Tatsache ist, dass ein Schaden von insgesamt rund 30 Milliarden DM entstanden ist, und zwar hauptsächlich wegen verlorener Arbeitszeit. Frau Kollegin Gote, wenn Sie in dem Zusammenhang die Verantwortungslosigkeit der Staatsregierung in Bayern – so haben Sie es ausgedrückt – ins Feld führen, kann ich nur sagen: Das ist ein gewaltiges Eigentor. In einem Punkt haben Sie allerdings Recht: Das jetzt zur Diskussion stehende Thema ist nicht nur etwas für Dringlichkeitsanträge hier im Bayerischen Landtag, sondern sollte weltweit Beachtung finden. Die G-8-Regierungschefs sind dazu aufgerufen, bei ihrem Treffen in Paris zum Thema „Sicherheit und Vertrauen im Cyberspace“ Stellung zu nehmen. Das alles hat seinen Grund. Denn das Thema ist sehr differenziert zu betrachten.
Immer wieder dringen Hacker in so genannte gesicherte Computersysteme ein. Eine der spektakulärsten Aktionen war wohl das Eindringen in die Systeme des Pentagon. Aufsehen erregen auch Vorfälle bei Firmen, die in Insiderkreisen sehr angesehen sind, etwa die Betreiber der Suchmaschine Yahoo. Wenn es fast schon zur Tagesordnung gehört, dass die Bestände an vertraulichen Daten großer Firmen kopiert und Passwörter geknackt werden, kann man wirklich nicht sagen, das sei ein Problem von Microsoft-Anwendungen. Im Übrigen kann niemand zum Kauf eines bestimmten Produkts gezwungen werden, sei es nun von Microsoft oder von einer anderen Firma, ganz zu schweigen vom Linux-Betriebssystem. Das gleiche gilt für Probleme mit Viren. Eines der bekanntesten Viren ist ja Melissa. Melissa hat wahrlich in den verschiedensten Betriebssystemen gewütet und dadurch traurige Berühmtheit erlangt. – Sie wollen jetzt schon eine Zwischenfrage stellen, Frau Kollegin?
Herr Kollege, ist Ihnen bekannt, dass es bei den von Ihnen geschilderten Vorfällen um Hacken handelt und nicht um ein Virus? Das sind technisch und von der Programmierung her zwei völlig unterschiedliche Sachverhalte. Vom Hacken habe ich überhaupt nicht gesprochen. Eine weitere Frage: Ist Ihnen bekannt, dass das Virus, um das es heute geht, tatsächlich ausschließlich Microsoft-Anwendungen befällt?
Frau Kollegin, zu beiden Fragen kann ich sagen: Ja, das ist mir bekannt. Wenn Sie mich hätten ausreden lassen, hätten Sie gemerkt, dass ich genau darauf ausführlich eingehen werde. – Es ist erstaunlich, mit welch einfachen Mitteln dieses Loveletter-Disaster verursacht werden konnte. Es ist genial einfach gewesen. Dieses einfach strukturierte Computervirus eines 23-jährigen philippinischen Studenten setzt nämlich an Schwachstellen an, die eigentlich hätten bekannt sein müssen. Diese Schwachstellen der Software sind wiederum genial einfach – man muss sagen: leider – mit menschlichen Schwächen in Verbindung gebracht worden. Wenn jemand von einem ihm bekannten Absender eine Mail mit dem Anhang „I love you“ erhält, dann ist die Neugier – was könnte der einem geschickt haben? – größer als die Vernunft.
