Wir fahren mit den Abstimmungen fort. Zu dem Antrag der Fraktion der CDU, Drucksache 18/1480 empfiehlt der Fachausschuss mehrheitlich gegen CDU bei Enthaltung der AfD die Ablehnung. Wer dem Antrag dennoch zustimmen möchte, den bitte ich jetzt um das Handzeichen. – Das ist die Fraktion der CDU. Wer stimmt gegen diesen Antrag? – Das ist die FDP, das sind die SPD, die Grünen und die Linksfraktion. Wer enthält sich der Stimme? – Das ist die AfD-Fraktion und sind die fraktionslosen Abgeordneten. Damit ist der Antrag abgelehnt.
Antrag der Fraktion der SPD, der Fraktion Die Linke und der Fraktion Bündnis 90/Die Grünen Drucksache 18/1587
In der Beratung beginnt die Fraktion Bündnis 90/Die Grünen. Für die Fraktion spricht der Abgeordnete Herr Ziller. – Bitte sehr, Sie haben das Wort.
Vielen Dank, Frau Präsidentin! – Liebe Kolleginnen, liebe Kollegen! Diese Koalition setzt das Thema ITSicherheit immer wieder auf die politische Tagesordnung. Das ist gut so. Die Angriffe auf persönliche Daten von Kolleginnen und Kollegen, aber auch andere, haben uns gerade wieder vorgeführt, wie wichtig es ist, immer zu hinterfragen, ob das eigene Handeln und die Berliner ITSysteme noch zeitgemäß sind. Ausgangspunkt für Bündnis 90/Die Grünen ist dabei das Vorsorge- und Verhütungsprinzip. IT-Sicherheit darf kein reaktiver Vorgang auf schwerwiegende Sicherheitsvorfälle sein, sondern muss Vorfälle auf allen Ebenen antizipieren und mit ihnen einer umfassenden präventiven Strategie begegnen. Daher haben wir nach der Plenardebatte im Mai, Sie erinnern sich, und auch der Anhörung im Ausschuss nicht aufgehört, an dem Thema zu arbeiten. Im Gegenteil! Meine Fraktion hat zuletzt einen Maßnahmenkatalog zum Thema IT-Sicherheit beschlossen. Einen Teil unserer Vorschläge finden Sie in dem heute vorliegenden Antrag.
Wir sehen dabei verschiedene Aspekte für eine Berliner IT-Sicherheitsstrategie. Erstens: Die Netze müssen sicher sein. Zweitens: Wir brauchen eine Sicherheit für die Berliner Verwaltung. Wir müssen die Sicherheit der Berliner Wirtschaft in den Blick nehmen. Aber auch die
Sicherheit der Berlinerinnen und Berliner und die Sicherheit im Katastrophenfall erfordern individuelle Betrachtungen, um dem jeweiligen Anforderungsprofil gerecht zu werden.
Mit dem Antrag setzt sich die Koalition dafür ein, die Sensibilisierung auf allen Ebenen zu stärken. Regelmäßige IT-Sicherheitsübungen in der Verwaltung, ein Aktionstag für Netzausfall für Betreiber und Betreiberinnen kritischer Infrastruktur sind nur Beispiele. Wir wollen regelmäßig Anlässe geben, die Aufmerksamkeit für ITSicherheit in der gesamten Gesellschaft und an besonders gefährdeten Punkten zu stärken.
Genau! Da kann man ruhig einmal klatschen. Wir wissen, dass IT-Sicherheit in Berlin nur möglich ist, wenn alle ihren Beitrag dazu leisten. Eine Awareness-Strategie für Informationssicherheit für das Land Berlin ist daher Kern der Berliner IT-Sicherheitsstrategie. Nur durch eine nachhaltige Aufklärung und Sensibilisierung aller Mitarbeiter und Mitarbeiterinnen der Berliner Verwaltung kann ein hohes Maß an Informationssicherheit geschaffen und nachhaltig gesichert werden.
