Herr Präsident, meine sehr verehrten Damen und Herren! Für die Fraktion der CDU hat die digitale Verwundbarkeit der Gesellschaft eine sehr große Bedeutung und vermutlich stehen wir erst am Anfang dieser Problematik, nicht nur Deutschland, sondern wahrscheinlich sogar weltweit. Denn, meine Damen und Herren, im Cyberraum werden umfangreiche persönliche Daten der Bürgerinnen und Bürger unseres Landes gespeichert, die bei bestimmten Personen kriminelle Begehrlichkeiten wecken könnten.
Denn neben den materiellen Schäden durch Industriespionage drohen beispielsweise Schäden durch den Ausfall oder die Beeinträchtigung der Informations- und Kommunikationstechnik. Dazu ist heute ein interessanter aktueller Bericht im „Weser-Kurier“, das Thema des Berichtes lautet: „Hacker legen Alu-Hersteller in Achim lahm“.
Die Motive der Urheber dieser Schäden können ganz unterschiedlicher Natur sein. Neben dem Ausspionieren wirtschaftlicher, wissenschaftlicher oder militärischer Daten durch fremde Nationen und Wirtschaftsunternehmen sind natürlich auch Einzelpersonen Opfer dieser Internetattacken durch Ausforschung ihrer persönlichen Hintergründe mit der Folge unberechtigter Vermögensverschiebungen von Konten aber auch Erpressung oder Schäden durch gespeicherte Viren.
Die sogenannte Ransomware oder das Ziel dieser Ransomware ist Gelderpressung nach illegaler Ausforschung eines Computers. Das ist das, was beispielsweise wohl dort in Achim passiert ist. Damit versucht man von den Personen, Unternehmen Geld zu erpressen, um die Lösung ihres Problems zu offerieren.
Meine Damen und Herren, auf eine weitere Gefahr im Cyberraum oder bei der Cybersicherheit möchte ich noch hinweisen, die meines Erachtens in der öffentlichen Diskussion gegenwärtig noch zu kurz kommt. Bei einem politisch oder religiös motivierten Terror-Cyberangriff auf unsere Infrastruktur könnten beispielsweise die Stromerzeugung oder die Wasserversorgung massiv beeinträchtigt werden.
Ein solcher Angriff könnte unser Land beispielsweise über längere Zeit stilllegen und unter anderem auch große wirtschaftliche Schäden anrichten. Insofern, meine Damen und Herren, sind die vorliegende umfangreiche Große Anfrage der Fraktion der FDP und die Antworten des Senats dazu sehr hilfreich, das für unsere Gesellschaft wichtige Thema der Cybersicherheit verstärkt in den Fokus der Öffentlichkeit zu bringen und hoffentlich wichtige Maßnahmen zu erreichen oder zu ergreifen.
Allerdings fehlen in den Antworten elementare Details zur digitalen Infrastruktur unseres Landes sowie zu den Daten, die dort übermittelt werden. Darüber hinaus sind die Sicherheitseinschätzungen des Senats, die aus diesen Antworten hervorgehen, zum Teil intransparent, weil nicht genau dargestellt wird, welche Teile der Systemarchitektur beziehungsweise der Datenbanken vom Internet aus
zugänglich und damit potenziell gefährdet sind. Die abstrakte Erklärung in der Antwort des Senats, welche Sicherheitsvorkehrungen getroffen wurden, macht nur Sinn, wenn auch bekannt ist, was dadurch konkret geschützt werden kann.
Als Beispiel möchte ich hier die Antwort zu Frage zwei zu Gesundheit Nord anführen. Während das Bundesamt für Sicherheit in der Informationstechnik, abgekürzt BSI, für das dritte Quartal 2018 das Risiko für Ransomware bei den mit dem Internet verbundenen Unternehmen als gleichbleibend hoch und das Risiko von DDoS-Angriffen, das sind Angriffe auf Webseiten, sodass diese nicht mehr verfügbar sind, sowie den Identitätsdiebstahl als hoch und steigend einschätzt, stuft ein von Gesundheit Nord beauftragter IT-Sicherheitsdienstleister dagegen die IT-Sicherheitsinfrastruktur als gut bis sehr gut ein.
Dieser Widerspruch wird, aus meiner Sicht, in der Antwort des Senats nicht weiter erläutert. Meine Damen und Herren, da aus den Antworten des Senats auch weiterhin keine konkreten Details zum Computersystem von Gesundheit Nord dargestellt werden, möglicherweise zugegebenermaßen aus nachvollziehbaren Gründen, könnte ich durchaus verstehen, kann dieser Widerspruch aus den Antworten des Senats nicht weiter aufgeklärt werden.