Frau Kollegin Schmidt – Herr Kollege Maget telefoniert jetzt gerade –, ich gebe gern zu: Ich habe kurz mit mir gekämpft, ob ich Ihnen nicht in ähnlicher Weise eine Mail zuleiten soll, eine harmlose allerdings, und zwar mit Herrn Schröder als Absender und dem Text „CSU auf Tiefststand“. Wenn Sie eine E-Mail erhalten hätten, wonach die CSU in Bayern die Mehrheit verliert, zugesandt von einem Ihnen bekannten Herrn, der immerhin Bundeskanzler ist – – Ich wüsste gern, ob Sie in diesem Falle einen Virenscanner verwendet und größte Sorgfalt hätten walten lassen. Ich will das einmal dahingestellt sein lassen.
Die jetzt in Rede stehende E-Mail ist unterschätzt worden. Das ist ein Faktum. Es trifft zu, was Frau Kollegin Gote gesagt hat: Ein beliebtes und weit verbreitetes Microsoft-Programm war betroffen. Dieses Programm
wurde als Träger für die Verbreitung des Virus benutzt. Wenn man nun meint, damit sei ein Schwachpunkt erkannt und deswegen müsse alles weg, ist es so, als sagte ich: Weil das Programm der SPD oder das der GRÜNEN Schwachpunkte hat, muss man die betreffende Partei abschaffen. Das wäre doch etwas zu weit gegriffen.
Wo Menschen zusammentreffen, kann es Probleme geben. Wenn Fehler von Systembetreuern hinzukommen und auch noch der Schlüssel für vertrauliche Daten quasi im Schloss stecken bleibt, ist es so, als hätte man ein Auto nicht abgesperrt oder sogar eine Haustüre offen stehen lassen. Belege für das, was ich eben gesagt habe, sind leicht zu finden. Ob es nun um Viren geht, um Trojanische Pferde oder Würmer der besonderen Art: Wer will, findet entsprechendes Material, und zwar nicht nur im Buchhandel, sondern auch in den Chat und an den verschiedensten anderen Stellen. Zum heutigen Stand – jeder kann es nachprüfen –: Ich habe es einmal mit der Suchmaschine von Altavista versucht und nur deutschsprachige Seiten abgefragt. Im Hinblick auf den Angriff auf bestehende Systeme durch Viren waren sage und schreibe 5123 Seiten verfügbar, unter Yahoo, wiederum deutschsprachige Seiten, immerhin 1681.
Die Manpower, die dahinter steckt, ist auch gewaltig. Man schätzt, dass rund 30000 Hacker und Virenkenner weltweit im Netz aktiv sind und beispielsweise Trojanische Pferde schreiben, die eine böse Botschaft enthalten. Nicht nur Microsoft ist da ein Angriffsziel. Die Gefahr ist viel größer.
Vor dem Hintergrund hat die Bayerische Staatsregierung in einem im Bundesrat eingebrachten Entschließungsantrag die Verbesserung der Bekämpfung von Hightechund Computerkriminalität auf nationaler und auf internationaler Ebene gefordert. Dass eine Anpassung des Strafrechts an aktuelle technologische Gegebenheiten unbestrittenermaßen notwendig ist, hat der Justizminister klar dargestellt. Der Ministerrat hat sich auch in dem Zusammenhang deutlich geäußert. Die Forderung der Staatsregierung, ein europaweites Abkommen zur Bekämpfung der Computerkriminalität zu schaffen – im Sinne einer „Convention on Crime in Cyberspace“ –, ist ein wichtiger Schritt. Hätte man in anderen Bundesländern, in anderen Behörden so verantwortungsbewußt und schnell reagiert wie in den bayerischen Behörden, hätte man so manchen Schaden minimieren können.
In Bayern hat die Eingreiftruppe, das Computer-Emergency-Responce-Team, seine Schlagkraft bewiesen und größeren Schaden verhindert. Denen, die Sicherheitsbedenken im Hinblick auf die Polizeirechner haben, sei gesagt: Die dortigen Firewalls wurden nicht überlistet. Wieder einmal hat sich gezeigt, dass bestimmte Sicherheitsmechanismen stärker sind als diejenigen, die auf noch so geniale Weise in vertrauliche Datenbestände eindringen wollen.
