Sehr geehrter Herr Präsident, meine Damen und Herren! Das Thema Internetkriminalität nimmt einen immer breiteren Raum in unserem täglichen Leben ein. War dies vor einigen Jahren noch mit den Begriffen „Virenbefall“ oder eventuell „Trojaner zum Ausspähen gespeicherter Daten auf einzelnen PCs“ hinterlegt, so hat das Ganze heutzutage eine völlig andere Qualität, und dies in einem Ausmaß, angesichts dessen die Politik aufmerksam werden und – wenn sie ihre Aufgabe ernst nimmt – auch zum Schutz des Gemeinwesens handeln muss.
Nicht mehr einzelne Computer werden angegriffen, sondern Hunderttausende Computer werden von kriminellen Gruppen und auch von Terroristen widerrechtlich zusammengeschlossen und quasi wie Zombies als willenlose Werkzeuge zum Leben erweckt und als Waffe eingesetzt. Strafbar ist diese Handlungsweise wegen des Fehlens geeigneter Rechtsnormen noch nicht in vollem Umfang. Es bedarf einer entsprechenden Änderung der strafrechtlichen Vorschriften im Strafgesetzbuch.
Sie werden jetzt fragen, warum wir ausgerechnet einen Vorgang der Bundesgesetzgebung zum Thema einer Aktuellen Stunde gemacht haben. Nun, meine Damen und Herren, die Hessische Landesregierung und die sie tragenden Fraktionen sehen es als ihre Pflicht an, hier unter anderem auch im Sinne des Schutzes der Bürger tätig zu werden;
denn die Systeme jedes Einzelnen von uns können involviert sein. Den Menschen das Gefühl zu geben, hier nicht alleingelassen zu werden, ist auch eine Aufgabe von verantwortungsvoller Politik. Daher hat Hessen allen voran die Initiative ergriffen.
Natürlich ist nicht nur jede Privatperson in Gefahr, Opfer eines Missbrauchs ihres PC-Systems zu werden. Längst laufen ständig ernst zu nehmende Angriffe auf öffentliche Infrastrukturen. Beispielhaft nennen möchte ich hier die Angriffe auf den Bundestag 2015, auf ein deutsches Stahlwerk mit einem dadurch beschädigtem Hochofen 2014, die Angriffe auf einen französischen Fernsehsender und eine belgische Zeitung 2015 oder einige Jahre davon die Stuxnet-Attacke gegen die Steuerung iranischer Atomkraftwerke. Wie wir sehen, reicht die Palette dabei vom Ausspähen sensibler Daten bis hin zur versuchten Steuerung von Betriebsabläufen. Auch das Lahmlegen von Servern durch eine Unzahl von Anfragen oder das unbemerkte Mithören und Mitsehen in bisher unzugänglichen Räumen z. B. über Smartphones ist Teil dieser kriminellen Aktivitäten.
Es gibt keinen Bereich des privaten oder öffentlichen Lebens, der als dagegen absolut gesichert bezeichnet werden kann. Leider kann man hier überwiegend nur reagieren und nicht agieren. Doch zumindest das Reagieren muss z. B. bei der Strafverfolgung möglich sein und zu empfindlichen, im Einzelfall vielleicht auch abschreckenden Strafen führen.
Aus diesem Grund wurde im Bundesrat eine hessische Initiative gestartet, welche die unbefugte Benutzung informationstechnischer Systeme, also den sogenannten digitalen Hausfriedensbruch, angemessen unter Strafe stellen soll. IT-Systeme sind mindestens so schutzwürdig wie das Hausrecht. Kriminelle Handlungen gegen sie betreffen das innerste Sicherheitsbedürfnis jedes einzelnen Menschen und sind emotional besonders schwer zu verkraften, wenn man erkennen muss, dass dieser ganz besonders geschützte Bereich angegriffen wurde und der eigene PC als Tatwerkzeug bei einer Straftat missbraucht wurde.
Hessen ist auch personell bereits heute gut aufgestellt, um den drohenden Gefahren durch das Internet und hier insbesondere das sogenannte Darknet zu begegnen. Trotzdem dürfen wir nicht nachlassen, die Entwicklungen genauestens zu verfolgen und ihnen auch mit einem adäquaten Ressourcenmanagement zu begegnen.
Aufbauend auf diesen vielfältigen Erfahrungen der bisherigen Arbeit, hat Hessen schnell und zielgerichtet auf die neuen Bedrohungen reagiert und hier bundesweit eine Vorreiterrolle übernommen.
