In einem ersten Schritt brauchen wir deshalb die verpflichtende Angabe, in welchem Zeitraum und mit welcher Aktualität Sicherheitsupdates garantiert zur Verfügung gestellt und ausgespielt werden – für alle Klassen vernetzter Geräte. Was der gerade aktuelle Stand der Technik ist, das müssen die Wissenschaft, Sicherheitsforscher, Industrie und Staat gemeinsam dynamisch definieren. Die zuständigen Behörden können dabei nur die Rolle des Moderators übernehmen, weil sie viel zu langsam und schwerfällig reagieren.
In einem zweiten Schritt – auch darauf hat Herr Eckert bereits hingewiesen – brauchen wir Haftungsregeln mit starken ökonomischen Anreizen, die dafür sorgen, dass nur noch Geräte auf dem aktuellen Stand der IT-Sicherheit ausgeliefert werden. Solange niemand in der Chefetage um
seinen Bonus fürchten muss, solange kein Konzern strenge Strafen für Schlamperei riskiert, solange weiter InternetGadgets ohne eine belastbare Sicherheitsverantwortungskette in unsere Netze gelangen, wird sich an der Situation nichts ändern. Das zu ändern wäre wichtig, nicht die Vorlage eines Gesetzentwurfs, in dem Sie selbst sagen – ich zitiere aus Ihrem Gesetzentwurf –:
Das ist ein Kotau vor den wirklich Verantwortlichen, an die wir herantreten müssen. Sie tun das nicht.
Herr Präsident, meine sehr geehrten Damen und Herren! Kollege Eckert hat für die Sozialdemokraten die aus meiner Sicht wichtigsten Punkte genannt. Ich glaube, es besteht in diesem Parlament kein Dissens in der Frage, dass wir es hier mit einem extrem wichtigen Themenkomplex zu tun haben: die Botnetze und die Möglichkeiten der Instrumentalisierung des Internets. Wir haben gerade in den zurückliegenden Jahren gesehen, wozu das führen kann. Das Beispiel Telekom ist jedem noch im Kopf, weil vielleicht der eine oder andere – die Telekom ist der größte Anbieter in Deutschland – davon betroffen war. Aber auch das, was man mit diesen Netzen machen kann, welche Instrumentalisierung des Internets damit letztlich möglich ist, ist mittlerweile jedem mehr oder weniger bewusst.
Die Kolleginnen und Kollegen, die sich damit juristisch beschäftigen, wissen, dass die Frage, ob ein neuer Straftatbestand nötig ist, wahrscheinlich nicht der erste Punkt ist, über den diskutiert wird. Über diese Frage zu diskutieren sollte hier nicht den Konsens darüber trennen, dass wir bei diesem Thema Handlungsbedarf haben. Aber klar ist natürlich auch – ich denke, das darf man sagen –, es ist immer wieder der erste Reflex, davon auszugehen: Es gibt ein Problem, wir bieten dazu einen Straftatbestand an, und dann ist das Problem gelöst. – Meine sehr geehrten Damen und Herren, wenn es so einfach wäre, sollten wir das StGB an einigen Stellen noch ein bisschen erweitern; denn dann hätten wir das gesellschaftliche Problem, das wir an vielen Stellen haben, möglicherweise gelöst. Die Realität sieht natürlich völlig anders aus.
Deshalb existiert eine Reihe von Straftatbeständen – § 202a, § 202b, § 303a, ich will gar nicht alle aufzählen –, die in diesen Bereichen einschlägig sein können. Die zweite Thematik, die aus der Sicht der FDP eine wichtige Rolle spielt, ist, wie man diese Straftatbestände im Rahmen der Strafverfolgung realitätsnah umsetzen kann.
Fangen wir ganz vorne an: Das Vorliegen von Straftatbeständen zu überprüfen und die Täter zu verfolgen hängt zunächst einmal von der technischen Ausstattung ab. Dieses Thema – daran können sich die Kolleginnen und Kollegen in diesem Landtag erinnern – haben wir hier in unterschiedlichen Regierungskonstellationen diskutiert. Ich darf
aber selbstkritisch sagen: Wenn wir uns zurzeit die Justiz anschauen, erkennen wir – Frau Ministerin, ich weiß, dass Sie einiges machen; das will ich absolut unterstreichen –, dass Justiz und Polizei denjenigen, denen sie hinterherarbeiten müssen, trotzdem hoffnungslos unterlegen sind.
Das ist ein Teil der Erkenntnisse, die wir letztendlich auch haben. Deshalb: Das, was Sie hier an Strafverfolgung auf den Weg bringen – natürlich auch ein bisschen medienwirksam im Rahmen einer Bundesratsinitiative, wie wir das in der letzten Zeit im hessischen Justizministerium häufiger erleben –, wird aus unserer Sicht wahrscheinlich an praktischen Hindernissen scheitern und nicht an einem fehlenden Straftatbestand. Den Straftatbestand gibt es aus unserer Sicht bereits.