Der vorliegende Dringlichkeitsantrag der CSU-Fraktion zielt vor dem Hintergrund nicht auf etwas Schmalspuriges ab, sondern auf eine breite Palette von Maßnahmen, die den Schutz von Computersystemen in Behörden und auch in Schulen gewährleisten sollen. Der eingangs von
Herrn Kollegen Dr. Dürr – ich glaube, er war es – angemahnte Herr Kollege Dr. Söder hat sich in dem Zusammenhang richtungsweisend geäußert. Ich meine, man kann nur die Forderung unterstützen, im Rahmen von Forschungsverbünden vorzugehen, um potentiellen Hackern den Zugang zu verwehren. Entsprechende Forschungsverbünde an Hochschulen müssten geschaffen werden.
Einfach zugängliche und verfügbare Virenscanner für jedermann sind sehr sinnvoll. Auch die von Kollegen Söder angesprochene GSG 9 im Netz zum Zweck einer konsequenten Strafverfolgung ist auf dem richtigen Weg. Der Innenstaatssekretär hat heute in seiner Antwort auf eine Mündliche Frage schon den Einbau von Virenschleusen im zentralen Internetübergang des Bayerischen Landesamtes für Statistik und Datenverarbeitung angesprochen. Angesichts der genannten Punkte kann ich nur sagen: Ich wünschte, in anderen Bundesländern würde auch so vorgegangen.
Ich darf zusammenfassen: Der Dringlichkeitsantrag der CSU zielt ganz deutlich auf den Schutz vor Virenangriffen ab. Er hat die Sicherheit und Stabilität der Netzwerke in Behörden und Schulen zum Ziel. Bei letzterem hat er insbesondere auch interne Manipulationen, zum Beispiel durch Schülerkreise, im Blick. Dass ein überregionales Vorgehen gegen Virenangriffe und strafrechtliche Ermittlungen gegen die Verursacher im Mittelpunkt stehen sollen, ist, davon gehe ich aus, auch bei den Damen und Herren von der Opposition unbestritten.
Ich möchte noch ein Wort des Lobes sagen. Die Task force, die der Bundesinnenminister mit dem 15-PunkteProgramm ins Leben gerufen hat, wurde in den Medien etwas kritisiert, aber dazu muss man ausnahmsweise sagen: Mit ihr wird ein richtiger Weg beschritten, weil gerade durch solche Aktivitäten Schwachstellen ausgemerzt und eigene Verwaltungsprogramme geschaffen werden, die von der Programmierung her nicht allgemein zugänglich sind. Mit Sicherheit ist es ein richtiger Weg, solche Feinheiten im Inneren zu halten.
Wie bereits erwähnt, ist der Antrag der GRÜNEN im ersten und zweiten Absatz zustimmungsfähig. Der dritte Absatz ist zu einseitig ausgelegt, da auch die Produkte anderer Hersteller grundsätzlich virengefährdet sind. Man darf eines nicht verschweigen: Wer Produkte verwendet, der muss sich auch mit den Sicherheitsmaßnahmen auseinander setzen. Ich bin nicht derjenige, der die Firma Microsoft zu vertreten hat; auch bei dieser Firma sind Warnhinweise vorhanden. Natürlich hat Linux einen gewissen Charme, da es kostenlos erhältlich ist. Wir haben aber immer noch die Freiheit, dass sich jeder das anschaffen kann, wofür er eine entsprechende Neigung hat.
Es geht eindeutig um das Schließen der Sicherheitslücken und um die permanente Aktualisierung der Schutzmechanismen gegen all das, was sich Viren, Trojanische Pferde und sonstige ungebetene Gäste in den Computern und in den Netzwerken nennt. Die CSU-Fraktion bittet deshalb um Zustimmung zum vorliegenden Dringlichkeitsantrag. Mit ihm wird ein klares Bekenntnis zur Eindämmung derart „liebenswerter“ Angriffe, die wir nicht
haben wollen, gegeben. Der „Apple“, Frau Kollegin Gote, den Sie erwähnt haben, wird nicht durch den Namen ökologisch, auch wenn hier vom Apfel die Rede ist. Jeder ist frei in der Entscheidung, welches System er benutzen will. Auf diese Freiheit setzt auch die CSUFraktion.
