Das Bayerische Digitalgesetz ist nicht nur ein Gesetzestext, sondern auch ein Schlüssel zur digitalen Transformation. Es soll Innovation fördern, Bürokratie abbauen und den Menschen die Chancen und Herausforderungen der digitalen Welt näherbringen. Unser Bayerisches Staatsministerium für Digitales ist deshalb auch federführend an den Ausarbeitungen beteiligt gewesen.
Ein weiterer Punkt im Gesetzentwurf betrifft das Gesetz über die Bayerische Landesstiftung. Hier möchten wir der Digitalisierung mit den getroffenen Maßnahmen mehr Anschub verleihen. Dieses Thema liegt klar beim Finanz- und Heimatminister Albert Füracker, der das Gesetz in Erster Lesung vorgestellt hat.
Wie Herr Adjei zuvor erwähnt hat: Der Digitalminister ist nicht da. Aber das liegt daran, dass es bei uns kein großes Hickhack um Zuständigkeiten gibt wie anderswo. Darauf möchte ich ausdrücklich hinweisen. Die Bayerische Staatsregierung ist auf allen Ebenen handlungsfähig.
Wir haben die Möglichkeit, Bayern zu einem Vorreiter in Sachen Digitalisierung zu machen und unseren Bürgerinnen und Bürgern eine moderne und zukunftsorientierte und vor allen Dingen sichere Infrastruktur zu bieten. Wir dürfen dabei nicht vergessen, dass mit der Digitalisierung auch Verantwortung und ethische Fragen einhergehen. Datenschutz, IT-Sicherheit und der Schutz der Privatsphäre müssen auch in der digitalen Welt gewahrt bleiben.
Uns liegt daran, dass die Chancen der Digitalisierung genutzt und gleichzeitig die Risiken minimiert werden. Wir wollen als Freistaat Bayern die Unternehmen mit den Problemen, die sie in den betroffenen Bereichen wie der Energieversorgung, dem Gesundheitswesen, Verkehr und Transporten sowie den digitalen Infrastrukturen haben, nicht alleine lassen. Wir müssen doch ein großes Interesse daran haben, unsere kritische Infrastruktur und Unternehmen vor Cyberangriffen zu schützen.
Insgesamt wird die NIS-2-Richtlinie in Bayern sowohl von staatlicher Seite als auch von privaten Akteuren als Anstoß gesehen, die Cyberresilienz zu verbessern und sicherzustellen, dass die bayerische Wirtschaft und Verwaltung vor wachsenden Bedrohungen im digitalen Raum bestmöglich geschützt wird. Deshalb bitten wir auch hier um Zustimmung. Der Ausschuss für Wirtschaft, Landesentwicklung, Energie, Medien und Digitalisierung hat dem Gesetz bereits mehrheitlich zugestimmt. Ich bitte Sie, auch hier zuzustimmen.
Vielen Dank, Herr Kollege Beck. – Nächster Redner ist Herr Kollege Benjamin Adjei für BÜNDNIS 90/ DIE GRÜNEN.
Herr Präsident, liebe Kolleginnen und Kollegen! Ich habe gerade, als ich hergekommen bin, dem Digitalminister die Klinke in die Hand gegeben. Er geht, ich komme. Da merkt man, dass das Thema Digitalisierung hier im Plenum wieder auf der Tagesordnung steht, weil auch dieses Mal nicht das Digitalministerium, sondern das Finanzministerium federführend zuständig ist.
Egal, wie bei Ihnen in der Koalition das Kompetenzwirrwarr fortschreitet – gleichzeitig schreitet auch die Digitalisierung im Freistaat massiv voran. In der Wirtschaft, der Gesellschaft und der Verwaltung geschieht einiges. Wir werden immer digitaler, unabhängig davon, ob wir uns proaktiv dafür einsetzen oder ob man wie manche weiterhin versucht, das zu verhindern. Die Digitalisierung lässt sich nicht verhindern, sondern wir müssen sie jetzt begleiten und die notwendigen Rahmenbedingungen aufbauen, um insbesondere unseren Staat resilient zu gestalten und den Herausforderungen, die die Digitalisierung mit sich bringt, entsprechend zu begegnen. Da geht es um den Schutz von Bürgerinnen und Bürgern, um den Schutz unserer Unternehmen und natürlich den Schutz unserer Demokratie und unseres Staates.
