Lieber Kollege Saalfeld, Ihr Misstrauen gegenüber allen Formen von Rechtsstaatlichkeit, von Sicherheitsorganen, von Netzagenturen, von Netzsicherheit ist unglaublich grenzenlos. Das ist in diesem Parlament einmalig. Auch gerade Ihre Kleine Anfrage zu Durchsuchungsmaßnahmen im Extremismus, in dem Zusammenhang nun mal im Linksextremismus, zeigt ganz deutlich, dass Sie grundsätzliches Misstrauen haben, und das gibt es in diesem Parlament außer bei Ihnen nicht noch einmal. Deswegen, glaube ich, sollten Sie diese Position in Gänze auch mal überdenken.
Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die Sicherheit für die kritische Infrastruktur und die Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle, Ziffer 170 neuer Koa-Vertrag, also wir, die Bundesrepublik Deutschland – das ist auch gut so –, in dem wir uns auch dementsprechend anpassen.
In den letzten Monaten ist bekannt geworden, dass USamerikanische und britische Geheimdienste – und möglicherweise auch andere – Telekommunikationsdaten privater und öffentlicher Stellen überwachen, speichern und auswerten. Nach den bisherigen Erkenntnissen sollen auch große Internet- und Telekommunikationsunternehmen in dieses geheimdienstliche Paket, in diese geheimdienstlichen Aktionen eingebunden sein. Dass die Fraktion BÜNDNIS 90/DIE GRÜNEN diese Nachricht zum Anlass nimmt, eine Änderung der IT-Strategie zu fordern, das verwundert nicht, macht aber letztendlich auch keinen Sinn.
Zunächst einmal haben Sie natürlich recht, „dass es staatliche Pflicht ist, die informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme bei der Verarbeitung von personenbezogenen Daten zu schützen“. Und weil dies so ist, steht es auch bereits in einem Gesetz, und zwar in dem Fall im Landesdatenschutzgesetz. Hier wird der Rahmen des staatlichen Handelns eindeutig abgesteckt, weshalb es Punkt 1 Ihres Antrages schon einmal nicht bedarf. Überflüssig, kann gestrichen werden.
Punkt 2 bis 5: Die Landesverwaltung setzt neben eigenen Softwareprodukten und quelloffener Software auch marktübliche Software, zum Beispiel Microsoft-Betriebs- systeme und Microsoft-Office-Produkte, ein. Ob Sie die jetzt als Spähprogramme betrachten oder nicht, kann ich nicht genau in Ihrem Denkvermögen nachvollziehen. Es sind offizielle, in der Bundesrepublik Deutschland
auch für die Behörden im Angebot stehende Produkte. Letztere ermöglichen es, dass circa 4.400 Computerarbeitsplätze zentral von der DVZ Datenverarbeitungszentrale M-V für die Installation der Software vorbereitet, konfiguriert und anschließend regelmäßig von dieser gepflegt werden können. Ich weiß nicht, ob Sie Ihre Firma aus Bremen mit unterbringen wollen oder Sonstiges, aber hier wird eine ganz zentrale Maßnahme durch das DVZ vorangetrieben,
Schon deshalb ist der Einsatz dieser Software im Hinblick auf Wirtschaftlichkeit – die Sie ja auch gerade mit einfordern im Innenausschuss –, Nachhaltigkeit und Effizienz, also im Gesamtpaket von Wirtschaftlichkeit, Nachhaltigkeit und Effizienz ist er außerordentlich positiv zu bewerten.
Im Serverbereich kommt auch quelloffene Software zum Einsatz. Entgegen Ihrer Auffassung ist die Zuverlässigkeit und Vertrauenswürdigkeit dieser Software jedoch nicht grundsätzlich anders zu beurteilen, als die der proprietären Software. Zwar sind die Suche, die Aufdeckung und die Behebung von Sicherheitslücken bei quelloffener Software theoretisch möglich, spätestens bei der Behebung von Sicherheitslücken muss sich die Landesverwaltung aber – wie bei der proprietären Software auch – auf die Bereitstellung entsprechender Sicherheits- updates durch Dritte verlassen. Auch das wird in Zukunft weiterhin so sein.
Es ergeben sich also bei keinem der Systeme generelle Sicherheitsvorteile. Dazu kommt, jeder einzelne Schritt, jedes Hardwareteil kann mittlerweile ebenfalls Informationen versenden, weil es – Ihnen sicherlich bekannt, aber nicht allen, weil nicht alle damit zu tun haben – ebenfalls in der Lage ist, über eine eigene IP-Adresse zu verfügen und einen Programmcode beinhaltet. Die Forderung, zukünftig nur noch quelloffene Software zu verwenden, wäre also aus dem Grund mit Sicherheit nur ein kurzer Sprung und kein gründlicher Sprung.
