Bei diesem Gesetzentwurf gibt es aber einige Punkte, worüber wir in den Ausschüssen noch reden müssen. Wir sehen hier nämlich konkreten Verbesserungsbe darf. Da sind zum einen das Zusammenspiel und die Aufgabenverteilung zwischen Bundes und Landes amt. Wir dürfen hier keine Parallelstrukturen schaffen, sondern wir brauchen sinnvolle Ergänzungen. Zu be achten ist auch, dass die ITVernetzung an der Län dergrenze nicht aufhört. Schon die Innenministerkon ferenz hat im Juni dieses Jahres eine bessere Koordinierung der Maßnahmen von Bund und Land zur ITSicherheit angemahnt. Dafür gibt es extra eine Arbeitsgemeinschaft der Staatssekretäre, die eine verbindliche Aufgabenteilung entwickeln soll. Im Ge setzentwurf gibt es hierzu keine Antwort. Es fehlt auch eine Konkretisierung des Mehrwerts für die Bürger im Bereich des Verbraucherschutzes. Es gibt nur einen dürftigen Satz, wonach bestimmte Warnungen veröf fentlicht werden sollen. Zwar haben Herr Söder und Herr Füracker angekündigt, dass die Beratung der Bürger durch Schulungen stattfinden solle, in der Auf gabenbeschreibung des Gesetzentwurfes steht hierzu jedoch kein Wort.
Thema Datenschutz: Dem Amt werden umfassende Möglichkeiten zur Datenauslese und Datenspeiche rung gegeben. Es fehlt aber die Einbeziehung und In formation des Datenschutzbeauftragten, wie es der Bund vorschreibt. Der Bund schreibt auch vor, dass der Innenausschuss jedes Jahr über die Anwendung der Vorschriften zum Datenschutz unterrichtet wird. Das ist in Bayern nicht vorgesehen. An dieser Stelle sehen wir Nachbesserungsbedarf.
Das Thema Konnexität müssen wir auch noch einmal prüfen. Schließlich müssen die Kommunen im Hin blick auf die vorgeschriebenen Sicherheitsstandards nachrüsten. Das Argument, dass Kommunen nicht nachrüsten müssen, wenn sie sich nicht an das Be hördennetz anschließen, ist angesichts des Ziels einer umfassenden Sicherheit in Bayern recht billig. Die Tatsache, dass die Kommunen für die Unterstüt zung durch das Amt zahlen müssen, ist für uns nicht akzeptabel. Das Amt soll eine Serviceeinheit für die Bürger und Kommunen in Bayern sein und keine Ein nahmequelle des Staates.
Zum Thema Standort: Die zwei Standorte von Bay ernCERT befinden sich in Würzburg und in Neustadt an der Saale. Das sind zwei Keimzellen, die in das neue Amt einbezogen werden sollen. Hier stellt sich die Frage, ob man diese nicht auch räumlich integrie ren sollte, zumal Minister Söder ausdrücklich gesagt hat, er habe das Gebäude in Nürnberg ausgewählt, weil es den hohen Sicherheitsanforderungen entspre che. Fraglich ist, ob die Verteilung auf drei Standorte einer gehobenen Sicherheit dient oder nicht. Hierzu gibt es in den Ausschüssen noch viel zu diskutieren. Ich fasse noch einmal zusammen: ein grundsätzliches Ja, aber deutlicher Verbesserungsbedarf im Detail.
Danke schön, Frau Kollegin. – Als Nächster hat Herr Kollege Herold von der CSU das Wort. Bitte schön, Herr Kolle ge.
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen, meine sehr verehrten Damen und Herren! Ich kann die Aussagen von Herrn Staatssekretär Füracker nur unterstreichen. Er hat ge sagt, Cyberangriffe seien sehr gefährlich und würden immer mehr. Er hat darauf hingewiesen, dass wir uns nicht ausschließlich auf den Bund verlassen können. Die CSUFraktion unterstützt die föderale Ergänzung mit der Einrichtung eines Landesamts für Sicherheit in der Informationstechnik. Das ist eine gute Antwort auf die großen Herausforderungen. Ich finde es ganz wichtig – das hat Herr Staatssekretär Füracker er wähnt –, dass dieses Gesetz auch mit dem Daten schutzbeauftragten abgestimmt wurde. Das ist eine ganz wichtige Angelegenheit. Er hat auch darauf hin gewiesen – dem kann ich nur beipflichten –, dass es eine große Herausforderung sein wird, die ITExper ten zu bekommen. Für den Gesamtausbau benötigen wir ungefähr 220 Sicherheitsexperten. Als Vertreter des ländlichen Raums begrüße ich es sehr, dass damit auch Arbeitsplätze insbesondere im ländlichen Raum geschaffen werden.