Herr Präsident, meine sehr verehrten Damen und Herren! Der Schutz vor Computerviren ist sicher ein hochpolitisches Thema. Was gesagt wurde, ist völlig korrekt. Der Schutz vor Computerviren ist ein weltweites Problem. Auch richtig ist, dass europäische Lösungen notwendig und sinnvoll sind. Es ist richtig, dass die Anpassung des Strafrechts durchgesetzt wird. Über alle diese Dinge gibt es überhaupt keinen Zweifel und, glaube ich, in diesem Haus überhaupt keinen Dissens.
Was aber über diese Erkenntnisse nicht vergessen werden darf, ist, dass es auch im regionalen Bereich Möglichkeiten zum Schutz gibt. Über diese Möglichkeiten im regionalen Bereich möchte ich ein paar Sätze sprechen. Übrigens: Ich halte nichts davon, die Problematik von Computerviren auf irgendwelche Betriebssysteme zu reduzieren – das sage ich ganz offen. Ich bin der festen Überzeugung: Diejenigen, die Computerviren programmieren, sind genauso in der Lage, bei jedem anderen Betriebssystem denselben verheerenden Schaden anzurichten.
Die momentane Situation ist – das ist sicher kein Problem des Parlaments in München –, dass die meisten Microsoft nutzen. Insofern richtet ein Virus im MicrosoftSystem selbstverständlich zwangsläufig auch den größten Schaden an. Der Beweis, dass dann, wenn die Mehrheit der Computerbenutzer Linux verwenden würde, die Gefährdung durch Viren geringer wäre, ist mitnichten erbracht. Deswegen bin ich der Meinung, dass es nicht das Problem ist, welches Betriebssystem man hat, sondern dass es ein organisatorisches Problem ist. Es geht um die Frage, welche Schutzmaßnahmen wir auch auf regionaler Ebene durchsetzen könnten.
Zur Formulierung des CSU-Antrages. Herr Waschler hat von klarer Zielsetzung des CSU-Antrages gesprochen. Wenn ich den CSU-Antrag betrachte und lese, die Staatsregierung wird aufgefordert, geeignete Maßnahmen zu ergreifen, um den Schutz vor Viren zu gewährleisten, dann sehe ich darin keine klare Zielsetzung. Genauso könnte man nämlich sagen: Die Staatsregierung wird aufgefordert, alle Maßnahmen zu ergreifen, um Computerkriminalität zu verhindern. Das wäre das Gleiche. Das ist keine klare Zielsetzung. Bei aller Berechtigung der Forderung nach einer europäischen, einer weltweiten Lösung darf auch die CSU nicht vergessen, dass es in den Schulen Landesprobleme gibt, die in der Tat hausgemacht sind.
Ich möchte Ihnen dazu ein paar Beispiele nennen. Den größten Schaden kann ein Computervirus dann anrichten, wenn es in den Behörden und Schulen sehr viele Einzellösungen gibt, die jeweils eigenständig sind. Wenn in der Schule drei Server und in jeder Behörde viele Server sind, die alle eigenständig arbeiten und alle einen eigenen Netzzugang haben, dann ist es selbstverständlich, dass Viren auf viele Stellen verteilt werden und den breitesten Schaden anrichten.
