regelungen zur Sicherstellung der Sicherheit der Infrastruktur der Berliner Verwaltung enthält. Wir haben die Stelle einer IT-Staatssekretärin geschaffen und die Verwaltung angehalten, ITSicherheitskonzepte zu schaffen. Die Befürchtungen, die Sie hier geäußert haben, was die Verwaltung betrifft, sind insofern unzutreffend.
Weiterhin fordern Sie, dass das Land Berlin unverzüglich Vorbereitungen treffen soll, um Dritte mit kritischen Infrastrukturen wie z. B. Krankenhäuser oder Energieträger – man könnte jetzt beispielsweise auch Tegel nennen, denn auch der Flughafen wäre ja möglicherweise betroffen; das haben Sie jetzt zu sagen verpasst – anzuhalten, sich hierfür einzusetzen. Lieber Kollege Schlömer! Wie eingangs gesagt: Es gibt ein Bundesgesetz. Der Senat muss nicht aufgefordert werden, sich gegenüber Dritten entsprechend einzusetzen, ein Bundesgesetz einzuhalten. Es ist schade, dass wir diese Rederunde führen. Ich halte mich kurz, weil ich mich auf die nächste Rederunde
Vielen Dank! – Für die Fraktion der CDU hat jetzt der Abgeordnete Herr Dregger das Wort. – Bitte schön!
Vielen Dank, Frau Präsidentin! – Herr Kohlmeier! Wir haben in der Tat toll zusammengearbeitet, aber eine kleine Anekdote vorweg: Ich habe zu Beginn der letzten Legislaturperiode den Senat gefragt, wie viele Cyberattacken es gegeben hat. Die Antwort auf meine damalige Schriftliche Anfrage lautete, man haben keine festgestellt. Das war zu Beginn der Legislaturperiode und kann zweierlei bedeuten. Entweder es gab keine, oder man hat keine bemerkt, weil man IT-sicherheitstechnisch nicht entsprechend aufgestellt ist. Insofern glaube ich, dass das Thema Cyberabwehr ein nach wie vor aktuelles Thema ist, dem wir uns mit hoher Aufmerksamkeit zuwenden müssen.
Das IT-Sicherheitsgesetz des Bundes hat Maßstäbe gesetzt für den Schutz kritischer Infrastrukturen. Das sind die Bereiche Energie, IT, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen. Das sind Bereiche, die für Berlin wie für alle Teile Deutschlands von großer Bedeutung sind. Wir müssen aber erkennen, dass der Senat und das Land Berlin keinerlei Auftrag hat, dieses Bundesgesetz, das IT-Sicherheitsgesetz, umzusetzen.
Dennoch ist es richtig – insoweit es sich um Landesunternehmen handelt –, Einfluss geltend zu machen und aktiv zu werden. Mit den Berliner Wasserbetrieben und den Berliner Verkehrsbetrieben haben wir ohne Zweifel zwei kritische Infrastrukturen, die entsprechend zu schützen sind. Das Berliner IT-Sicherheitsgesetz hat der Kollege Kohlmeier völlig zu Recht erwähnt; das haben wir beide in der letzten Legislaturperiode vertrauensvoll erarbeitet. Das ist das E-Government-Gesetz des Landes Berlin, das in den §§ 20 ff. – insbesondere in § 23 – die Maßstäbe für die IT-Sicherheit im Land Berlin festgeschrieben hat. Es geht dort zum einen darum, dass die ITSicherheit zentral durch eine IKT-Staatssekretärin gesteuert wird, die die notwendigen Kompetenzen hat, die IT-Sicherheitsstandards festzusetzen und durchzusetzen, die auch über die notwendigen finanziellen Mittel verfügt, genau dies durchzusetzen. Es geht um den flächendeckenden Aufbau eines Informationssicherheitsmanagementsystems gemäß BSI-Grundschutz als Mindestschutzniveau. Es geht um das Berlin-CERT, also das Computer-Emergency-Response-Team, das Vorfälle meldet, an das alle Behörden Berlins angeschlossen sind
und das bei der Abwehr derartiger Angriffe berät. Und es geht um die Schaffung sicherer IT-Zugänge für alle Bürger, die in Kommunikation mit der Verwaltung treten.
