Sehr geehrter Herr Präsident! Meine sehr geehrten Damen und Herren! Ich gehe einmal davon aus, dass der vorliegende Antrag der FDP/CDUFraktion ein Beitrag zur Verlässlichkeit und Kalkulierbarkeit und auch zur Glaubwürdigkeit unserer Fraktionen ist, weil er ein Problem aufgreift bzw. benennt, das sehr tief greifend ist – nicht nur in der Informationswelt, auch in unserer gesellschaftlichen Welt, die viel mit Informationen und der Informationswelt zu tun hat.
Die aktuelle Entwicklung bei der Kriminalität im Internet und die Angriffe auf kritische IT-Infrastrukturen der Bundesrepublik und der deutschen Länder fordern deshalb geradezu ein schnelleres Handeln des Staates – auch jedes Betroffenen selbst – heraus. Hier geht es insbesondere um die Sicherheits- und Schutzinteressen des Staates – hier des Freistaates Sachsen –, um Informationssicherheit und den Schutz sächsischer Bürger, Unternehmen, Hochschulen und weiterer öffentlicher Stellen vor Kriminalität.
Mit Sorge nehmen wir zur Kenntnis, dass es in den zurückliegenden Wochen zu kriminellen Handlungen ungeahnten Ausmaßes über die Datenverbindungswege und das Internet gekommen ist. Bereits im Januar 2014 warnte das Bundesamt für Sicherheit in der Informationstechnik vor einem gigantischen Datendiebstahl; damals ging es um 16 Millionen Datensätze, die gestohlen wurden.
Seit dem zurückliegenden Wochenende wissen wir: Kriminelle haben die Zugangsdaten zu 18 Millionen EMail-Adressen gestohlen, darunter sollen sich mindestens drei Millionen von deutschen Nutzern befinden. Die Daten wurden zum großen Teil mit dem sogenannten Phishing gestohlen. Neben der Einschleusung von Schnüffelsoftware oder das Loggen der Nutzer auf verwanzte Webseiten nimmt der Identitätsdiebstahl immer brutalere Formen an.
Für die Kriminellen bringen heute Zugangsdaten zu MailKonten höhere Einnahmen auf dem Schwarzmarkt als Kreditkarten samt PIN. Beim ersten öffentlich geworde
nen Datenklau im Januar stellte sich heraus, dass die Zugangsdaten bei der Analyse von Bot-Netzen aufgetaucht sind. Bei diesen Netzen handelt es sich um Netzwerke gekaperter Rechner und Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle nutzen diese eroberten Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden.
Das führt uns die Gefahr vor Augen, die auch von nicht staatlichen Organisationen sowie von Privatpersonen ausgeht. Das Erschleichen von Passwörtern, Kontodaten und persönlichen Informationen durch Kriminelle muss dringend verhindert werden. Der Diebstahl eines Portemonnaies wird sicher schnell bemerkt. Der Identitätsdiebstahl im Internet fällt oft nicht sofort auf.
Denn die Daten sind nicht weg. Sie werden jedoch ohne eigenes Wissen von anderen genutzt. Der Bestohlene merkt es oft erst, wenn zum Beispiel die Staatsanwaltschaft oder das mobile Einsatzkommando der Polizei vor der Tür steht. So leicht wird der Bestohlene zum Sündenbock einer Straftat, die er nicht begangen hat. Die Täter erlangen durch das Erbeuten von Daten eine unglaubliche Machtfülle über Menschen. Wer die digitale Identität kontrolliert, kann nach Gewohnheiten, Material für Erpressungen, sozialen Kontakten, Kontodaten und Gefährdungen suchen, um diese zu verkaufen, einen Menschen auszubeuten oder im Extremfall nach seinen Leben zu trachten.
Diese Kriminalität per Mausklick steigt rasant an. Nach Angaben der Europäischen Union werden weltweit jeden Tag eine Million Menschen Opfer von Internetkriminalität. Der Schaden belaufe sich pro Jahr auf rund 290 Milliarden Euro. Seit Januar hat ein neues Zentrum zur Bekämpfung von Internetkriminalität seinen Betrieb in Den Haag aufgenommen. In Europa wurden in den zurückliegenden zwei Jahren über 40 Millionen Zugangsdaten zu Mailadressen in sozialen Netzwerken – zum Beispiel Facebook oder Twitter – und zu OnlineHandelsplattformen, wie Amazon, Zalando oder eBay, gestohlen. Dieser kriminellen Entwicklung muss entschieden Einhalt geboten werden.
