Zu den Behörden sage ich aber trotzdem kurz etwas: Die Behörden sind im Prinzip IT-mäßig gut aufgestellt. Das Cyber Defence Center und das Computer Emergency Response Team beim IT-Dienstleistungszentrum sorgen dafür, dass alle Behörden geschützt werden.
Die Cyber-Sicherheit in den Behörden ist auf aktuellem Stand. Wenn Sie sich an Ende letzten Jahres erinnern – das ist ein aktuelleres Beispiel –, „Log4j“: Das war eine kritische Sicherheitslücke in einer Java-FrameworkStruktur. Das hat Berlin am Ende gar nicht betroffen. Warum nicht? – Der Stresstest ist gut verlaufen, die Verantwortlichen haben prima gehandelt, die haben die entsprechenden Server rechtzeitig abgeschaltet, die Alarmsignale sind angegangen. Das ist praktisch ohne jegliche Spätfolgen für Berlin abgelaufen. Ich hatte zwar Zweifel daran und habe mir das schicken lassen, indem ich eine Kleine Anfrage gestellt habe. Berlin ist praktisch sauber da durchgekommen.
Genauso sauber geht es bei den größeren Unternehmen zu, denn die müssen nicht nur irgendwelchen BSIEmpfehlungen folgen, es gibt sogar ein Bundesgesetz, das heißt BSI-Gesetz, und daran halten sich die Berliner Unternehmen, auch die, die zur kritischen Infrastruktur gehören – Finanzen, Gesundheit, Versorgung und Transportwesen. Sie haben vorhin die BVG angesprochen, Herr Förster. Die BVG hält sich nach einigem Hin und Her, geben wir es zu, auch an die BSI-Vorgaben und handelt nach dem BSI-Gesetz.
Insofern ist die Frage, was wir aus dem Antrag weiter entnehmen können. Ich sage: Gar nichts, denn zum Beispiel die Stelle, die Sie einrichten wollen, ist kontraproduktiv. Sie würde sich in die Landesbetriebe einmischen. Das darf sie gar nicht, das wäre Wettbewerbsverzerrung. Es gibt europäische und nationale Gesetze, vor allem wettbewerbsrechtlicher Art, dass Berlin im Senat gar keine Stelle hat und haben darf, die praktisch die Infrastruktur von den Betrieben beobachten und kontrollieren darf. Außerdem macht es das BSI regelmäßig selber.
Andersherum: Ich sage Ihnen, was wir machen können. Wir können abschließen mit dem Satz von Ihrem altvorderen kleinen großen CDU-Mann, der leider nicht mehr da ist: Die IT in Berlin ist sicher.
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Die CDU-Fraktion kann Pressemitteilungen lesen. Der CDU-Fraktion ist auch die Pressemitteilung des BSI aufgefallen, und da hat die CDU gleich mal gesagt: Daraus machen wir gleich mal einen parlamentarischen Antrag und am besten sogar noch als unsere Priorität.
Besonders viel ist Ihnen anscheinend nicht eingefallen, aber immerhin. Der Antrag ist grundsätzlich richtig und zu unterstützen, denn wer ist nicht für mehr ITSicherheit, und wer möchte sich nicht schützen vor Zugriffen aus ausländischen Staaten? Der Antrag der CDU fällt sonst inhaltlich relativ dünn aus und dürfte daher eher als ein Schaufensterantrag zu betrachten sein.
Dennoch möchte ich die Gelegenheit nutzen, ein paar weitere Punkte einzubringen. Zum Kollegen Lehmann: Ich fand Ihre Aussage relativ mutig, zu sagen, dass so etwas wie am Kammergericht in Berlin nie wieder passieren wird. Da bin ich gespannt, was in den nächsten Jahren hier noch so passiert. Ich fand auch Ihre Aussage sehr mutig, dass Sie ausschließen können, dass Kaspersky als Virenprogramm in den Berliner Landesbehörden genutzt wird. Ich muss sagen, ich weiß es nicht, und, ehrlich gesagt, habe ich auch noch keine Quelle bisher gelesen, wo drin stand, dass es nicht genutzt wird. Insofern finde ich das schon sehr interessant. Da kann der Senat hoffentlich bald Aufklärung beibringen. Wir werden es sehen.
Wenn es aber um das Thema Cyberangriffe in der Berliner Landes-IT geht, sollte man die wichtigsten Einfallstore für Schadsoftware und Angriffe betrachten. Da gibt es aus unserer Sicht vier Bereiche, die vordergründig relevant sind. Das sind E-Mails mit kontaminierten Dateianhängen, mangelhaft abgesicherte implementierte Schnittstellen zum Beispiel in Webservern oder anderer
Software, unbefugte Durchgriffe auf interne Netzwerkinfrastrukturen und – ja, das sollte man auch abseits von Virenscannersoftware aus Russland im Kopf behalten – Fachverfahrensoftware, die das Land Berlin von Dienstleistern angeliefert bekommt und gutgläubig betreibt.