Frau Kollegin Karl, ich finde es sehr schön, dass Sie diesem Gesetzentwurf positiv gegenüberstehen. Sie haben erwähnt, dass die ITStrukturen immer komple xer werden. Einzelne Behörden, wie die Behörde auf Bundesebene, können diese Herausforderungen nicht alleine bewältigen. Frau Kollegin Karl, Sie halten die Beratungen für notwendig. Das ist völlig klar. Sollten sich weitere Verbesserungen ergeben, stehen wir der ganzen Sache positiv gegenüber.
Liebe Kolleginnen und Kollegen, mit der Errichtung eines Landesamts für Sicherheit in der Informations technik in Nürnberg wird die Staatsregierung einen
weiteren wichtigen Beitrag zur ITSicherheit leisten. Ich finde es wichtig und gut, dass Bayern das erste Bundesland ist, das diese Herausforderung in Angriff nehmen wird. Die Digitalisierung und die digitale Infra struktur werden massiv zunehmen. Damit Sie eine Vorstellung von der Größe der Herausforderung be kommen: Mittlerweile nutzen zwei Milliarden Men schen das Internet. Täglich werden rund 40.000 An griffsversuche auf das bayerische Behördennetz registriert. Glücklicherweise konnten sie bisher im We sentlichen abgewehrt werden. Meine sehr verehrten Damen und Herren, professionelle Cyberattacken können gerade auf die staatliche IT große Auswirkun gen haben. Für die Datensicherung ist insbesondere das Bayerische Finanzministerium zuständig. Ich darf das kurz ergänzen. Es geht um Personaldaten von 500.000 Mitarbeitern und Versorgungsempfängern, Daten zu 100.000 Förderanträgen sowie zu 10 Millio nen Grundstücken.
Für die ITSicherheit ist ein bundesweit abgestimmtes und koordiniertes Vorgehen erforderlich. Der Präsi dent des Bundesamts für Sicherheit in der Informati onstechnik, Herr Schönbohm, begrüßt ausdrücklich die bayerische Maßnahme. Er sieht in dieser ersten Sicherheitsmaßnahme eines Bundeslandes, nämlich des Freistaates Bayern, einen wichtigen Schritt zur Steigerung der ITSicherheit in ganz Deutschland.
Zuverlässige und sichere ITInfrastrukturen sind Grundvoraussetzung, um in der digitalen Welt beste hen zu können. Sie sichern den Fortbestand unserer Standortvorteile. Bayern ist weiterhin Vorreiter beim EGovernment in Deutschland und führt nun – das be grüße ich sehr – als erstes Bundesland eine eigen ständige ITSicherheitsbehörde ein. Wir müssen heute mehr denn je auf Bedrohungen durch professio nelle und semiprofessionelle Cyberattacken vorberei tet sein. Gerade staatliche ITSysteme wie das baye rische Behördennetz sichern riesige Mengen an hochsensiblen Daten. An das bayerische Behörden netz sind alle Staatsbehörden, alle Landratsämter und mehr als die Hälfte unserer bayerischen Kommunen angeschlossen. Meine sehr verehrten Damen und Herren, gerade mit der Einführung des Landesamts für Sicherheit in der Informationstechnik – LSI – in Nürnberg reagiert die Staatsregierung auf die wachs ende Bedeutung von ITInfrastrukturen und die damit einhergehende höhere Bedrohungslage. Das wurde schon mehrfach dargestellt. Angriffsversuche jeder Art, beispielsweise das Ausspionieren von EMail Postfächern und Datenkidnapping, nehmen massiv zu. Dank professioneller Schutzmaßnahmen entstand der Staatsverwaltung bislang glücklicherweise kein Schaden.
