Die digitale Kommunikation mit öffentlichen Behörden sollte grundsätzlich verschlüsselt erfolgen. Wir sollten uns davon lösen, von großen Softwarekonzernen abhängig zu sein. Deswegen ist das Thema Open Source so wichtig; darüber haben wir schon im letzten Jahr gesprochen, Herr Holowaty; Sie hatten dem entsprechenden Antrag auch zugestimmt. Es ist gut, dass wir mit diesem gemeinsamen Antrag letztes Jahr die Umstellung des Landes auf Open Source vorantreiben konnten und die Landesregierung in diesem Bereich bereits handelt.
Es geht allerdings nicht nur um strukturelle Lösungen. Natürlich muss auch jeder persönlich etwas tun. Die Kollegen haben die am häufigsten genutzten Passwörter genannt; das will ich nicht wiederholen. Aber natürlich ist es ein Sicherheitsproblem, wenn man für viele Endgeräte, für viele Zugänge immer dasselbe Passwort benutzt, wenn man seit zehn Jahren das gleiche Passwort benutzt. Diese Sicherheitslücke sollten wir auch schließen.
Ich freue mich auf die Debatte. Wir müssen vor Ort mehr tun. Wir brauchen EU-weite, gute Bestimmungen. Letztes Jahr mag man sich in dem einen oder anderen Moment noch über die EU-Datenschutzgrundverordnung geärgert haben; jetzt stellt man fest, wie wichtig gemeinsame Regeln sind. Derjenige, der die Datenschutzgrundverordnung mit entworfen hat, ist jetzt hier, um diese Themen umzusetzen; vielleicht ist es kein Zufall. Es ist gut, dass er da ist.
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Verehrte Gäste! Die Cyber-Sicherheit umfasst Aspekte der Sicherheit von Computern, von Servern, von Mobilgeräten, von elektronischen Systemen, von Daten - insbesondere den personenbezogenen Daten - und von Netzwerken. Es geht hier gleichermaßen um Angriffe und die Abgriffe von Daten. Zusammengefasst geht es schlicht um die Sicherheit von Informationstechnologien und elektronischen Informationen.
Im Herbst 2014 ist die AfD Ziel von Hackerangriffen geworden. Es kam zu einem illegalen Zugriff auf E-Mails und den Diebstahl von Personendaten aus einem internen Portal. Diese Daten wurden im Anschluss veröffentlicht. Die öffentliche Resonanz dazu: null.
Im Frühjahr 2016 wurden mehr als 2.000 Personendaten, darunter Namen und Anschriften von AfDMitgliedern, durch einen Cyber-Angriff erlangt und anschließend auf einem linksextremen Internetportal veröffentlicht. In der Folge kam es bundesweit zu linksextremistischen Gewalttaten und zu Sachbeschädigungen an Häusern und Fahrzeugen von AfD-Mitgliedern, deren Adressen durch den Angriff bekannt waren. Während die Medien immerhin darüber berichteten, glänzte die Politik durch beredtes Schweigen.
Im Dezember letzten Jahres hatte ein Hacker mit dem Pseudonym Orbit Daten von Politikern aller Parteien - außer der AfD - veröffentlicht. Jetzt ist der Aufschrei groß, denn man ist ja selbst betroffen.
Die CDU forderte sofort einen Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, auf digitale Wirtschaftsspionage oder auf Sabotage reagieren zu können. Die Union verlangt eine länderübergreifende Strategie.
Robert Habeck löschte sogar sein Twitter-Profil; er sagte, er mache dies nicht aus Angst vor Cyber-Attacken, sondern weil Twitter ein Instrument der Spaltung sei. Das hohe Maß der persönlichen IT-Kompetenz von Robert Habeck spricht an dieser
Stelle Bände. Herr Albrecht, ich hoffe, dass Sie besser aufgestellt sind als Ihr Vorgänger; Ihr Bericht lässt dies zumindest vermuten.
Diese Vorkommnisse haben dafür gesorgt, dass wir endlich darüber sprechen. Diese Attacken belegen, dass Deutschland für die Abwehr von Cyber-Angriffen nicht ausreichend gerüstet ist. Das gilt sowohl für die persönliche Kompetenz auf dem Feld der Cyber-Sicherheit, als auch für die institutionelle Kompetenz in unserem Land.
Wir fordern daher eine umfassende Analyse und Konzeption, wie solche Angriffe künftig verhindert werden können. Hackerangriffe dieser Tragweite bewirken einen Schaden beim Vertrauen in die staatliche IT-Kompetenz. Und sie regen zur Nachahmung an.
Die Debatte hier im Haus ist nur ein erster Schritt, in der über die Sicherheit von zentraler Infrastruktur informiert werden soll. Die Lehren daraus werden wir noch ziehen müssen.
Nicht nur dieser geschilderte und begrenzte Bereich ist von Cyber-Angriffen betroffen. Solche Vorfälle betreffen auch Privatpersonen und Unternehmen; diesen Risiken ist jeder ausgesetzt, der sich im Netz bewegt.
