Frau Präsidentin, sehr verehrte Kolleginnen und Kollegen, liebe Zuschauer, die uns noch treu sind! Wir haben heute auch wieder lesen können, in der Bundestagsalltäglichkeit der Kollegen dort ist die Havarie immer noch spürbar. Heute beklagt man sich über den schleppenden Internetfluss. Mit verlangsamter Geschwindigkeit müssen offenbar die Datenströme daraufhin untersucht werden, ob sie noch richtig fließen bzw. ob sie noch infiziert sind. Für die Wirtschaft – wir haben jetzt öfter mit dem Schlagwort „Wirtschaft 4.0“ oder „Industrie 4.0“ zu tun, da geht man schon etwas weiter voran – ist ein neues IT-Sicherheitsgesetz in dieser oder der letzten Woche im Deutschen Bundestag verabschiedet worden. Der Anspruch war, kritische Infrastrukturen zu schützen. Man hat erkannt und das ist richtig. Kritische Infrastrukturen, insbesondere im Bereich der Daseinsvorsorge, Stromversorgung, Wasser
versorgung, alles ist heute IT-gestützt und mit einem gezielten Hacken in solche Systeme kann man wirklich sehr viel Unheil anrichten und das Alltagsleben von uns allen in ein großes Durcheinander stürzen. Neben den sicherheitstechnischen Auflagen oder den Verpflichtungen der Firmen, die in diesen Bereichen unterwegs sind, für eine entsprechende Datensicherheit zu sorgen, hat man auch eine Meldepflicht für Havarien eingeführt, um dann aus den Vorfällen Schlüsse ziehen zu können. Es geht aber nicht nur darum, ob Maschinen und automatisierte Prozesse nach Virusinfektionen Husten bekommen oder Fieber oder gleich komplett ausfallen, sondern es geht natürlich auch bei unseren Daten, mit denen wir auch hier im Landtag arbeiten, um eine sensible oder kritische Infrastruktur, weil wir auch in unserem Prozess der politischen Meinungsbildung und unserem eigentlich auch besonders geschützten Austausch mit Bürgerinnen und Bürgern einen digitalen Einbruchschutz benötigen. Dass nun die Bundestagsmaschinerie zum Stillstand gekommen ist bzw. heute langsam vor sich hinschleicht und möglicherweise ganz ausgetauscht werden muss, das sollte uns auch zu denken geben. Ich habe noch keine fertigen Antworten, aber wir sollten uns die Fragen gemeinsam stellen und sie auch gemeinsam abarbeiten, wie es hier bei uns im Land bestellt ist. Learning by failing – nicht learning by doing –, also Lernen durch Scheitern, das können wir uns auf Dauer in diesem Bereich nicht mehr leisten, weil der Preis dann doch zu hoch ist. Wie sieht der digitale Einbruchschutz aus? Wie viele Sperren brauchen wir? Wie viele Hindernisse? Ganz naive Leute haben am Anfang mal gedacht, ein Passwort allein würde sensible Daten schützen. Ich glaube, das war schon 1984 oder 1894. Wir brauchen also weit mehr Dinge. Wir brauchen eine Zugangsbeschränkung und -kontrolle. Wir brauchen Zugangsprotokolle. Wir brauchen Verschlüsselung, und zwar nicht nur im Außenverkehr, sondern auch in einer vordergründig internen Kommunikation. Dann ist die Frage, wie abgeschlossen, wie abgesichert unser Netz insgesamt ist. Die Debatte über BND, NSA hat uns vor Augen geführt, dass Schnittstellen in Software eingebaut werden, mit denen man von außen eine Eingangstür in eigentlich abgeschlossene Systeme bekommt. Auch da müssen wir uns kümmern, ob wir solche Schnittstellen für Datenabfluss nicht aus unseren Bereichen auch wirklich wirksam und endgültig verbannen können.