Die von Hessen vorgeschlagene Strafnorm ist ausgewogen. Sie schützt auf der einen Seite vor allem bestimmte, besonders sensible Systeme und enthält auch eine Bagatellklausel. Auf der anderen Seite sieht sie für besonders schwerwiegende Begehungsformen höhere Strafandrohungen und die Möglichkeit vor, endlich auch z. B. mit verdeckten Ermittlern gegen Botnetz-Kriminalität vorzugehen.
Die Initiative wurde zwischenzeitlich im Bundesrat beschlossen und dem Bundestag zugeleitet. Der Bund ist nun in der Verantwortung, diesen offensichtlich guten hessi
schen Vorschlag schnell umzusetzen, um den Vorteil der schnellen Reaktion nun auch in zählbare Ermittlungserfolge mit den entsprechenden Strafzumessungen zu packen.
Meine Damen und Herren, die Hessische Landesregierung sowie die Fraktionen von CDU und BÜNDNIS 90/DIE GRÜNEN sind sich ihrer Verantwortung sehr wohl bewusst und werden auch in Zukunft mit allen Mitteln der Justiz, ebenso wie mit den Möglichkeiten der Polizei, die Bürgerinnen und Bürger unseres Landes mit der Abwehr von Internetkriminalität schützen.
Herr Präsident, meine sehr verehrten Damen und Herren! Um den rechtlichen Teil relativ kurz und knapp am Anfang abzuhandeln: Erstens, der digitale Hausfriedensbruch wird in der Phase des sogenannten Spreadings, also der Infiltration des eigenen Netzes, verwirklicht. Zweitens besteht eine weitreichende Kriminalisierung der Spreading-Phase: Je nach Ausgestaltung der Botware ist das Spreading von § 202a, § 202b, § 303a StGB und § 44 Abs. 1 in Verbindung mit § 43 Abs. 2 Nr. 4 BDSG erfasst.
Ich glaube, insoweit ist es deutlich, dass daher eine weitere Strafnorm sicherlich alles andere als zielführend ist; weder aus internationalen Vorgaben noch mit Blick auf das potenzielle Schutzgut ergibt sich eine Notwendigkeit der weiteren Kriminalisierung.
Daher gilt – wie bei vielen gesetzgeberischen Initiativen –: Wir benötigen keine neuen Strafnormen, sondern mehr Mittel für die Strafverfolgungsbehörden, um gegen Verstöße gegen bestehende Tatbestände effektiv vorzugehen.
Kollege Veyhelmann hat es angesprochen: Die weitreichenden Folgen des Ausfalls des Telekom-Routers haben die breite Öffentlichkeit für das Thema IT-Sicherheit sensibilisiert. Das ist gut so. Wenn ein Thema in den „Tagesthemen“ oder in der „Tagesschau“ thematisiert wird, dann erfährt es die breite Masse. Das ist nämlich kein Nischenthema, sondern es betrifft weite Teile der Bevölkerung. Statt um Strafrechtsfragen geht es aber konkret um die IT-Sicherheit, die technisch realisierbar ist und einen wirksamen Schutz gegen Spreading und Malware darstellen könnte.
Immerhin ist das auch in der Union kein abwegiges Thema. Thomas Jarzombek, internetpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, hat Folgendes mitgeteilt:
Die Telekommunikationsunternehmen müssen ihrer Verantwortung gerecht werden. Wir brauchen klare Haftungsregeln für Anbieter. Dies betrifft Schäden, die den Angegriffenen entstehen, aber auch eine Rücknahmeverpflichtung der Hersteller, wenn keine Sicherheitsupdates zur Verfügung gestellt werden.
Meine Damen und Herren, all dies zeigt auch, dass es Alternativen gibt, um dieses Themas Herr zu werden.
Nimmt man die Aussagen der Ministerin zu diesem Thema ernst, dann könnte schon der harmlose Scan durch Sicherheitsforscher, etwa nach verwundbaren Ampelsystemen und Wasserwerken, strafbar werden. Es könnte sich ja um die Vorbereitung der Errichtung eines Botnetzes handeln. Meine Damen und Herren, so schützt man die IT-Sicherheit nicht.
Was soll da eigentlich geschehen? Tatsächlich müssen die Hersteller von mit dem Internet verbundenen Systemen endlich verstehen, dass ihre Software Konsequenzen in der physischen Welt hat, ob es sich nun um Server von Google, den Router von Telekom oder um andere Provider handelt. Die aktuellen Vorfälle zeigen jeweils, dass es dort mehr Probleme gibt und Lösungen erforderlich sind, als der eine oder andere bisher angenommen hat.