Deshalb ist diese Fixierung auf das Strafrecht aus unserer Sicht auch fehlerhaft, weil sie den Blick für die Maßnahmen verstellt, die wirklich notwendig sind. Wie kann man IT-Sicherheit verbessern?
Kollege Tobias Eckert hat es gesagt: Bei dieser Frage geht es darum, auf der einen Seite die Strafverfolgungsbehörden ordentlich auszustatten und möglicherweise auch mit Spezialeinheiten zu agieren, die technisch und vom Know-how her so ausgerüstet sind, dass sie es mit den Hackern, diesen absoluten Spezialisten, ein Stück weit aufnehmen können. Auf der anderen Seite können wir über die Frage diskutieren, ob wir – das ist gerade genannt worden – im Rahmen einer möglicherweise verschärften Produkthaftung einmal darüber nachdenken, dass diejenigen, die die Systeme anbieten, auch für deren IT-Sicherheit verantwortlich sind. Das ist aus unserer Sicht eher ein Punkt, der uns deutlich nach vorne bringen würde.
Ich will offen sagen: Wenn man sich den vorgelegten Entwurf anschaut und die Unschärfe erkennt, kommt man zu dem Ergebnis, dass er nicht geeignet ist. Er ist aus unserer Sicht zu unbestimmt; er wird dem Bestimmtheitsgebot nicht gerecht. Meine sehr geehrten Damen und Herren, er ist nicht nötig, weil er zu dem Ziel, das wir gemeinsam haben, nichts Positives beiträgt.
Deshalb will ich abschließend sagen: Wir werden diesem Antrag nicht zustimmen können – nicht, weil wir nicht gemeinsam das Ziel haben, diesen Bereich konstruktiv anzugehen, sondern weil dieser Gesetzentwurf das Ziel nicht so verfolgt, wie wir uns das wünschen würden. Er ist eine Ablenkung. Ich finde, er ist technisch und pressetechnisch gut gemacht, juristisch hat er jedoch Luft nach oben. – Vielen Dank.
Herr Präsident, meine Damen und Herren! Herr Kollege Wilken, ich finde, das Thema ist mindestens genauso aufregend wie das Thema Biblis.
An den Kollegen Rentsch gerichtet – er ist schon wieder weg –: Zum Glück müssen Sie heute nicht abstimmen. Es gibt gar keinen Antrag. Es gibt die Bundesratsinitiative, die bereits abgestimmt ist. Jetzt geht es darum, diese im Bundestag umzusetzen. Ihre Stimme ist heute gar nicht gefordert – das nur einmal zur Klarstellung.
Herr Rock hat mich nicht verstanden. Soll ich es Ihnen noch einmal erklären? Herr Rentsch hat gerade erklärt, dass Sie nicht zustimmen werden. Sie müssen aber heute gar nicht zustimmen.
Ich finde es wichtig, dass wir das Thema Internetkriminalität und Botnetzsicherheit heute zum zweiten Mal behandeln. Das ist auch richtig so, denn das Thema gewinnt immer mehr an Aktualität. Wir hatten damals das Beispiel Telekom und erst vor Kurzem die Angriffe auf die Justizbehörden. Es gibt auch seit dem Trump-Wahlkampf die Diskussion über die Social Botnets.
Ich denke, das ist ein Thema, das alle im Moment sehr intensiv beschäftigt; denn wenn wir unser Wissen nicht mehr aus seriösen Printmedien, sondern nur noch aus den Social Media beziehen und diese mit Botnetzen gesteuert sind und uns unsere Meinung sozusagen in millionenfacher Höhe suggerieren, ist das einfach fatal. Dann müssen wir etwas dagegen tun.
Es wundert mich schon sehr, dass sowohl Herr Wilken als auch Herr Rentsch hier nur von den Unternehmen reden, die sich selbst schützen müssen. Es geht auch um die Bürgerinnen und Bürger. Jeder von uns hat mindestens drei Endgeräte, die nicht sicher sind. Die Bürgerinnen und Bürger – das hat schon das Bundesverfassungsgericht festgestellt – können sich vor den Botnetzangriffen alleine nicht schützen.
Deswegen ist es richtig und gut, dass wir beim Thema digitaler Hausfriedensbruch – sozusagen das Fahren ohne Fahrerlaubnis – das digitale Recht anwenden; denn das Strafrecht ist aus dem Jahr 1877. Damals gab es gerade einmal eine Schreibmaschine, aber noch kein Internet. Deswegen ist es dringend notwendig, das Recht anzupassen. Vielen Dank an die Justizministerin, die diese Initiative ergriffen hat.
Natürlich ist es richtig, dass das Strafrecht das Problem nicht alleine löst. Das Problem besteht in der Verfolgung. Aber auch hier ist dieser Paragraf eine Unterstützung: damit man die Betreffenden besser verfolgen kann und derer habhaft wird, die allein schon den Versuch starten, in den Rechner einzudringen und den Computer zu übernehmen, um damit Unternehmen und Privatpersonen zu beherrschen.
