Das bedeutet, dass man einerseits, wenn das rechtlich abgesichert ist, auch bereit sein muss, Geld in
die Hand zu nehmen, um genau solche Strukturen bei Polizei und Justiz mit aufzubauen. Die können doch auch nur handeln, wenn sie den gesetzlichen Rahmen kennen und wissen: In dem Bereich kann ich mich bewegen, das darf ich und das darf ich nicht.
Wir müssen die Kooperation mit den Sicherheitsbehörden verstärken. Wir haben momentan ein Durcheinander auf Bundesebene mit mehreren Agenturen, mit mehreren Institutionen. Das eine gehört zu dem einen Ministerium, das andere zu dem anderen Ministerium, das nächste gehört zu einem Geheimdienst, das andere läuft über das BKA. Das heißt, wir haben so viele parallele Strukturen, und ich bin mir ziemlich sicher, dass alle, die in diesen Strukturen sind, hochgradig intelligent sind, fleißig arbeiten, Konzepte entwickeln. Das muss man bündeln, um zu sagen: Wir schaffen hier Lösungen, und wir brauchen eine europäische Lösung. Reine nationale Lösungen werden uns hier an der Stelle keinen Meter voranbringen. Wir werden immer im Nachteil sein, wenn Cyberangriffe, sei es durch Kriminelle oder durch Staaten, die das als Infrastruktur sehen, da ist eine Lücke, und das nutze ich aus, um gewissen Schaden zufügen. Das müssen wir unterbinden.
Ein weiterer Punkt sind die Meldepflichten. Die müssen genauso für öffentliche Stellen als auch für Unternehmen gelten. Es gibt nichts Schlimmeres, als wenn ein Unternehmen einem Cyberangriff ausgesetzt ist und das erst meldet, wenn es zu spät ist. Das darf nicht passieren. Da müssen gesetzliche Grundlagen vorhanden sein, dass die Unternehmen das ab einer gewissen Größenordnung, wenn das erkennbar ist, melden müssen, weil andere Unternehmen vielleicht in der gleichen Branche genauso davon betroffen sein können, das nicht merken, das vielleicht 14 Tage später merken. Dann kann es zu spät sein, dann kann man nicht mehr reagieren. Man kann die Verfolgung nicht mehr aufnehmen, man kann gewisse Schutzmechanismen nicht mehr installieren und aufbauen.
Wir brauchen natürlich auch mehr proaktive Investitionen in IT-Sicherheitslösungen und Infrastruktur. Das gilt sowohl für uns als Bundesland, deswegen ist es wichtig, dass man in der nächsten Legislaturperiode noch einmal schaut: Wie schaffen wir das, einen Scherpunkt zu setzen? Das ist nicht nur ein wichtiges Thema, sondern auch ein Stück weit dem geschuldet, dass die Bundesregierung ihre Hausaufgaben nicht korrekt macht, deswegen dürfen wir uns nicht zurücklehnen und von hier aus
Das kann nicht die Lösung sein. Das heißt, hier müssen wir selbst proaktiv tätig werden. Andere Bundesländer machen es erfolgreich vor. Wir brauchen IT-Mindeststandards, da können auch nationale Lösungen nicht hilfreich sein, wir brauchen hier europäische Lösungen. Wenn das in der Kürze der Zeit nicht herstellbar ist, weil die Debatte auch keine von gestern, sondern von vorvorgestern ist, muss ein Land in der Europäischen Union auch einmal die Vorherrschaft in Angriff nehmen und sagen: Wir gehen jetzt einmal voran und schauen, wie wir Lösungen hin bekommen.
Es geht auch um den IT-Standort Deutschland, insbesondere in Europa, wenn man einmal schaut, welche anderen IT-Lösungen aus den USA, aus China und Fernost momentan auf der Tagesordnung sind, bezogen auf die Hardware, die geliefert wird. Jedes Gerät, das man in einem Geschäft kauft, hat ein TÜV-Zertifikat in Deutschland. Wenn man sich die IT anschaut, dann fehlt all das. Die Software ist nicht TÜV-zertifiziert, die Geräte sind nicht TÜV-zertifiziert, also nur für die Marktzulassung, die Software an sich nicht.