Die IT-Strategie der Landesverwaltung ist weitgehend und umfassend angelegt, und zwar über viele Jahre hinweg. Es geht um den Schutz von Informationen in seiner Gesamtheit. Das Landesdatenschutzgesetz zielt darauf ab, dass die drei Grundwerte der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – auch bei sich verändernden Gefährdungslagen bestmöglich geschützt sind. Für jedes automatisierte Verfahren zur Verarbeitung personenbezogener Daten wird deshalb ein Sicherheitskonzept erarbeitet. Das Sicherheitskonzept fußt auf den IT-Standards des Bundesamtes für Sicherheit in der Informationstechnik, abgekürzt BSI. Und hierbei wird natürlich auch geprüft, welche Softwaresysteme sind eingesetzt oder können eingesetzt werden. Die
Entscheidung wird danach getroffen, wie schutzbedürftig die Daten sind und welches Risikopotenzial besteht. Wichtig ist, dass die Sicherheitskonzepte regelmäßig überprüft und gegebenenfalls an die neuen Bedingungen angepasst werden. Die Fristen verkürzen sich ständig, weil die Problemfälle auch immer größer werden. Dies hat angesichts der aktuellen Entwicklung und der aktuellen Ereignisse in Deutschland natürlich eine besondere Bedeutung.
Die IT-Strategie des Landes Mecklenburg-Vorpommern jedoch geht noch weiter. Grundelement der Sicherheitsphilosophie ist die Nutzung interner Netze und die Abschottung dieser Netze. Dazu kommt die Verschlüsselung der Daten. So ist es grundsätzlich nicht möglich, vom Internet aus direkt auf das informationstechnische System der Landesverwaltung und insbesondere auf die darauf abgelegten personenbezogenen Informationen zuzugreifen. Das ist eine Entscheidung, die ich für eine vollkommen richtige Entscheidung halte, auch wenn man dafür in früheren Jahren oft gescholten worden ist, dass nicht alles auf einem Rechner ist, und die Mitarbeiter möglicherweise auf einem Standard von vor 20 Jahren sind. Nein, wenn man sich für Sicherheit entscheidet, dann muss man auch Entscheidungen treffen, die möglicherweise andere Sachen ausschließen, und die Nutzung von eigenen, in sich geschlossenen Netzen bietet eine größtmögliche Sicherheit.
Zur Abschottung wurde in den vergangenen Jahren ein zentrales Sicherheitssystem aus Firewall- und aus Viruswallsystemen aufgebaut.
(Johannes Saalfeld, BÜNDNIS 90/DIE GRÜNEN: Brauchen wir doch gar nicht, wenn es keine Verbindung zum Internet gibt.)
Wir haben auch andere Netze, wie Sie wissen. Wir haben eine Verwaltung, die nicht grundsätzlich ohne Internet arbeitet. Vielleicht werden Sie mal Verwaltungsmitarbeiter – könnte ja möglich sein – in Ihrem nächsten Leben, dann sehen Sie, wie die Verwaltung ausgestattet ist. Ihnen fehlt da offensichtlich bisher noch die Kenntnis, in welcher Form die Verwaltungen in Mecklenburg
Vorpommern, mit welcher Technik, welchem Betriebssystem und welchem Programm in den jeweiligen Funktionen welche Aufgaben übernehmen. Aber das kann noch werden, Sie sind ja relativ jung.
Dabei geht es darum, Schadprogramme von außen abzuwehren und den Informationsabfluss von innen zu verhindern. Der zentrale Zugang über das Datenverarbeitungszentrum ermöglicht unter dem Strich eine effektive, eine gute Gefahrenkontrolle. Die Landesregierung ist sich der Verantwortung bei der Planung, der Realisierung und Kontrolle der sicheren Informationsverarbeitung bewusst. Es braucht daher keinen besonderen Anlass wie die NSA-Affäre, um das Thema IT-Sicherheit im Blickfeld zu behalten. Es hat aber die Situation, das ist unstrittig richtig, noch mal in den Fokus der Öffentlichkeit gestellt und gezeigt, dass das ein zentrales, ein wichtiges Thema im Zeitalter von IT, Smartphone, Laptop, iPad und sonstigen Dingen ist.
Die Landesregierung ist gegenwärtig mit der Umsetzung der Sicherheitsrichtlinie des IT-Planungsrates befasst.
Eine Beschlussvorlage, das habe ich vorhin schon erwähnt, wird in diesem Jahr noch das Kabinett erreichen. Diese Leitlinie sieht unter anderem den Aufbau eines ressortübergreifenden Computer-Notfall-Teams zur gemeinsamen Abwehr von Angriffen auf die Informationstechnik vor. Insbesondere mit dem CERT, also diesem Computer-Notfall-Team, soll eine Koordination aller ITsicherheitsrelevanten Probleme in Angriff genommen werden. Hierdurch wird die zentrale und sachkundige Behandlung von Sicherheitsvorfällen bewirkt. Entsprechende Mittel werden für den nächsten Haushalt in Ansatz gebracht.
