Beiträge

vom 10. Februar 2023

Meine Frage:

Welche der (s. Antwort der Bundesregierung auf meine Schriftliche Frage 48 auf Bundestagsdrucksache 20/5426) angegebenen Ressort-Stellen für CISO oder vergleichbaren Stellen (also ohne nachgeordnete Behörden und nicht für Stellvertreter-Stellen) erfüllen die folgenden Empfehlungen der IT-Grundschutz-Methodik des BSI:

·Die Stelle ist direkt der obersten Leitung zugeordnet (Kriterium 1)

·Die Stelle ist nicht in die IT-Abteilung integriert, um Rollenkonflikte zu vermeiden (Kriterium 2) (bitte tabellarisch je Ressort mit Angabe ja/nein in je einer Spalte für die beiden Kriterien angeben)?

Antwort des Staatssekretärs Johann Saathoff:

Das Ergebnis der Abfrage in den Ressorts kann der Tabelle in der Anlage entnommen werden.

vom 17. Januar 2023

Meine Frage:

In welchen Bundesministerien (inklusive nachgeordneter Behörden) gibt es jeweils besetzte Stellen für sogenannte CISO – Chief Information Security Officer (oder tatsächlich vergleichbare Rolle, bitte stets die konkrete Stellenbezeichnung angeben) und welche Besoldungsstufe haben diese Stellen jeweils (bitte tabellarisch beantworten)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff (BMI):

Die Antwort gibt die im Rahmen der geltenden Fristen ermittelbaren Ergebnisse wieder und ist insoweit sowohl qualitativ wie quantitativ mit Unsicherheiten behaftet. Das Ergebnis der Abfrage in den Ressorts kann der Tabelle in der Anlage entnommen werden.

Im BSI-Jahresbericht zur IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Seehofer und BSI Präsident Arne Schönbohm in einer Pressekonferenz vorgestellt wurde, wird die Sicherheitslage als „angespannt bis kritisch“ bezeichnet, werden Ransomware Attacken als größte Bedrohung sowie Sicherheitslücken in Software und Hardware als größte Herausforderung beschrieben und die neue Bundesregierung dazu aufgefordert, der IT-Sicherheit eine höhere Priorität einzuräumen, da sonst die Digitalisierung in Deutschland gefährdet sei. Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg stellt dazu eine Reihe konkreter Forderungen an die neue Bundesregierung:

Weiterlesen

Frage

Welche konkreten Handlungsempfehlungen zu „strategischen Themen“ (wie in Cyber-Sicherheitsstrategie 2016, S.45, beschrieben) wurden seit 2016 im Nationalen Cyber-Sicherheitsrat erarbeitet bzw. vorbereitet und welche dieser Handlungsempfehlungen wurden durch die Bundesregierung bis heute umgesetzt? (Drs. 19/29166)

Antwort des Staatssekretärs Dr. Markus Richter (BMI)
Zu 1. Der Nationale Cyber-Sicherheitsrat diskutiert und identifiziert fortlaufend langfristige Handlungsnotwendigkeiten und Trends zur Stärkung der Cybersicherheit in Deutschland. Zu den hierunter behandelten Themen gehörten seit 2016:

  • Technologische Souveränität
  • Gefährdung demokratischer Willensbildung durch Desinformation
  • Digitale Souveränität
  • Sicherheit im Internet der Dinge
  • Sicherheit durch Maschinelles Lernen
  • Digitaler Verbraucherschutz
  • Aus- und Weiterbildung im Bereich Cybersicherheit
  • Cyber-Sicherheit in der Bundestagswahl
  • Vertrauenswürdige Elektronik
    Zu diesen Themen schriftlich oder in den Sitzungen des Nationalen Cyber-Sicherheitsrats mündlich eingebrachte Handlungsempfehlungen finden regelmäßig Eingang
    in die Arbeit der Bundesregierung.
Bild: Im Ausschuss Digitale Agenda, CC-BY 4.0 Anke Domscheit-Berg

