Es gibt aber einen Vorschlag: Der Ältestenrat empfiehlt die Überweisung des Antrags Drucksache 16/13030 an den Ausschuss für Kultur und Medien – federführend – sowie an den Ausschuss für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk. Die abschließende Abstimmung soll im federführenden Ausschuss in öffentlicher Sitzung erfolgen. Wer stimmt der Überweisung zu? – Gibt es Gegenstimmen? – Enthaltungen? – Das ist nicht der Fall. Damit ist einstimmig so überwiesen.
Alle fünf im Landtag vertretenen Fraktionen haben sich zwischenzeitlich darauf verständigt, ihre Reden zu Protokoll zu geben. (Siehe Anlage 2)
Somit kommen wir direkt zur Abstimmung. Der Rechtausschuss empfiehlt in Drucksache 16/13047 – Neudruck –, den Gesetzentwurf Drucksache 16/12434 unverändert anzunehmen. Wir stimmen also über den Gesetzentwurf ab. Wer stimmt dem zu? – Gibt es Gegenstimmen? – Gibt es Enthaltungen? – Eine Enthaltung bei der CDU. FDP?
Schwerd hat sich enthalten. Also haben wir bei Enthaltung der CDU-Fraktion und bei Enthaltung von Herrn Schwerd, fraktionslos, eine breite und damit einstimmige Zustimmung zum Gesetzentwurf Drucksache 16/12434. Damit ist dieser in zweiter Lesung einstimmig verabschiedet.
Vielen Dank. – Sehr geehrter Herr Präsident! Sehr geehrte Kolleginnen und Kollegen! Liebe Zuschauer hier im Saal und zu Hause! Die Europäische Union hat den Oktober 2016 zum Cyber Security Month erklärt. Ich denke, unser Antrag passt ganz gut dazu.
Sie erinnern sich vielleicht an die Meldung vom Dienstag vergangener Woche, als bekannt wurde, dass es eine Hintertür, also einen unbekannten Zugang, in einem Netzwerk-Videoüberwachungssystem gibt. In einem System, das hauptsächlich in Hochsicherheitsumgebungen weltweit eingesetzt wird! Dieser der Öffentlichkeit unbekannte Zugang wurde von einem Geheimdienst genutzt, von der NSA. Dieser Geheimdienst hatte also weltweit im wahrsten Sinne des Wortes Einblicke in vermeintlich gesicherte Räume, und das seit mindestens dem Jahr 2005. Dass dem BND dieser Zugang, diese Sicherheitslücke, auch seit 2005 wohl bekannt war, kommt noch erschwerend hinzu.
Es wäre natürlich naiv, anzunehmen, dass dies die einzige Lücke in Netzwerk-Sicherheitssystemen ist. Genauso naiv wäre es, anzunehmen, dass dies die einzige Lücke ist, die der NSA oder dem BND bekannt ist. Noch naiver wäre es, anzunehmen, dass derartige Lücken den Kriminellen dieser Welt und insbesondere der organisierten Kriminalität nicht bekannt sind.
Damit komme ich zum Kern unseres Antrags. Angriffe aus dem Netz, sogenannte „Hackerangriffe“, aber auch staatlicher Cyberwar existiert nur, weil es Lücken, also Fehler in Software gibt.
Wir möchten mit unserem Antrag öffentliche Stellen in Nordrhein-Westfalen verpflichten, entdeckte Softwarefehler umgehend den verantwortlichen Herstellern zur Fehlerbehebung zu melden und nach einer festgelegten Zeit zu veröffentlichen. Die Veröffentlichung ist dabei der wichtige Punkt; denn nur wenn ich weiß, wo eine Lücke ist, kann ich sie auch schließen bzw. eine neue Softwareversion einspielen und damit das Netz und die Nutzung von Computern sicherer machen. Jede bekannte und geschlossene Lücke trägt zur Sicherheit weltweit bei. Das Entdecken, Schließen und Veröffentlichen von Softwarefehlern ist für uns Piraten digitale Gefahrenabwehr.
Leider wird aber seit längerer Zeit das Gegenteil praktiziert, leider auch und gerade von Behörden und ganzen Regierungen. Ich war gestern auf einem sehr interessanten Vortrag hier in der Akademie der Wissenschaften in Düsseldorf. Dort hat Professor Paar von der Ruhr-Uni Bochum über Sicherheit und Unsicherheit im Internet der Dinge referiert. Er hat dabei ein sehr interessantes Schaubild über den Anstieg der sogenannten Hackerangriffe im Internet gezeigt. Es war eine stetig ansteigende Kurve von 2005 bis heute. Die These dazu: Kriminalität entwickelt sich da, wo es einen Markt gibt, wo es Möglichkeiten gibt.
Dazu gehört auch, dass ab ca. 2004/2005 die Aktivitäten der Geheimdienste im Internet merkbar und wirksam wurden. Nach 09/11 hat es eine Zeit gedauert, bis die Milliarden, die in den USA in die NSA und andere Geheimdienste gesteckt wurden, sich bemerkbar gemacht haben und auch über das Internet Lücken in Software ausgenutzt worden sind. Überwachung funktioniert übrigens auch nur über Lücken in Software.
Jetzt muss man nur eins und eins zusammenzählen, um zu erkennen, dass Sicherheitslücken geheimzuhalten und zum eigenen Vorteil zu verwenden – als kriminelle Gruppe, als Scriptkiddie oder auch als Geheimdienst –, eben nicht funktioniert und zu Unsicherheit führt. Das ist wie mit Waffen. Die werden auch nicht nur von Guten verwendet, sondern die Bösen haben halt auch immer welche. Wir sollten den Markt, der auch gerade in Deutschland entsteht, zum Beispiel durch das Hochrüsten der Bundeswehr zu einer Cyberarmee, nicht fördern, sondern austrocknen.