Wir brauchen verpflichtende Sicherheitsupdates sowohl für Mobiltelefone als auch für mobile Endgeräte. Wir müssen die Unternehmen verpflichten, die Software, die sie einsetzen, immer wieder zu aktualisieren, damit die Sicherheitslücken geschlossen werden, und am Ende muss man die Softwarehersteller in die Pflicht nehmen, dass sie Software-Updates anbieten und dass das alles verpflichtend ist, und das muss auf eine gesetzliche Grundlage gestellt werden.
Zwei weitere Punkte, die dich gern noch benennen möchte, die Liste ist sehr lang, die kann ich hier definitiv heute nicht abarbeiten, das werde ich auch nicht tun: Wir brauchen klare Zuständigkeiten und wir brauchen ganz klare Aufsichtsstrukturen. Gewisse unabhängige Aufsichtsstrukturen sind immer erfolgreich, weil sie genau dort eingreifen, weil sie beraten sind, weil sie nicht den Zeigefinger erheben oder rügen, sondern weil sie beratend beiseite stehen können, und ich glaube, wir haben viele Expertinnen und Experten im Land, die durchaus den Durchblick haben und dort beratend
Herr Präsident, liebe Kolleginnen und Kollegen, liebe Besucher! Was ist zu tun? Die Frage wurde gerade gestellt. Zum einen fand ich die Idee von Herrn Zenner ganz gut. Im ersten Redebeitrag ging es um Aufklärung schon in der Schule, wenn ich das richtig verstanden habe. Es gab ja, die Älteren erinnern sich, früher einmal freitags gegen Viertel nach acht die Sendung „Der 7. Sinn“. Das könnte vielleicht eine Idee für Internetsicherheit sein, das könnte Radio Bremen ja einmal machen, so etwas wie „Der 7. Internetsinn“. Aufklärung ist an der Stelle ein ganz zentrales Stichwort.
Zweite Möglichkeit: Einsatz von sicherer Hardware, von sicherer Software, das ist auch schon angeklungen. Sie haben die Debatte beim Einsatz von chinesischer Hardware für den Ausbau des 5GMobilfunkstandards verfolgt, in der plötzlich einige Leute, einige Länder kalte Füße bekommen und festgestellt haben: Da kann es eine Bedrohung geben. Ich habe da eine gute Nachricht für Sie: Ja, die Bedrohung gibt es, wenn Sie amerikanische Software benutzen, darin sind solche Hintertüren schon enthalten, damit die amerikanischen Geheimdienste darauf zugreifen können, das ist vertraglich alles organisiert. Deshalb werden die Chinesen das ähnlich organisiert haben, die sind da ganz gut. Das ist an der Stelle schon vorhanden.
Wie gesagt, das bekommt man, glaube ich, dadurch in den Griff, dass man probiert entsprechende Software auszuwählen und sich den Bauplan, also den Quellcode, geben lässt. Dann kann man das nämlich nachvollziehen.
Doch, zum Beispiel macht das Huawei. Da sind Sie falsch informiert. Sie müssen dort hingehen, müssen ein sogenanntes NDA unterschreiben, und dann können Sie das ansehen. Amerikanische Hersteller machen das nicht. Aber, das wäre ein guter Hinweis, Herr Hinners, es wäre doch toll, wenn wir in Deutschland nicht nur tolle Dieselautos bauen, sondern auch solche Software herstellen könnten. Das können wir leider nicht. Das ist, glaube ich, das Problem. Das ist kein bremisches und das ist kein deutsches, sondern das ist ein europäisches Problem. Da sind wir als Europa nicht gut.
Das ist, glaube ich, eine zentrale Herausforderung, damit in den nächsten Jahren umzugehen: Einsatz von sicherer Hardware, Einsatz von sicherer Software. Dann gibt es einige Wenige, die herumlaufen und meinen, es wäre eine sehr gute Idee, wenn staatliche Organisationseinheiten bekannte Fehler in Systemen sammeln, um daraus etwas zu machen. Das kann man machen. Aber staatliche Organisationseinheiten sollten eigentlich die Sicherheit der Menschen, der Bürgerinnen und Bürger garantieren und nicht Fehlerquellen horten.