Das ist gerade schon ausgeführt worden: Die Angriffe auf Unternehmen, aber auch auf Kommunen, auf die Verwaltung, nehmen massiv zu. Die Zunahme basiert dabei nicht vor allem auf inländischen, sondern vor allem auf ausländischen Akteuren, vor allem China und Russland. Das ist schon erwähnt worden. Mich wundert übrigens nicht, dass die AfD da kein Interesse daran hat. Als Putin-Unterstützer wollen Sie natürlich, dass die russischen Angriffe auf Deutschland stärker werden.
Umso wichtiger ist es, dass wir in Europa genau hier das Thema Cyber Security vorantreiben und uns um eine europäische einheitliche, harmonisierte Lösung kümmern. Und da ist die NIS-2-Richtlinie der EU genau der richtige Weg, um gleiche Rahmenbedingungen zu setzen, einen hohen Schutzstandard zu fordern und dann natürlich die entsprechende Infrastruktur zu schaffen und auszubauen. Bayern setzt jetzt das um, was umzusetzen ist. Leider nicht mehr. Es wäre noch mehr möglich. Man kann schon zusammenfassend sagen, dass Bayern relativ weit ist. Das ist gerade schon gesagt worden, und ich bin jemand, der das lobt, was gut läuft, und ja, in Bayern läuft es gut, beispielsweise mit dem LSI. Es ist, wie erwähnt, das erste Landesamt seiner Art in Deutschland und treibt mit dem BayernCERT sehr erfolgreich die Stärkung der IT-Sicherheit in Bayern voran.
Vorgestern haben wir im Cyber-Sicherheitsbericht des Innenministers erfahren, dass diese Einrichtung gut funktioniert und dass sie das bayerische Behördennetz und die bayerischen Behörden sehr gut schützt. Es ist entsprechend richtig, das LSI fortzuführen und auszubauen. Wo aber Sonne ist, ist auch Schatten. Auf das bayerische Behördennetz sind im letzten Jahr 5.200 Angriffe ausgeführt worden. Diese waren alle erfolglos. Es war eine gute Arbeit des LSI. Das Problem ist, dass das Behördennetz nicht alle Behörden und nicht alle Kommunen umfasst. Insbesondere die bayerischen Kommunen sind das Ziel starker Angriffe. Wir haben im letzten Jahr deutschlandweit 27 Kommunen gehabt, auf die erfolgreiche Angriffe ausgeführt worden sind. Sechs Millionen Bürgerinnen und Bürger sind davon betroffen gewesen. Das muss man sich wirklich einmal überlegen: Das ist jetzt nur der Anfang, das wird noch massiv vorangehen. Umso schlimmer ist es, dass Sie ausgerechnet den Handlungsspielraum, den Sie bei der Umsetzung hatten, nicht ausnutzen, und sagen, Sie wollen die Kommunen eben nicht in diese strukturellen Umbauten einbeziehen. Sie wollen keinen verpflichtenden Schutz für die Kommunen sicherstellen. Das ist fahrlässig; denn die Kommunen sind am Ende das Rückgrat unserer Staatsverwaltung.
Wir merken das immer wieder: Ich komme aus dem Landkreis Miesbach. Das Krankenhaus Agatharied, das vor wenigen Monaten wochenlang offline war und nicht richtig arbeiten konnte, musste analog arbeiten, weil es Opfer eines Cyberangriffs wurde. Das wird in Zukunft zunehmen. Umso wichtiger ist es, die Kommunen bei dieser wichtigen Herausforderung zu unterstützen. Entsprechend wünsche ich mir, oder ich hoffe, dass Sie das nachbessern und bei zukünftigen Änderungen die Kommunen mit in das IT-Sicherheitssystem des Freistaats Bayern einbauen. Ansonsten werden wir in Zukunft bei den Kommunen riesige Probleme bei der IT-Sicherheit haben.
Vielen Dank, Herr Kollege Adjei. – Nächster Redner ist Herr Kollege Florian von Brunn für die SPD-Fraktion.
Sehr geehrte Damen und Herren, es ist richtig und wichtig, dass Bayern die NIS-2-Richtlinie umsetzt. Wir haben im letzten Jahr ungefähr 200 bis 300 Milliarden Euro an Schäden durch Cyberangriffe und Hackerangriffe gehabt. Für die öffentliche Hand wurden die Schäden auch auf mehrere Milliarden Euro geschätzt. Deswegen ist es so wichtig, dass man in Europa auf Bundes-, aber auch auf Länderebene einheitlich dafür sorgt, dass es Regelungen gibt, dass man solche Angriffe auch protokolliert, dass man aufklärt, woher sie kommen, zum Beispiel aus Russland – von dort kommt auch im Übrigen Desinformation –, und dass man dagegen etwas unternimmt, also die öffentliche Verwaltung stärkt und schützt.