Oft werde ich gefragt, wieso ich an manchen Debatten im Bundestag nicht teilnehmen kann oder wieso nicht alle Abgeordneten auf ihren Plätzen sitzen, wenn im Plenum über bestimmte Themen geredet wird. Aber das liegt oft daran, dass der Deutsche Bundestag ein Arbeitsparlament ist und viel Arbeit in den Ausschüssen stattfindet, die teilweise parallel zum Plenum stattfinden.
Wir Abgeordnete nehmen vorrangig an Ausschüssen, Anhörungen oder Fachgesprächen teil, die mit unseren Themenfeldern zu tun haben. In meinem Fall sind das natürlich alle Themen, die sich mit Netzpolitik beschäftigen. Das reicht von digitaler Bildung im Bildungsausschuss über Breitbandausbau oder 5G-Lizenzversteigerung im Verkehrsausschuss bis hin zu allen Themen des Ausschuss Digitale Agenda.

Das BSI muss unabhängig vom Innenministerium werden

In dieser Sitzungswoche nahm ich gleich an zwei öffentliche Anhörungen aus meinem Themengebiet teil. Weil ich im Februar gemeinsam mit anderen MdB der Linksfraktion einen Antrag zum Thema IT-Sicherheit in den Bundestag eingebracht hatte, fand am Montag die dazugehörige Anhörung im federführenden Innenausschuss statt. Sachverständige waren eingeladen, um in kurzen Eingangsvorträgen und anschließenden Frage-Antwortrunden ihre Positionen, Forderungen und Handlungsempfehlung für mehr digitale Sicherheit vorzustellen.
Es sprachen zwei Wirtschaftsvertreter*innen, Dr. Rainer Baumgart und Dr. Aleksandra Sowa sowie Dr. Sven Herpig von der Stiftung Neue Verantwortung, Klaus Landefeld vom eco – Verband der Internetwirtschaft, Frank Rieger vom Chaos Computer Club und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm. Diskutiert wurde z. B. über eine Meldepflicht für Sicherheitslücken, die ich schon seit langem fordere.
Sven Herpig schlug außerdem vor, dass die Regierung eine umfassende Cybersicherheitsstrategie vorlegen sollte, Klaus Landefeld wiederum betonte, dass es wichtig sei, auch die Hersteller von IT-Produkten in den Gesetzgebungsprozess mit einzubeziehen. Digitale Bildung war Frank Rieger besonders wichtig, denn wer Programmieren lernt, sollte immer auch lernen, wie man sichere Software schreibt.
Aleksandra Sowa verteidigte das Recht auf Anonymität im Netz und forderte, dass Verschlüsselung auf keinen Fall ausgehöhlt werden darf, sondern vielmehr gestärkt werden müsse. Dazu muss auch der Staat selbst beitragen, es ist z. B. immer noch nicht möglich, mit allen deutschen Behörden verschlüsselt zu kommunizieren. Arne Schönbohm hatte jedoch kaum Ideen, er spulte einen Werbeblock für das BSI ab.

Die übrigen Expert*innen waren sich auch darüber einig, dass das BSI unabhängig vom Innenministerium sein müsse, um seinem Auftrag nach Stärkung der Sicherheit in der Informations- und Kommunikationstechnik nachkommen zu können. Schönbohm sah das leider anders, er sieht keinen Interessenskonflikt darin, dass das BSI genauso wie Geheimdienste dem BMI unterstellt ist, obwohl unsere Geheimdienste ein Interesse an offenen Sicherheitslücken in IT-Produkten haben, das BSI jedoch Sicherheit in der Informations- und Kommunikationstechnik nur erreichen kann, wenn bekannt gewordene Sicherheitslücken sofort geschlossen werden. Aleksandra Sowa war sehr deutlich: „Wer IT-Sicherheit für vermeintlich mehr Sicherheit opfert, erhält nicht weniger Kriminalität, sondern mehr.“

Schönbohm vertrat auch beim Thema Hackback eine Einzelmeinung

Das staatliche Zurück-Hacken ist für ihn genauso eine Option zur Verteidigung wie für seinen Vorgesetzten, Bundesinnenminister Horst Seehofer. Für die anderen geladenen Sachverständigen war allerdings klar, dass der Staat niemals aktive Cyberabwehr betreiben sollte, denn dafür gibt es keine Rechtsgrundlage, sie sind hochgefährlich und können zu hohen zivilen Kollateralschäden und Eskalation auf internationaler Ebene führen – zu mehr Sicherheit führen sie nicht. Statt Nachrichtendienste mit immer mehr Kompetenzen auszustatten, sollten Sicherheitslücken konsequent geschlossen, verbindliche IT-Sicherheits-Mindeststandards und eine IT-Produkthaftpflicht eingeführt werden, vor allem aber auch die Schwachstelle Mensch besser im Umgang mit digitalen Technologien geschult werden. Das sehe ich ganz genauso.
Umso erschreckender, dass die Bundesregierung da den falschen Fokus setzt.

