Insofern geht es um Spionage und Manipulation, um Sabotage. Wir wollen Schleswig-Holstein ja zu einer digitalen Vorzeigeregion machen. Ich glaube, das muss auch den Bereich der Bekämpfung der Cyberkriminalität entsprechend beinhalten.
Mit Blick auf die erwähnten 20 neuen Stellen beim LKA unter anderem für Informatiker und Ingenieure müssen wir natürlich auch die Fachkräfte finden. Deshalb gibt es mittlerweile auch den dualen Studiengang in dem Bereich. Das kann aus meiner Sicht nur ein Anfang sein.
Ich bin auch kein Freund davon, reflexartig nach neuen Gesetzen zu rufen, wenn ein Problem auftaucht oder bewusster wird. Ich glaube allerdings auch, man muss durchaus gucken, ob man das Strafrecht an einigen Stellen an das digitale Zeitalter anpassen muss. Beispielsweise sollte geprüft werden, ob Strafbarkeitslücken bestehen.
chere Handhabe gegen kriminelle Hacker gewährleistet und andererseits Sicherheitsexperten, die sogenannte Hackertools herunterladen und austauschen, um sie unschädlich zu machen, nicht kriminalisiert. Ich glaube, auch an der Stelle muss noch nachgearbeitet werden.
Die Zusammenarbeit bundesweit und auch europaweit wurde bereits angesprochen; denn Cyberkriminalität macht nicht an Ländergrenzen halt. Ich glaube, das ist ein wichtiger Punkt. Das Entscheidende ist, dass wir sehen müssen: Das Hinterherhinken Deutschlands bei der Digitalisierung wird immer mehr zu einem ernsthaften Sicherheitsproblem nicht nur für Prominente, sondern auch für jeden einzelnen Bürger und auch für unsere Wirtschaft. Wenn 20-jährige Hacker Politiker bloßstellen können und 17-Jährige, wie man lesen konnte, Unternehmen auch in Schleswig-Holstein erfolgreich erpressen können, kann sich jeder ausmalen, wozu professionelle Banden und ausländische Geheimdienste in der Lage sind. Das muss uns an der Stelle deutlich werden.
Bei Unternehmen geht es immer öfter nicht nur um ärgerliche Störungen, indem zum Beispiel ins Netzwerk eingedrungen wird und einige Daten geklaut werden, sondern es geht mittlerweile auch darum, dass Produktionsprozesse - in Deutschland gibt es mehrere Fälle, die bekannt geworden sind - durch Hackerangriffe unterbunden werden. Dadurch sind massive wirtschaftliche Schäden entstanden. Dann gibt es immer die Diskussionen mit den Versicherungen darüber, wer denn eigentlich die Verantwortung für diese Schäden trägt und wer dafür aufkommt. Das ist insofern ein sehr großes Thema.
Der Rechtsstaat muss auch im Netz konsequent durchgesetzt werden. Die wehrhafte Demokratie muss auch netzwehrhaft sein. Ich glaube, insoweit gibt es noch viel zu tun. Packen wir es an! - Vielen Dank für die Aufmerksamkeit.
Frau Präsidentin! Sehr geehrte Damen und Herren! Auch ich danke Herrn Minister Albrecht für seinen Bericht, auch für seine Einschätzung, dass nicht nur
die Quantität, sondern auch die Qualität von Hackerangriffen zunimmt, vor allem gerade auch in dem Bereich, der eben von dem Kollegen Vogt angesprochen worden ist, nämlich bei Unternehmen und bei staatlichen Einrichtungen.
Nach dem Bundeslagebericht 2017 des Bundeskriminalamtes zur Cybercrime deuten polizeiliche Ermittlungsergebnisse darauf hin, dass sich Täter im Bereich Cybercrime zunehmend professionalisieren, indem sie flexibel auf aktuelle technische Rahmenbedingungen reagieren.
Cybercrime-Täter begehen heute nicht mehr ausschließlich Straftaten im digitalen Raum, sondern bieten auch die zur Begehung von Straftaten erforderliche Schadsoftware oder komplette technische Infrastrukturen in der im Internet bestehenden kriminellen Schattenwirtschaft an.
Mit zunehmender Digitalisierung erhöht sich die Anfälligkeit digitaler Infrastrukturen bei Cyberattacken. Angreifern stehen immer leistungsfähigere Methoden zur Verfügung. Vereinfachte Prozesse ermöglichen Kriminellen, Angriffe auf digitale Systeme effektiv zu gestalten. Es ist gut zu hören, dass unsere Verwaltung durch den länderübergreifenden Anbieter Dataport abgesichert ist.