Die Sicherheit im Internet ist allerdings ein entscheidender Faktor für den Erfolg der digitalen Teilhabe von Gesellschaft und Wirtschaft gleichermaßen. So werden Cyber-Angriffe von deutschen Unternehmen als eine der gefährlichsten Geschäftsrisiken erachtet; Datendiebstahl, digitale Sabotage oder Spionage verursachen bei deutschen Unternehmen Schäden im zweistelligen Millionenbereich.
Fast zwei Drittel der deutschen Unternehmen fürchten im Fall von Cyber-Sicherheitsvorfällen einen Vertrauensverlust ihrer Kunden. Der globale Handel deutscher Unternehmen und die internationale Vernetzung machen es erforderlich, das Thema CyberSicherheit nicht nur national zu sehen. Vielmehr muss es in einem internationalen Zusammenhang integriert werden. Cyber-Angriffe machen nicht an nationalen Grenzen halt. Sie sind per se international und global.
Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbands sagte - ich zitiere mit Ihrer Erlaubnis -:
„Cyber-Attacken werden international vorbereitet und durchgeführt - nur wenn wir uns auf europäischer und internationaler Ebene zusammenschließen, können wir uns gemeinsam schützen.“
Auch Privatpersonen sind oft Opfer von Phishing, Betrug oder Erpressung - beispielsweise durch Ransomware. Mit geschickt gefälschten E-Mails werden Internetnutzer dazu verleitet, Daten preiszugeben, oder sogar zu Geldzahlungen erpresst. Immer häufiger werden private, persönliche oder sogar kritische Informationen abgegriffen. Bei diesen Nutzern besteht ein noch größerer Handlungsbedarf. Hier ist ein Umdenken erforderlich. Ein Indiz dafür ist die steigende Anzahl an Straftaten von Cybercrime im privaten Bereich.
Umfassende Aufklärung und Sensibilisierung sind ein wesentlicher Erfolgsfaktor für die IT-Sicherheit in unserem Land. Hier ist noch viel zu tun. - Vielen Dank für Ihre Aufmerksamkeit.
Frau Präsidentin! Meine sehr geehrten Damen und Herren! Die Cyber-Sicherheit - wie im vorliegenden Antrag formuliert -, hat wenig damit zu tun, dass ein Jugendlicher Daten sammelt oder mithilfe von PC-Programmen einfache Passwörter ausspäht; es geht vielmehr um die Sicherheit von Daten, auf denen unsere gesamte Infrastruktur beruht.
Wir sprechen also gerade nicht von privaten EMail-Konten, sondern von der Sicherheit unserer Strom- und Wasserversorgung, von der Verteidigungsfähigkeit, vom Schutz technischer Anlagen zum Beispiel von Kraftwerken - und natürlich auch vom Schutz der persönlichen Daten der Bürgerinnen und Bürger, die sich in den Händen der öffentlichen Hand befinden.
Heruntergebrochen auf das Land Schleswig-Holstein bedeutet das: Wie steht es eigentlich um die Sicherheit unserer Daten bei den öffentlichen Verwaltungen, und was können wir tun, um auch unsere Infrastruktur vor Cyber-Angriffen zu schützen?
Sehen wir uns deshalb einmal die Situation der öffentlichen Hand an. Hierzu kann man sagen, dass andere Länder in der Entwicklung bereits viel weiter sind. Länder wie Dänemark oder Estland sind bereits viel weiter, wenn es um die Vernetzung von Daten geht. In Dänemark kann sich jeder Bürger überall auf der Welt digital mit der für ihn zuständigen Verwaltung in Verbindung setzen. Sich online umzumelden oder das Auto online an- und abzumelden, ist dort völlig normal. Auch die Steuerer
klärung online ist dort nur ein Klacks. Man hat dort schon sehr lange an der Sicherheit dieser Systeme gearbeitet und ist uns deshalb auch etwas voraus.
Ich bin mir sicher, dass es sich hier in die gleiche Richtung entwickeln wird; wir müssen hier Schritt halten. Auch vor diesem Hintergrund ist es sinnvoll, dass sich der Innenausschuss in diesem Jahr in Estland über die Digitalisierung informieren wird. Denn eines ist doch wohl klar: Dass Daten, wie kürzlich im Kreis Schleswig-Flensburg geschehen, einfach so abgezapft werden können, ist definitiv kein Zustand.
Man darf aber auch nicht verkennen, dass es meist die großen Anbieter sind, die in der Lage sind, adäquate System-Sicherheitspakete anzubieten. Kleine Softwareschmieden haben da einen echten Nachteil gegenüber Microsoft, Macintosh, SAP und Co. Deshalb ist auch klar, dass Open Source immer nur da zum Einsatz kommen kann, wo diese Programme mit den übrigen Sicherungssystemen kompatibel sind. Nur weil es billig und transparent ist, dürfen die Daten der Bürgerinnen und Bürger nicht der Gefahr des Diebstahls ausgesetzt werden.
