Insofern ist der Antrag der richtige Schritt, den wir hier unternehmen, zu sagen, wir müssen dort ansetzen, wo tatsächlich die meisten Fehler passieren, und das sind nun mal leider die Menschen. Das sind die Mitarbeiterinnen und Mitarbeiter der Berliner Verwaltung, die wir sensibilisieren müssen dafür, bei der IT-Sicherheit weiter zu denken, über den heutigen Tag hinaus zu denken. Dazu zählen solche modernen Sachen für die Berliner Verwaltung wie Live-Hacking-Veranstaltungen, der Kollege Ziller hat dargestellt, was das sein soll. Das ist mittlerweile völlig üblich bei Unternehmen, bei der Berliner Verwaltung – und das ist überhaupt kein Vorwurf – gibt es da durchaus Nachholbedarf, ebenso wie beim Wettbewerb über Schwachstellen. Da kann man jedenfalls ein bisschen aus dem Nähkästchen plaudern.
Es gibt ja durchaus eine Diskussion darüber, ob Mitarbeiter Schwachstellen aufdecken sollen oder nicht. Dahinter steht nämlich die Frage, ob man die Mitarbeiter dazu motivieren würde, nicht rechtmäßig zu arbeiten, sondern dazu, Sicherheitslücken zu suchen, und die würden quasi zu Hackern werden. Ich finde es großartig, wenn ein Mitarbeiter, der während seiner Arbeitszeit eine
Schwachstelle findet, diese entsprechend meldet, damit die beseitigt wird. Ich finde eine Mitarbeiterin oder einen
Mitarbeiter großartig, die oder der genauer hinschaut, wenn sie ein Programm bedient oder wenn sie irgendwelche E-Mails bekommt oder mit IT arbeitet und dabei eine Schwachstelle findet. Das hat wenig mit Hackern zu tun. Insofern kann ich mir da durchaus noch ein bisschen mehr vorstellen, als jetzt in diesem Antrag steht, weil das, was heute in kleinen, großen oder mittelständischen Unternehmen State oft the Art ist, auch im Land Berlin State oft the Art sein kann. – Ein insgesamt guter Antrag, ich freue mich auf die Diskussion im Ausschuss und freue mich, dass der Kollege Lenz die Zustimmung signalisiert hat. – Herzlichen Dank!
Vielen Dank, Frau Präsidentin! – Meine Damen und Herren! Es ist ja nicht alles falsch, was da drinsteht.
Auch wir wünschen uns eine IT-Sicherheitsstrategie für die Berliner Verwaltung. Aber es kommt halt ganz schön großspurig daher. – Herr Kohlmeier! Sie hatten ja eben ausgeführt, es ginge immer nur um die Menschen. Ich vermisse da zum Beispiel den Aspekt der Hardware, der kommt überhaupt nicht vor. Aber gut. – Wir haben also ein IT-Sicherheitskonzept von den Senatsparteien, und da stehen fünf Punkte drin. Fünf Punkte, wo ich bei vieren das Gefühl hatte, das hast du doch schon mal gelesen, in dem Antrag von der FDP. Zum Cyber-Führerschein für die Berliner Verwaltung wird sicherlich der Kollege Schlömer gleich noch was sagen. Da frage ich mich schon, ist Ihnen dazu nicht mehr eingefallen? Was Sie da machen wollen, das sind diese Live-Hacking-Events. Das mag bei dem einen oder anderen ein Umdenken auslösen, aber ich fürchte, da könnten Sie den Mitarbeitern der Berliner Verwaltung auch sagen, sie sollen sich mal einen „Tatort“ anschauen, in dem es um Computerkriminalität geht; das hat einen gewissen Unterhaltungswert, aber es wird relativ wenig bewirken, denn jedes Szenario, jeder Hack ist auch anders. Niemand kann sich nach so einem Live-Hacking-Event vorbereiten auf die Situation in seiner Behörde.
