LAG-Beschluss vom 30.07.2020: IT-Sicherheit in Berlin stärken
10.08.20 –
In Deutschland gibt es immer wieder folgenschwere Cyberangriffe. Krankenhäuser, Altenpflegeeinrichtungen, Unternehmen, Behörden und Universitäten waren bereits betroffen. Teilweise war es Glück, dass erfolgte Cyberangriffe keine schlimmeren Auswirkungen hatten: So waren bei einem Angriff auf elf Krankenhäuser in Rheinland-Pfalz und im Saarland medizinische Geräte nicht betroffen - dass dies unmittelbar eine Gefahr für Leib und Leben der dortigen Patient*innen bedeutet hätte, ist offensichtlich.
Auch das Berliner Kammergericht ist Opfer eines schwerwiegenden Cyberangriffs geworden. Dies führte dazu, dass die komplette Internetkommunikation des Kammergerichts abgeschaltet werden musste.
Nicht zuletzt der Fall des Cyberangriffs auf das Kammergericht zeigt: Berlin muss sich im Bereich Cybersicherheit auf neue Herausforderungen und häufigere Angriffe einstellen. Wenn es uns nicht gelingt, ein hohes Maß an IT-Sicherheit zu gewährleisten, kann dies negative Auswirkungen auf alle Menschen in der Stadt haben. Ein Cyberangriff kann dazu führen, dass Dienstleistungen der Verwaltung nicht erbracht werden können, sensible Daten von Bürger*innen abfließen, Arbeitsplätze bedroht sind und im schlimmsten Fall Menschenleben gefährdet werden.
Wir schlagen daher folgende Maßnahmen vor, mit denen wir das Land Berlin im Bereich der IT-Sicherheit besser aufstellen wollen und den Menschen in Berlin und dort ansässigen Unternehmen verbesserte Angebote unterbreiten möchten:
1. Wir wollen eine IT-Sicherheitsstrategie für das Land Berlin erarbeiten!
Für eine gelungene Neuaufstellung im Bereich der IT-Sicherheit braucht es zunächst eine gemeinsame Strategie. Einzelne Maßnahmen können nur dann erfolgreich sein, wenn sie sich in ein stimmiges Gesamtkonzept einbetten. Ein solches fehlt bislang. Ausgangspunkt einer Strategie muss für uns das Vorsorge- und Verhütungs-Prinzip sein. IT-Sicherheit darf kein reaktiver Vorgang auf schwerwiegende Sicherheitsvorfälle sein, sondern muss Vorfälle auf allen Ebenen antizipieren und ihnen mit einer umfassenden präventiven Strategie begegnen. Wir sehen dabei verschiedene zentrale Aspekte einer IT-Sicherheitsstrategie: die Sicherheit der Bürger*innen, die Sicherheit der Netze, die Sicherheit der Verwaltung, die Sicherheit der Wirtschaft und die Sicherheit im Katastrophenfall. Jeder dieser Aspekte erfordert dabei eine individuelle
Betrachtung, um dem sicherheitspolitischen Anforderungsprofil gerecht zu werden. In einem weiteren Schritt müssen die Schwachstellen der gegenwärtigen Zuständigkeitsaufteilung für die IT-Sicherheit in Berlin analysiert werden, um auf dieser Basis die Prioritäten für deren Weiterentwicklung zu identifizieren. Die IT-Sicherheitsstrategie Berlin muss unter Einbindung aller zuständigen Ressorts, der Zivilgesellschaft und der Wirtschaft erarbeitet werden. Nur so ist sichergestellt, dass sie den nötigen ganzheitlichen Ansatz abbildet.
2. Wir wollen ein IT-Sicherheitsgesetz für Berlin schaffen!
Ein zentraler Punkt der IT-Sicherheitsstrategie müssen die Eckpunkte eines Berliner IT-Sicherheitsgesetzes sein, welches das entsprechende Bundesgesetz ergänzt. Dieses muss in einem nächsten Schritt ausgearbeitet und zügig verabschiedet werden. Um IT-Sicherheit auf einem hohen Niveau in Berlin gewährleisten zu können, braucht es eine klare Aufgabenverteilung und klar beschriebene Befugnisse der handelnden Behörden. Beides kann nur auf gesetzlicher Basis vorgenommen werden - denn nur der Gesetzgeber kann solch wesentlichen Entscheidungen demokratische Legitimation verschaffen. Eine Verlagerung dieser Entscheidungen auf die Verwaltung wird einem transparenten Verfahren nicht gerecht. Die vorgesehenen Maßnahmen müssen so gestaltet werden, dass sie den Gefahren wirkungsvoll begegnen, dabei aber die Grundrechte der Bürger*innen wahren. In dem IT-Sicherheitsgesetz sind verbindliche Mindeststandards für die Sicherheit der Informationstechnik des Landes festzulegen; hierzu gehört u.a. die Pflicht jeder Behörde, ein aktuelles Informationssicherheitskonzept auszuarbeiten.