Veranstaltungen für Beschäftigte der Berliner Verwaltung sein, bei denen Spezialisten zeigen können, wie kriminelle Hacker gegen Informationssicherheit handeln. Ziel ist, auch mit ein bisschen Entertainment Gefahren aufzuzeigen und die Funktionsweise zu erläutern, denn Verständnis ist die Grundlage eines sensiblen Handelns. Um die Berliner IT-Systeme bestmöglich zu schützen, wollen wir auch auf den Sachverstand externer Sicherheitsexperten aus Universitäten, Forschungseinrichtungen und der freien IT-Szene zurückgreifen. Wie in Unternehmen inzwischen üblich, wollen wir im Land Berlin mit einem Bug-Bounty-Programm auch Erfahrungen sammeln. Wir wollen genau mit den vorher genannten Einrichtungen wie Berliner Universitäten schauen, wie wir die Berliner IT-Infrastruktur sicherer machen können.
Auch wenn wir bei dem Thema mit dem Antrag und der Priorität heute politische Aufmerksamkeit generieren, ist Berlin heute schon gut aufgestellt. Für die Umsetzung des E-Government-Gesetzes und den Weg in die digitale Verwaltung denkt der Berliner Senat Datenschutz und ITSicherheit konsequent zusammen. Das Mitdenken „by design“ der beiden Punkte wird sich künftig auch in den Vergabe- und Ausschreibungskriterien des Landes widerspiegeln. Das Berliner CERT arbeitet auf höchstem Niveau. Auch das ITDZ ist in Sachen IT-Sicherheit bereits gut aufgestellt.
Die IT-Sicherheit in Berlin setzt aber auch weiter auf konsequente Durchsetzung von Meldepflichten der Berliner Behörden an das ITDZ und das dort angesiedelte Sicherheitsteam. Anschließend daran wird eine Transparenz der Sicherheitsvorfälle benötigt, die im Rahmen des
Berichts oder einer Veröffentlichung auch im Rahmen von Open Data transparent werden. Daran müssen wir noch arbeiten. Das werden wir auch tun.
Zum Abschluss möchte ich mich noch bedanken, bedanken bei NGOs, Vereinen, Initiativen, die sich auch hier in Berlin der IT-Sicherheit und dem Schutz von Bürgerrechten angenommen haben. Ihre Arbeit ist weiter unerlässlich. Ohne den konsequenten Druck der Spezialisten und Spezialistinnen und Um-die-Ecke-Denker, beispielsweise des Chaos Computer Club, würden wir in einer deutlich prekäreren Situation sein. – Danke für eure Arbeit!
Für die Zukunft wünsche ich mir eine Debatte und Berlin als Standort für unabhängige Forschungseinrichtungen für IT-Sicherheit. Mit unseren Wissenschaftseinrichtungen, geplanten Beratungs- und Informationsstellen haben wir die Chance, uns mit Herkunft und Motivation der Angreiferinnen und Angreifer unabhängig von klassischen Feindbildern auseinanderzusetzen. Heute hängt ITSicherheit zu oft an privatisiertem Wissen. Wir brauchen nicht nur in Berlin, sondern überall, mehr öffentlichrechtliches Wissen und Know-how in diesem Bereich. Berlin kann und sollte hier zu einer Debatte anstoßen und gemeinsam mit unseren Freundinnen und Freunden in der Europäischen Union öffentliches Wissen zum Thema ITSicherheit fördern. Nur so können wir langfristig die Abhängigkeit von privaten Unternehmen aus allen Teilen der Welt reduzieren. Ich freue mich auf die Debatte im Ausschuss. – Vielen Dank!
Frau Präsidentin! Meine sehr verehrten Damen und Herren! Der hier zu beratende Antrag steht eigentlich am Ende unserer Tagesordnung. Ich finde es gut, dass die Grünen ihn zur heutigen Priorität gemacht haben, denn es geht um ein sehr wichtiges Thema, das vollkommen zu Unrecht ein Schattendasein führt. Es geht um Fragen der IT-Sicherheit in der Berliner Verwaltung.