Abschließend möchte ich für die Fraktion der CDU erklären, dass wir die digitale Entwicklung unserer Gesellschaft und damit verbunden das Thema Cybersicherheit sehr ernst nehmen und für die Zukunft unseres Landes als wichtige politische Aufgabe ansehen. – Vielen Dank!
Herr Präsident, liebe Kolleginnen und Kollegen, sehr geehrte Gäste! Ein, wie ich finde, spannendes Thema, aber das Problem bei diesem Thema ist – –. Ich vergleiche die Themen Datenschutz und Sicherheit ja immer mit einer Bauchspeicheldrüse – alle wissen, die ist da, aber keiner weiß so richtig, was die macht und wenn es ein Problem gibt, dann wird es schnell sehr ernst. Man kann stundenlang über Sachen diskutieren, die man anfassen kann, Sportplätze zum Beispiel, da ist man emotional dabei, das kann man anfassen und ansehen und darauf gehen.
Bei Sicherheit ist das aber immer so eine Sache und gerade bei Computern wird es dann doppelt schwierig. Auf der anderen Seite muss man sich vielleicht auch ein bisschen beruhigen. Es gab gestern oder vorgestern wieder einen Artikel über eine Cyberattacke auf eine ehemalige Ministerin in Nordrhein-Westfalen, das ist die Ministerin Schulze Föcking. Schon vor ungefähr eineinhalb, zwei Jahren gab es einen großen Diskurs mit einer Debatte und einer Regierungserklärung im Landtag darüber, dass die Frau ausspioniert worden ist, und es stellte sich heraus, das war etwas ganz anderes: Das war ein Bedienfehler.
Sie hat zu Hause ihren Fernseher gehabt, und das war dann keine Cyberattacke, sondern irgendjemand in dem Haushalt hatte mit dem Smartphone einen Film darauf gespielt. Es ging ganz groß durch die Presse und gestern gab es noch einmal eine Berichterstattung hierzu. Es gab jetzt eine weitere Anzeige, und auch da hat man festgestellt: Nein, das lag nicht an irgendwelchen Hackern, sondern das lag in der Person des Anwenders, das war an der Stelle ein Bedienfehler. Nicht alles, was unter Cyber unterwegs ist – –. Oftmals liegt es am Menschen.
Kommen wir zu den Risiken. Wenn man über Cybersicherheit redet oder über Sicherheit von ITSystemen redet, gibt es einmal die Bedrohung von außen, aber es gibt auch eine Bedrohung von innen. Das kann Fehlbedienung sein, das können unzufriedene Mitarbeiterinnen oder Mitarbeiter sein, die Datenträger mitnehmen, das können Mitarbeiter sein, das hat es alles schon gegeben, die IT-Systeme umprogrammieren, oder, das ist auch aktuell in der Debatte, das können Hardwarekomponenten sein, bei denen schon bestimmte Spionagewerkzeuge auf der Platine sind. Das bedeutet, wenn man solche Geräte einsetzt, dann kann man, wenn die Bedrohung von innen kommt, noch so viele Cyberzäune um sie herumbauen – ein hochgradig komplexes Thema.
Deswegen können wir uns in Bremen freuen, dass wir Dataport haben, das wird in der Antwort auch gut dargestellt, dass Dataport ein Dienstleister ist, der sich ordentlich darum kümmert. Jedenfalls habe ich das den Antworten auf diese Fragen entnommen.
Auch die Berichterstattungen im Ausschuss für Wissenschaft, Medien, Datenschutz und Informationsfreiheit, die wir zu solchen Themen mehrfach hatten, bestärken mich, dass es richtig ist, dass wir
mit Dataport bei allen Problemlagen, die es da vielleicht gibt, einen zentralen Dienstleister haben, der für unsere Kommune, für unser Land versucht, die Sicherheit der Systeme zu gewährleisten. Im Großen und Ganzen, man kann es dem Anhang zur Frage eins entnehmen, finde ich, sind die Zahlen nicht so dramatisch, im Großen und Ganzen läuft es ganz gut.
Was kann man machen? Wenn man über Bedrohung von innen redet, liegt ein Großteil an der Fehlbedienung. Also alles das oder vieles, was unter Cyber dargestellt wird, bedeutet einfach: Leute klicken auf irgendwelche Links. Man muss also die Menschen trainieren, nicht auf irgendwelche Links zu klicken.