Auch die Forschung muss mitziehen. Die TU Darmstadt ist erwähnt worden. Aber es gibt auch die Ben-Gurion-Universität – ich glaube, ich hatte es letztes Mal bereits erzählt –, die Botnetze mittels sogenannter Honeypots aufspüren kann. Das funktioniert genauso wie bei dem Bären: Vor ihn wird ein Honigtopf gestellt, und er wird in die Falle gelockt. Übertragen heißt das, das Programm erkennt automatisch die Botnetze und auch, ob der Angriff von ei
nem Bot oder von einer realen Person kommt. Das ist der Weg: die Strafverfolgung, die Forschung, aber auch die Prävention. Natürlich muss jeder sehen, wie er sich selbst gut schützen kann.
Das ist ähnlich wie bei den Wohnungseinbrüchen. Auch bei der Wohnung gilt „Zutritt verboten“. „Zutritt verboten“ sollte auch für die Computer gelten.
Natürlich stehen für uns die Persönlichkeitsrechte und der Datenschutz an vorderster Stelle. Auch in diesem Bereich gibt es einiges zu tun; denn unsere Daten müssen geschützt sein. Niemand will seine persönlichen Daten ausspioniert haben. Dabei wird die Identität übernommen. Diese Fälle gibt es bereits. Das Recht muss dafür sorgen, dass wir davor geschützt sind.
Auch wenn das Recht immer das letzte Mittel ist, wenn es darum geht, gesellschaftliche Probleme zu lösen – davor müssen immer die Prävention, die Aufklärung, die Eigeninitiative und die Forschung für die Gegenmaßnahmen stehen –, gibt es die Notwendigkeiten für ein angepasstes Strafrecht. Deswegen muss diese Bundesratsinitiative so schnell wie möglich umgesetzt werden.
Sehr geehrter Herr Präsident, meine sehr geehrten Damen und Herren! Es wird versucht, mit kriminellen Botnetzen unsere Gesellschaft in einem Maße zu verändern, wie man es nicht für möglich gehalten hätte. Ich bin dafür dankbar, dass sich alle in diesem Haus wenigstens bei dem Thema einig sind.
Das Phänomen, das wir haben, will ich mit einigen Beispielen unterstreichen. Es ist noch nicht lange her – nämlich Ende November 2016 –, da hatten fast 1 Million Bürger in Deutschland von einer Sekunde auf die andere keinen Zugang mehr zum Internet. Lahmgelegt waren auch alle Telefone, die an einen Internet-Router angeschlossen waren. Es hat bis zu zwei Tage gedauert, bis man wieder über das Festnetz telefonieren konnte. Das ist das erste Beispiel.
Dann gibt es das zweite Beispiel – Frau Kollegin Müller hat es eben gesagt –: die sogenannten Social Bots. Social Bots sind Softwareroboter, die sich als echte Menschen ausgeben. Sie verbreiten unter Fakeprofilen zehntausendfach potenziert radikale Meinungen oder andere Informationen, je nach Belieben der Administratoren dieser Bots.
Wir wissen inzwischen auch, dass andere Staaten und Geheimdienste diese Social Bots benutzen. Diese sind deshalb besonders gefährlich – wir sitzen im Hessischen Landtag, im Parlament –, weil sie die Meinungsbildung beeinflussen. Dafür gibt es schon Beispiele. Jeder dritte Tweet zur Unterstützung des Wahlkampfs von Donald Trump in den Vereinigten Staaten kam von solch einem Bot.
Es ist auffällig, dass man heute sagen kann, dass der Wahlkampf in den Vereinigten Staaten von den Bots beeinflusst worden ist. Das ist ein Angriff auf unsere Demokratie und unseren Rechtsstaat. Es ist ein Phänomen, das es in dieser Form, Breite und Masse bisher nicht gegeben hat. Dagegen müssen wir vorgehen, um unsere Demokratie zu schützen.
Deshalb gibt es bei uns zwar Strafbarkeitsnormen – das haben die Kollegen schon gesagt, dies sind die §§ 202a, 303a und 303b des Strafgesetzbuchs –, aber diese Strafbarkeitsnormen reichen nicht, weil wir eine enorme Zahl von Lücken haben. Herr Kollege Eckert, die Lücken, die vorhanden sind, haben wir uns nicht einfach ausgedacht, sondern diese hat die Praxis aufgezeigt, die Ermittlungen, die geführt worden sind. Die Praktiker, d. h. die Internetstaatsanwälte, die diese Phänomene untersuchen und versuchen, sie unter diese Normen zu bringen, haben bei den Phänomenen, die wir heute haben, mindestens zehn Strafbarkeitslücken gefunden.
Jetzt will ich Ihnen einmal vorlesen, wie in Deutschland im Jahr 2014, selbst wenn man den Sachverhalt kennt, die Zahlen in Bezug auf die Verurteilungen aussahen – 2014, 2015, 2016 gab es dies auch schon, das haben Sie gesagt –: Nur 84 Personen wurden wegen des Ausspähens von Daten, 46 Personen wegen Datenveränderungen und nur 22 Personen wegen Computersabotage verurteilt. Warum? – Weil es Strafbarkeitslücken gibt.