Nehmen wir mal das Thema mit den vergifteten E-Mails über die sogenannte Ransom-Software, die in Computer eingeschleust werden. Natürlich kann man E-Mails auf Schadsoftware scannen, es bringt aber keine hundertprozentige Sicherheit. Besser wäre es, von vornherein EMail-Programme einzusetzen, bei denen der Anwender nicht versehentlich kontaminierte Dateien öffnet. Eine Lösung würde schlicht und einfach darin bestehen, kein volles Microsoft Office mehr einzusetzen, sondern beim Öffnen der E-Mail Anhänge lediglich vereinfachte Dokumentenanzeigeprogramme aus der Open Source zu verwenden. Die führen nämlich keine Makros aus, und dann gehen zumindest solche Angriffe schon mal ins Leere. Das hätte dann auch 2019 dem Berliner Kammergericht eine Menge Ärger erspart,
denn mit einer solchen bösartigen E-Mail ging das damals alles los. Ja, wenn Herr Lehmann sagt: J-log, „Log4j“, das hat man alles so gut hinbekommen –, dann war das reines Glück in Berlin. Berlin hat nämlich relativ wenig Überblick über die Einzelkomponenten, die in seinen Fachverfahren enthalten sind, und auch da wäre es durchaus sinnvoll, mal eine Übersicht von den jeweiligen Softwarelieferanten zu erstellen.
Ein Thema, wo wir im Land Berlin auch noch Handlungsbedarf sehen, ist das interne Netz in den Recherchezentren des ITDZ. Wir haben zwar die komfortable Situation dahingehend, dass das ITDZ eine leistungsfähige und wirksame Firewall nach außen betreibt, aber innerhalb des Rechenzentrums ist es uns nicht bekannt, dass hier irgendwelche weiteren Absicherungen zwischen den verschiedenen Servern bestehen. Das heißt, man müsste wie bei Brandschutzmauern auch die Fachverfahrenserver untereinander abdecken.
Jetzt sehe ich, meine Redezeit ist schon zu Ende. Mit Sicherheit werden wir im Ausschuss eine Menge darüber reden können, auch auf fachlicher Ebene. Wir würden dem Antrag aber wahrscheinlich grundsätzlich zustimmen, auch wenn er wenig Inhalt beinhaltet. – Vielen herzlichen Dank!
Frau Präsidentin! Liebe Kolleginnen und Kollegen! – Vielen Dank an die CDU, dass wir heute über das Thema IT-Sicherheit sprechen dürfen. Ich möchte dies zu Beginn nutzen, um Sie alle aufzufordern, Ihren persönlichen Umgang mit Ihrem Onlineleben zu prüfen. Schauen Sie, wo Sie zum Beispiel Zwei-Faktor-Authentifizierung nutzen können, und achten Sie gerade in diesen Zeiten darauf, auf welche Links in welchen Mails Sie klicken. Damit leisten Sie einen Beitrag, es potenziellen Angreiferinnen und Angreifern nicht zu leicht zu machen. Damit tun Sie dann vermutlich auch mehr als der Antrag, der uns hier vorliegt.
Der Antrag zeigt, wie hoch das Verständnisdefizit beim Thema Digitalisierung und IT-Sicherheit ist. Um es ganz klar zu sagen: Das betrifft leider viele, und wir haben oft Glück. Der Kollege von der SPD hat es bereits deutlich gemacht. Die Forderungen an den Senat und das Land Berlin sind rechtlich kritisch zu sehen, denn kritische Infrastruktur wird seit Jahren bereits vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie vom BSI betreut. Durch die KRITIS-Verordnung des Bundes sind bereits neun Sektoren verpflichtet, Kontakte für ITSicherheit zu benennen, IT-Vorfälle zu melden und die IT auf dem Stand der Technik zu haben. Da gibt es im Internet so bunte Bilder. Vielleicht kann sich die CDUFraktion die mal angucken und sich ein bisschen näher mit dem Thema IT-Sicherheit beschäftigen. KRITIS ist die Abkürzung für kritische Infrastrukturen. Unter diese Klassifizierung von Infrastruktur fallen Einrichtungen, Organisationen, die für das Gemeinwesen von hoher Bedeutung sind und deren Ausfall schwerwiegende Folgen für die Gesellschaft und die staatliche Ordnung haben. KRITIS-Betreiber müssen Mindestanforderungen an IT-Sicherheit erfüllen, die unter anderem im ITSicherheitsgesetz geregelt sind.
Ein Wort noch zur BVG: Es ging nicht darum, ob die BVG kritische Infrastruktur ist. Es gab eine Detaildiskussion, ob es irgendwelche einzelnen Haltestellen sind, wo Busse halten. Es war unstrittig, dass die BVG kritische Infrastruktur ist, und die BVG hat zu jedem Zeitpunkt die KRITIS-Verordnung eingehalten.