Wir haben ja, von anderen wurde es angesprochen, diese Ransomware WannaCry. Da gibt es die Vermutung, dass der Dienstleister NSA das schon Jahre vorher wusste und diese Fehlerquelle, diese Fehlerstellen nicht gemeldet hat und dass dadurch dieser Angriff zustande gekommen ist. Dieser Angriff hat dazu geführt, und das ist nicht mehr lustig, – wie bei dem Fernseher von der Frau Schulze Föcking, bei dem kein Cyberangriff erfolgte, sondern eine Fehlbedienung vorlag – wenn auf Basis von bekannten Sicherheitsstellen, die von bestimmten Einheiten gehortet werden, Krankenhäuser nicht mehr arbeiten und Operationen nicht mehr durchgeführt werden können. So etwas hat es gegeben.
Das ist der Abwägungsprozess den man vornehmen muss. Letzter Punkt, wir sind bei der Digitalisierung am Anfang, wir sind gerade erst bei fünf Prozent. Wenn wir uns vorstellen, was noch alles kommt – die elektronische Gesundheitskarte, sämtliche Daten, sämtliche Gesundheitsdaten sind dann online, können entsprechend verarbeitet oder abgefälscht werden – dann haben wir in der Zukunft noch eine große Herausforderung die Sicherheit von Systemen zu gewährleisten.
Um noch einmal kurz auf die Anfrage zurückzukommen: Im Großen und Ganzen fand ich die Fragen an einigen Stellen unkonkret, aber die Antworten haben mich nicht beunruhigt. Ich möchte noch einmal auf die Tabelle eins der Antwort hinweisen. Die Anzahl der Fälle, die in Bremen aufgetreten sind, und das war ja der Kernpunkt der Großen Anfrage, die ist nicht dramatisch, die ist vollkommen normal. Ich glaube, Dataport hat das mit seinen Möglichkeiten ganz gut abgearbeitet. Damit bin ich jetzt auch am Ende. – Vielen Dank!
Herr Präsident, meine sehr verehrten Damen und Herren! Das Thema, weswegen ich am häufigsten kritisiert werde, ist naturgemäß: Dafür kein Geld, dafür kein Geld, dafür kein Geld. Auch der Hinweis auf den zuständigen Haushaltsgesetzgeber macht das nicht wirklich besser. Ich will mich aber deswegen hier ganz bestimmt nicht beschweren.
Das Thema, für das ich am zweithäufigsten kritisiert werde, ist Dataport und was das für die Mitarbeiterinnen und Mitarbeiter des öffentlichen Dienstes bedeutet. Die regelmäßige Passwortänderungsorgie mit den jeweiligen Synchronisierungsproblemen, die auch in der Tat zum Teil immer noch vorhanden und nicht trivial sind. Oder als wir einmal aus Sicherheitsgründen gesagt haben, dass dienstlich keine iPhones verwendet werden dürfen, da war der Spaß aber in Gänze vorbei.
Ich will damit nur sagen, dass meine Dienstleister, die der Senatorin für Finanzen zugeordneten, natürlich nicht meine, nämlich Performa Nord, Immobilien Bremen und auch Dataport, dass Bremen dort, und so kommt es auch in der Anfrage durch, gute Lösungen gefunden hat und dass die halbe Miete der Cybersicherheit für die Freie Hansestadt Bremen die Beauftragung der Mehrländeranstalt öffentlichen Rechts Dataport ist, die das wirklich sehr gut, sehr professionell erledigt. Da bitte ich um ein bisschen Nachsicht, wenn es einen ärgert und dass es einfacher ist, wenn man zu Hause nur ein Telefon betreibt oder auf dem Schreibtisch einen Rechner hat. Die Sicherheitsvorschriften für den Staat sind andere.
Eins ist ganz sicher, und ich habe mich über die Anfrage der Fraktion der FDP auch gefreut: Die nächsten Kriege, oder vielleicht sind wir auch schon mittendrin, die werden digital geführt, und es wird sehr, sehr entscheidend sein, wer das verstanden hat und wer darauf vorbereitet ist. Es ist ein Unterschied, ob ich zu Hause privat telefoniere. Da gefährde ich nur meine eigenen Daten, wenn ich das Netzwerk Tor nutze oder fragwürdige Seiten besuche, das ist am Ende dann alles Privatsache, muss strafrechtlich verfolgbar sein, aber dazu sage ich gleich noch etwas.
