Cyberkriminalität, zum Beispiel Datenmanipulation, das widerrechtliche Eindringen in Systeme, Diebstahl von Zugangscodes für Bankkonten und viele andere Szenarien verursachen bei Bürgerinnen und Bürgern, Behörden und Wirtschaftsunternehmen hohe materielle und immaterielle Schäden. Die Zahlen der betroffenen Computer und Smartphones und deren Nutzer steigen. Medienberichte über millionenfache Datendiebstähle oder manipulationen bei einer Vielzahl von technischen Geräten führen zu einer deutlichen Beeinträchtigung des Sicherheitsgefühls der Bürgerinnen und Bürger.
Es geht nicht nur um ein Gefühl, es geht um tatsächliche reale und nicht unerhebliche Schäden, ich hatte eingangs darauf hingewiesen.
Auf unserer Veranstaltung zu diesem Thema im November 2018 waren wir selbst erstaunt und erschrocken, wie einfach es Hackern fällt, sensible Daten und Zugangsdaten mit einfachsten Mitteln abzuschöpfen. Mögliche Angriffe oder Ausfälle im IT-Bereich mit einem Aussitzen statt mit Abwehr zu begegnen, erscheint uns bei den Ausmaßen, in denen wir in dieser modernen Gesellschaft von digitalen Abläufen abhängig sind, als zu gefährlich.
Neben dem Diebstahl von zum Beispiel Kontodaten von Privatpersonen gibt es auch immer mehr sehr gut vorbereitete Cyberangriffe auf strategisch ausgewählte Ziele wie zum Beispiel kritische Infrastrukturunternehmen oder große Wirtschaftsunternehmen.
Gerade Hafeneinrichtungen, die Logistikbranche, die Schifffahrt im Allgemeinen beinhalten sensible Infrastrukturen, welche immer häufiger in den Vordergrund von Cyberattacken rücken. Diese Einrichtungen müssen besser geschützt werden. Der Angriff auf den Maersk-Konzern im Jahr 2017 hat gezeigt, welche finanziellen Ausmaße ein solcher Hackerangriff haben kann. Schaden: rund 300 Millionen Dollar.
Obwohl Hafenbehörden, Reeder, Zoll, Spediteure und Verkehrsträger über hochkomplexe Kommunikationsverbindungen miteinander vernetzt sind, fehlt eine vollumfassende Sicherheitsstruktur und eine umfangreiche Koordination zwischen den Behörden und den Akteuren. Hierfür sind neue Abteilungen und Stellen, zum Beispiel eine Koordinationsstelle beim Landeskriminalamt, nötig.
Auch bei einer weiteren digitalen Vernetzung von erneuerbaren Energien und den Übertragungsnetzen ist die IT-Sicherheit mit Blick auf die autonome Mobilität von höchster Priorität. Alle Maßnahmen der Abwehrprävention von Cyberattacken müssen zeitnah umgesetzt werden.
Die größte Schwachstelle, die wir bei der Prävention und der Aufklärung sehen, ist die mangelhafte quantitative Ausstattung der Polizei auf diesem Gebiet. In seiner Antwort gibt uns der Senator diesbezüglich Recht. Wir bezweifeln deshalb, dass den ermittelnden Behörden eine sachgemäße Aufarbeitung der Fälle, die ihnen vorliegen und vorlagen,
tatsächlich möglich ist. Es wird zwar versichert, dass Bearbeitungsrückstände im engeren Sinne nicht vorliegen. Aber was genau soll das heißen?
Bei dem auch von Bremen mitbetriebenen CERT, Computer Emergency Response Team, bei Dataport sind lediglich vier Personen gemeinsam für die Abwehr, die Bewertung der Sicherheitslage und die Empfehlung von Abwehrmaßnahmen zuständig. Das halten wir in Anbetracht dessen, dass Cyberangriffe 24 Stunden an 7 Tagen stattfinden können,
für zumindest unzureichend, wenn nicht sogar fahrlässig. Die Gefahrenabwehr muss zu jeder Tageszeit zu 100 Prozent funktionsfähig ausgestattet sein, um die Sicherheit der Bürgerinnen und Bürger, der Unternehmen und der kritischen Infrastruktur voll zu gewährleisten. – Soweit die erste Runde. Vielen Dank!
Ich dachte schon, Sie hätten die Glocke nicht gehört. Als nächste Rednerin hat das Wort die Abgeordnete Frau Vogt.