Also die kritische Infrastruktur des Landes Berlin ist die Verwaltung des Landes Berlin. Deswegen müssen wir unser Augenmerk darauf richten, dass das, was wir bereits gesetzlich geregelt haben, jetzt auch stringent eingeführt und umgesetzt wird. Und das werden wir in dem neuen, heute zu bestellenden Fachausschuss gemeinsam kritisch begleiten und hoffen, dass das stringent umgesetzt wird. – Herzlichen Dank!
Vielen Dank! – Für die Fraktion Die Linke hat jetzt der Abgeordnete Herr Schrader das Wort. – Bitte schön!
Frau Präsidentin! Meine Damen und Herren! Also ich muss ehrlich sagen, beim Lesen des Antrags ging es mir ähnlich wie dem Kollegen Kohlmeier. Ich habe mich gefragt, was die FDP eigentlich will und was sie vom Senat fordert. So richtig ist es mir immer noch nicht klar, aber nähern wir uns mal dem Thema.
Es geht um die Sicherheit von IT-Systemen bei den Betreibern kritischer Infrastrukturen und um die Umsetzung des IT-Sicherheitsgesetzes, das bekanntlich ein Bundesgesetz ist. Ich glaube, es ist hier unbestritten, dass der Schutz von kritischen Infrastrukturen verbessert werden muss. Auch bei Störungen oder Angriffen auf IT-Systeme muss die Grundversorgung der hier lebenden Menschen mit Wasser, Nahrung, Energie und Ähnlichem sichergestellt sein. Klar! Und dass wir da mit zunehmender Digitalisierung ein steigendes Risiko haben, ist genauso klar.
Hier gibt es ja im Land Berlin viel zu tun. Das haben meine Vorredner angesprochen, wenn man nur mal an die IT-Sicherheit in der Berliner Verwaltung denkt, auch nicht unwichtig für die Grundversorgung, aber das ist nicht Gegenstand Ihres Antrags. Sie konzentrieren sich auf das IT-Sicherheitsgesetz. Das fordert von Betreibern kritischer Infrastrukturen bis Mai 2018 den Nachweis von Sicherheitsstandards für ihre IT-Systeme. Man kann von diesem Gesetz halten, was man will, wir hatten auch Kritik, aber es muss jetzt umgesetzt werden. Nur, nach diesem Gesetz spielen die Länder bei der Umsetzung eigentlich keine große Rolle.
Sie tun in Ihrem Antrag ein bisschen so, als läge es vor allem in der Verantwortung des Senats, dass alle infrage kommenden Betriebe in Berlin die Vorgaben einhalten, aber das Land Berlin tritt bei der ganzen Sache nur auf den Plan, wenn es entweder Eigentümerin solcher Bet
riebe ist oder wenn es Aufsichtsbehörde ist, in dem Fall, dass ein Betrieb die Vorgaben oder Fristen nicht einhält. Und das wissen wir noch nicht. Die Frist ist ja noch gar nicht abgelaufen.
Ich glaube, es wird in der Tat spannend, ob die Umsetzung des IT-Sicherheitsgesetzes so klappt, wie man sich das vorgestellt hat. Ich habe da meine Zweifel, denn das Gesetz ist voller schwammiger Begriffe und unklarer Anforderungen an die betroffenen Unternehmen, aber dazu sollte man gemeinsam mit dem Senat erst mal ein paar Fragen klären, zum Beispiel: Was sind die infrage kommenden Betriebe in Berlin? Was haben die bereits getan? Was kann der Senat zur Unterstützung betragen? – Bevor das nicht geklärt ist, hier schon per Antrag irgendwelche näher beschriebenen Maßnahmen vom Senat einzufordern, finde ich ein bisschen schwierig. Insofern ist das Thema eher was für die Ausschüsse als hier fürs Plenum. – Danke!