Wir haben zu berücksichtigen, dass unsere Gesellschaft einer weiteren Gruppe von Gegnern gegenübersteht. Neben den beschriebenen, immer perfider werdenden Kriminalitätsformen im Internet sind es auch die Aktivitäten der ausländischen Geheimdienste. Hier meine ich nicht nur die fünf angelsächsischen Geheimdienste, sondern auch die Aktivitäten aus China, aus Russland, aus der Türkei und dem Iran, um einige Beispiele zu nennen. In Deutschland greifen diese Geheimdienste über
Es liegt im nationalen Interesse der Bundesrepublik Deutschland und der deutschen Länder, dass geeignete Maßnahmen getroffen werden, um die Möglichkeiten des Datenabgreifens massiv einzuschränken, die Angriffe auf kritische IT-Infrastrukturen zu unterbinden und die Wirtschaftsspionage zu verhindern.
Verstöße gegen deutsche Gesetze durch Operationen ausländischer Geheimdienste können wir nicht akzeptieren. Wir können sie ebenso wenig hinnehmen. Hier erwarten wir deutlicher als bisher die Verteidigung der nationalen Souveränität der Bundesrepublik Deutschland, aber auch der deutschen Länder. Wir ersuchen die Staatsregierung vor dem Hintergrund einer dramatisch veränderten IT-Sicherheitslage, die informationstechnischen Systeme der sächsischen Verwaltung zu prüfen. Gleichzeitig erwarten wir, alles zu unternehmen, um die informationstechnischen Systeme vor rechtswidrigen Zugriffen Dritter zu schützen. Wir erwarten auch Maßnahmen zum besseren Schutz der Betriebs- und Geschäftsgeheimnisse sächsischer Unternehmen.
Gleiches gilt für den Schutz des geistigen Eigentums sächsischer Hochschulen und Forschungseinrichtungen. Wir erwarten klare Maßnahmen und Strategien gegen jede Form der Wirtschaftsspionage. Das Recht auf informationelle Selbstbestimmung und das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme muss neu bewertet und deutlich gestärkt werden.
Wir müssen den Datenschutzbeauftragten so stärken, dass er aufgrund dieser veränderten IT-Sicherheitslage seine Aufgaben mit Umsetzung des Artikels 33 der Sächsischen Verfassung erfüllen kann. In der Vergangenheit wurde beim Datenschutz immer von der Balance zwischen Sicherheit und Freiheit gesprochen.
Die Herausforderungen zur Informationssicherheit sind nicht durch technische Systeme, durch Strafverfolgung, durch die Polizei allein zu bestehen. Nein, ein guter Datenschutz wird künftig zum Fundament für Sicherheit und damit auch ein Garant für Freiheit sowie ein guter Partner für Informationssicherheit in den Datennetzen.
Ich sage Ihnen: Dies ist nicht zum Nulltarif zu haben. Deshalb muss die Arbeitsfähigkeit des Sächsischen Datenschutzbeauftragten auf jeden Fall gestärkt werden, damit er seine Aufgaben auch im nicht öffentlichen Bereich überhaupt erfüllen kann.
Natürlich müssen alle Beteiligten Verantwortung für den Eigenschutz übernehmen. Die Eigenvorsorge darf nicht außer Acht gelassen werden. Dabei soll der Freistaat stärker zu Maßnahmen der Aufklärung, Information und Beratung der Bürger beitragen und hier auf Antrag berichten.
Wir brauchen eine neue Sicherheitsstrategie. Die Aufgaben des Freistaates Sachsen müssen bei der veränderten IT-Sicherheitslage neu bewertet, aber gleichsam auch gestärkt werden. Wir brauchen – und das ist eine Frage
der Zusammenarbeit des Freistaates Sachsen mit der Bundesregierung – eine Aktualisierung der Cybersicherheitsstrategie der Bundesregierung aus dem Jahr 2011 unter Zugrundelegung der Bewertung der neu entstandenen IT-Sicherheitslage. Die Weiterentwicklung von Chipkartengeräten, der Kryptografie und der End-to-endVerschlüsselung soll von der Bundesebene gefördert werden.
Meine sehr geehrten Damen und Herren! Der Einsatz moderner Informations- und Kommunikationstechnik und die elektronischen Zusammenarbeit innerhalb der öffentlichen Verwaltung und im privaten Bereich wird weiter vorangetrieben. Allein eine Modernisierung der bestehenden Systeme wird der sich dramatisch verändernden Sicherheitslage nicht mehr gerecht werden. Die Sicherheitsansprüche werden sich an großen Neuinvestitionen messen lassen. Zusätzlich zu den Neuinvestitionen wird ständig in die Aufrechterhaltung einer wettbewerbsfähigen Sicherheitsarchitektur als Grundlage einer funktions- und leistungsfähigen Kommunikationsinfrastruktur
investiert werden müssen. Experten sprechen davon, dass die Folgeinvestitionen zur Aufrechterhaltung der Sicherheitsarchitektur das Zehnfache der Kosten der Erstinvestitionen erreichen werden.