Die Landesregierung sieht derzeit keine Veranlassung, von der gegenwärtigen IT-Sicherheitsstrategie abzuweichen. Den Aspekten der Sicherheit wird auch weiterhin eine hohe Aufmerksamkeit gewidmet. Möglicherweise wird bei anderen Aktionen, die man ja nach wie vor nicht ausschließen kann, gegengesteuert werden, denn letztendlich, das hatte ein Kollege eingangs schon erwähnt, die Fragen der Sicherheit, denen wir uns stellen, und die Möglichkeiten, das ist richtig, sie kosten auch viel Geld. Aber grundsätzlich ist auszuschließen, dass alle Informationen sicher zu bündeln sind, das ist in Europa, in der Welt bisher nicht möglich. Jeder muss bei der Nutzung dieser Quellen dem auch selber Rechnung tragen, indem er die dementsprechende Sicherheit schafft, ob im privaten oder im dienstlichen Bereich. Das geht bei Passwörtern los und hört letztendlich bei der Vernetzung von bestimmten Programmen auf.
Also es gibt hier noch viel zu tun. Es gibt da mit Sicherheit nicht den Stein des Weisen. Wir stehen hier am Anfang einer Entwicklung, die unglaublich rasant ist und der wir uns, gerade als öffentliche Hand, als Verantwortliche stellen müssen.
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Wie auch beim letzten Antrag haben wir zu diesem Thema, zum Antrag der Bündnisgrünen, viele Auszüge aus der Kleinen Anfrage der Bündnisgrünen auf Ausschussdrucksache 6/2351 gehört,
Ja, das habe ich doch nicht kritisiert, das ist doch in Ordnung. Die Anfrage war ja auch sehr, sehr informativ, sehr, sehr informativ.
(Johannes Saalfeld, BÜNDNIS 90/ DIE GRÜNEN: Die Anfrage hat im Übrigen die Nummer 2215. Nur fürs Protokoll.)
Die Drucksache ist offenbar, die Drucksache mit der Antwort der Landesregierung ist die 6/2351 und die …
(Johannes Saalfeld, BÜNDNIS 90/ DIE GRÜNEN: Nee, das ist der Antrag. Das ist so. – Heinz Müller, SPD: Lass dich nicht verwirren!)
Herr Saalfeld hat einen Sachverhalt durch eine bestimmte Fragestellung geprüft, eruiert, wie steht die Landesregierung dazu, und hat dann einen Antrag gemacht: Ich weiß es besser. So kann man das besser machen.
Zu Punkt 10 Ihrer Kleinen Anfrage: „Plant die Landesregierung, zukünftig verstärkt freie und quelloffene Software und offene Standards in der Landesverwaltung einzusetzen oder dies zu prüfen?“, hat die Landesregierung geantwortet: „Die Landesregierung sieht derzeit keine Veranlassung, von der gegenwärtigen Strategie“, die der Innenminister uns hier eben umfänglich erläutert hat, die man aber auch in der Kleinen Anfrage sehr schön nachlesen kann, „die zu den vorherigen Fra- gen bereits erläutert wurde, abzuweichen. Dem Anlie- gen wird aber Rechnung getragen, indem sie sich im E-Government-Bereich an den ‚Standards und Architekturen für E-Government-Anwendungen‘ – SAGA orientiert und weiter orientieren wird.“ Das war der letzte Satz aus der Antwort zur Kleinen Anfrage.
In Ihrer Antragsbegründung selber, Herr Saalfeld – Sie haben übrigens recht, 2215, und das war der Antrag, gut okay, das nehme ich dann auch gerne an –, Sie haben in Ihrer Antragsbegründung einen Passus drin: „Zwischenzeitlich hat auch das Bundesamt für Sicherheit in der Informationstechnik … vor dem Einsatz des Betriebss stems Windows 8 in Verbindung mit einem Trusted Platform Module … der Version 2.0 gewarnt“, und so weiter, und so fort. Warum Sie das hier reingeschrieben haben, weiß ich nicht. Dazu war Ihnen geantwortet worden, dass „insbesondere mit Blick auf die Sicherheitsbedenken des Bundesamts … bislang“ dieses nicht oder „– wenn überhaupt –“, dann „nur im Hochsicherheitsrechenzentrum des IT-Landesdienstleisters (DVZ …)“ angewendet wird.
Und wenn wir hier schon vom DVZ sprechen, das das ja für die Landesregierung zur Verfügung stellt: Also zum Schutz vor Angriffen nutzen die Behörden der Landesverwaltung für ihre Internetzugänge ein zentrales Sicherheitssystem aus Firewall- und Viruswallsystemen, welches durch die DVZ betrieben wird. Das haben wir auch schon gehört. Ich möchte dazu noch ergänzen, dass das auch schon zitierte Bundesamt für Sicherheit in der Informationstechnik das DVZ zertifiziert hat, ISO 27001, was eine besondere Qualifikation für Datensicherheit darstellt.