Weitere Probleme tun sich im öffentlichen Bereich von Behörden oder auch hier von uns selber auf, dort, wo uns die Clouds angeraten werden. Clouds sind an sich nicht von Natur aus böse, aber wenn ich meine Daten in einem Mietsafe unterbringe – das wäre das Bild dazu –, dann muss ich natürlich auch fragen, wie ich das absichern kann. Wir brauchen dort eine Zertifizierung und eine Anwendung deutschen Datenschutzrechts oder Datensicher
heitsrechts. Ich denke, wir müssten gelegentlich auch auswerten, ob man besser abgeschlossene Teilsysteme braucht oder wir beim Thüringer Modell bleiben und alles zentral beim Thüringer Landesrechenzentrum zusammenfassen sollten, um Synergieeffekte zu nutzen. Sind da die Risiken möglicherweise nicht größer als der Nutzen? Ich frage mich zum Beispiel – und den Versuch können Sie gerne selber machen: Muss ich, wenn ich mich hier oder zu Hause einmal in meinen Landtags-EMail-Account einlogge, auf das Adressverzeichnis ungezählter Behörden zugreifen können? Versuchen Sie das mal! Sie bekommen dann nicht nur das komplette E-Mail-Verzeichnis von allen möglichen Landespolizeiinspektionen zum Beispiel, sondern auch noch die Sachbearbeiternamen und die Durchwahl-Telefonnummern. Und ich missbrauche ja die Daten nicht, das nehmen Sie mir hoffentlich ab, aber wenn sich jemand in meinen E-Mail-Account reinhackt, kommt er automatisch an diese Sachen dran. Das ist relativ unsensibel, mögen sie meinen, aber auch nicht Bestandteil von Veröffentlichungen im Rahmen von Open Data. Wir sollten deswegen eine Evaluierung der Zentralisierung vornehmen und das IT-Sicherheitskonzept in Thüringen bei uns dringend überprüfen und zuallerletzt am Ende auch wieder sehen, ob Datenvermeidung nicht doch der beste Datenschutz ist. Vielen Dank.
Sehr geehrte Frau Präsidentin, liebe Kolleginnen und Kollegen, verehrte Gäste, Sicherheit ist ein hohes Gut im freiheitlichen Rechtsstaat. Tatsächlich ist die Gewährleistung der allgemeinen Sicherheit die primäre Aufgabe des Staates. Sicherheit ist die unverzichtbare Grundlage der Freiheit. Allerdings gilt auch umgekehrt, dass Sicherheit ohne Freiheit eine überaus unerfreuliche Sache ist. Daher besteht alle Staatskunst darin, immer wieder das rechte Verhältnis zwischen Sicherheit und Freiheit auszubalancieren. Im Zeitalter der modernen Computertechnologie, des Internets und der umfassenden Vernetzung der IT-Systeme sind wir diesbezüglich gesellschaftlich wie politisch vor neue Herausforderungen gestellt. Vor einem Vierteljahrhundert war uns all dies noch ganz unbekannt. Erst allmählich begreifen wir deren Dimension. Es beginnt beim Schutz unserer privaten Daten vor schädlicher Software, geht über die Sicherheit von Unternehmensdaten in der Wirtschaft bis hin zur Datensicherung bei Behörden und öffentlichen Einrichtungen. Allerdings ist uns die Dramatik der inzwischen ent
standenen Situation noch nicht allen bewusst. Erst wenn spektakuläre Ereignisse die Öffentlichkeit aufschrecken, sehen wir uns veranlasst, Maßnahmen zum Schutz unserer Daten zu ergreifen. Dazu ist jetzt auch der Bundestag nach dem zurückliegenden verheerenden Hackerangriff gezwungen. Wie zu lesen ist, muss der Bundestag sein gesamtes ITNetz komplett erneuern, eine Angelegenheit, die den Steuerzahler viel Geld kosten wird.
Der Thüringer Landtag hält sich im Fall vergleichbarer Angriffe für gut gewappnet, aber wenn wir ehrlich sind, müssen wir zugeben, dass das natürlich kein Mensch sagen kann. Der Thüringer Landtag ist so lange gut gewappnet, bis der erste Hackerangriff erfolgreich war. Das ist doch die Lehre aus den aufsehenerregenden Vorfällen der Vergangenheit.
Was ist nun zu tun? Die Politik ist in ihren Bereichen, den Behörden, Instituten, Ämtern, dafür verantwortlich, dass die Datensicherheit und die Sicherheit der IT-Technik nach dem Stand der Technik gewährleistet wird. Sie ist ferner insbesondere in der Pflicht, gesellschaftliche Aufklärung zu betreiben, denn in der Wirtschaft, auch bei Thüringer Firmen, scheint das Bewusstsein für die Problematik noch zu wenig ausgeprägt zu sein. Das gilt auch für die privaten Leute. Aufklärung tut not und auf entsprechende Aufklärungsprogramme sollte das Land Ressourcen verwenden. Darüber hinaus ist die Politik in der Pflicht, dafür zu sorgen, dass der Staat selbst seine Bürger nicht wahllos ausspioniert und sich nicht an fragwürdigen Hackerangriffen und Spähaktionen, etwa zur Wirtschaftsspionage, beteiligt.