Aber wie sieht es mit anderen sensiblen Einrichtungen aus? Missbräuchliche Eingriffe, zum Beispiel in die Energieinfrastruktur, sind eine Bedrohung. Besonders gefährlich wird dies in Bereichen, deren Ausfall nachhaltige Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.
Cyberangriffe gehen nicht immer direkt in das Stromnetz. Cyberangriffe benutzen häufig Umwege. Hacker greifen nicht unbedingt direkt Kraftwerke oder Stromnetze an, sondern schleichen sich über die Bürokommunikation ein und arbeiten sich Schritt für Schritt in die kritische Infrastruktur vor.
Wie gut die Energiebranche geschützt ist, ist oft von Unternehmen zu Unternehmen unterschiedlich. Bei kleinen Stadtwerken ist der Schutz oft verbesserungswürdig; denn es soll vorkommen, dass sich der IT-Beauftragte häufig nebenbei um das Thema kümmern muss. - Ja, da haben Sie recht, Herr Albrecht: Hier, aber auch in vielen weiteren Bereichen brauchen wir Spezialisten und gut ausgebildetes Personal.
Die Bedrohungen sind aber keineswegs nur theoretisch. Bereits 2015 gelang es einer Hackergruppe, das Stromnetz in Teilen der Ukraine lahmzulegen. Dabei nutzten die Angreifer Phishing-Mails mit fin
gierten Excel- und Word-Dokumenten, die an Mitarbeiter von Netzbetreibern gerichtet waren. Beim Öffnen dieser Dateien installierte sich eine Malware, die wichtige IT-Systeme zur Netzbetreuung unter ihre Kontrolle brachte.
Mit dem Aufbau intelligenter Stromnetze wird die Gefahr von Hackerangriffen weiter steigen; denn immer mehr Einheiten sind in Smart-Grids über das Internet miteinander verbunden. Damit wächst die Zahl möglicher Angriffspunkte. Smart-Grids - das sind intelligente Stromnetze, die Erzeugung, Speicherung und Verbrauch kombinieren können. Das bedeutet, dass in einem Smart-Grid nicht nur Energie, sondern auch Daten transportiert werden, sodass Netzbetreiber in kurzen Abständen Informationen zu Energieproduktion und -verbrauch erhalten.
Im September 2018 warnte der Präsident des Bundesamtes für Sicherheit in der Informationstechnik vor Hackerattacken auf die deutsche Energiebranche. Energieversorger registrieren täglich Attacken. Es wird bewusst versucht, die Systeme zu infiltrieren, um später vielleicht wirklich Kraftwerke oder Netze lahmzulegen. Bislang ist es Hackern noch nicht gelungen, Kraftwerke oder Stromnetze in Deutschland ernsthaft zu attackieren. Richtig ist daher, die Kompetenzen auszuweiten, für bessere Aufklärung zu sorgen und hochqualifiziertes Personal vorzuhalten. Daran werden wir Sie messen, ebenso die Landesregierung. Hier müssen Taten folgen, Herr Minister!
Auch in der Gesundheitsversorgung gibt es ein Risiko im digitalen Bereich. Hier kann die Digitalisierung zwar zu einer qualitativ hochwertigen und finanzierbaren Gesundheitsversorgung beitragen; aber sie schafft mit zunehmender Technologisierung immer mehr Angriffspunkte. Gleiches gilt für Privatwirtschaft und in der Zivilgesellschaft.
Meine Damen und Herren, wir brauchen nicht nur verbesserte Geräte mit eingebautem Datenschutz. Wir brauchen in unseren Unternehmen der öffentlichen Daseinsvorsorge sowie den Behörden des Landes ein professionelles Sicherheitsmanagement - es ist schon angesprochen worden; ich denke, das muss weiter ausgebaut werden -, damit wir gegen die täglichen Herausforderungen von Cyberangriffen gewappnet sind. Dies ist eine Aufgabe, der sich die Beteiligten jeden Tag neu stellen müssen, nicht nur dann, wenn Personen des öffentlichen Lebens oder der Politik betroffen sind, sondern auch, damit alle Bürgerinnen und Bürger Informations- und Datensicherheit genießen können. - Vielen Dank.
Sehr geehrte Frau Landtagspräsidentin! Meine Damen und Herren! Liebe Kollegen! Cybersicherheit ist ein wichtiges Thema. Die aktuelle Veröffentlichung von - teils höchstpersönlichen - Informationen von Politikern und Prominenten hat das Thema wieder auf die Tagesordnung der breiten Öffentlichkeit gesetzt.