Herr Präsident, liebe Kolleginnen und Kollegen! Es ist in der Tat eine interessante Anfrage, auch wenn das Interesse zum Zuhören nicht so groß war. Die wird ziemlich ausführlich und sehr detailreich auf 20 Seiten beantwortet. Das, finde ich, muss man hier auch einmal sagen, ziemlich anerkennens- und lobenswert. Die Anfrage behandelt die Sicherheit für kritische Infrastrukturen wie Kraftwerke, Flughafen, Kliniken. Es geht aber auch um präventive Gegenstrategien und die Strafverfolgung.
Die Breite des Themas führt dann auch dazu, dass ich mich hier auf einige Teilbereiche beschränke, denn dieses Thema ist wirklich sehr interessant, das kann man leider nicht in fünf Minuten diskutieren. Wichtig ist, dass die kritischen Infrastrukturen Notfallpläne entwickelt haben und sich entsprechend auf dem Stand der Technik halten und gegen Angriffe absichern. Insgesamt 13 Unternehmen fallen in Bremen unter das IT-Sicherheitsgesetz und haben besondere Schutzstandards, die vom Bundesamt für Sicherheit in der Informationstechnik kontrolliert werden.
Neben diesen zentralen Einrichtungen, die möglichst nicht Ziel eines erfolgreichen Hackerangriffs werden dürfen, betrifft, und das ist natürlich der große Teil, die Kriminalität im Internet die ganz normalen Menschen. Es gibt Schätzungen, dass pro Jahr in Deutschland ein Schaden von 55 Milliarden Euro durch Cyberangriffe entsteht. Um diese Größenordnung einmal zu verdeutlichen: Das ist zehnmal so groß wie unser Landeshaushalt für ein Jahr. Das allein zeigt im Grunde schon, wie wichtig dieses Thema ist.
Der Bund Deutscher Kriminalbeamter geht außerdem davon aus, dass im Bereich der Internetstraftaten wie Betrug oder Identitätsklau, aber auch bei Erpressungssoftware und anderen Angriffen auf IT-Systeme die Dunkelziffer extrem groß ist, denn selten wird angezeigt. Bis zu 90 Prozent Dunkelziffer wird geschätzt. Liebe Kolleginnen und Kollegen, zu Beginn der Legislaturperiode hat es auch einen großen Teil der Abgeordneten hier getroffen. Wir sind quer durch alle Fraktionen von Identitätsdiebstahl und Betrugsfällen betroffen gewesen. Deswegen fand ich die Antwort zur Frage sieben auch schon ein bisschen – –. Da wird nämlich geantwortet: Die Fachdienststelle K15 bei der Polizei nimmt die zugewiesenen Aufgaben mit gut ausgebildetem Personal zuverlässig wahr.
Ich glaube, ich hatte viele von diesen Fällen und habe die dann tatsächlich an einen Anwalt abgegeben, da ich selbst nicht zum K15 durchkam. Mein Anwalt sagte mir dann auch, dass das K15 ihm geantwortet hat: Ja, wir wissen von den Fällen. Wir gehen davon aus, dass gezielt Abgeordnete geschädigt werden sollen. Wir sind aber tatsächlich personell nicht in der Lage, diese Verfahren adäquat aufzuklären. Das steht schon in einem Widerspruch zu der Antwort auf diese Anfrage, liebe Kolleginnen und Kollegen.
Bei der Bremer Kripo gibt es das Kommissariat 15 und jetzt wird es ein bisschen verwirrend. Der Senat schreibt nämlich: Aufgrund des stark anwachsenden Aufwandes zur Bearbeitung der Ermittlungsverfahren – wie gesagt, kennen wir hier aus eigener Erfahrung – ist in den kommenden Jahren ein erheblicher personeller Aufwuchs der Dienststelle einschließlich der technischen Ausstattung erforderlich. Davon gehe ich übrigens aus. Wie gesagt, es entsteht jährlich ein Schaden von 55 Milliarden Euro.
Ich finde es dann allerdings ziemlich verwunderlich, liebe Kolleginnen und Kollegen, dass zwei Sätze später in der gleichen Antwort steht: Aufgrund des aktuell sehr geringen Fallaufkommens ist die sachgerechte Bearbeitung der Ermittlungs- und Strafverfahren im Bereich der Cyberkriminalität mit dem aktuellen Personalansatz bei der Staatsanwaltschaft Bremen noch gewährleistet. Okay. Bei der Staatsanwaltschaft gibt es zwei Viertelstellen, also eine halbe Vollzeitstelle für diese Verfahren. Auf der gleichen Seite, wenn man sich diese beiden Aussagen ansieht, finde ich das extrem widersprüchlich.