3. Wir wollen ein Kompetenzzentrum IT-Sicherheit einrichten!
Bei einem IT-Sicherheitsvorfall sind die Zuständigkeiten verschiedener Stellen betroffen. In der Regel sind personenbezogene Daten involviert, so dass die Landesbeauftragte für Datenschutz und Informationsfreiheit ins Spiel kommt. Cyberangriffe sind strafbar - deren Verfolgung Sache der Strafverfolgungsbehörden. Erste Schutz- und Bereinigungsmaßnahmen von Cyberangriffen wird das Berliner Computer Emergency Response Team (sog. CERT) vornehmen. Wichtig ist, dass die involvierten Beteiligten sich eng abstimmen und das wichtige Informationen ausgetauscht werden. Hierfür muss ein Kompetenzzentrum IT-Sicherheit als Informations-, Kooperations- und Koordinationsplattform in Berlin eingerichtet werden. Auch dieses sollte auf einer gesetzlichen Grundlage beruhen, welche die vorgesehenen Verantwortlichkeiten, Informations- und Benachrichtigungspflichten festlegt.
4. Wir wollen Wissensvermittlung und Sensibilisierungen für die Gesellschaft fördern!
IT-Sicherheit kann durch staatliche Akteure allein nicht sichergestellt werden. Vielmehr ist von entscheidender Bedeutung, dass alle Menschen für die Risiken im Netz sensibilisiert werden und wissen, wie sie sich vor ihnen schützen können. Der Staat kann hierbei aber unterstützen. Zusammen mit der Berliner Wirtschaft werden wir einen Hackathon initiieren, bei dem kollektiv die Stärkung der IT-Sicherheit vorangetrieben wird. Für die Bürger*innen setzen wir außerdem auf umfangreiche Wissensvermittlung. Wir wollen Digital Summer Schools für Berlin schaffen. Damit wollen wir die Digitalisierung und IT-Sicherheit niedrigschwellig in der Stadt erfahrbar machen.
Wir setzen auf möglichst umfangreiche Bildungs- und Beratungsangebote und sorgen für eine ganzheitliche Vermittlung von Medienkompetenz und Sachverständnis in der schulischen Bildung. Im Bereich der Erwachsenenbildung setzen wir insbesondere auf die Volkshochschulen und Hochschulen. Zudem wollen wir prüfen, den Auftrag der Landeszentrale für politische Bildung als anerkannte Akteurin in der Bildungsarbeit um die digitale Bildung zu erweitern. Denn aus unserer Sicht ist digitale Bildung heute wesentlich, um sich in der Welt selbstbestimmt zu bewegen.
5. Wir wollen mehr IT-Sicherheit in der Verwaltung!
Maßgeblich für das Vertrauen der Bürger*innen in die Berliner Verwaltung und ihren Digitalisierungsprozess ist die Absicherung der Daten und die Verfügbarkeit und Resilienz der e-Goverment-Dienstleistung. Dabei müssen wir auf zwei übergeordnete Grundsätze hinwirken: „Security by Design“ und „Form follows Function, follows Security“.
Ebenso bedeutsam für die Vermeidung von IT-Sicherheitsvorfällen innerhalb der Verwaltung ist das Bewusstsein aller Akteure in diesem Begegnungsraum für die Relevanz der IT-Sicherheit. Hier setzen wir auf eine Landes-Awarness-Strategie der IT-Sicherheit. Verpflichtende und regelmäßige Weiterbildungen sowie das Angebot von E-Learning-Tools, sowie erlebnisorientierte Sensibilisierungen wie die Durchführung regelmäßiger IT-Sicherheitsübungen und Live-Hackings sind in einer digitalen Verwaltung unabdingbar. Die entsprechenden Ressourcen sind so
bereitzustellen, dass im Katastophenfall schnell, agil und rechtsklar auf den Notfall reagiert werden kann und das Alltagsgeschäft möglichst krisensicher ist. Zudem machen wir uns dafür stark, dass Beschäftigte, Whistleblower und Nutzer*innen, die IT-Sicherheitsprobleme melden, dafür belohnt werden. Wir werden die Kooperation mit den Berliner Universitäten und anderen engagierten Fachverbänden suchen, um durch Bug-Bounty-Programme Sicherheitslücken zu finden bevor sie zu Sicherheitsvorfällen werden und Nachwuchstalente fördern.
Ebenso ist der rechtliche Bezugsrahmen, die Schnittstellen zur Öffentlichkeit und die verwaltungsinterne Koordination so zu gestalten, dass eine pro-aktive, praxisnahe und smarte Weiterentwicklung des Clusters von Gesellschaft, Wirtschaft und Verwaltung angeregt wird.Das e-Goverment-Dienstleistungsspektrum der Verwaltung ist ein Multiplikator für Wirtschaft und Zivilgesellschaft mit all Ihren Facetten; d.h. die Digitalisierung birgt auch neue Chancen für neue Formen des Miteinanders und neue Wert-Schöpfungsketten.