Dann das andere, das Bug-Bounty-Programm: Da sagen Sie ja, wir haben da jetzt Fehler in der Software gefunden, eine Sicherheitslücke, und da wird ein Dritter, den wir beauftragt haben, das rauszufinden, der wird bezahlt, der bekommt eine Prämie mit dem Geld, das wir dem Softwarelieferanten wegnehmen. Das haben wir also vorher alles schon vertraglich so vereinbart, oder wir
klagen das jetzt ein. Da sage ich Ihnen: Das ist gut gemeint, aber das wird so nicht funktionieren. Denn so eine Sicherheitslücke in einem Computernetzwerk ist doch nie nur monokausal, oder nur in den seltensten Fällen. Meistens sind es doch irgendwie strukturelle Defizite, es gibt ein bestimmtes Programm, und das ist fehlerbehaftet – aber nur dann, wenn ein bestimmter Prozessor eingesetzt wurde oder der Administrator bei der Installation einen Fehler gemacht hat oder wenn jemand von einem fremden Browserfenster, von draußen darauf zugreift, dann entsteht plötzlich ein Sicherheitsloch. Und da wollen Sie sagen, es ist immer der Hersteller der Software zuständig? Das wird, glaube ich, so nicht funktionieren. Da werden Sie dann ständig Ausflüchte hören, so wie von Ihrem grünen Justizsenator, wenn dem wieder jemand aus der JVA ausgebüxt ist, da hat er ja auch immer tausend Gründe parat, warum das jetzt gerade passieren musste. Genau so werden die Hersteller der Software dann sagen, ach, das ging nicht, da ist der Administrator schuld, da sind die und die dran schuld. Da sehe ich eine Menge Prozesse auf die Stadt Berlin zukommen, deswegen befürchte ich, das wird nicht funktionieren. Und am Ende müssen Sie dann mit Ihrem Lastenfahrrad bis ins Silicon Valley fahren, um noch jemanden zu finden, der Ihnen eine Software macht, weil das hier in Berlin keiner machen wird.
Deswegen frage ich mich noch mal: Ist das wirklich alles, was Ihnen eingefallen ist? Ich hoffe, da kommt noch mehr. – Vielen Dank!
Frau Präsidentin! Meine Damen und Herren! Lieber Kollege! Das ist ein Antrag, der die Sicherheitsstrategie des Landes weiterentwickeln soll, und nicht einer, der die Sicherheitsstrategie des Landes ist. Wenn Sie sich mal im Internet informiert hätten – auf der Seite des Senats –, dann würden Sie ein ganzes Rahmenleitprogramm finden mit diversen Unterverästelungen über die Sicherheitsstrategie im IT-Bereich, die das Land hat. Wir haben hier einen bestimmten Schwerpunkt gesetzt. Wenn wir sehen, dass sich Teile unseres Lebens zunehmend in die digitale Welt verlagern, dann hat uns die Doxing-Attacke, unter der wir ja auch als Abgeordnete zu leiden hatten, doch noch mal sehr aufgeschreckt. Sie dürfte auch dem Letzten hier im Haus klargemacht haben, dass IT-Sicherheit kein Thema für Nerds und für Freaks ist, sondern die Grundvoraussetzung dafür, dass wir die Vorteile der Digitalisierung überhaupt nutzen und weiterentwickeln können.
Wenn es nicht sicher ist, dann werden wir auch die Bürgerinnen und Bürger nicht dazu kriegen, E-Government umzusetzen und Dinge im Internet zu tun, mit den Verwaltungen gemeinsam. Sicherheit im digitalen Raum ist daher ein gesellschaftspolitisches Thema, zu dem wir alle beitragen müssen und alle beitragen können.
Wenn ein 20-Jähriger mit mangelnden IT-Kenntnissen, der die Daten aus dem Darknet zusammengeklaut hat, die Politik derart in Aufruhr versetzen kann, möchte man sich gar nicht vorstellen, was echte Profis hier anrichten. Verschiedene Forschungseinrichtungen haben mal die Szenarien für großflächige Angriffe auf unsere öffentliche ITInfrastruktur durchgespielt. Das Ergebnis ist: Lange andauernde Stromausfälle und die Kappung von Internetzugängen würden humanitäre Katastrophen in ungeahntem Ausmaß nach sich ziehen. Dabei sind Krankenhäuser nur ein Beispiel, Banken ein anderes. Ich glaube, wir alle können uns das ungefähr vorstellen.
Die Verwaltung Berlins allerdings ist im Bereich Sicherheit trotz der noch recht zersplitterten IT-Landschaft schon ziemlich gut aufgestellt. Das muss man auch sagen, und Kollege Ziller hat es auch schon erwähnt. Wir sind bisher relativ unbeschadet durch die ganzen Attacken und Angriffe gekommen. Das liegt u. a. daran, dass wir im Land Berlin anders als andere Kommunen und Länderverwaltungen z. B. keine veralteten XP-Rechner mehr am Netz haben. Das war nämlich einer der Gründe, warum „WannaCry“ damals so erfolgreich war. Die Angriffsstelle war das Betriebssystem Windows XP. Die Infrastrukturen der Berliner IT sind vom Bundesamt für Sicherheit in der Informationstechnik – BSI – zertifiziert, und dafür sind eben auch maßgeblich die Kolleginnen und Kollegen des vielgescholtenen ITDZ verantwortlich. Das möchte ich hier auch noch mal erwähnen. Den Kolleginnen und Kollegen dort, die unter schweren Bedingungen arbeiten und unter Personalmangel zu leiden haben wie alle ITStellen des Landes, möchte ich noch mal ausdrücklich dafür danken.