Damit ist umfassend beschrieben, zu welchen Herausforderungen die neuen Entwicklungen im Bereich der Datenübertragungen führen werden.
Der Sächsische Datenschutzbeauftragte, Andreas Schurig, spricht in einem Interview mit Sorge von einem bedeutenden Wandel durch die Einrichtung eines „Identitätsmanagements“, also der konzentrierten Sammlung von persönlichen Daten im Internet. Er führt weiter aus, der gläserne Mensch stünde dann nicht mehr im Hygienemuseum in der Landeshauptstadt Dresden zur Ansicht, sondern im Server zur Durchsicht.
Meine sehr geehrten Damen und Herren! Wir wollen mit unserem Antrag von CDU- und FDP-Fraktion einen klaren Beitrag zu mehr Datensicherheit und zur Stärkung des Grundrechts auf informelle Selbstbestimmung in allen Bereichen leisten, indem die Staatsregierung zunächst mögliche Sicherheitslücken feststellt und sie dann, soweit nötig, schließt. Dabei sind wir uns der besonderen Bedeutung des Schutzes von Privatsphäre und des Schutzes von Daten der Bürger und Unternehmen im Freistaat Sachsen bewusst. Ein Staat, in dem die Menschen unsicher sind, ob sie wirklich selber über ihre Daten verfügen können, hat ein Vertrauens- und Legitimitätsproblem. Das müssen wir verhindern. Deshalb bitte ich Sie um Zustimmung zu dem vorgelegten Antrag.
Sehr geehrter Herr Präsident! Meine Damen und Herren! Durch das erneute Knacken von E-Mail-Konten ist das heutige Thema aktueller denn je. Es wurde ein erneuter Fall bekannt, in dem millionenfach Daten von Bürgern ausgespäht wurden, die schlicht und einfach ein E-Mail-Konto besaßen und bei einem Provider gehostet hatten.
Auf der Bundesebene haben wir inzwischen ein Bundesinstitut für Sicherheit in der Informationstechnologie, das angemessen darauf reagiert hat. Es hat eine Handlungsempfehlung gegeben und bietet die Möglichkeit zu überprüfen, ob die eigene E-Mail-Adresse betroffen ist. Das ist die eine Seite.
Auf der anderen Seite sehen wir, dass sich Nachrichtendienste zunehmend der neuen Technologien bemächtigen. Wir hören immer neue Geschichten davon, was in den USA angeblich vor sich geht. Man muss Herrn Snowden mit Vorsicht genießen. Er genießt auch die Öffentlichkeit, indem er etwas preisgibt. Was wir aber mittlerweile gesichert wissen, über PRISM und Tempora, das ist schon ein starkes Stück. Wir müssen uns fragen, wie wir damit umgehen wollen.
Die Gefahr, dass unsere E-Mail-Daten und anderen elektronischen Daten abgehört werden, und zwar nicht nur von Amerikanern, sondern von anderen, die uns vielleicht nicht freundlich gesinnt sind, ist allgegenwärtig. Wir müssen darauf entsprechend vorbereitet sein.
Das Thema Datensicherheit ist aber immer noch ein Nischenthema in der Politik. Wir sprechen zwar über einige aktuelle Themen im Datenschutzbereich, haben aber noch keine öffentliche Diskussion darüber, wie wir uns alle vor den Gefahren schützen können. Deshalb möchte ich an dieser Stelle sagen: Es ist zunächst eine Aufgabe von jedermann, seine persönlichen Daten zu sichern.
Wer ein einfaches fünfstelliges Passwort vergibt, der muss sich nicht wundern, wenn es ausgelesen wird. Wer Passwörter auf seiner Festplatte speichert, der muss sich nicht wundern, wenn sein Online-Banking geknackt wird. Wer E-Mails unverschlüsselt verschickt, der muss sich nicht wundern, wenn jemand mitliest. Deshalb liegt es zunächst in der Eigenverantwortung aller Bürger, sich selbst darum zu kümmern, dass ihre Daten geschützt sind.
Ebenso liegt es in der Verantwortung von Firmen, ihre informationstechnischen Systeme so zu halten, dass die Daten, die sie für ihr Unternehmen brauchen, auch dort bleiben, wo sie sind. Das sind komplizierte und kostenintensive Verschlüsselungstechnologien. Sie müssen aber von den Unternehmen bereitgestellt werden.