Nun wende ich diese These auf die momentane Situation speziell der Schulen an. Ich muss fragen: Wo ist das Konzept des Kultusministeriums oder der Bayerischen Staatsregierung für eine Struktur der Computer in den Schulen? Dieses Konzept gibt es nicht. Bisher ist nur diskutiert worden, wie viele Computer die Schüler brauchen und wie viel Geld dafür bereitgestellt werden muss. Die entscheidende Frage aber, Kolleginnen und Kollegen, welche Strukturen wir in den Schulen haben wollen, ist nicht gestellt. Man geht von Haus aus davon aus, dass jede Schule einen Server hat. Die Möglichkeit, die der technische Markt bietet und die eine immer größere Zahl an Freunden gewinnt, einen zentralen Server für verschiedene Schulen zu bedienen, der auch zentral überwacht wird, ist nicht vorgesehen, daran ist nicht gedacht worden. Das ist ein Versäumnis der Bayerischen Staatsregierung, darum kommen Sie nicht herum. Sie lassen es zu, dass jede Schule x-beliebige Server anschafft, und akzeptieren und erhöhen damit die Gefahr, dass sich Viren durch dieses System vervielfältigen.
Ich komme zu den Anti-Viren-Programmen und sage auch dazu einige Sätze. Sie werden sehen: Eine geeignete Maßnahme im Sinne Ihres Antrages wäre, aktuelle Anti-Viren-Programme zu installieren. Zwangsläufig müsste das an den Schulen auf jedem autarken Rechner geschehen. Auf jedem autonomen, selbständigen Rechner müsste ein Anti-Viren-Programm installiert sein. Nun können Sie zusammenzählen, wie viele Anti-Viren-Programme Sie brauchen. Es ist nämlich nicht so, dass Sie eines kaufen und dann in allen Schulen installieren können. Sie brauchen für jedes einzelne Programm eine eigene Lizenz. Haben Sie dieses Problem gelöst? Wo ist das Konzept seitens der Bayerischen Staatsregierung für diese Problematik? Nirgendwo. Das ist Ihr zweiter Fehler, den Sie auf der regionalen Ebene bei allem Verständnis für Ihre Forderung nach europaweiten Lösungen gemacht haben.
Nun komme ich zum dritten Punkt. Sie glauben doch nicht – Sie wissen es auch bestimmt selber –, dass Viren nur über Netzanschluss transportiert werden und aktiv sind. Dies geschieht auch über CD-Rom-Laufwerke, über Disketten. Wo ist das Konzept für Schulen, in denen sehr viele Schüler an zentralen Servern arbeiten? Wo ist das Konzept, um genau diese Problematik zu verhindern, indem man ausreichend qualifizierte Systembetreuung betreibt und nicht nur sagt: Das machen die Lehrer? In der Bekanntmachung des Staatsministeriums zur Problematik der Systembetreuung ist mit nicht einem einzigen Wort die Problematik der Computerviren aufgeführt.
Wenn Sie noch einen Moment warten, gerne. – Also: Es ist richtig. Eine europäische Lösung muss her. Das ist alles in Ordnung. Aber darüber hinaus darf man eben nicht vergessen, dass es regionale Schullösungen geben muss, die zusammengefasst heißen müssen: Sie müssen endlich ein Konzept erstellen, wie die Schulen systematisch mit Computern versorgt werden. Sie müssen ein Konzept erstellen, wie das mit den Systembetreuern laufen soll und Sie müssen ein Konzept erstellen, wie Sie mit der Industrie zusammen die Entwicklung auf diesem Markt realisieren können.
Herr Kollege, ist Ihnen bekannt, dass alle Schulen, die ans Netz gehen, über die Systembetreuer entsprechend fortgebildet werden, und zwar dahin gehend, dass aktuelle Virenscanner zu verwenden sind und diese Virenscanner auch von den entsprechenden Stellen über das Web zu beziehen sind, und ist Ihnen bekannt, dass der Love-Letter auch mit aktuellen Virenscannern nicht erkennbar gewesen wäre, da er eben eine Neuheit war?