Aber auch in Berlin machen Senat und ITDZ die Hausaufgaben. Wir haben eine Stelle im Land, welche die ITSicherheit ganz besonders im Blick hat, das CERT, das Einsatzteam für die Berliner Cybersicherheit. Dafür haben wir bereits im E-Government-Gesetz, das gilt jetzt auch schon ein paar Jahre, die Rolle der Landesbeauftragten für die Informationssicherheit geschaffen. Die Koalition hat auch im Koalitionsvertrag vereinbart, darauf
noch mal einen Schwerpunkt zu legen und eine umfassende IT-Sicherheitsstrategie zu erarbeiten, die Gefahren für Bürgerinnen und Bürger, Verwaltung, Demokratie, Wirtschaft und Infrastruktur gemeinsam berücksichtigt. Wir wollen da noch einen Schritt weitergehen. Das haben wir uns vorgenommen. Der Anlass ist, glaube ich, gut, da dranzubleiben und das schnell zu machen.
Eine Frage werden wir sicherlich besprechen müssen, nämlich wie weit wir die Rolle der Landesbeauftragten noch mal stärken können, und wir werden auch über den Grad der Unabhängigkeit zu sprechen haben. Das ist etwas, was wir dann im Ausschuss sicherlich vertieft tun sollten.
Auch die Berliner Wirtschaft hat die Koalition im Blick. Wir unterstützen insbesondere kleinere und mittlere Unternehmen bei der digitalen Transformation. Die Digitalagentur wird dazu extra um das Themenfeld IT-Sicherheit ausgebaut. Das ist für kleine und mittlere Unternehmen eine ganz wichtige Aufgabe, weil sich nicht jede kleine Firma IT-Spezialkräfte leisten kann.
Zur Wahrheit gehört auch, dass wir in den nächsten Jahren vor allem ein Problem haben, und das sind ITFachkräfte. Vielleicht haben Sie dazu ergänzende Ideen und Vorschläge für die Debatte im Ausschuss. In Ihrem Antrag konnte ich da leider nichts finden. Insofern leistet er an dieser Stelle auch keinen Beitrag zur IT-Sicherheit.
Spannend finden wir auch den Vorschlag der Etablierung eines Cyberhilfswerks und die Stärkung von zivilem Engagement, wie es beispielsweise die AG KRITIS vorgeschlagen hat. Auch das steht nicht in Ihrem Antrag, aber vielleicht könnte man darüber aus Anlass des Antrags im Ausschuss reden. Hier wäre Berlin mit seinen Wissenschafts- und Forschungseinrichtungen sicherlich ein guter Standort. Sachsen-Anhalt scheint da bereits erste Schritte gemacht zu haben, vielleicht kann Berlin da ja mitmachen. Insofern freue ich mich auf die Debatte im Ausschuss. Vielleicht können wir ja den Antrag so qualifizieren, dass er einen Beitrag zu mehr IT-Sicherheit leistet. – Vielen Dank!
Frau Präsidentin! Meine Damen und Herren! Liebe CDU! Lieber Herr Förster! Bei aller Wertschätzung, das Beste an diesem Antrag, das ist ja schon angeklungen, sind die Überschrift und das Thema. Das Thema IT-Sicherheit ist
ein wichtiges, denn das ITDZ hat im Jahr 2020 an jedem Tag 1,7 Millionen Angriffe auf die Berliner ITInfrastruktur festgestellt. Woher weiß man das? – Man weiß das aus dem IT-Sicherheitsbericht vom 10. Januar 2022, Drucksache 19/0124, wo explizit auf die vorhandenen Anstrengungen des Berliner Senats zur IT-Sicherheit eingegangen wird. Der IT-Sicherheitsbericht ist seit 2015 von diesem Haus beschlossen und enthält spannende Informationen. Diese Informationen wären sicherlich auch bei der Frage dienlich gewesen, wie man einen solchen Antrag formuliert und von welcher Grundlage man ausgeht, um entsprechende Forderungen an den Berliner Senat zu formulieren.
Die formellen Schwierigkeiten, dass sich die Begründung nicht im Antragstext wiederfindet, hat Herr Lehmann ja schon aufgezeigt. Es sind noch andere Schwächen vorhanden, aber das können wir zum Anlass nehmen, um das zu thematisierten, was tatsächlich getan werden muss.
Sicherheitscontrolling im Land Berlin, im Wege eines Ampelcontrollings. Auf Anfrage der FDP aus der letzten Plenarsitzung hatte das Frau Senatorin auch schon ausgeführt. Dieses Ampelcontrolling gibt es in Rot, Gelb oder Grün, je nachdem wie die Gefährdung so aussieht. Allerdings, Herr Lehmann, das muss ich auch der SPD ins Stammbuch schreiben, ist es keineswegs so, dass deshalb, weil man ein Ampelcontrolling hat, auch alles im grünen Bereich ist – keineswegs. Ich darf mal aus der Zusammenfassung des IT-Sicherheitsberichts zitieren. Dort heißt es, dass
die Werte überwiegend weiter im roten Bereich zu finden sind. (…) Besonders große Defizite sind bei den finanziellen und personellen Ressourcen zu verzeichnen, sowie im Notfallmanagement. Dies zeigt die Auswertung der Zulieferung der Behörden, wonach 87,23 Prozent der Behörden nicht genügend finanzielle und personelle Ressourcen besitzen.