Deswegen werden wir dem Gesetzentwurf zustimmen, wobei wir kritisch anmerken, dass man die Kommunen, die Städte und Gemeinden in Bayern, die für 80 %
der Verwaltungsdienstleistungen zuständig sind, stärker unterstützen muss. Wir haben es in vielen Fällen in Bayern schon erlebt, egal ob es im Regierungsbezirk Schwaben, in Oberbayern oder Mittelfranken war, dass Krankenhäuser, Schulen und die öffentliche Verwaltung von solchen Hackerangriffen und einem Verlust von Daten betroffen waren. Es sind Daten von Bürgerinnen und Bürgern, von Patientinnen und Patienten an irgendwelche Kriminelle abgeflossen. Dazu kommt natürlich auch, dass es zum Teil nicht mehr möglich war, wichtige Verwaltungsdienstleistungen zu erbringen. Die Verwaltung hat nicht mehr funktioniert, zum Beispiel die Friedhofsverwaltung oder die Beantragung von Reisepässen. All das muss man verhindern.
Vielleicht darf ich an dieser Stelle noch etwas sagen, weil Herr Ebner soeben sehr breitbeinig aufgetreten ist. Es gibt schon Defizite im kommunalen Bereich in Bayern. Wenn Sie mit den Bürgermeisterinnen und Bürgermeistern reden, dann sagen diese: Wir haben immer mehr Aufgaben, auch in der IT-Sicherheit, aber wir bekommen dafür nicht die entsprechenden Mittel. Wir haben auch große Probleme, Fachkräfte zu finden. Das, was das LSI, das Landesamt für Sicherheit in der Informationstechnik, selbst auf seiner Webseite schreibt, ist, dass zwar die
Kreisverwaltungsbehörden, zum Beispiel die Landratsämter, sich an das bayerische Behördennetz anschließen lassen und Subnetze bilden können, nämlich kommunale Behördennetze. Daran können sich die eigenen Gemeinden beteiligen, was bei Weitem aber nicht alle Städte und Gemeinden machen. Das heißt: Wir haben Städte und Gemeinden, die durch dieses bayerische Behördennetz nicht geschützt sind. Da stellt sich mir die Frage: Was tut man dafür, dass diese auch unter den Schutzschirm kommen?
Es gibt also noch einige Aufgaben, die wir anpacken sollten. Nichtsdestoweniger stimmen wir zu. Wir halten es für den richtigen Weg. Der Check, ob wir bei der ITSicherheit in Bayern wirklich gut aufgestellt sind, findet in der Praxis statt. Wir werden in den nächsten Monaten beobachten, wie es in Bayern weitergeht: ob Kommunen, ob Krankenhäuser, ob Schulen Opfer von Cyberattacken werden, oder ob es erfolgreich verhindert werden kann. Das ist der Lackmustest für den Erfolg Ihrer Sicherheitspolitik in diesem Bereich.
Geschätzter Herr von Brunn von der SPD, Sie haben sich gerade beschwert, dass der Kollege Ebner hier sehr breitbeinig auftritt. Das machen Sie jetzt vielleicht nicht mehr.
In der Vergangenheit war es ja so, dass Sie für Ihre Äußerungen, nicht nur gegenüber der AfD, Ordnungsrufe erhalten haben. Meine Frage ist jetzt, ob Sie die Ehre dieses Hohen Hauses noch wertschätzen. Sie treten hier ans Podium, begrüßen die Damen und Herren, aber nicht den Vizepräsidenten. Ist das der neue Stil von Ihnen, oder ist Ihnen das Hohe Haus nicht mehr wertvoll genug?
Also Herr Hahn, Ihre Frage hat überhaupt nichts mit der Sache zu tun. Trotzdem möchte ich Sie beantworten. Ich habe den Herrn Rinderspacher heute schon persönlich begrüßt, und ich glaube, die einzige Fraktion, die hier nicht über Anstand und Stil in diesem Haus reden muss, das ist die AfD, die sich wirklich in diesem Landtag schon so aufgeführt hat, dass man als normaler
Parlamentarier nur noch verwundert die Schultern zucken kann. Wenn man gerade sieht, was im Landtag in Thüringen geschieht, mit Nazi-Sprüchen, mit der Blockade der Parlamentsarbeit durch Ihre AfD-Genossen dort, dann muss ich ganz ehrlich sagen: Sie sind eine Schande für unsere Demokratie und nichts anderes.
liebe Kolleginnen und Kollegen! Ich kann nur an das anschließen, was der Kollege Stefan Ebner schon ausgeführt hat. Bayern ist das Land der Sicherheit. Datensicherheit wird großgeschrieben, und das Finanzministerium ist übrigens auch das Ministerium für IT-Sicherheit.