Ich behaupte, dann hat man schon einmal, 70 Prozent, die Zahl habe ich mir gerade ausgedacht, aller Missbrauchsvektoren oder Angriffsvektoren abgearbeitet. Das ist schwierig. Ich habe gerade gestern einen Artikel von einem IT-Manager gelesen, der sagt: Man kann die Leute trainieren wie man will, aber 30 Prozent klicken auf alles. Ich habe früher im IT-Service gearbeitet und stimme ihm zu – das ist wirklich so. Also muss man Schulungen durchführen. Das ist bei Behörden vielleicht noch relativ einfach möglich, aber Herr Kollege Zenner hat es auch in seiner Rede erwähnt: Was ist mit Privatpersonen, also Menschen, die sich zu Hause im Internet bewegen? Wie erreichen wir die in größerem Maße?
Es gibt Aufklärungskampagnen, aber auch da sehe ich noch viel Luft nach oben, wie es immer so schön heißt, damit wir da diese Bedrohungen, die es wirklich gibt – –. Mit ein bisschen gesundem Menschenverstand kann man sein Bedrohungsszenario oder dessen Potenzial deutlich reduzieren, wenn man sich daran hält, dass eine Bank niemals per E-Mail nach Login-Daten fragt. Wenn man das umsetzt, egal, wie hübsch die E-Mail aussieht – ich weiß, das ist schwer, wenn man Leute hat, die 70 Jahre und älter sind, ich habe mir die Zahl eben ausgedacht, aber dann hat man schon viel erreicht.
Das soll der erste Teil sein, im zweiten Teil wollen wir uns dann noch über weitere Sachen austauschen. – Vielen Dank!
Herr Präsident, meine Damen und Herren! Der zweite Teil beginnt wie folgt: Auslöser für unsere Große Anfrage im November des letzten Jahres war und das hat sich bestätigt, die Vermutung, dass die Polizei in Bremen nicht ausreichend auf die Kriminalität im Internet vorbereitet ist. Dies hat die Beantwortung durch den Senat bestärkt und deswegen ist es höchste Zeit, sich über gemeinsame Lösungswege zu verständigen.
Wir haben auch nicht erfahren, wann mit einer vertieften Kooperation des Bundesamtes für Sicherheit und Informationstechnik und der Hansestadt Bremen zu rechnen ist, um Ressourcen, insbesondere erfahrenes Personal des Bundes zu nutzen. Hier könnte mehr Druck aufgebaut werden. Wir brauchen mehr präventive polizeiliche Arbeit im Bereich der Bürgerinnen und Bürger, um sie über Cyberrisiken, über Cybergefahren aufzuklären und wünschen dies auch in den allgemeinbildenden Schulen und in den Berufsschulen dieses Landes.
Weil der Tatort der Cyberkriminalität oft ein anderer ist als der Taterfolgsort und die Täter meist grenzüberschreitend agieren, braucht Bremen eine Koordinierungsstelle für internationale Zusammenarbeit. Diese Koordinierungs- und Aufklärungsstelle soll zum Ziel haben, eng mit internationalen Strafverfolgungsbehörden und IT-Sicherheitsdienstleistern in Verbindung zu stehen, um Täter grenzüberschreitend ermitteln zu können.
Letztendlich hat die Anfrage gezeigt, dass noch reichlich Verbesserung möglich ist. Ich möchte noch einige Bemerkungen zu den letzten Fragen machen, die Polizei und Justiz betreffen. Das eine, das wir gefragt haben, ist: Warum zeigen so wenig Menschen an, dass sie Opfer eines Cyberangriffes geworden sind? Viele sagen, ich möchte mir den Aufwand nicht antun. Ich möchte nicht meine Hardware zur Verfügung stellen. Manche Firmen befürchten Imageschäden. Seitdem es aber eine zentrale Ansprechstelle im Cybercrime für die Wirtschaft gibt, wird diese Kommunikationsbasis genutzt, und wir sollten weiter Vertrauen schaffen und vielleicht das, das auch in der Beantwortung angeregt worden ist, eine Onlineplattform für Strafanzeigen, zur Verfügung stellen.
Was weiter auffällt, ist die Aufreihung der Strafverfahren, die es im Bereich Cyberkriminalität in Bremen gegeben hat. Ganz wenige Fälle sind wirklich zur Verurteilung gekommen. Eine ganz große Anzahl von Verfahren ist nach § 170 StPO eingestellt, weil Täter nicht ermittelt werden konnten. Manche sind wegen Geringfügigkeit eingestellt worden. Bei unbekannten Tätern gab es eine ganz große Anzahl von mangelnden Ermittlungsergebnissen. Hier stellt sich für mich die Frage: Sind wir dort zu spät? Sind die Beweismittel schon nicht mehr greifbar, oder liegt es vielleicht daran, dass unsere Ermittlungsbehörden technisch besser ausgestattet werden müssen, um die Beweisführung besser vornehmen zu können?