Darauf sollte man sich nicht ausruhen. Mit der Einrich tung des LSI reagiert die Staatsregierung voraus schauend und zukunftsweisend. ITSicherheit ist längst ein eigenständiges Spezialgebiet. Durch die Bündelung der Kompetenzen – das betone ich aus drücklich – an den eben erwähnten Standorten, insbe sondere in Nürnberg, muss nicht jede Behörde paral lel Strukturen aufbauen bzw. erhalten. Auf diese Weise entstehen wichtige Synergieeffekte. Die Ein richtung des LSI erleichtert somit auch die Abwehr von Gefahren und ermöglicht den Einsatz moderner Abwehrmaßnahmen, insbesondere durch die Koope ration mit der Wissenschaft und der bayerischen IT Sicherheitsindustrie.
Abschließend möchte ich deutlich hervorheben, was bereits meine Vorredner angesprochen haben: Gera de unsere Kommunen profitieren von einem hohen Schutzniveau und einem Eingreif und Reaktions team. Die Kommunen können das sichere Bayernnetz nutzen. Das LSI wird sie bei der Umsetzung organisa torischer und technischer Maßnahmen unterstützen.
Dies alles trägt zu einem hohen Sicherheitsniveau bei. Dabei kommen auf die bisher an das Behörden netz angeschlossenen Kommunen in der Regel keine zusätzlichen Kosten zu, da sie bereits bestimmte in formationssicherheitstechnische Anforderungen erfül len müssen. Frau Kollegin Karl, das möchte ich unter streichen.
Auch den Bürgerinnen und Bürgern wird das LSI als Beratungsstelle zur Verfügung stehen und über die BayernLabs Informationsveranstaltungen anbieten. Auch das ist ein wichtiger Punkt, wie ich meine. Sie wissen auch, dass die BayernLabs bayernweit einge richtet werden. Wir, die CSUFraktion, unterstützen diesen Gesetzentwurf zur Errichtung eines Landes amts für Sicherheit in der Informationstechnik.
Herr Kolle ge, bleiben Sie bitte am Rednerpult. Der Kollege Prof. Dr. Gantzer hat sich zu einer Zwischenbemer kung gemeldet. – Bitte schön, Sie haben das Wort.
Herr Kollege Herold, hinter allem, was Sie ausgeführt haben, ste hen auch wir. Wir haben die Errichtung eines Landes amts für Sicherheit in der Informationstechnik schon immer für sehr wichtig gehalten. Deswegen habe ich im letzten Jahr auch einen Berichtsantrag gestellt. Ich wollte wissen, ob es ein Landesamt geben soll. Die sen Antrag hat die CSU mit ihrer Mehrheit im Innen ausschuss am 12. Oktober 2016 mit folgender Be gründung abgelehnt:
Zudem wäre die von der SPD vorgeschlagene Schaffung einer unabhängigen Stelle angesichts des bestehenden Kompetenzgefüges schwierig: Die Staatsanwaltschaft sei nämlich immer die Herrin des Ermittlungsverfahrens. …
Lieber Herr Kollege, wie erklären Sie sich diesen Ge sinnungswandel, den die CSU innerhalb von wenigen Monaten vollzogen hat?
Ich habe es vorhin erwähnt, lie ber Herr Kollege Dr. Gantzer. Wie Sie wissen, haben wir weiterhin große Herausforderungen im ITBereich. Ich habe es in meiner kurzen Begründung auch er wähnt. Täglich gibt es circa 40.000 Angriffe. Das ist zwischenzeitlich eine wichtige Angelegenheit. Wir sind gemeinsam auf dem richtigen Weg. Das hat Frau Karl vorhin auch erwähnt. Ich halte es für gut, dass diese Behörde eingerichtet wird.
Danke schön, Herr Kollege. – Als Nächste hat Frau Kollegin Gottstein das Wort. Bitte schön, Frau Kollegin.
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen! Herr Prof. Gantzer, sehen Sie es doch bitte so: Die CSU ist absolut lernfähig. 40.000 Fälle innerhalb eines Drei vierteljahres sind auch für die CSU zu viel. Deshalb hat sie eingesehen, dass die SPD in diesem Fall recht hatte. Auch wir FREIE WÄHLER haben immer wieder nachgebohrt. Wir freuen uns, dass wir heute einen Gesetzentwurf vorliegen haben. Auch wenn wir hier zur halbfrühen Stunde – nach der Belegung der Sitz reihen ist es doch noch sehr früh – zusammen sind, ein Appell an Sie, meine Damen und Herren von der Regierungspartei: Das Procedere, mit fadenscheini gen Gründen einen Antrag der Opposition abzulehnen – dafür ist dieser Punkt geradezu exemplarisch – und nach nicht einmal einem Dreivierteljahr diesen Ge setzentwurf als tolle Erkenntnis darzubieten, ist ei gentlich schade. Sie haben das nicht nötig.