Wenn die Polizei stark aufsteigenden Aufwand hat und deswegen personell einen erheblichen Aufwuchs braucht, dann kann nicht eine halbe Vollzeitstelle bei der Staatsanwaltschaft ausreichend sein, um die Arbeit noch zu gewährleisten, wie es in der Antwort heißt. Es sei denn, es ist damit gemeint, es geht gerade noch so, aber wir sind an der Grenze und eigentlich schaffen wir es nicht.
Liebe Kolleginnen und Kollegen, andere Staatsanwaltschaften haben Schwerpunktteams gebildet, um auf diese technischen Realitäten und auf das gestiegene Straftatsaufkommen in dem Bereich zu reagieren. Ich rege deswegen ernsthaft an, dass wir diesen Punkt in der nächsten Legislaturperiode noch einmal aufgreifen und uns auch damit beschäftigen, ob die Staatsanwaltschaft überhaupt ausreichend aufgestellt ist.
Zum Abschluss, einen Satz muss ich mir noch erlauben: Wir haben hier auch immer diese Debatte um das Polizeigesetz gehabt. Wenn man sieht, wie ernst die Behörden das Thema Cyberkriminalität nehmen, dann finde ich es hochgradig absurd, dass eine Behörde auf die Sicherheitslücken setzt, für den Staatstrojaner, und die anderen Behörden damit so viel zu tun haben, die Straftaten, von denen die Menschen betroffen sind, tatsächlich zu bearbeiten. Ich glaube, wir sollten uns kein Verfahren leisten, bei dem diese Sicherheitslücken nicht geschlossen werden. – Dankeschön!
Herr Präsident, liebe Kolleginnen und Kollegen! Beim Thema IT-Sicherheit kommt dem Staat eine direkte Verantwortung zum Schutz der digitalen Infrastruktur zu. Der Staat ist hier in der Verantwortung gegenüber seinen Bürgerinnen und Bürgern, gegenüber der Wirtschaft, gegenüber dem Verbraucherschutz, seine eigene IT-Infrastruktur und auch deren kritische Infrastruktur zu schützen.
Im Bereich der IT-Sicherheit in Deutschland tun wir auf Landesebene alles Mögliche, um gerüstet zu sein. Das geht auch aus den Senatsantworten zur Großen Anfrage der Fraktion der FDP hervor. Im Rahmen unserer Möglichkeiten, Kompetenzen aber auch der rechtlichen Zuständigkeiten kommen wir unserer Verantwortung nach. Ob wir aber in Bremen für den Ernstfall eines Cyberangriffs auf unsere IT-Infrastrukturen, auf die kritische Infrastruktur gerüstet sind, würde ich jetzt nicht mit Ja beantworten. Ich sage Ihnen auch gleich, warum.
Die Bundesregierung, mit der wir auch durchaus erfolgreich in der einen oder anderen IT-Sicherheitsprogrammfrage kooperieren, die ist nicht gut aufgestellt, um es nett zu formulieren. Sie schafft es nicht, uns vernünftig vor Cyberangriffen zu schützen. Um es strenger zu formulieren: Wir sind nicht gewappnet, in keinster Weise gewappnet. Ständig neue Meldungen über Hacking-Angriffe auf Unternehmen, Datenskandale, geheimdienstliche Versuche, digitale Infrastrukturen und private Kommunikation zu kompromittieren, das zeichnet doch schon ein beunruhigendes Bild, wie es um die IT-Sicherheitslage in Deutschland bestellt ist.
Es kam heraus, der Hackerangriff auf über 50 Millionen Facebook-Konten, Google musste einräumen, dass sie Sicherheitslücken haben und hat Google+ geschlossen, der Cyberangriff auf den deutschen Bundestag im Jahr 2015, der WannaCryVirus 2017, der sogenannte Regierungshack erst kürzlich und der jüngste Angriff auf das Auswärtige Amt im Herbst 2018. Was heißt das für Bremen? Angriffe auf Kliniken, Stromnetze, BSAG, die Polizei, die Feuerwehr, auf unsere Häfen. Das ist noch einmal eine ganz andere Dimension. Dafür brauchen wir dann die Unterstützung des Bundes, dass er endlich sein IT-Sicherheitsgesetz, das angekündigt wurde, nachliefert! Das hat der Bund versäumt, und das ist inakzeptabel, meine Damen und Herren!