Deswegen dürfen Softwarefehler nicht geheim bleiben, sondern müssen, wenn sie entdeckt worden sind, geschlossen und bekanntgemacht werden. Das ist digitale Gefahrenabwehr. Hier sollte NordrheinWestfalen Vorbild werden.
Das ist der Gegenstand unseres Antrags. Darüber wollen wir mit Ihnen im Ausschuss weiter sprechen. – Danke schön.
Herr Präsident! Sehr geehrte Damen und Herren! Vielen Dank an die Piratenfraktion für den Antrag. Er beschreibt in weiten Teilen das Handeln und die Haltung der Landesregierung. Einzige Ausnahme, die ich hier auf Anhieb sehe, ist, dass die Informationen an die Bürger nicht über das CERT NRW, sondern über das BSI laufen.
Wir lehnen den Antrag inhaltlich ab, denn er ist überflüssig aufgrund von aktuellem Regierungshandeln. Der Überweisung stimmen wir zu. – Vielen Dank.
Herr Präsident! Liebe Kolleginnen und Kollegen! Liebe Zuschauer! Ich muss ehrlich gestehen – das muss ich vorwegschicken –, dass ich den Antrag doch recht schwierig zu lesen fand, was die grammatikalische, orthografische und sprachliche Aufbereitung anbelangt. Nun ist der Antrag eingebracht, und wir setzen uns natürlich auch gerne damit auseinander.
Sie bemängeln, dass die zentrale Verbreitung bzw. Weiterleitung von Warnmeldungen zu Schwachstellen in Netzwerkdiensten, Applikationen und Betriebssystemen in Nordrhein-Westfalen bislang ausschließlich Aufgabe des Computer Emergency Response Teams – CERT – des Landes ist.
Diese Vorgehensweise, liebe Piraten, nennt man aber Spezialisierung. Wenn ich Ihren Antrag da richtig verstanden habe, schlagen Sie hier das Prinzip vor: Alle machen alles. Unserer festen Überzeugung nach verursacht das nicht nur Chaos, sondern im Zweifel auch Intransparenz und Mehrkosten. Sie sollten doch wissen: Viele Köche verderben den Brei.
Weiter sprechen Sie davon, dass die Interessen von Sicherheitsbehörden an der Geheimhaltung von Sicherheitslücken gar nicht berücksichtigt werden dürfen. Sie erwähnen es sogar explizit. Das muss man sich einmal auf der Zunge zergehen lassen. Unsere Sicherheitsbehörden tragen jeden Tag Sorge für unsere Sicherheit. Die permanente Gängelung nach einem Schwarzweißmuster, die Sie gerne in völliger
Undifferenziertheit betreiben, wird der verantwortungsvollen Aufgabe unserer Sicherheitsbehörden nicht gerecht.
Gänzlich erstaunt war ich, als ich Ihre Forderung gelesen habe, dass Sie als verbindliches Verfahren zur Veröffentlichung von Sicherheitslücken das sogenannte Responsible-Disclosure-Prinzip vorschlagen. Hier haben Sie mich einen ganz kurzen Moment auch leicht verunsichert. Denn ich bin immer davon ausgegangen, dass seitens des CERT bisher nach genau diesem Verfahren vorgegangen worden ist.
Dann habe ich gestern bei Ihnen, Herr Minister Jäger, im MIK angerufen. Und siehe da: Meine Verunsicherung konnte ebenso schnell weichen, wie sie zuvor gekommen war. Sicherheitslücken werden beim CERT schon längst nach diesem Verfahren kommuniziert. Es ist insofern überflüssig, was Sie hier fordern.
Herr Präsident! Liebe Kolleginnen, liebe Kollegen! Kollege Herrmann, Sie sehen, bei den anderen Fraktionen gehen die Wortbeiträge etwas zügiger. Das kann man so deuten, dass wir uns einerseits zumindest in der Zielrichtung und in der Relevanz des Themas durchaus einig sind, dass wir aber auf der anderen Seite bei dem konkreten Antrag weit auseinanderliegen, jedenfalls soweit es der Antrag in seiner konkreten Formulierung vermuten lässt.
Ich würde insofern vorschlagen, dass wir im Anschluss an diese Beratung direkt über einen Verfahrensvorschlag sprechen, wonach wir in der Ausschussberatung so verfahren, wie letzte Woche bei Ihrem Antrag zur Open Government Partnership. Darin hatten Sie als Piratenfraktion vorgeschlagen, die Kommunen mit einem Programm zu beglücken, das die Vertreter der kommunalen Spitzenverbände dann aber für überhaupt nicht erforderlich ansahen. Insofern sollte man vielleicht mit den Adressaten Ihres Antrages im Ausschussverfahren ins Gespräch kommen, denn ich vermute, ehrlich gesagt, dass es bei diesem Antrag genauso ausgehen wird.
Wenn man einmal von der Bekenntnisebene wegkommt und sich anschaut, was Sie konkret fordern, dann ist das nicht so richtig viel Neues. Wir haben es eben schon gehört: Responsible-Disclosure-Prinzipien kommen bereits heute zur Anwendung, und das CERT arbeitet auch sehr erfolgreich. Für sichere Kommunikation setzen wir uns in Nordrhein-Westfalen auch bereits ein.
Ich darf an eine Reihe von Anträgen erinnern, die wir hier mit der Piratenfraktion und den regierungstragenden Fraktionen gemeinsam verabschiedet haben, zum Beispiel zum Appell der Schriftsteller, genauso auch die Kompetenzförderung über sichere Kommunikation. Im E-Government-Gesetz ist auch klar vorgesehen, dass öffentliche Stellen sichere Kommunikationswege anbieten.