Der nächste Punkt, der angesprochen wird, ist die Personalausstattung im Bereich Polizei und Staatsanwaltschaft. Wir haben bisher in der Staatsanwaltschaft zwei Beamte der Staatsanwaltschaft mit einem Anteil von 0,25 Vollzeitstellen. Das ist ein ganz geringer Betrag, und hinzukommt, dass eine Ausbildung in Sachen Cyberkriminalität auch für die Staatsanwälte nicht vorgesehen ist und man sich das selbst erarbeiten muss. Ich glaube, da beginnt man jetzt wieder von vorne, da in diesem Bereich ein erfahrener Staatsanwalt ausscheidet.
Bei der Polizei ist seit einiger Zeit das Kommissariat 15 zuständig. Hier wird einerseits in den Antworten gesagt: Ja, wir sind eigentlich so aufgestellt, dass wir das alles schaffen können. Wenn man dann aber in der Antwort zu Frage sieben ein bisschen deutlicher hinschaut, sagt der Senat das, was ich gerade gesagt habe: „Der Senator für Inneres sieht hier eine Schwachstelle in der quantitativen Ausstattung der Personalressourcen.“
Da hätte ich mir eigentlich ein bisschen mehr Klartext gewünscht: Wie viele Leute brauchen wir dort eigentlich, und was müssen die können? Dann komme ich zu dem weiteren Thema: Können wir dies in der polizeilichen Ausbildung leisten, in der Ausbildung des Nachwuchses oder auch in Lehrgängen und in der Fortbildung? Sind die Polizeibeamten, die polizeirechtlich, verwaltungsrechtlich ausgebildet sind, wirklich in der Lage mit Menschen, die die Kriminalität betreiben wollen, Schritt zu halten?
Da bin ich skeptisch, und da sollte man überlegen, ob eine kombinierte Ausbildung durchzuführen, oder, was auch zum Teil hier anklingt,
Personen einzustellen, die sich wirklich mit ITProblemen, mit Cyberkriminalität auskennen und beratend und helfend zur Verfügung stehen.
Letzte Bemerkung: Sachverständige. Sie sagen selbst, dass Sie sich bei anderen Staatsanwaltschaften und bei anderen Landeskriminalämtern für kompliziertere Fälle erkundigen müssen, dass Sie die Zusammenarbeit suchen müssen, weil Sie das sonst allein nicht hinbekämen. Auch diese Schwerpunktstaatsanwaltschaften in anderen Ländern sind häufig nicht in der Lage, es allein zu bewältigen. Sie brauchen auch externe Sachverständige, externe Expertise. Hier müsste eigentlich überlegt werden, ob wir uns nicht
einer Schwerpunktstaatsanwaltschaft anschließen können oder eine engere Verbindung eingehen können, um die Arbeit weiterhin zügiger zu qualifizieren. Das wäre einer unserer weiteren Vorschläge. – Dankeschön!
Sehr geehrter Herr Präsident! Herr Kollege Zenner, Sie haben gerade noch einige Punkte skizziert, auch schon in Ihrem ersten Redebeitrag, Frau Kollegin Vogt ist ja auch darauf eingegangen. Die spannende Frage ist doch: Was muss geschehen, was brauchen wir, um gewisse Strukturen zu stärken und nicht schwache Strukturen zu haben, die dann unter Angriffen leiden, denn alles können wir als Land nicht regeln.
Wir müssen doch in erster Linie schauen: Wie schaffen wir es, die digitale Strafverfolgung zu stärken? Da muss man doch einmal ganz ehrlich sein. Wenn Abgeordnete aus diesem Haus Opfer von Internetbetrug werden, agieren die Behörden anders, als bei den einzelnen Bürgern, die Opfer von Internetbetrug werden. Das zeigen auch Fälle aus anderen Bundesländern. Das heißt, partiell scheint da ja etwas zu funktionieren. Die werden nicht immer überführt. Die allermeisten Ermittlungen laufen doch ins Leere. Das heißt, wir brauchen digitale Strafverfolgungsmöglichkeiten, so wie im Analogen auch.
Das bedeutet, dass man einerseits, wenn das rechtlich abgesichert ist, auch bereit sein muss, Geld in