IT-Sicherheitsstrategie für die Berliner Verwaltung

Daten- und VerbraucherschutzNetzpolitikTobias Schulze

36. Sitzung, 24. Januar 2019

Tobias Schulze (LINKE):

Frau Präsidentin! Meine Damen und Herren! Lieber Kollege! Das ist ein Antrag, der die Sicherheitsstrategie des Landes weiterentwickeln soll, und nicht einer, der die Sicherheitsstrategie des Landes ist. Wenn Sie sich mal im Internet informiert hätten – auf der Seite des Senats –, dann würden Sie ein ganzes Rahmenleitprogramm finden mit diversen Unterverästelungen über die Sicherheitsstrategie im IT-Bereich, die das Land hat. Wir haben hier einen bestimmten Schwerpunkt gesetzt. Wenn wir sehen, dass sich Teile unseres Lebens zunehmend in die digitale Welt verlagern, dann hat uns die Doxing-Attacke, unter der wir ja auch als Abgeordnete zu leiden hatten, doch noch mal sehr aufgeschreckt. Sie dürfte auch dem Letzten hier im Haus klargemacht haben, dass IT-Sicherheit kein Thema für Nerds und für Freaks ist, sondern die Grundvoraussetzung dafür, dass wir die Vorteile der Digitalisierung überhaupt nutzen und weiterentwickeln können.

Wenn es nicht sicher ist, dann werden wir auch die Bürgerinnen und Bürger nicht dazu kriegen, E-Govern­ment umzusetzen und Dinge im Internet zu tun, mit den Verwaltungen gemeinsam. Sicherheit im digitalen Raum ist daher ein gesellschaftspolitisches Thema, zu dem wir alle beitragen müssen und alle beitragen können.

Wenn ein 20-Jähriger mit mangelnden IT-Kenntnissen, der die Daten aus dem Darknet zusammengeklaut hat, die Politik derart in Aufruhr versetzen kann, möchte man sich gar nicht vorstellen, was echte Profis hier anrichten. Verschiedene Forschungseinrichtungen haben mal die Szenarien für großflächige Angriffe auf unsere öffentliche IT-Infrastruktur durchgespielt. Das Ergebnis ist: Lange andauernde Stromausfälle und die Kappung von Internetzugängen würden humanitäre Katastrophen in ungeahntem Ausmaß nach sich ziehen. Dabei sind Krankenhäuser nur ein Beispiel, Banken ein anderes. Ich glaube, wir alle können uns das ungefähr vorstellen.

Die Verwaltung Berlins allerdings ist im Bereich Sicherheit trotz der noch recht zersplitterten IT-Landschaft schon ziemlich gut aufgestellt. Das muss man auch sagen, und Kollege Ziller hat es auch schon erwähnt. Wir sind bisher relativ unbeschadet durch die ganzen Attacken und Angriffe gekommen. Das liegt u. a. daran, dass wir im Land Berlin anders als andere Kommunen und Länderverwaltungen z. B. keine veralteten XP-Rechner mehr am Netz haben. Das war nämlich einer der Gründe, warum „WannaCry“ damals so erfolgreich war. Die Angriffsstelle war das Betriebssystem Windows XP. Die Infrastrukturen der Berliner IT sind vom Bundesamt für Sicherheit in der Informationstechnik – BSI – zertifiziert, und dafür sind eben auch maßgeblich die Kolleginnen und Kollegen des vielgescholtenen ITDZ verantwortlich. Das möchte ich hier auch noch mal erwähnen. Den Kolleginnen und Kollegen dort, die unter schweren Bedingungen arbeiten und unter Personalmangel zu leiden haben wie alle IT-Stellen des Landes, möchte ich noch mal ausdrücklich dafür danken.

Wir haben z. B. im Land Berlin Innen- und Außennetz geteilt. Das ist eine Maßnahme, die wir recht frühzeitig gemacht haben und die z. B. der Bundestag in der Form nicht gemacht hat, weswegen er auch so leicht angegriffen werden konnte. Aber auch in der Umsetzung des E-Government-Gesetzes nimmt die IT-Sicherheit einen Schwerpunkt ein. Zehn Prozent der immensen Investitionskosten für neue Rechner und neue Server, für Software und neue Prozesse werden in die IT-Sicherheit gesteckt. Das ist ein riesiger Betrag, wenn man sich das mal ausrechnet. Wir geben dreistellige Millionenbeträge für die Umsetzung des E-Government aus, und auch für die IT-Sicherheit kommt dabei einiges rum.

Bei der IT-Sicherheit geht es allerdings nicht nur um schützende Technologie, sondern vor allem um das Verhalten von Nutzerinnen und Nutzern. Das größte Risiko – das hat Kollege Kohlmeier auch gerade angesprochen – befindet sich allzu oft direkt zwischen Bildschirm und Bürostuhl. Wenn die Menschen in unseren Verwaltungen, die zunehmend digital interagieren werden, sich der Gefahren und Risiken ihres Verhaltens nicht bewusst sind, wenn sie im Falle von Bedrohungen und Angriffen falsch reagieren, dann nützt auch die beste Technik nichts. Dieses Beispiel haben wir auch beim Doxing – auch wir Abgeordnete – immer wieder erlebt. Daher müssen sowohl die Technologie als auch die Kompetenzen der Kolleginnen und Kollegen vor den Bildschirmen kontinuierlich weiterentwickelt werden.

Insbesondere Letzteres steht jetzt im Mittelpunkt unseres Antrags. Wir wollen, dass der Ernstfall geprobt wird. Das kam in der Anhörung raus: Wir wissen nicht, was passiert, wenn wir nicht mal den Ernstfall durchspielen. Was passiert, wenn ein Trojaner oder eine DDoS-Attacke in unsere Verwaltungsnetzwerke einbricht, müssen wir dann eben auch mal durchspielen. Wie werden Beschäftigte reagieren, wenn sie Datenabflüsse oder Schäden in Netzwerken feststellen? – Das ist genau der Punkt, wo sich dann auch Beschäftigte mal auf den Prüfstand stellen lassen müssen und sehen müssen: Was können sie? Welche Kompetenzen haben sie? – Genau da setzt unser Antrag an.

Am Schluss möchte ich noch eine besondere Bemerkung machen, und zwar angesichts der Debatten um „Wanna­Cry“ oder auch angesichts der Debatten um Staatstrojaner: Öffentliche Stellen sollten Treiber der Sicherheit sein und nicht Treiber der Unsicherheit. Das finde ich ganz entscheidend.

Wenn wir hier über IT-Sicherheit reden, dann geht es darum, dass wir keine Hintertürchen einbauen dürfen. Der „WannaCry“-Angriff etwa nutzte eine Schwachstelle aus, die die NSA entdeckt und mittels digitaler Instrumente auch genutzt hatte, um auf XP-Rechner einzudringen, und diese Instrumente des Geheimdienstes gelangten später in die Hände von Kriminellen, die damit Krankenhäuser und Flughäfen lahmlegten und Geld erpresst haben. Wenn wir also hier im Parlament über IT-Sicherheit reden, sollten wir für Sicherheitsbehörden oder für Geheimdienste keine Hintertürchen offen lassen, sondern Sicherheit dann auch umfassend denken und alles schließen, alles sicher machen und insbesondere die Beschäftigten schulen. – Danke schön!