Sehr geehrte Frau Präsidentin! Meine sehr geehrten Damen und Herren! Sehr geehrter Herr Kollege Schlömer! Ihr Antrag zielt auf das sogenannte IT-Sicherheitsgesetz, welches ja, wie die Vorredner schon ausgeführt haben, im Juli 2015 in Kraft getreten ist. Ziel des Gesetzes sind der Schutz und die Verbesserung der Sicherheit der ITSysteme und der Dienste, insbesondere im Bereich der kritischen Infrastrukturen wie etwa Strom, Wasserversorgung, Gesundheitswesen, Finanzwesen oder Telekommunikation.
Nach dem IT-Sicherheitsgesetz sind Betreiber kritischer Infrastrukturen verpflichtet, ihre wichtigsten Dienste nach dem erforderlichen Stand der Technik abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Sofern das Bundesamt für Sicherheit in der Informationstechnik, also das BSI, Sicherheitsmängel aufdeckt, darf das BSI im Einvernehmen mit den Aufsichtsbehörden des Bundes oder im Benehmen der sonstigen zuständigen Aufsichtsbehörden deren Beseitigung anordnen. IT-Sicherheitsvorfälle und Störungen sind dem BSI zu melden. Die Betreiber kritischer Infrastrukturen müssen demnach Folgendes nachweisen: erstens eine Kontaktstelle benennen, zweitens IT-Störungen melden, drittens den Stand der Technik umsetzen und viertens dies alle zwei Jahre dem BSI nachweisen.
Nach dem bisher Gesagten stellt sich also für mich und anscheinend auch für alle Vorredner eine entscheidende
Frage bezüglich des Antrags der FDP: Wo sieht die FDP die Zuständigkeit des Landes Berlin oder des Berliner Senats bei der Aufgabenerfüllung dieses Gesetzes? Primär zuständig sind der Bund und die BSI. Die FDP führt hier ja in ihrer Rede aus, dass die landeseigenen Betriebe mit kritischer Infrastruktur dieser Meldepflicht unterfallen. Das ist sicher korrekt. Dann könnte man diesem Antrag wohlwollend zustimmen. Dennoch nennt der Antrag nicht, welche landeseigenen Betriebe ihrer Meldepflicht bisher nicht nachgekommen oder wo Defizite aufgetreten seien. Diese wichtigen Fragen hätte der Antragsteller vorab klären können und müssen. Das erfordert auch die parlamentarische Sorgfalt.
Der Antrag mag zwar gut gemeint sein, wurde anscheinend aber nur in fünf Minuten zusammengepinselt. Ihm fehlt jegliche Bestimmtheit und inhaltliche Unterfütterung. Vielleicht wird diese von der FDP noch im Ausschuss nachgeliefert. So ist dieser Antrag jedenfalls nicht zustimmungswürdig. – Vielen herzlichen Dank!
Vielen Dank! – Für die Fraktion Bündnis 90/Die Grünen hat jetzt der Abgeordnete Herr Ziller das Wort. – Bitte schön!
Frau Präsidentin! Meine Damen und Herren! IT-Sicherheit ist für Bündnis 90/Die Grünen eine der zentralen Aufgaben der nächsten Jahre für die Berliner Verwaltung. Das E-Government-Gesetz wird umgesetzt, immer mehr Dienste des Landes können Sie bald online erledigen. Da ist die Frage von IT-Sicherheit eine entscheidende. Dazu kommt die kritische Infrastruktur. Die Kollegen haben das benannt.
