Speech · 24.01.2024 Ganz dünne Cybersuppe
„Beim konkreten Handeln der Landesregierung wird es sehr schnell sehr dünn. Das ist es ja aber eigentlich, was interessiert. Wie kann man sich vor moderner Cyberkriminalität schützen? An wen wende ich mich in welchem Fall? Und wie gefährdet ist unsere Landesinfrastruktur hierdurch.“
Lars Harms zu TOP 42 - Bericht über die Cybersicherheit unserer Infrastruktur (Drs. 20/797)
Das Thema Cybersicherheit scheint in letzter Zeit ein wenig aus dem Fokus der Öffentlichkeit geraten zu sein. Zu dem Zeitpunkt, an dem wir den Berichtsantrag stellten, häuften sich jedoch Nachrichten, darüber, wo es überall Angriffe mit Schadsoftware gegeben hatte. Da ging es um Erpressung durch Schadsoftware, um IT-Systeme in Krankenhäusern bis hin zu Spionagevorwürfen und Angst vor Wahlbeeinflussung. Am 06.02.2023 hatte das Bundesamt für Sicherheit in der Informationstechnik, das BSI, von einem weltweit breit gestreuten Ransomware-Angriff, dessen regionaler Schwerpunkt unter anderem auf Deutschland lag, berichtet.
Wir haben den Berichtsantrag im März gestellt, um zu erfahren, wie es eigentlich um die Cybersicherheit unserer Infrastruktur steht. Im April gab es dann den Angriff der Gruppe „NoName057“ auf Landes- und Bundesbehörden, bei denen auch das Landesportal Schleswig-Holsteins über viele Stunden nicht erreichbar war. Seitdem sind bundesweit noch viele weitere Angriffe dazugekommen. Das Bundesamt für Sicherheit und Informationstechnik hat es unmissverständlich festgestellt: Die Bedrohungslage für Cyberangriffe in Deutschland ist so hoch wie noch nie. Ich möchte mich daher für den vorgelegten Bericht bedanken. Ich möchte außerdem auch direkt sagen, dass trotz der Fülle des Textes an zu vielen Stellen die Informationen fehlen und wir uns im Innenausschuss dringend weiter mit diesen Fragen auseinandersetzen sollten.
Wir stellen deutschlandweit fest, das wird ja auch im Bericht an vielen Stellen deutlich, dass wir eigentlich nicht mit einem vernünftigen Lagebild arbeiten. Stattdessen wurde der Bericht an einigen Stellen geradezu lyrisch angedickt. Ich erspare Ihnen jetzt die unangenehme Rezitation, weil mir das Thema zu ernst ist. Wir hatten die Landesregierung gebeten, auf ein paar Punkte gesondert einzugehen. Ich möchte aber drei Stellen direkt anmerken, über die ich aus inhaltlichen Gründen gestolpert bin.
Erstens: Im Bericht wird an mehreren Stellen auf vielfältige fachliche Zuständigkeiten hingewiesen, die das Land mit Vorliebe beim Bund feststellt. Allerdings kommt man nicht umhin, dass da, wo das Land zuständig ist, das Land nicht liefert. 2019 wurde der Servicepoint Cybersecurity gestartet, der als Dokumentations-, aber auch Beratungs- und Bildungsstelle fungieren soll. Die Landesregierung stellt selbst fest: „Der Servicepoint Cybersecurity wurde bisher nicht stark nachgefragt.“. Die Nachfrage sei sogar deutlich hinter den Erwartungen zurückgeblieben.
Zweitens: Ich zitiere von Seite 14, auf der es um die öffentliche Verwaltung geht: „Die Etablierung spezialisierten Personals für Informationssicherheit ist von zentraler Bedeutung.
Wir springen zu Seite 17, auf der sich rhetorisch wahnsinnig viel Mühe gegeben wurde, zu umschiffen, dass die Stellen für die Informationssicherheitsbeauftragten weder vollständig eingerichtet noch vollständig besetzt sind. Im gesamten Bereich der Justiz kann EIN Team genannt werden, das im Bereich Informationssicherheit aufgebaut worden ist. In einigen anderen Bereichen wurden, so der Bericht, ähnliche Strukturen aufgebaut, wiederum andere Bereiche seien „noch nicht so weit fortgeschritten“. Das Problem des Fachkräftemangels mache sich auch hier bemerkbar. Was tut die Landesregierung denn, um dem Fachkräftemangel entgegenzuwirken?
Außer Ankündigungen findet sich da nichts.
Drittens: Im Bereich der Bedrohung durch Desinformation bleibt das Handeln der Landesregierung bemerkenswert unkonkret. Einzig ein Digitalisierungspreis wird aufgeführt. Hier passiert definitiv zu wenig und ich bin schon daran interessiert, im Nachklang zu erfahren, welche Folgen der etwas deplatziert abschließende Satz: „Die Landesregierung beabsichtigt, ihre Aktivitäten hinsichtlich der Bedrohung durch Desinformation weiter zu verstärken.“ haben wird. Immerhin seien dafür entsprechende Ressourcen erforderlich. Ob und inwieweit die eingeplant werden, bleibt völlig unklar.
Das ist es leider aus Sicht des SSW auch, was sich insgesamt durch diesen Bericht zieht. Beim konkreten Handeln der Landesregierung wird es sehr schnell sehr dünn. Das ist es ja aber eigentlich, was interessiert. Wie kann man sich vor moderner Cyberkriminalität schützen? An wen wende ich mich in welchem Fall? Und wie gefährdet ist unsere Landesinfrastruktur hierdurch. Das ist es im Grunde, was wir mit unserem Bericht zur Cybersicherheit im Land haben abfragen wollten. Und da hier noch einige Fragen offengeblieben sind, freue ich mich auf die weitere Beratung im Innen- und Rechtsausschuss.