Sinnvoll wäre es, folgenden Vorschlag aufzugreifen. Hersteller, die ihre Software nicht mehr pflegen, müssen den Quellcode der Community offenlegen und eine Bearbeitung durch Sicherheitsforscher, Programmierer und Hacker ermöglichen. Anderenfalls werden sie für die daraus folgenden Sicherheitslücken verantwortlich gemacht. Hierdurch könnte tatsächlich geregelt werden, dass Geräte, die auf dem deutschen Markt angeboten werden, eine gewisse Zeit auch offiziell unterstützt werden müssen.
Um künftige Hackerangriffe zu erschweren, fordert z. B. Jörg Schwenk vom Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum eine Herstellerhaftung und intensive Testverfahren für neu auf den Markt kommende Router, die auch unbekannte Schwachstellen einbeziehen. Der Professor sagte in der „Westdeutschen Allgemeinen Zeitung“ – ich zitiere –:
Auch die Provider müssen sich überlegen, wie sie mit der neuen Bedrohungslage umgehen. Heiß diskutiert wird in diesem Zusammenhang ein Vorschlag der Bundesnetzagentur, Bots notfalls vom Internet zu trennen – ein Mittel, das sicherlich kurzfristig helfen würde, aber viele unbedarfte Nutzer vor den Kopf stoßen und möglicherweise ohne Erklärung und ohne Internetzugang zurücklassen würde.
Auch die Telekom hätte wohl um die Probleme mit ihren Routern wissen können. Ähnliche Fehler tauchten unter dem Namen „Misfortune Cookie“ schon vor rund zwei Jahren auf. Den Fernwartungskanal dauerhaft offenzuhalten, ist ein unnötiges und obendrein vermeidbares Risiko, weil das eine der Schwachstellen in diesem System ist. Denkbar wäre, über den Port nur einmal am Tag nach Updates zu schauen.
Meine Damen und Herren, Sie sehen, es gibt zwar viele Detailfragen, aber auch technische Lösungsansätze in diesem Bereich, mit denen wir die IT-Sicherheit in unserem Land effektiv stärken können. Mit CRISP in Darmstadt haben wir ein Kompetenzzentrum, das wir mit ausreichender Unterstützung des Landes weiter vorantreiben können. Wir sollten außerdem innovative Firmen in Hessen unterstüt
zen, die sich auf den Weg begeben haben, wirklich etwas für die IT-Sicherheit in unserem Land zu tun.
Herr Präsident, meine Damen und Herren! Die CDU-Fraktion macht heute ein sehr wichtiges Thema zum Gegenstand einer Aktuellen Stunde – ein vielleicht nicht ganz so aufregendes wie das Thema davor, aber auch aus unserer Sicht sehr wichtig. Nur: Sie gehen leider mit bemerkenswerter Inkompetenz an dieses Thema heran.
Für einen in den Siebzigerjahren politisierten Menschen freue ich mich, dass die Bots wieder zurück sind, allerdings währt die Freude nur kurz.
Zum Problem, Ihren mangelhaften Lösungsansätzen, und zu dem, was wirklich geschehen muss: Die Hälfte aller internetfähigen informationstechnischen Systeme in Deutschland ist mit Schadsoftware verseucht. Sprich: Kriminelle übernehmen unsere Geräte. Diese Dimension des Problems nennen Sie in dem Gesetzentwurf, den sich der Bundesrat jetzt zu eigen gemacht hat, selbst. Ihre Lösung? Sie wollen die unbefugte Benutzung informationstechnischer Systeme unter Strafe stellen. Herr Eckert hat schon darauf hingewiesen, wie die strafrechtliche Situation derzeit ist. Wir stimmen zu, dass IT-Systeme mindestens ebenso schutzwürdig sind wie das Hausrecht, aber Sie treten eben nicht an die Verantwortlichen heran, die diesem Missstand aktiv abhelfen könnten.
Wir brauchen dringend eine geschlossene Kette aus Haftung und Verantwortlichkeit. Die Umsetzung des aktuellen Stands der Technik und der derzeit verfügbaren Sicherheitsmaßnahmen muss verpflichtend werden.
Die Einzigen, die technisch dazu in der Lage wären, sind die Hersteller und die Netzbetreiber, die die Geräte vermarkten.
In einem ersten Schritt brauchen wir deshalb die verpflichtende Angabe, in welchem Zeitraum und mit welcher Aktualität Sicherheitsupdates garantiert zur Verfügung gestellt und ausgespielt werden – für alle Klassen vernetzter Geräte. Was der gerade aktuelle Stand der Technik ist, das müssen die Wissenschaft, Sicherheitsforscher, Industrie und Staat gemeinsam dynamisch definieren. Die zuständigen Behörden können dabei nur die Rolle des Moderators übernehmen, weil sie viel zu langsam und schwerfällig reagieren.