Sicher müssen wir mit Blick auf die Problematik in wenig vertraute Richtungen blicken. So benutzt Theo Sommer von der Wochenzeitung „DIE ZEIT“ eine militärische Rhetorik, um die Lage zu beschreiben. Er spricht von „Gegenangriff“, „Abschreckung“, „Eskalation“ usw. Solche Rhetorik mag sinnvoll sein, um unser Problembewusstsein zu schärfen und die angemessenen Maßnahmen in den Blick zu bekommen, aber den Worten müssen auch Taten folgen. Soweit es möglich ist, müssen wir uns technisch in der Tat aufrüsten, um den Herausforderungen begegnen zu können. Dabei sollten wir gewiss nicht vergessen, dass es absolute Sicherheit nicht geben kann und nicht geben wird. Das Machbare sollte hier mit Augenmaß verfolgt werden und hier ist auch die Landesregierung in der Pflicht. Die AfD wird vernünftige Maßnahmen einer Politik der Datensicherheit unterstützen. Vielen Dank für Ihre Aufmerksamkeit.
Meine sehr geehrten Damen und Herren, sehr geehrte Präsidentin, die Aktuelle Stunde ist natürlich mit Blick auf das, was wir gerade im Bundestag erleben, eine sehr aktuelle Stunde und ich denke
Nichtsdestotrotz – und jetzt kommt es, Herr Hey: So aktuell die Aktuelle Stunde ist, ist das Thema nicht neu. Wir hatten diese Woche das Wirtschaftsforum in Weimar, unter anderem mit einem Gast aus Estland. Für Menschen, die sich damit beschäftigen, ist, glaube ich, klar: Estland ist in der Frage der digitalen Gesellschaft deutlich weiter als Deutschland. Aber auch Estland – und das ist vielleicht auch eine der Sachen, die wir dort gelernt haben – ist natürlich nicht vor Cyberangriffen gefeit. Es gab bereits 2007 einen ziemlich großen Cyberangriff in Estland, der dort sehr lange im Prinzip die komplette Regierung, Banken, Medien, das komplette Parlament lahmgelegt hat. Das ist natürlich die eine Seite der digitalen Gesellschaft. Das wird uns auch in Zukunft beschäftigen. Deswegen sollten wir uns ernsthaft Gedanken darüber machen, wie wir unsere Netzwerke – seien es die der Parlamente oder die der Verwaltung – schützen können. Da hilft auch die Rhetorik der absoluten Sicherheit nichts. Das ist nichts Neues, dass es keine absolute Sicherheit gibt, die gibt es weder im Internet noch gibt es die im normalen Leben.
Nichtsdestotrotz sollte man doch versuchen, zumindest auf ein Sicherheitsniveau zu kommen, das die Daten, die wir hier haben, die nicht nur sensible Daten betreffen, sondern generell Daten, schützen kann. Die Frage für mich stellt sich so ein bisschen – Frau Marx hat es angesprochen –: Die Wirtschaft ist in dem Bereich schon deutlich weiter, denn für die Wirtschaft gibt es dabei eine ganz klare ökonomische Komponente. Wenn es da einen Hackerangriff gibt, wenn dort sensible Daten, auf die zugegriffen werden kann, abgegriffen werden können, dann hat das meistens eine ökonomische Komponente für das Unternehmen. Das ist natürlich ein großer Anreiz, entsprechende Risikoanalysen vorzunehmen und sich entsprechend dagegen zu rüsten. Diesen Anreiz erkennt man leider in Verwal
tungen noch nicht so deutlich. Ich glaube, das ist auch eines der Probleme, die wir haben, dass die Tragweite genau solcher Hackerangriffe nicht klar ist.
Ich glaube aber, mit der Cyberattacke – so schlimm ich das finde – auf den Bundestag ist vielleicht ein Stück weit klar geworden, wovon wir hier reden. Im Ernstfall nämlich – wir wissen ja noch nicht, woher sie kommt, aber wenn sie von einem „befreundeten“ Geheimdienst kommt, wie man das so schön sagt, was durchaus nicht abwegig wäre, wenn man sich mal die zeitliche Schiene zwischen der Frage nach Selektorenlisten und dem Hackerangriff vor Augen führt – stellt sich schon die Frage, womit wir es hier zu tun haben. Da reden wir wahrscheinlich nicht mehr über einfache Trojaner, sondern schon über wesentlich komplexere Schadsoftware, die im Ernstfall dazu führt, dass der Bundestag nicht nur seine komplette IT-Infrastruktur in die Tonne kloppen kann – auf gut Deutsch –, sondern vielleicht auch die Hardware in die Tonne kloppen kann. Dann wird es richtig teuer.