Wenn der Staat, dem die Bürgerinnen und Bürger ihre sensiblen Daten anvertrauen, da nicht State of the Art ist und sicherstellt, dass nichts schief gehen kann und allen Problemen nachgeht, dann machen wir einen ganz großen Fehler. Die Zustimmung zum Staat, das Vertrauen der Bürgerinnen und Bürger wird sich sehr stark daran festmachen, dass
Firmen: Die Privatwirtschaft ist hier auch mehrfach angesprochen worden, da kann es um die Existenz von Unternehmen gehen, wenn Firmengeheimnisse ausspioniert werden und man auf einmal gar nicht mehr weiß, wie einem geschieht. Jemand, ich glaube es war Herr Hamann, hat gesagt: Aus den Gründerjahren kommen wir jetzt langsam heraus. Das sehe ich auch so. Bei der Vorbereitung ist mir eingefallen, dass bis 1953 keine Strafbewährung für Stromdiebstahl gab. Erst 1953 wurde der § 248C Strafgesetzbuch geschaffen, nach dem kann man Stromdiebstahl strafrechtlich verfolgen. Vorher war es eine fremde, bewegliche Sache, da war man sich nicht so sicher, ob Strom das ist.
Jetzt sieht man sich einmal so eine einfache Sache wie Stromdiebstahl an und vergleicht das mit dieser unheimlichen Komplexität, die sich in dem Netz befindet, und dann sieht man, dass der Gesetzgeber – –.
Doch Herr Zenner, der Gesetzgeber muss der Sache hinterherkommen, er muss verstehen, welche Mechanismen eigentlich angesprochen sind, und da finde ich auch, wir könnten noch besser und schneller sein, aber wenn man sich jetzt den öffentlichen Diskurs ansieht über die Frage Urheberschutz im Netz: Es ist ein weites Feld, das sich dort auftut, und so einfach kann man es sich, glaube ich, auf keinen Fall machen.
Bei Cybersicherheit geht es nicht um Stromausfälle und Naturkatastrophen, sondern es geht darum: Wie bekommen wir die Sicherheit gegen Angriffe von außen und von innen, das hat auch schon jemand, Herr Haman, glaube ich, gesagt, wie bekommen wir die erhöht? Hundertprozentige Sicherheit wird es nicht geben, aber wir müssen als Staat jederzeit Auskunft geben, wie wir die Sicherheit verbessern und wie wir auf Probleme reagieren.
Ungerichtete Angriffe auf das Verwaltungsnetz der Freien Hansestadt Bremen haben wir täglich Hunderte zu verzeichnen. Da gibt es klar die Ansage, dass wir bei den Beschäftigten im öffentlichen Dienst alles tun, um die Awareness zu fördern, nämlich nicht erst einmal zu klicken und dann sich zu wundern, was nun passiert, sondern sich Gedan
Das bestehende Bundes-IT-Sicherheitsgesetz regelt den Umgang mit kritischen Infrastrukturen. Dort ist unser Problem, weil Bremen so klein ist, das wir zum Teil gar nicht die Größenordnung, also die Schwellenwerte erfüllen. Es wird in den nächsten Jahren darum gehen, besser mit Niedersachsen zusammenzuarbeiten, um auch die Schwellenwerte für die höchsten Sicherheitsstufen zu erreichen. Ganz sicher ist auch, dass es notwendig ist, das tut das IT-Sicherheitsgesetz auch. Es muss auch weiterentwickelt werden, damit bei der Energie- und Wasserversorgung sichergestellt ist, dass auch in wirklich üblen Fällen die fundamentalen Dinge des Lebens nicht beeinträchtigt sind.