Eine weitere Dimension, die die Bedrohungslage noch einmal zeigt, ist international angelegt. Wir haben die Manipulationsversuche, so nenne ich das einmal, von Wahlen über soziale Netzwerke, hinter denen auch Staaten stehen und Geheimdienste stehen, selbst erlebt. Einiges wird aufgearbeitet. Das sind unmittelbare Risiken für Bürgerinnen und Bürger auch hier in Bremen. Wir sind oder können davon betroffen sein. Das sind aber auch Risiken für Behörden, für Unternehmen und für die Demokratie insgesamt.
Diese verheerenden IT-Angriffe auf den Deutschen Bundestag und das Netz der Bundesregierung, immerhin eines der sichersten Netze weltweit, meine Damen und Herren, und die haben es nicht geschafft, Cyberangriffe in der Größenordnung abzuwehren. Das ist in der Tat beschämend, und das führt dazu, dass demokratische Prozesse durchaus durch Cyberangriffe manipuliert werden können. Das alles geht auch nicht spurlos an Bremen vorbei. Es wurde ja durchaus reagiert, und es gibt Überlegungen, wie man zum Beispiel die kommende Bürgerschaftswahl und vor allem die anstehende Europawahl am 26. Mai vor genau solchen Angriffen schützen kann.
Der Bericht des Bundesamts für Sicherheit in der Informationstechnik, BSI, zeigt, wenn man sich diesen einmal durchliest, wie dramatisch die Lage ist. Die ist mehr als dramatisch. Seit Jahren diskutieren wir darüber, und seit Jahren passiert fast gar nichts. Vor einem Jahr hat Bundesinnenminister Seehofer das IT-Sicherheitsgesetz 2.0 angekündigt. Dabei ist es geblieben. Jetzt hat er versucht, zu liefern, und es steht nichts Konkretes darin. Darin stehen nicht einmal die Maßnahmenpakete.
Frau Vogt, Sie haben einen wichtigen Punkt erwähnt. Wie die Stellen ausgebaut werden und was das zum Beispiel im Bereich der Strafverfolgung bedeutet. Wir brauchen dringend Cyber-Sicherheitsgesetze, um nicht nur bei der Strafverfolgung, sondern auch bei der Aburteilung erfolgreich arbeiten zu können. Dort sind riesige Lücken im 21. Jahrhundert, und die müssen wir schließen.
Diese Bedrohungslage, die ist real, aber anscheinend ignorieren die Menschen dort in Berlin das Gesagte, weil man sich in unwesentlichen Alltagsdingen verliert. Man muss sich doch nur einmal anhören, welche Interessen das BKA und die LKÄ in den Ländern haben. Dort sind die Menschen, die auf diese realen Gefahren hinweisen können. Bei
uns haben wir etliche IT-Experten, die jeden Tag auf diese Gefahren hinweisen können. Denen fehlt aber die rechtliche Grundlage, aktiv zu werden und denen fehlt finanzielle Unterstützung, um aktiv zu werden.
Um das Bild noch einmal für alle anderen Laien technisch zu verdeutlichen, ich bin ja auch kein Techniker: Wenn man einen IT-Angriff plant, hat man nicht eine Leitung, die von A nach B geht und direkt in Bremen ankommt, sondern das sind ganz andere Verfahren. Dann kann der Bund – –. Der Bund muss seine Infrastruktur schützen, dadurch schützt er die Bundesländer, dadurch schützt er die Unternehmen, die Bürgerinnen und Bürger. Alles andere, was als Ankündigung daherkommt und bei einem Versprechen bleibt, ist in der Logik inakzeptabel, und das muss sich dringend ändern, meine Damen und Herren!
Ich komme zum Schluss und gern in einer zweiten Runde noch einmal nach vorn. Wir brauchen eine echte Kehrtwende bei der IT-Sicherheit. Dazu gehört aber auch, auf verfassungsrechtlich umstrittene Instrumente wie Hackbacks zu verzichten, damit die Verletzlichkeit von IT-Angriffen insgesamt deutlich verringert wird. Wir brauchen endlich unabhängige Aufsichtsstrukturen, damit das Ganze auch in einem Monitoring begleitet wird,