Ich denke, das Bewusstsein kommt so langsam, es kommt meines Erachtens nach zu langsam. Ich glaube, wir sollten in Thüringen, insbesondere mit Blick auf die Ausrichtung „digitale Gesellschaft“, auch in der Verwaltung und als Parlament, als Landtag da vorneweg gehen und uns wirklich mal genau anschauen: Wie viel IT-Sicherheit haben wir hier eigentlich? Das sollten wir allerdings von Experten tun lassen. Wir können hier sehr gern im Parlament darüber diskutieren. Ich glaube, es ist auch wichtig, ein Bewusstsein dafür zu schaffen. Allerdings brauchen wir dafür wirklich die Fachleute, die uns beraten und entsprechend zum Beispiel Risikoanalysen auch für das Parlament und die Verwaltung vornehmen.
Noch zwei Sätze zum Schluss: Ich glaube, die ganze Frage der digitalen Gesellschaft ist nicht nur eine Frage von Technik. Ich glaube, auch das ist uns allen klar. Wir müssen auch schauen, wie wir Mitarbeiterinnen und Mitarbeiter in den Verwaltungen, aber auch die Abgeordneten dieses Parlaments dafür sensibilisieren und auch befähigen, mit den Sicherheitsvorkehrungen umzugehen, mit Technik umzugehen. Da reden wir nicht nur von Verschlüsselung, sondern von diversen anderen Dingen. Ich glaube, man muss die Sachen, die man dort macht, auch verstehen können. Ich glaube, da sollten auch die Abgeordneten dieses Hauses mit gutem Beispiel vorangehen: Verschlüsseln Sie Ihre Rechner, benutzen Sie verschlüsselte E-Mail-Programme. All das ist relativ unkompliziert möglich, wenn man sich damit beschäftigt. Ich glaube, das ist eine gute Vorbildfunktion, die wir an dieser Stelle als Abgeordnete haben sollten. Herzlichen Dank.
Sehr geehrte Frau Präsidentin, meine Damen und Herren Kollegen, werte Gäste, lassen Sie mich am Anfang meiner Ausführungen mit einem Zitat des Bundesinnenministers, Herrn Dr. Thomas de Maizière, aus seiner Rede am 12. Juni im Deutschen Bundestag beginnen. Frau Präsidentin, ich zitiere: „Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cyber-Sicherheit immer mehr zu einem zentralen Baustein der inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören.“ Im Ergebnis der Beratung wurde mit großer Mehrheit – Frau Marx hat es hier angesprochen – das IT-Sicherheitsgesetz im Bundestag beschlossen. Schwerpunkte dieser Regelung, ganz kurz: die Einhaltung von Mindestanforderungen an die IT-Sicherheit für Unternehmen und Bundesbehörden, die Meldung von erheblichen Verstößen an das Bundesamt für Sicherheit in der Informationstechnik, das BSI, die Mitwirkung der Hersteller bei der Erschließung von Software- und Hardwarelücken im Sicherheitssystem, die Erweiterung des Aufgabenbereichs des BSI, der Bundesnetzagentur sowie der Ermittlungsbehörden des Bundeskriminalamts und mehr Aufklärung und damit auch mehr Prävention in der Öffentlichkeit.
Neben diesen bundesrechtlichen Neuregelungen haben sich auch in diesem Monat die EU-Justizminister auf eine europaweite Datenschutzreform geeinigt, um die Verbraucher besser zu schützen.
Wie wichtig das Thema „Datensicherheit“ ist, haben Sie hier auch schon erwähnt. Zu den Angriffen auf das Computersystem des Bundestags und das Ausspähen der Computer der Bundesregierung und führender Politiker durch NSA – denke ich – sind hier auch schon einige Ausführungen erfolgt. Auch die Wirtschaft, wenn sie uns ein Schritt voraus ist, ist dennoch von Attacken betroffen.