Wir haben z. B. im Land Berlin Innen- und Außennetz geteilt. Das ist eine Maßnahme, die wir recht frühzeitig gemacht haben und die z. B. der Bundestag in der Form nicht gemacht hat, weswegen er auch so leicht angegriffen werden konnte. Aber auch in der Umsetzung des EGovernment-Gesetzes nimmt die IT-Sicherheit einen Schwerpunkt ein. Zehn Prozent der immensen Investitionskosten für neue Rechner und neue Server, für Software und neue Prozesse werden in die IT-Sicherheit gesteckt. Das ist ein riesiger Betrag, wenn man sich das mal ausrechnet. Wir geben dreistellige Millionenbeträge für die Umsetzung des E-Government aus, und auch für die IT-Sicherheit kommt dabei einiges rum.
Bei der IT-Sicherheit geht es allerdings nicht nur um schützende Technologie, sondern vor allem um das Verhalten von Nutzerinnen und Nutzern. Das größte Risiko – das hat Kollege Kohlmeier auch gerade angesprochen – befindet sich allzu oft direkt zwischen Bildschirm und Bürostuhl. Wenn die Menschen in unseren Verwaltungen, die zunehmend digital interagieren werden, sich der Gefahren und Risiken ihres Verhaltens nicht bewusst sind, wenn sie im Falle von Bedrohungen und Angriffen falsch reagieren, dann nützt auch die beste Technik nichts. Dieses Beispiel haben wir auch beim Doxing – auch wir Abgeordnete – immer wieder erlebt. Daher müssen sowohl die Technologie als auch die Kompetenzen der Kolleginnen und Kollegen vor den Bildschirmen kontinuierlich weiterentwickelt werden.
Insbesondere Letzteres steht jetzt im Mittelpunkt unseres Antrags. Wir wollen, dass der Ernstfall geprobt wird. Das kam in der Anhörung raus: Wir wissen nicht, was passiert, wenn wir nicht mal den Ernstfall durchspielen. Was passiert, wenn ein Trojaner oder eine DDoS-Attacke in unsere Verwaltungsnetzwerke einbricht, müssen wir dann eben auch mal durchspielen. Wie werden Beschäftigte reagieren, wenn sie Datenabflüsse oder Schäden in Netzwerken feststellen? – Das ist genau der Punkt, wo sich dann auch Beschäftigte mal auf den Prüfstand stellen lassen müssen und sehen müssen: Was können sie? Welche Kompetenzen haben sie? – Genau da setzt unser Antrag an.
Am Schluss möchte ich noch eine besondere Bemerkung machen, und zwar angesichts der Debatten um „WannaCry“ oder auch angesichts der Debatten um Staatstrojaner: Öffentliche Stellen sollten Treiber der Sicherheit sein und nicht Treiber der Unsicherheit. Das finde ich ganz entscheidend.
Wenn wir hier über IT-Sicherheit reden, dann geht es darum, dass wir keine Hintertürchen einbauen dürfen. Der „WannaCry“-Angriff etwa nutzte eine Schwachstelle aus, die die NSA entdeckt und mittels digitaler Instrumente auch genutzt hatte, um auf XP-Rechner einzudringen, und diese Instrumente des Geheimdienstes gelangten später in die Hände von Kriminellen, die damit Krankenhäuser und Flughäfen lahmlegten und Geld erpresst haben. Wenn wir also hier im Parlament über IT-Sicherheit reden, sollten wir für Sicherheitsbehörden oder für Geheimdienste keine Hintertürchen offenlassen, sondern Sicherheit dann auch umfassend denken und alles schließen, alles sicher machen und insbesondere die Beschäftigten schulen. – Danke schön!