Mit diesem Gesetzentwurf soll ein Landesamt für Si cherheit in der Informationstechnik eingerichtet wer den. Bisher war jede Behörde selber dafür zuständig. Bisher wurde nur durch BayernCERT eine gewisse Unterstützung geboten. Sie haben erkannt, dass das
zu wenig und sowohl materiell als auch personell der Komplexität des Themas nicht angemessen ist. Sie reagieren darauf, wir begrüßen das.
Nun haben wir die Möglichkeit, dass von diesem neuen Landesamt die angeschlossenen Behörden auf ihre Sicherheit untersucht und bewertet werden. Die Behörden selbst – das ist eine wichtige Neuerung – sind nun verpflichtet, Sicherheitslücken, Schadpro gramme, erfolgte oder versuchte Angriffe unverzüglich zu melden. Mit der SPD sind wir uns darin einig, dass die ITSicherheit nicht ein Kostenfaktor für die Kom munen werden darf. Die Sicherheit in der Informati onstechnik ist ein selbstverständlicher Service der Staatsregierung. Das bitten wir zu überdenken; das darf nicht zu einer Einnahmequelle werden.
Wir begrüßen, dass der Datenschutzbeauftragte von Anfang an in den Gesetzgebungsvorgang einbezogen wurde. Wir wissen, dass auf Herrn Dr. Petri bei die sem Thema Verlass ist. Deswegen gehen wir davon aus, dass das Gesetz auch den Datenschutzbestim mungen entspricht. Deswegen unser Fazit: Wir begrü ßen es, dass Polizei, Strafverfolgungsbehörden und der Verfassungsschutz in Zukunft durch diese Behör de unterstützt werden, weil die Sicherheit der Informa tionstechnik nun auch auf den unteren Ebenen ge währleistet wird.
Wir sehen aber ebenfalls ein Problem in der Zusam menarbeit mit dem bestehenden Bundesamt für Si cherheit in der Informationstechnik. Kollege Meyer hat in einer Schriftlichen Anfrage um Auskunft gebeten, wie die Zusammenarbeit mit dem Bundesamt aus schaut. Die Antwort des Finanzministeriums – Sie können sie gerne nachlesen – ist mehr als schwam mig. Das genügt uns noch nicht. Wir befürchten, dass hier viele Köche den Brei verderben, dass Synergieef fekte nicht genutzt werden und dass nebeneinander her gearbeitet wird. Vielleicht kann man aber auch sagen: Konkurrenz belebt das Geschäft. Wir versu chen, auch das positiv zu sehen. Wir werden diese Zusammenarbeit aber kritisch beobachten.
Wir freuen uns, dass für das neue Amt Personal zur Verfügung gestellt wird. Wir gehen aber ganz klar davon aus, dass dieses Personal nicht anderswo, zum Schluss vielleicht bei den Cybercops der Polizei, abgezogen wird. Wir bitten eindringlich, neues Perso nal einzustellen und nicht anderswo Lücken aufzurei ßen, wie es oft passiert.
Herr Präsident, Kollegin nen und Kollegen! Zuerst einmal kann ich mich an schließen: Ich freue mich über die Diskussion. Ich freue mich, dass das Thema ITSicherheit auch end lich im staatlichen Handeln angekommen ist. 2015 war die ITSicherheit in BAYERN DIGITAL I, der über greifenden Strategie, die damals präsentiert wurde, noch nicht enthalten. Dafür Geld aufzuwenden, eine neue Behörde zu schaffen und die Aufgaben zu bün deln, halten wir für richtig. So weit sind wir d'accord.
Wir glauben, dass eine sichere ITInfrastruktur für die Unternehmen, für die öffentliche Verwaltung, aber vor allem auch für die Bürgerinnen und Bürger in einem modernen Freistaat Bayern unerlässlich ist. Wenn wir mit der Digitalisierung weiterkommen wollen, ist die Stärkung der ITSicherheit unerlässlich. Es reicht nicht, Attacken erst dann zu begegnen, wenn sie stattfinden. Es reicht nicht, mit Mitteln der Kriminalistik vorzugehen oder gar den Verfassungsschutz mit ins Boot zu nehmen. Wir müssen auch die passive ITSi cherheit durch unsere Infrastruktur, durch vorbeugen de Maßnahmen, aber auch mit offenen Standards stärken.