Ich danke für das ganze Lob, welches das LSI erhalten hat. Uns ist das wirklich wichtig, denn umgekehrt sind wir als bayerische Finanzverwaltung auch verantwortlich für das deutschlandweit erfolgreichste E-Government-Programm. Das ist unser ELSTER, das wir im Konsensverbund in Bayern programmieren und allen anderen Bundesländern zur Verfügung stellen. Wir haben in diesem Bereich bereits rund 22 Millionen Nutzer in Deutschland. Diese haben im vergangenen Jahr über ihre Nutzeradressen über 60 Millionen Steuererklärungen eingereicht. Das ist uns auch sehr wichtig, dass wir für den Steuerpflichtigen mit ELSTER ein einfacheres Angebot machen.
Da wird auch noch viel kommen an einfacherer Programmierung. Umgekehrt entlasten wir auch unsere Mitarbeiter in den Finanzämtern. Es ist ein Riesenunterschied, ob die Daten online vorliegen und der Finanzbeamte selbst entscheiden kann, welche Belege er einsehen und anklicken will, oder ob alles Mögliche in Papierform ankommt. Deswegen ist IT-Sicherheit für uns sehr wichtig, weil wir die Nutzung entsprechend ausweiten wollen.
Über das heutige Thema, die NIS-2-Richtlinie der Europäischen Union, die das gemeinsame Cybersicherheitsniveau in der EU entsprechend heben soll, ist bereits viel gesprochen worden. Sie betrifft überwiegend Unternehmen, rund 30.000 Unternehmen der kritischen Infrastruktur, und muss vorrangig vom Bund umgesetzt werden. Das wurde bereits gesagt. Ich möchte noch einmal betonen: Der Gesetzentwurf der Staatsregierung ergänzt das, was in der Hoheit des Landesgesetzgebers liegt. Wir setzen die Richtlinie eins zu eins um. Wir weiten die Regelung auf wichtige Behörden aus, die von der neuen Richtlinie betroffen und angesprochen sind. Es findet kein Gold-Plating statt. Wir machen keine erhebliche Bürokratie aus der ganzen Geschichte, aber es geht natürlich immer auch darum, zu sensibilisieren und zur Vorsicht aufzurufen; denn IT-Sicherheit ist wie gesagt ein sehr, sehr wichtiges Thema.
Bayern nimmt das ernst. Wir haben in Bayern unsere Hausaufgaben ohnehin erledigt. Das wurde bereits angesprochen. Mit dem LSI haben wir eine Einheit gegründet, die deutschlandweit einmalig ist. Am 01.12.2017 hat der damalige Finanzminister Markus Söder das LSI weitblickend, kann man sagen, auf den Weg gebracht; denn die Problematik hat ja noch einmal deutlich zugenommen. Vorhin sind schon Zahlen genannt worden, was heute auch an Spam in unseren Netzen ankommt. Täglich müssen über 2 Milliarden Datensätze analysiert werden. Wir erhalten im Jahr – auch eine interessante Zahl – 470 Millionen E-Mails im öffentli
chen Netz. Davon werden 340 Millionen E-Mails maschinell sofort geblockt und können die Sicherheitssperre nicht durchdringen. Dies zeigt, wie vorsichtig ein solches Netz ist. Vorhin wurde schon angesprochen, dass über 3.000 Cyberangriffe, die irgendwo im Netz angekommen sind, verhindert wurden, sodass kein Schaden entstanden ist, und dass wir, egal von welcher Seite die Angriffe erfolgen, zum Glück auch entsprechenden Schaden im staatlichen Netz verhindern konnten.
Die Ausweitung des LSI ist ein wichtiger Punkt. Derzeit arbeiten dort 150 Spezialistinnen und Spezialisten. Das Ziel ist 200. Jetzt geht es also um die IT-Sicherheit im gesamten Staatsapparat, auch in den Kommunen. Natürlich sind nach dem Digitalgesetz auch die Kommunen bereits jetzt umfasst und zur IT-Sicherheit verpflichtet. Dies ist der Inhalt des Gesetzes. Am Ende geht es aber vor allem darum, sie bei der Datensicherheit zu unterstützen. Dafür steht das LSI zur Verfügung. Auch die bayerischen Kommunen arbeiten mehr und mehr digital. Die IT-Sicherheit muss dort mehr in den Fokus rücken. Durch die neue Richtlinie erhält das Thema noch einmal mehr Aufmerksamkeit.