Kurzum: Das Thema wird immer wichtiger, und zwar auf allen Ebenen des gesellschaftlichen Lebens. Aber nicht nur der Staat steht hier in Verantwortung, auch jeder Einzelne. Haben Sie sich schon einmal gefragt, wie Sie mit Ihren Daten umgehen? Denken Sie an den oft viel zu sorglosen Umgang mit der Weitergabe persönlicher Daten zum Beispiel beim Online-Einkauf oder in sozialen Netzwerken. Der Handel mit Adressen und Verbraucherdaten ist längst ein sehr lukratives Ge
schäft geworden. Jeder ist an erster Stelle selbst verantwortlich dafür, was er und wie viel er über sich preisgibt. Es kann nicht Aufgabe des Staats sein, die – ich setze das jetzt einmal in Anführungsstriche – „virtuelle Prostitution“ mancher Menschen im Nachgang wieder einzufangen. Deshalb ist es wichtig, dass wir unseren Kindern und Jugendlichen in den Schulen frühzeitig Medienkompetenz vermitteln und diese stärken und sie auf die Gefahren im Umgang gerade mit sozialen Netzwerken aufmerksam machen.
Werte Kolleginnen und Kollegen, IT-Systeme umspannen unseren Globus und haben in den letzten Jahrzehnten nicht nur ungeahnte Möglichkeiten der Kommunikation geschaffen, sondern auch ungeahnte Möglichkeiten der Cyberkriminalität hervorgebracht. Hier wird es in Zukunft für unser Land immer wichtiger, eine gut ausgebildete Arbeitsgruppe – wie sie derzeitig im Landeskriminalamt schon existiert, die Arbeitsgruppe „Cyberkriminalität – weiter mit Fachleuten, mit IT-Spezialisten personell auszubauen und technisch optimal auszustatten. Zudem verfügt unser Land über einen äußerst gewissenhaft arbeitenden und jedem Datenmissbrauch penibel nachgehenden Datenschutzbeauftragten, sodass ich mir sicher bin, dass Herr Dr. Hasse uns auf bestehende Missstände schon hingewiesen hat bzw. diese auch anprangern wird. Sie sehen, Segen und Technik liegen dicht beieinander, deshalb muss man die Vor- und Nachteile der Nutzung der IT-Technik kennen und sich selbst davor schützen. Der Staat kann nur den Rahmen setzen, um kriminellen Akteuren entgegenzutreten und sich frühzeitig für eine umfassende Aufklärung der Bevölkerung in allen Altersgruppen einsetzen. Danke schön.
oder was auch immer, worum es hier geht – ich glaube, es macht manchmal Sinn, dann doch auf die Aussprache zu achten, weil es eben nicht um E.T., den Außerirdischen, geht, auch wenn das Thema für einige außerirdisch sein mag,
sondern es geht um IT. Das hat, glaube ich, ganz andere inhaltliche Ursachen, Gründe und auch Argumente als der Film, den wir alle, glaube ich,
Vorab: Sicher ist, dass nichts sicher ist und selbst das ist nicht sicher. – Ich glaube, dass das ein entscheidendes Zitat ist, das man sich zum Thema „Datensicherheit“ und inwieweit wir hier in Thüringen oder auch die Firmen und Unternehmen in Thüringen geschützt sind, ganz rot und dick im Kalender anstreichen und markieren kann. Ich glaube, man muss sich bewusst machen, dass es eben nicht möglich ist, sich komplett zu schützen. Es gibt diverse Verschlüsselungsvarianten – Madeleine Henfling hat schon vollkommen zu Recht darauf hingewiesen: PGP, TrueCrypt, Firewalls nutzt höchstwahrscheinlich mittlerweile jeder, usw. Allerdings ist doch das Problem, sobald es nur eine kleinere Hürde zu meinem bisherigen Umgang ist, wird es ein Großteil der Menschen und auch ein Großteil insbesondere der kleineren und mittelständischen Unternehmen nicht mehr anwenden, weil es eben ein Umdenken in der Nutzung der Software, in der Nutzung der IT und Ähnlichem mehr bedeutet.
Wo Frau Holbe vollkommen recht hat, was ein Teil der Datensicherheit ist, ist die Datensparsamkeit. Das ist eine Sache, die uns alle angeht, denn wenn Sie nämlich auf Facebook zum Beispiel Bilder mit einem Hakenkreuz oder Ähnlichem mehr liken, kann ich daraus Rückschlüsse auf Ihre sonstigen Verhaltensweisen ziehen und kann darüber
dann entsprechend möglicherweise auch feststellen, was sind denn so Passwörter, die Sie verwenden, was sind denn möglicherweise auch Zugangsbeschränkungen, die Sie anwenden oder nicht, ist Ihr Passwort „1488afdheil“ oder ist ihr Passwort eines, was den Rechner wirklich schützt.