Ich will einen Punkt ergänzen, der noch nicht gesagt wurde, der aber im Rahmen der IT-Sicherheit – und deswegen bin ich dankbar, dass wir heute diese Debatte haben – noch fehlt: Die IT-Sicherheit fängt bei einem einfachen Punkt an, das sind die Passwörter. Zufälligerweise ist heute Weltpassworttag. Das soll uns allen in Erinnerung rufen, wie wichtig der sorgfältige Umgang mit Passwörtern ist. Ein Mindestmaß an Sicherheit erreichen Sie, wenn Sie einige Grundregeln beachten. Da nicht nur Menschen hier im Saal zuhören, sondern auch im Livestream und an den Bildschirmen, möchte ich Ihnen einige Hinweise mitgeben.
Benutzen Sie starke und längere Passwörter! Nehmen Sie nicht Namen von Freunden, Ehepartnerinnen und Ehepartnern! Nehmen Sie nicht 1-2-3-4-5-6! Und nehmen Sie nicht „Passwort“ als Passwort! Benutzen Sie Passwörter nicht doppelt, denn wenn ein Dienst gehackt wird und ein Zugang kompromittiert ist, dann kann Ihr Passwort auch
in anderen Diensten benutzt werden und Sie komplett lahmlegen, deswegen immer verschiedene Passwörter! Schauen Sie, ob es Hintertüren gibt: Hat der Dienst irgendeine Sicherheitsfrage, wo Sie geboren sind? Gerade wir als Abgeordnete erleben das, das ist das, was man im Internet leicht herausbekommt. Solche Fragen vermeiden! Suchen Sie sich eine andere Frage aus, oder geben Sie Antworten, die nicht stimmen, um Ihre Sicherheit zu schützen! Am besten, wenn der Dienst das ermöglicht: Benutzen Sie eine Zweifaktorauthentifizierung, also benutzen Sie Ihr Handy, um sich vernünftig einzuloggen, als zweite Absicherung! Dann kann niemand, der Ihr Passwort rausgefunden hat, sich in Ihrem Namen einloggen.
Warum sage ich das? – Weil der Antrag tatsächlich nicht so richtig viel hergibt. Ich denke, die Kollegen haben das beschrieben. Wir müssen im Ausschuss klären, was für das Land zu tun ist. Das ITDZ mit dem CERT nimmt diese Sicherheitsaufgaben wahr. Ich denke, wir sollten im Ausschuss mal nachgucken und mit den Kolleginnen und Kollegen sprechen. Mein Eindruck ist, dass sie die ITSicherheit für unsere Berliner Verwaltung auf dem Schirm haben und da vieles gut läuft. Das sollten wir im Ausschuss klären und nicht hier. Insofern wünsche ich uns noch weiter gute Beratung und am Ende einen schönen Abend. – Tschüss!
Vielen Dank! – Weitere Wortmeldungen liegen nicht vor. Es wird die Überweisung des Antrags federführend an den Ausschuss für Inneres, Sicherheit und Ordnung, Digitale Verwaltung, Datenschutz, Informationsfreiheit und zur Umsetzung von Artikel 13 Abs. 6 GG sowie § 25 Abs. 10 ASOG und mitberatend an den Ausschuss für Wirtschaft, Energie, Betriebe und an den künftig für Kommunikationstechnologie und Datenschutz zuständigen Ausschuss empfohlen. – Widerspruch höre ich nicht. Dann verfahren wir so.
Bevor ich zum Tagesordnungspunkt 27 komme, darf ich darauf hinweisen, dass sich die Fraktionen gemäß § 56 Abs. 3 der Geschäftsordnung darauf verständigt haben, alle offenen Tagesordnungspunkte noch zu behandeln, auch über 19.00 Uhr hinweg. – Widerspruch dazu höre ich nicht. Dann verfahren wir so.
Eine Beratung ist nicht vorgesehen. Es wird die Überweisung an den Ausschuss für Inneres, Sicherheit und Ordnung, Digitale Verwaltung, Datenschutz, Informationsfreiheit und zur Umsetzung von Artikel 13 Abs. 6 GG sowie § 25 Abs. 10 ASOG und an den Hauptausschuss empfohlen. – Widerspruch höre ich nicht. Dann verfahren wir so.