Sehr verehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Lassen Sie mich zum vorliegenden Antrag einmal die Perspektive der Freien Demokraten auf das Handlungsfeld der Informationssicherheit darstellen. Natürlich sind wir uns sehr schnell einig, dass die regelmäßige Sensibilisierung aller Berliner Beschäftigten in den Berliner Behörden hilft. Zeitgemäße und verpflichtende Sensibilisierungs- und Schulungsprogramme, auch praktische Übungen, die Sie vorschlagen, führen nicht nur zu einer Erhöhung der allgemeinen Informationssicherheitskompetenz, sondern der Senat und die Berliner Politik insgesamt können damit auch nachweisen, dass die Sensibilisierung aller Beschäftigten für Missbräuche und Risiken der Digitalisierung auf hohem Qualitätsstandard folgt und ständig angepasst wird.
Studien zeigen sehr eindrucksvoll, dass durch regelmäßige Schulungen im Bereich der Informationssicherheit und des persönlichen Datenschutzes einem Großteil von Angriffen und Attacken präventiv und erfolgreich begegnet werden kann. Die Beschäftigten müssen wissen, wie sich Gefährdungen der Digitalisierung auf alle Lebensbereiche auswirken können, denn je mehr sie sich damit auskennen, desto eher akzeptieren sie die entsprechenden Sicherheitsmaßnahmen. Wenn alle Beschäftigten im Rahmen einer solchen Awareness regelmäßig erkennen und akzeptieren, dass sie selbst ein bedeutender und notwendiger Faktor für den Erfolg der Behördenarbeit in den Berliner Verwaltungsbereichen sind, werden sie sehr gerne bereit sein, Sicherheitsmaßnahmen auch wirkungsvoll zu unterstützen.
Hier gehen wir sehr gerne mit, aber Herr Kollege Gläser hatte es schon angeführt: Letztendlich hätten Sie auch ganz einfach unserem Antrag aus dem Jahr 2017 zustimmen können, der genau diese Komponenten einfordert. Das haben Sie leider nicht getan.
Eine IT-Sicherheitsstrategie für die Berliner Verwaltung legen Sie hier aber nicht vor. Das muss auch allen klar sein. Ich sehe keine klaren Regeln und keine neuen Grundsätze für die Herstellung, Überwachung und Gewährleistung der Informationssicherheit in den Berliner Behörden. Ich würde mir auch darüber hinaus wünschen, dass wir über Informationssicherheit und nicht einfach über IT-Sicherheit sprechen. Ich sehe z. B. keinen Aufruf und keine Vorgabe an den Senat, die Grundsätze zur Gewährleistung der notwendigen Sicherheit beim ITEinsatz in der Berliner Verwaltung, einem Papier aus
dem Jahr 2007 – da waren Apps noch echtes Neuland, mobile Endgeräte unbekannt –, einmal anzupassen. Ich sehe hier kein Konzept für die rechtliche, organisatorische, personelle und technische Gewährleistung der Informationssicherheit für Berlin. Sie haben keine Strategie vorgelegt.
Ich sehe insgesamt auch keine Fortschritte bei der Umsetzung des Berliner E-Government-Gesetzes. Ich sehe keine Ziele, keine Prioritäten, kein Risikocontrolling und keine Ideen. Wir alle müssen damit rechnen, dass das EGovernment-Gesetz nicht zeitgerecht umgesetzt wird. Sie fordern Wettbewerbe, die nur etwas für Feinschmecker sind. Schwächen sollten von allen Berliner Beschäftigten von sich aus gemeldet werden, und das sollte nicht durch einen Antrag gefordert werden.
Sie möchten Entwicklungsprogramme in Zusammenarbeit mit der Forschung einführen, ohne aber über deren echte Einführung zu debattieren und ein Lösungskonzept vorzuschlagen. Das reicht uns nicht. Darüber würden wir gerne noch einmal im Ausschuss reden. – Vielen Dank!
Weitere Wortmeldungen liegen nicht vor. Es wird die Überweisung des Antrags der Koalitionsfraktionen an den Ausschuss für Kommunikationstechnologie und Datenschutz empfohlen. – Widerspruch dazu höre ich nicht, und dann verfahren wir so.
Keine Gesinnungskontrolle bei Kitaeltern – Verwendung und Verbreitung der Broschüre „Ene, mene, muh – und raus bist du!“ der Amadeu-Antonio-Stiftung in staatlichen Kitas untersagen!
Frau Präsidentin! Meine Damen und Herren! Die Broschüre „Ene mene muh – und raus bist du!“, herausgegeben von der Amadeu-Antonio-Stiftung, erhebt den Anspruch, die frühkindliche Bildung demokratisch zu gestalten und an Kinderrechten zu orientieren. Stattdessen leitet sie jedoch Erzieher dazu an, die politische Gesinnung der