Wir haben aber auch festzustellen, dass ganze staatliche Infrastrukturen zum Beispiel in der Stromoder Gasversorgung gefährdet sein können. Wir haben auf unserer letzten Reise nach Israel sehen können, wie sich dort Firmen auf diesen Bereich spezialisieren. Inzwischen plant man dort in Be‘er Scheva ein großes Cyber-Abwehrzentrum für so ziemlich alle Lebensbereiche. Viele Fachkenntnisse kommen dort aus dem militärischen Bereich.
Es ist richtig, dass die Bundesregierung gerade eine Kooperation mit Israel im Bereich der IT-Sicherheit eingegangen ist. Bis Ende Oktober letzten Jahres konnten sich Firmen und Forschungspartner hier beteiligen. Ich hoffe sehr, dass auch Firmen und Institutionen aus Schleswig-Holstein mit beteiligt sind.
Bei der Kooperation geht es um die Identifikation und Abwehr von Cyber-Angriffen, die Netzwerkund Internetsicherheit, die Sicherheit für das Internet der Dinge, die Versorgungssicherstellung, die Bewältigung von besonderen Gefahrenlagen und den Schutz von Infrastrukturen und Transportsystemen - alles Dinge, die für uns hoch relevant sind. Es spricht einiges dafür, dass wir die Zusammenarbeit mit Israel in diesem Bereich weiter intensivieren und dass auch das Land hier stärker mit einsteigt. - Vielen Dank.
Frau Präsidentin! Liebe Kolleginnen und Kollegen! Ich möchte auf einen innenpolitischen Aspekt aufmerksam machen, der bei der Cyber-Debatte nur vom Kollegen Andresen angerissen worden ist, und zwar an einem Beispiel aus dem vorletzten Jahr.
Im Jahr 2012 ist der NSA zugespielt worden - genaue Auskunft gibt sie natürlich nicht -, wie man über einen Fehler im sogenannten SMB-Protokoll windowsbasierte Computersysteme penetrieren kann. Was hat die NSA gemacht? Sie hat - als Organisation, die Menschen schützen soll - nicht Microsoft informiert, sondern hat den Fehler benutzt für einen eigenen Exploit „EternalBlue“, um weltweit massenhaft Systeme knacken zu können.
Im Januar 2017 - ich kann das an den Patches sehen - hat Microsoft davon erfahren und nicht etwa Patches für alle Betriebssysteme gemacht, die sie je ausgeliefert haben, sondern nur Patches für Betriebssysteme, die sie noch supporten. Das kann man nicht immer automatisch wissen. Dass Windows XP nicht mehr supportet wird, kann man 2017 wissen, dass Windows 8.1 nicht mehr supportet wird, das vier Jahre vorher auf den Markt kam, weil Microsoft aus firmenstrategischen Gründen mehr oder weniger dazu anregen wollte, zu Windows 8 zu wechseln, konnte man nicht automatisch wissen, zumindest nicht, wenn man kein Experte ist, und ein Privatanwender kann das nicht automatisch wissen. Microsoft hat die Sicherheitslücke, nachdem sie davon erfahren haben, zwar geschlossen, aber nicht überall, wo sie es gekonnt hätten.
Im Mai 2017 ist Folgendes passiert: Hacker unbekannten Ursprungs haben die Sicherheitslücke mit Ransomware zusammen kombiniert, und es kam weltweit zu einer der größten Attacken mit Verschlüsselung von Computersystemen.
Es war Glück, dass die Programmierer einen Domain Kill Switch vorgesehen hatten, über dessen Umleitung man die Software wieder abschalten konnte. Sonst wäre es wahrscheinlich zum größten volkswirtschaftlichen Schaden gekommen; Schätzungen gehen ungefähr von 4 Milliarden US-Dollar aus.
seine Passwörter wechseln soll? Wenn der E-MailServer des Betreibers geknackt worden ist, nützt einem auch das beste Passwort nichts; aber das ist ein anderes Thema, dafür habe ich jetzt keine Zeit mehr.
Ja, auf der einen Seite brauchen staatliche Sicherheitsbehörden auch Hacking-Fähigkeiten, um Kriminalität zu verhindern, auf der anderen Seite entsteht, wenn - wie bei der NSA - quasi der Staat das Werkzeug für kriminelle Fähigkeiten geliefert hat, ein viel größerer Schaden. Betriebe haben 2.000 Dollar bezahlt, und es gab 150.000 Infektionen mit WannaCry, ungefähr 4 Millionen wären möglich gewesen. Multiplizieren Sie das einmal mit 2.000 Dollar, dann wissen Sie ungefähr, wie viel Geld Kriminelle hätten erbeuten können, nur weil man gesagt hat, man brauche das dringend, um Kriminalität zu bekämpfen. Diesen Widerspruch muss die Politik - nicht der Anwender - dringend aufklären; das muss Teil der Debatte sein.