Das Thema Datensicherheit wird insgesamt immer wichtiger. Neue Formen der Kriminalität und des Missbrauchs gewinnen mehr und mehr an Bedeutung. Begünstigt wird diese bedauerliche Entwicklung vor allem dadurch, dass es vielen wahrscheinlich, auch den meisten von uns, am notwendigen Problembewusstsein fehlt. Bereitwillig machen wir tagtäglich persönliche Daten öffentlich oder tauschen diese untereinander ohne jedwede Sensibilität aus. Damit machen wir uns alle aber persönlich angreif
bar. Die Hackerangriffe der jüngsten Vergangenheit haben das allen in erschreckender Weise noch einmal vor Augen geführt.
Um endlich mehr Problembewusstsein und mehr Sensibilität zu schaffen, brauchen wir mehr Debatten wie die heutige zum Thema Datensicherheit. Heute geht es konkret um IT-Sicherheit in der Berliner Verwaltung. Die Berliner Verwaltung befindet sich in einer Phase des digitalen Umbruchs. Schon in wenigen Jahren soll auch die Verwaltungswelt eine digitale sein. Mit dem EGovernment-Gesetz, das unter maßgeblicher Beteiligung der CDU-Fraktion erarbeitet wurde, haben wir die hierfür erforderlichen rechtlichen Rahmenbedingungen geschaffen. Ohne Datensicherheit wird die Umsetzung des EGovernment-Gesetzes in Berlin nicht erfolgreich sein. Die Stärkung der Datensicherheit soll mit dem vorliegenden Antrag vorangetrieben werden. Die im heutigen Antrag der Koalitionsfraktionen vorliegenden Ideen sind zwar überwiegend nicht neu, sie haben – das kann ich aber schon einmal vorwegnehmen – alle miteinander ihre Berechtigung.
Schon lange beschäftigen wir uns mit dem Thema in dem zuständigen Ausschuss, mit den Fragen des „Wie“ rund um die Datensicherheit, und gerne erinnere ich in dem Zusammenhang an unsere „digitale Agenda“ aus dem Jahr 2013, in der wir schon damals Datensicherheit Made in Germany gefordert haben. Auch haben wir – namentlich unser heutiger Fraktionsvorsitzender Burkard Dregger, dessen Kernanliegen es ja immer war, das E-Government-Gesetz zu machen – damals in der Beratung auf die Einsetzung eines Chief Information Security Officers gedrängt, was leider nicht konsensfähig war; vielleicht sollten wir das noch mal anpacken und auch hierüber erneut nachdenken.
Der vorliegende Antrag zielt nun auf eine stärkere Sensibilisierung der einzelnen Mitarbeiter für Fragen der Datensicherheit. Durch Live-Hacking-Veranstaltungen, Informationsübungen und die Einrichtung eines E-Learning-Systems sollen die bestehenden Risiken verinnerlicht werden. Das sind alles richtige und wichtige Angebote. Der Aufdeckung von Sicherheitslücken dienen der vorgeschlagene Ideenwettbewerb zu Sicherheitslücken und das Bug-Bounty-Programm, also einer Art Fehlerkopfgeld-Programm. Das finden wir auch gut – also lauter gute Sachen, die wir auch zeitnah umsetzen sollten.
Aber bei aller Zustimmung zu dem vorliegenden Antrag, den wir heute erst einmal in den KTDat überweisen, muss ich am Ende doch noch etwas Salz in die Wunde streuen. Denn noch wichtiger als innovative, neue Ideen wäre es, endlich Bewegung in die Bewältigung der aktuell schon anstehenden konkreten Aufgaben zu bringen. Hier würde ich mir wünschen, dass der Senat etwas Fahrt aufnimmt. Seit Juni 2016 gilt das E-Government-Gesetz in Berlin, und damit sind alle Voraussetzungen für eine Trans
formation der Berliner Verwaltung zu einer modernen, serviceorientierten Verwaltung geschaffen. Hierfür haben wir auch klare zeitliche Vorgaben gesetzt. Der Senat muss jetzt liefern. Aber da bin ich, glaube ich, nicht allein: Schon jetzt kommen da Zweifel auf.