Dass Attacken zunehmen, wissen wir nicht erst seit dem letzten Jahr. Herr Füracker, Sie hatten WannaCry genannt. Angriffe auf Krankenhäuser, auch auf kom munale Krankenhäuser, gibt es seit Jahren. Ransom ware ist dabei im Spiel gewesen. Ich hätte mir ge wünscht, dass wir darüber schon früher eine politische Diskussion geführt hätten. Das Thema ist aber nun angekommen, und deswegen halten wir auch den Beratungsauftrag für die Kommunen für gut und richtig.
Wenn ich jetzt aber lese, dass es darum geht, eine übergreifende Stelle zu installieren und umfassend zu beraten, muss ich leider sagen, dass Ihr Gesetzent wurf diesem Anspruch nicht gerecht wird.
Wir müssen noch einmal nachschauen, welche Auf gaben das neu zu gründende LSI tatsächlich hat, wel che Aufgaben schon festgeschrieben sind und welche Aufgaben noch hinzukommen, nämlich die Beratung für die Bürgerinnen und Bürger. Wie können wir das personell, aber auch strukturell leisten? Der Gesetz entwurf wirft für mich aktuell mehr Fragen auf, als er beantwortet. Wir müssen dringend noch über die De tails diskutieren.
Wir halten eine Bündelung der Kompetenzen für drin gend notwendig. Wir halten es natürlich für notwen dig, uns eng mit dem BSI abzustimmen. Ich gehe ein mal davon aus, dass das auch passiert, aber dazu müssen die Verfahrensweisen offen und festgelegt werden. Man muss über Standards reden. Wir müs sen überlegen, wie es mit der Sicherheitsarchitektur im Freistaat insgesamt ausschaut; denn es ist keine Frage, dass Behörden geschützt werden müssen. Aber gerade die Unternehmen und die Bürgerinnen und Bürger haben – auch das haben die Angriffe, zum Beispiel WannaCry, gezeigt – einen genauso großen Schutzbedarf. Hier sehen wir noch große Lücken. Wir haben zig Stellen, die sich mit ITSicherheit beschäfti gen. Wir haben das Kompetenzzentrum Cybercrime beim LKA; wir haben ein Kompetenzzentrum Cyberc rime bei der Justiz.
Liebe Kolleginnen und Kollegen, wir haben das Zentrum Digitalisierung.Bay ern, das in dieser Hinsicht forscht. Wir haben auch noch einige andere Stellen, die aufzuführen an dieser Stelle zu weit führen würde. Wie arbeiten diese zu sammen? Wie sind die Kompetenzen verteilt? Wie sieht bei diesen Stellen künftig die Finanzierung aus? Es ist gut, dass jetzt Geld für das LSI in die Hand ge nommen wird. Aber was ist mit den anderen Stellen? Wie werden diese ausgebaut? Wie arbeiten sie zu sammen?
Für uns ist die Forderung nach einer übergreifenden Stelle nach wie vor aktuell. Es ist auch notwendig zu hinterfragen, wo der Freistaat vielleicht falsche Wege geht. Dazu gehört für mich ganz eindeutig, dass der Verfassungsschutz für die Beratung von Unternehmen zuständig ist. Gerade bei den Cyberattacken in den letzten Monaten sind Geheimdienste zunehmend in die Kritik geraten, diese teilweise unterstützt zu haben. Man kann sie an dieser Stelle schon aufgrund der Gewaltenteilung nicht gleichwertig zur Beratungs stelle machen. Das einzige Amt, das mir einfällt, das in dieser Hinsicht noch mehr in der Kritik steht als der Verfassungsschutz, ist fraglos die Lebensmittelüber wachung. Dort möchte ich die ITSicherheit auch nicht angesiedelt wissen. Wenn wir gleichzeitig hören, dass mit dem LSI das digitale Fort Knox gegründet werden soll, muss ich sagen: Die einzige Gemeinsamkeit, die ich an dieser Stelle sehe, besteht darin, dass auch das LSI dem Finanzministerium unterstellt wird. Si cherlich ist es schön für Sie, alle Fäden in der Hand zu behalten. Wir brauchen aber eine offene und zu