Bayern unterstützt die Kommunen beim Thema IT-Sicherheit, und es war von Anfang an auch Bestandteil der LSI-Idee, die Kommunen bei diesem Thema zu unterstützen, und zwar kostenlos. Wir verleihen beispielsweise das Siegel "Kommunale IT-Sicherheit", wenn eine entsprechende Zusammenarbeit stattgefunden hat, und führen individuelle Beratung zu allen Fragen rund um die IT-Sicherheit durch. Es werden Arbeitshilfen und Schulungsveranstaltungen angeboten. Auch gibt es einen Warn- und Informationsdienst, der sich insbesondere an die Kommunen richtet, und natürlich unterstützt das LSI die Kommunen vor allem im Angriffsfall durch versierte Experten. Für alle ist es sehr interessant, jederzeit einmal das Einsatz- und Lagezentrum im LSI in Nürnberg zu besichtigen. Es ist sehr spannend, wie dort dann live nachvollzogen werden kann, wo möglicherweise Schadsoftware eingedrungen ist oder Probleme bestehen und wie dort dann auch schnell zugegriffen und geholfen werden kann.
Mit der Zukunftskommission "#Digitales Bayern 5.0", die ja von unserem Finanzminister Albert Füracker geführt wird, wird gerade an einer zukunftsfähigen Ausrichtung der kommunalen Digitalisierung gearbeitet. Dabei ist auch die IT-Sicherheit von zentraler Bedeutung. Unser Ziel ist es, die bayerischen Kommunen bestmöglich auf Cybervorfälle vorzubereiten und ihnen zur Seite zu stehen. Insbesondere geht es dabei um kommunale Unternehmen wie Krankenhäuser, Wasserversorgungen und vieles andere mehr. Trotzdem haben wir hier eine schlanke und bürokratiearme Regelung gewählt, die auch in der Gesetzgebungskompetenz des Bayerischen Landtags liegt und sehr gut zu unserem Credo passt. Ich danke dem Landtag für die zügige Beratung. Da in den Ausschüssen eine zügige Beratung stattfand, kann unsere Gesetzesänderung jetzt auch schnell in Kraft treten, damit wir bei diesem Thema gut vorankommen.
Die Entscheidung, das LSI zu gründen, war zukunftsweisend. Mit der fristgerechten Umsetzung der NIS-2-Richtlinie wird der Freistaat Bayern seiner Vorreiterrolle in Fragen der IT-Sicherheit erneut gerecht. Ich darf Sie auch um die Zustimmung zu diesem Gesetzentwurf bitten. Wir stellen dadurch Konformität mit dem Europarecht sicher. Wir eröffnen damit auch noch ein paar andere zukunftsfähige Möglichkeiten wie zum Beispiel Sitzungen per Videokonferenz bei der Bayerischen Landesstiftung und Ähnliches mehr und schaffen überflüssige Sonderregelungen in diesem Bereich ab. Bayern wird auch zukünftig das Thema IT-Sicherheit mit aller Kraft verfolgen und die besten Experten zusammenziehen, um das staatliche Netz, aber auch die Netze von Kommunen und kritischer Infrastruktur weiterhin zu schützen. Ich denke, auch der Bund und andere Länder können sich daran ein Beispiel nehmen. Wir sehen das auch an vielen Informationsbesuchen im LSI. Klar ist
auch, wir müssen hier immer auf der Höhe der Zeit bleiben; denn wir müssen immer etwas besser und schneller sein als die, die uns angreifen wollen.
Vielen Dank, Herr Staatssekretär Schöffel. – Weitere Wortmeldungen liegen mir nicht vor. Die Aussprache ist geschlossen. Wir kommen zur Abstimmung. Der Abstimmung zugrunde liegen der Gesetzentwurf der Staatsregierung auf Drucksache 19/2591 und die Beschlussempfehlung mit Bericht des federführenden Ausschusses für Wirtschaft, Landesentwicklung, Energie, Medien und Digitalisierung auf Drucksache 19/2966. Der federführende Ausschuss empfiehlt Zustimmung zum Gesetzentwurf. Der