Das ist mir bekannt. Ich verstehe allerdings Ihre Frage nicht. Vielleicht können Sie es noch konkretisieren. Es ändert nämlich nichts daran, dass die sogenannten Systembetreuer aus den Lehrerkollegien dieser Problematik – das ist in der Schulung nicht vorgesehen – nicht gewachsen sind. Es reicht eben nicht zu sagen: Bitte verwendet Virenscanner, wenn ihr etwas tut. Das reicht nicht, um einer solchen Gefahr wirksam zu begegnen.
Ich kann Ihnen nur noch einmal eine Möglichkeit aufzeigen. Es gibt mittlerweile ein System – Sie sind Spezialist und haben viele Fremdwörter gebraucht, worüber ich sehr erstaunt bin; ich möchte jetzt auch einige gebrauchen – und haben vielleicht davon gehört, dass die Applicationsserviceprovider eine effektive Möglichkeit wären, um Viren einzudämmen – man kann sie nicht verhindern, aber zumindest eindämmen –, indem man zentrale Surfer schafft, an denen verschiedene Schulen angeschlossen sind und die dann effektiv von Fachleuten überwacht werden. Diesem Markt wird übrigens das größte Wachstum auf dem neuen Technologiemarkt vorhergesagt. Von 43 Milliarden in der Zukunft ist da die Rede.
Jetzt nicht mehr. Ich komme zum Schluss und werde kurz zu den Anträgen noch Stellung nehmen. Keiner in diesem Hohen Haus wird dagegen sein, dass geeignete Maßnahmen ergriffen werden, um die Gefahren von Computerviren einzudämmen. Deswegen werden wir Ihrem Antrag selbstverständlich zustimmen. Da gibt es überhaupt keine Frage. Auch wir sind dieser Meinung. Ich hätte mich gefreut, wenn Sie die Maßnahmen konkretisiert hätten. Das ist leider nicht der Fall. Nun gut. Es soll so sein.
Wir werden dem Antrag des BÜNDNISSES 90/DIE GRÜNEN in den ersten zwei Absätzen ebenfalls zustimmen, weil diese Berichterstattung eine sinnvolle Maßnahme ist.
Wir werden uns allerdings beim dritten Absatz enthalten, weil es im Prinzip schon stimmt, dass eine Monokultur immer schlecht ist. Aber den Eindruck erwecken zu wollen, dass eine Monokultur ein wirksamer Schutz gegen Viren sei, diesem Eindruck möchte ich widersprechen.
Nein, es ist nicht ein Problem des Betriebssystems, es ist vielmehr ein Problem der Kriminalität und ist ein Problem einer politisch organisatorischen Prävention auf dem Gebiet des Sachaufwandsträgers und auf dem Gebiet der bayerischen regionalen Politik, also auch der Staatsregierung. In diesem Sinne werden wir abstimmen.
Herr Präsident, liebe Kolleginnen und Kollegen! Am späten Vormittag des 4. Mai erreichte der Loveletter-Virus die Kommunikationssysteme der Staatsregierung und der mit ihr direkt vernetzten nachgeordneten Behörden und Institutionen. Immer dann, wenn Anwender ein per E-Mail versandtes Programm ausführten, sorgte der Virus für eine kaskadenartige Verbreitung. Das Programm versandte sich schnell selbst an alle auf den betroffenen Rechnern gespeicherten E-Mail-Adressen.
Nach bisherigem Erkenntnisstand konnte der entstandene Schaden dank entsprechender Vorsorgemaßnahmen bei uns gering gehalten werden, obwohl die eingesetzten Virenscanner den ihnen unbekannten neuen Virus zunächst nicht abwehren konnten. Hier bewährten sich der Informationsverbund der Sicherheitsbeauftragten in den Behörden und die sorgfältige Schulung und Sensibilisierung der Anwender. Innerhalb kurzer Zeit wurden zunächst die Mail-Systeme gegen die Weiterlei