Gesetzgebung habe ich schon angesprochen. Am Ende muss sich eine Gesellschaft für mehr Datensicherheit und auch die verbesserten Möglichkeiten der Strafverfolgung oder für alle Freiheiten im Netz entscheiden. Wenn man im Darknet endemisch systematisch gezielt seine Identität verschleiern kann, dann ist das mit dem Ziel, dass kriminelle Handlungen auch nicht aufgeklärt werden können. Das ist gerade auch auf europäischer Ebene die große Debatte.
Ich weiß auch um die Differenziertheit, ich will nur sagen, dass das zwei Dinge der gleichen Medaille sind. Der gesellschaftliche Diskurs, wo die Grenzen sind, wie weit wir das eine beziehungsweise das andere zulasten des einen erledigen wollen, der ist noch lange nicht zu Ende, und der ist auch im Fluss und wird sich weiter verändern.
Was ist eigentlich mit Monopolstrukturen? Ich glaube, das wurde auch schon angesprochen. Wenn wir als öffentlicher Dienst auf den Anbieter Microsoft, hoffentlich nur übergangsweise, angewiesen sind, wir aber feststellen, dass diese Firma in Zukunft aus Ersparnisgründen Daten nur noch in der Cloud speichern will, was machen wir dann eigentlich? So schnell werden wir das nicht ändern können. Aber eins ist ganz sicher, auf Dauer wird man das so nicht akzeptieren können, allein aus Sicherheitsgründen.
Letzte Woche war Frühlingsempfang bei OHB, ein eigenes europäisches Satellitensystem wird die zentrale Voraussetzung dafür sein, dass wir unabhängig werden und nicht abhängig von denjenigen sind, die eigene, andere, manchmal auch gar nicht
böse, aber auf jeden Fall nationale Interessen haben, aber auch, dass wir unempfindlicher gegen kriminelle Angriffe werden. Bewusstsein schaffen, Awareness erhöhen, Anzeigebereitschaft stärken, und natürlich hat das etwas damit zu tun, ob die Polizei darauf ausgerichtet ist und ob man Ansprechpartner bei der Polizei findet.
Wenn die meisten, die Opfer von Cyberangriffen oder Kriminalität im Netz werden, sagen: Es hat sowieso keinen Zweck, ich bekomme das Geld ohnehin nie wieder, ist das nicht gut. Wir müssten es hinbekommen, das Gegenteil zu schaffen. Wenn ich mich nicht darum kümmere, das anzuzeigen, auch wenn es vielleicht erst einmal liegen bleibt, aber trotzdem entsteht ein Bewusstsein dafür, wo eigentlich die Probleme sind. Jeder, der Opfer dieser Kriminalität wird und das nicht anzeigt, der trägt mit dazu bei, dass die anderen es leichter haben. So eine Diskussion müssen wir unbedingt führen.
Selbstverständlich ist es völlig in Ordnung, auch über die Polizeiausstattung in dem Bereich zu sprechen. Ich möchte aber noch einmal dieser nicht zutreffenden Behauptung, dass wir 0,02 Stellen bei der Polizei oder vielleicht auch nur 0,02 Stunden, ich habe es nicht genau verstanden, dafür zur Verfügung stellen, das ist natürlich nicht richtig. Da es sich zum Teil auch um ein spezielles Wissen handelt, erledigt Dataport eine ganze Reihe von Auftragsarbeiten für die Polizei und die Staatsanwaltschaft und liefert dort dann aufbereitete Rechner und ihr Know-how und Wissen an.
Als Letztes würde ich sagen, wir sind auch in dieser Bürgerschaftsdebatte, hier in Bremen, erst an einem Anfang. Das merkt man, weil sehr viele Themen angesprochen werden, die nur teilweise etwas miteinander zu tun haben. Dass wir als Zielsetzung haben sollten, hier ein eigenes IT-Sicherheitsgesetz zu schaffen, möglicherweise nach dem Vorbild anderer Bundesländer, bei dem man diese Dinge, die den öffentlichen Bereich betreffen, regelt, das glaube ich schon und die nächsten Jahre werden die Notwendigkeit und Bereitschaft das zu tun, zeigen. – Vielen Dank!
Die Bürgerschaft Landtag nimmt von der Antwort des Senats mit der Drucksachen-Nummer 19/1993 auf die Große Anfrage der Fraktion der FDP Kenntnis.