Tatsächlich ist dieser Angriff jedoch nur ein Tropfen auf den heißen Stein. Tagtäglich tropft es solche Angriffe aus dem Netz. Dieser Tropfen landete aber mal wieder in den Nachrichtenzentralen, weil die Opfer bekannt sind.
Der Minister hat es eindeutig aufgezeigt: Die Bedrohungslage ist enorm. Firmen, Arztpraxen, Kanzleien - durch hochprofessionelle Angriffe aus dem Netz kann der unaufmerksame Klick auf einen E-Mail-Anhang oder das Öffnen einer unscheinbaren Word-Datei absolutes Chaos auslösen. Seit einigen Jahren beobachte ich auch als Rechtsanwalt eine drastische Zunahme von Cyberattacken bei mittelständischen Firmen und Handwerksbetrieben. Die Gefahr ist real. Angriffsziele sind aber auch Universitäten, Krankenhäuser und Behörden.
Der Minister hat es ausgeführt: Wir sind mit Dataport als zentralem Dienstleister gut aufgestellt. Es gibt Vorsorgemaßnahmen und ein Notfallmanagement, falls die Vorsorgemaßnahmen ausfallen. Das ist gut.
100 % Sicherheit gibt es aber nicht. Wie immer kommt es nämlich auf die Anwendung an. Das gilt auch und insbesondere für private Nutzer, die im Internet zunächst einmal eigenverantwortlich unterwegs sind. Wer überall das gleiche Passwort benutzt und dies seit Einstieg ins Netz am besten noch nie geändert hat, der handelt ungefähr so gewissenhaft wie ein unangeschnallter Falschfahrer auf der Autobahn. Es kann gutgehen; die Wahrscheinlichkeit ist aber gering. Sicherer ist es, das Passwort regelmäßig zu ändern und dabei ein Passwort auszuwählen, das eher so aussieht, als ob man auf der Tastatur eingeschlafen wäre anstatt „Passwort1234“ oder „Schatzi“. Die beliebtesten Passwörter „123456“ und „12345“ - wurden vom Abgeordneten Vogt schon genannt.
Das Problem bei Tagesordnungspunkten wie diesen ist - das sieht man ein bisschen auch an der Teilnehmerzahl -, dass bei vielen technischen Fragen die Lösungen so unfassbar kompliziert klingen und man sich deswegen nicht unbedingt damit beschäftigen möchte. So klingt zum Beispiel die Zwei-Faktor-Authentifizierung eher nach einem gewaltigen Aufwand für den Nutzer: „Das ist doch irgendetwas für Sicherheitsnerds!“ In Wirklichkeit ist es eine Lösung für jedermann, die wir alle schon im Alltag benutzen. Jeder kennt es: Beim Online-Banking gibt man zunächst sein Passwort ein. Um eine Transaktion durchführen zu können, muss man später, meist auf einem anderen Gerät, eine TAN erzeugen. Dort, wo es möglich ist, sollten Zwei-Faktor-Authentifizierungen auch in anderen Bereichen eingeführt werden, um unsere Daten zu sichern.
Doch neben Sicherheitsmaßnahmen, die Nutzer treffen können, halte ich es für sinnvoll, auch die Internetwirtschaft in die Pflicht zu nehmen. Zum einen brauchen wir mehr Respekt vor dem Grundsatz der Datensparsamkeit. Wenn Sie online einen Tisch in einem Restaurant reservieren wollen, dann müssen Sie bei den gängigen Anbietern neben Ihrer E-Mail-Adresse noch Ihre Telefonnummer, Ihren vollständigen Namen und gegebenenfalls weitere Daten angeben. Ich muss ehrlich sagen: Es ist mir vollkommen unerklärlich, warum in heutigen Zeiten alle diese Daten benötigt werden. Eine Information, wenn man beim Restaurant anruft, reicht aus, nämlich die Telefonnummer.
Insgesamt müssen wir also auf den Grundsatz der Datensparsamkeit achten. Wir müssen auch die Internetwirtschaft dazu anregen, datensparsamer vorzugehen. Zum anderen muss die Online-Wirtschaft gehalten sein, ihre Systeme stets bestmöglich zu sichern. Ich begrüße daher die Initiative des Ministers, mit der Privatwirtschaft ins Gespräch zu kommen, ausdrücklich und danke ganz herzlich für Ihren Bericht.