Der Teil, um den es mir heute insbesondere geht, betrifft den Freistaat Sachsen. Die Staatsregierung sollte meines Erachtens mit gutem Beispiel vorangehen und die öffentlichen Einrichtungen im Freistaat Sachsen für die Informationssicherheit sensibilisieren. Im Gegensatz zu privaten Unternehmen haben die Bürger keine Wahl, wem sie ihre Daten zur Verfügung stellen. Auch wenn sie noch
nicht auf Elster zugreifen und ihre Steuererklärung elektronisch abgeben, werden die Daten in dem Moment, in dem der papiergebundene Antrag beim Finanzamt eingegangen ist, beim Finanzamt erfasst und auf entsprechenden elektronischen Systemen hinterlegt. Diese Systeme müssen so sicher sein, dass jeder davon ausgehen kann, dass wirklich nur der Finanzbeamte, und zwar derjenige, der die einzelne Steuererklärung bearbeitet, auf diese Daten zugreifen kann und dass sie nicht ausgelesen werden können.
Bei technischen Lösungen sollte allerdings immer auch der Bürger im Mittelpunkt stehen. Die meisten digitalen Standards und Protokolle sind in einer Zeit entwickelt worden, in der es noch keine Angriffe auf die Anlagen gegeben hat. Deshalb haben viele ein sehr niedriges Schutzniveau. Wir müssen schauen, welche Verfahren man nutzen kann und welche man draufsetzen muss, um einen wirksamen Schutz zu garantieren. Manchmal wirken sie nur eingeschränkt. Dabei kommt es zu Fehlsteuerungen, wie wir es im Sächsischen Landtag selbst erleben.
Wussten Sie, wenn Sie aus dem sächsischen Verwaltungsnetz eine mit PGP verschlüsselte E-Mail verschicken, dass dann eine entsprechende Sicherheitswarnung an den Empfänger geht, dass das eine falsche E-Mail sein könnte.
Wir selbst sind hier noch nicht in der Lage, entsprechende Sicherheitstechnologien für die Bürger zur Verfügung zu stellen.
Lassen Sie uns noch kurz über den Datenschutzbeauftragten sprechen. Ich stimme Marko Schiemann zu, dass seine Position gestärkt werden muss. Ich bin aber auch der Meinung, dass es die Aufgabe des Datenschutzbeauftragten ist, bei seiner Tätigkeit ein risikoorientiertes Überwachungssystem einzuführen. Er muss dort genau hinschauen, wo es um sensible Bürgerdaten geht. Er muss die Risikofelder definieren und seine Prüfungen und Empfehlungen dementsprechend vornehmen.
Ich glaube, wir unterliegen einer Fehlvorstellung, wenn wir glauben, dass wir den Datenschutzbeauftragten so mit Personal ausstatten könnten, dass er in jedem E-MailBereich tätig sein und sich jedes möglicherweise bestehenden Datenschutzverstoßes annehmen könnte. Ich glaube, damit werden wir ihn überfordern, egal wie wir ihn ausstatten. Es müssen Risikofelder definiert werden. Dort müssen Schwerpunkte mit entsprechend qualifiziertem Personal gesetzt werden.
Wenn wir uns über E-Government-Lösungen unterhalten, dann müssen wir darauf achten, dass wir diese Lösungen bürgerfreundlich anbieten. Nicht jeder ist in der Lage, sich ein Kartenlesegerät mit einer qualifizierten digitalen Signatur der Klasse III zuzulegen und es auch noch zu bedienen. Nicht jeder verfügt über die Software. Deswe
gen müssen wir in der öffentlichen Verwaltung eine Aufteilung vornehmen, dass wir den normalen Schriftverkehr zwar digital abwickeln, indem wir Formulare elektronisch einreichen, aber nicht den höchsten Schutzstandard über alles legen, wenn es nicht um so vertrauliche Daten wie beispielsweise Krankenkassen- oder Steuerdaten geht. Wir müssen schauen, wo die Risiken liegen, wo Angriffe drohen und welche Daten so sensibel sind, dass wir mehr Technik einsetzen müssen.
Eine gute Möglichkeit zur Verbesserung der Informationssicherheit ist es, Open-Source-Programme zu nutzen. Wenn die Quelltexte offenliegen, in denen man nachvollziehen kann, wer sie geschrieben hat, dann kann man es sehr viel leichter nachvollziehen, wenn sie von Unbekannten bearbeitet werden oder welche Fallstricke möglicherweise bestehen. Ich muss ganz ehrlich sagen, Herr Dr. Gerstenberg, wir haben darüber am Anfang der Legislatur diskutiert. Ich habe die Open-Source
Programme früher kritischer gesehen, aber nach den Vorgängen, die wir in letzter Zeit erlebt haben, bin ich mittlerweile ein sehr großer Anhänger von Open-SourceProgrammen.