Es muss aber absolute Priorität haben, dass auf jeden Fall die Einführung der E-Akte zum 1. Januar 2023 gelingt. Und das kann nur gelingen, wenn das Anliegen zentral verfolgt und auch durchgesetzt wird. Diese zentrale IKTSteuerung war und ist ja ein Kernstück des EGovernment-Gesetzes. Daher mein dringender Appell an die Verwaltung: Bleiben Sie dran, verlieren Sie keine Zeit! Wir werden darauf achten, Sie wissen, wir sind ganz konstruktiv dabei, aber irgendwann muss natürlich auch etwas passieren.
Aber heute überweisen wir erst einmal im Konsens diesen Antrag der Koalition in den Fachausschuss; wie gesagt, aus meiner Sicht sind das alles gute Ideen. Wenn überhaupt, kann ich dem Antrag eigentlich nur zwei Kritikpunkte entgegenstellen. Erstens: Er kommt von der Koalition.
Und zweitens: Er enthält sieben – ich habe es genau gezählt – dieser unsäglichen Gendersternchen. Beides soll aber einer konstruktiven Fachdebatte aus meiner Sicht nicht entgegenstehen. Ich freue mich darauf. – Vielen Dank!
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Lieber Kollege Lenz! Ich könnte es mir einfach machen und sagen, wenn die CDU von unserem Antrag begeistert ist, dann ist ja fast nichts mehr hinzuzufügen, außer, wenn es an den Gendersternchen hängt. – Großartiger Antrag, Dank an die Kollegen von R2G, dass wir das heute hier beraten. – Die Herausforderung für die ITSicherheit ist ja bekanntermaßen nicht die IT-Sicherheit selbst, sondern das sind die Menschen. Und wenn ich mich hier so im Saal umschaue, stellt man fest, dass das Interesse an IT-Sicherheit ja relativ gering ist. Das kann nun daran liegen, dass ein Großteil der Männer hier sitzen, während draußen die Frauen den Feiertag feiern.
Das soll keine Kritik sein, das soll lediglich zeigen, dass sich darin widerspiegelt, was man halt in der Gesellschaft sieht, und dazu zählt auch die Verwaltung: dass nämlich die Digitalisierung immer weiter voranschreitet, die Sicherheit dabei aber nicht mitgedacht wird.
In anderen Ländern, in Amerika zum Beispiel, wird ITSicherheit viel weiter gedacht, weil man da auch andere Probleme hat, über die wir in Berlin dankenswerterweise nicht diskutieren müssen. Da gab es Angriffe auf Atomkraftwerke und Staudämme usw., die haben wir in Berlin nicht, insofern sind die Probleme, die wir damit haben, relativ überschaubar.
Trotzdem ist es so, dass es selbstverständlich – und das hat man bei diesen Politikerhacks ja gesehen, wie einfach es ist, viele Daten abzugreifen – nicht undenkbar ist, sogar hochwahrscheinlich, dass auch die Berliner Verwaltung täglich Angriffen ausgesetzt ist. Und wenn man die IT-Sicherheitsberichte liest, ist dem ja auch so. Dankenswerterweise – entweder haben wir Glück gehabt als Land Berlin oder es liegt daran, dass wir ein großartiges ITDZ haben, darüber streiten sich ja die Geister – ist es bisher nicht zu einem Angriff auf die Berliner Verwaltung gekommen, der tatsächlich relevante Auswirkungen hat. Aber es ist nicht auszudenken, was passieren würde, wenn personenbezogene Daten aus der Berliner Verwaltung in der Öffentlichkeit auftauchen, wenn zum Beispiel Smart-City-Geräte in der Innenstadt angegriffen würden, wenn Ampelanlagen ferngesteuert würden usw. usf.; über diese Fragen reden wir hier im Abgeordnetenhaus relativ selten, weil sie für uns weit weg erscheinen.