Sehr geehrte Frau Präsidentin! Sehr geehrte Kolleginnen und Kollegen! Vielen Dank für den Bericht, Herr Minister Albrecht! Private Handynummern,
Chatverläufe mit den engsten Familienmitgliedern, Rechnungen, Geschäftsgeheimnisse, Ausweisdokumente und private Fotos - alles das kann öffentlich werden und ist von einigen Menschen in den letzten Wochen öffentlich geworden. Hacks und Leaks sind in Deutschland Alltag. Angesichts von Collection#1 und 773 Millionen betroffenen E-Mail-Adressen ist der Doxing-Skandal von Anfang des Jahres schon fast wieder Schnee von gestern. Da aber Personen des öffentlichen Lebens betroffen waren, schrie die ganze Medienrepublik lautstark auf. Das Thema bestimmte die Titelseiten quer durch die Republik.
Der ein paar Tage später bekannt gewordene Datenklau beim Kreis Schleswig-Flensburg, der mindestens genauso schlimm, vielleicht sogar schlimmer gewesen ist, oder die Nachricht - Kollegen haben es schon erwähnt -, dass Unternehmen bei uns in Schleswig-Holstein als Folge von Datenleaks zum Teil Lösegeld zahlen, waren dann nur noch am Rande Thema. Aber alle diese Beispiele zeigen, dass wir eine grundsätzliche Debatte brauchen zu dem Thema Datensicherheit und Datenschutz - das Ganze übrigens nicht nur deshalb, weil solche Leaks oder Hacks Konsequenzen für die Menschen persönlich haben, sondern weil sie auch unsere Demokratie insgesamt gefährden können. Dafür gibt es viele Beispiele. Darauf spielt ja auch der bekannt gewordene Leak rund um viele Spitzenpolitiker an. Es kann unsere Demokratie erschüttern oder gefährden, wenn Menschen eingeschüchtert werden oder wenn man, wie in den USA passiert, probiert, damit Wahlen zu beeinflussen.
Bund, Land und Kommunen müssen die Daten schützen, die uns anvertraut werden, und es müssen Strukturen geschaffen werden, die die Cybersicherheit von uns allen massiv erhöhen. Für IT-Sicherheit gibt es nicht eine Lösung, sondern wir müssen mehrere Maßnahmen ergreifen. Wir Grünen haben dafür auf allen möglichen Ebenen immer wieder Vorschläge vorgelegt. Leider war dies bisher nicht immer von Erfolg gekrönt. Die Bundesregierung hat sehr viele unserer Vorschläge im Deutschen Bundestag bisher abgelehnt; aber vielleicht lernen auch die Akteure dort hinzu.
Das alles reicht allerdings nicht aus. Auch der Staat nutzt IT-Sicherheitslücken beziehungsweise hält diese bewusst offen. Das ist grob fahrlässig und führt nicht gerade zu mehr IT-Sicherheit. Diese Politik sollten die Sicherheitsbehörden unbedingt unterlassen.
Gegenangriffe, die sogenannten Hackbacks, oder Massenüberwachungsinstrumente wie die Vorratsdatenspeicherung führen im Ergebnis auch nicht zu
mehr, sondern zu weniger Sicherheit. Hilfreich hingegen wären - das haben die Kollegen bereits gesagt - gut ausgestattete Behörden und gemeinsame Datenschutz- und Sicherheitsstandards. Bei Dataport - das sehe ich auch so - wird gute Arbeit geleistet; die IT-Sicherheit im Landeshaus scheint auch zu funktionieren.
Allerdings muss man klar sagen: Kein Schutz ist so gut, als dass er nicht noch besser werden könnte. Wenn der Deutsche Bundestag Opfer von Hackerangriffen werden kann, dann sind wir in SchleswigHolstein, glaube ich, nicht völlig außen vor. Ein Stück weit hatten wir bislang vielleicht Glück gehabt. Deswegen sollten wir unsere Sicherheitsstrukturen immer wieder überprüfen. Ich bin deshalb froh, dass wir das hier im Haus mit der IuK-Kommission bald tun werden.
Es geht allerdings nicht nur um die Regierungs- und Abgeordnetenkommunikation, sondern auch um die IT-Sicherheit von Sicherheitsbehörden, Polizei und Justiz. Auch in diesen Bereichen brauchen wir höhere Standards.
Die digitale Kommunikation mit öffentlichen Behörden sollte grundsätzlich verschlüsselt erfolgen. Wir sollten uns davon lösen, von großen Softwarekonzernen abhängig zu sein. Deswegen ist das Thema Open Source so wichtig; darüber haben wir schon im letzten Jahr gesprochen, Herr Holowaty; Sie hatten dem entsprechenden Antrag auch zugestimmt. Es ist gut, dass wir mit diesem gemeinsamen Antrag letztes Jahr die Umstellung des Landes auf Open Source vorantreiben konnten und die Landesregierung in diesem Bereich bereits handelt.