Gemeinwohlorientierte Soziale Netzwerke als Werkzeug gegen gezielte Desinformation?

Meine zweite öffentliche Anhörung fand am Mittwoch im Digitalausschuss zum Thema „Resilienz von Demokratien im digitalen Zeitalter im Kontext der Europawahl“ statt. Wir sprachen mit den sechs geladenen Sachverständigen über Desinformation und Wahlmanipulation, Fakenews und Socialbots.
Weil aber, wie eingangs erwähnt, im Bundestag viele Gremien gleichzeitig tagen, wurde die Anhörung schon nach einer halben Stunde unterbrochen, weil im Plenum ein Hammelsprung beantragt wurde, da bei einer Abstimmung die Mehrheitsverhältnisse unklar waren. Wir Abgeordneten mussten also schnell zum Plenum eilen und durch eine „Ja“, „Nein“ oder „Enthalten“ Tür in den Plenarsaal gehen, wobei wir gezählt wurden, danach ging es zurück in den Ausschuss, der dafür abends einfach etwas länger ging.

Die Sachverständigen berichteten von ihren Erkenntnissen zum Thema Desinformationskampagnen. Prof. Dr. Simon Hegelich von der Hochschule für Politik München erzählte, dass auch während der letzten Bundestagswahl solche Kampagnen stattfanden, sogar in größerem Maßstab als man zunächst dachte, dass sie meistens aus dem rechten Spektrum kamen, aber dass ihre Wirkung sehr schwer zu beurteilen sei.
Alle anwesenden Wissenschaftler*innen beklagten, dass sie ihre Forschung zum Thema leider nur unzureichend betreiben könnten, weil die sozialen Medien keine brauchbaren Daten rausrücken und auch politische Akteure ihre Wahlwerbung dort nicht ausreichend transparent machten.
Gäbe es mehr Daten, so Prof. Dr. Martin Emmer vom Weizenbaum-Institut für die vernetzte Gesellschaft, könnte man z. B. mit künstlicher Intelligenz erforschen, wie genau diese Kampagnen funktionieren und welche Wirkung sie auf die Meinungsbildung haben.

Mehr Kompetenzen für Nachrichtendienste?

Immun gegen Desinformationskampagnen im Internet: Kater Tigger (Bild: Catherine Heath, gemeinfrei-ähnlich freigegeben auf unsplash.com)

Lisa-Marie Neudert vom Oxford Internet Institute beschrieb, dass ca. 20 % der geteilten Informationen zur Bundestagswahl 2017 Desinformationen waren, aber auch sie wies darauf hin, dass konkrete Auswirkungen bisher nicht nachgewiesen werden konnten. In Hinblick auf die anstehende Europawahl sagte sie, dass bisher eher moderate Level an Desinformation festzustellen sind, sie finden vor allem zu den Themen Migration und EU-Ausstieg einzelner EU-Staaten statt.

Überrascht haben mich die Aussagen des Sachverständigen Sandro Gaycken, der der Meinung war, dass die Nachrichtendienste mehr Kompetenzen bräuchten, um Desinformationskampagnen in den sozialen Medien enttarnen und ausschalten zu können. Einen Ausbau der Nachrichtendienste lehne ich kategorisch ab.

Alexander Sängerlaub von der Stiftung Neue Verantwortung setzte seinen Fokus zur Bekämpfung von Desinformation auf Reformationen im Medienbereich. Er schlägt u. a. die Abschaffung der Depublikationspflicht für öffentlich-rechtliche Medienangebote, eine europäische Mediathek und die Aufwertung von Lokaljournalismus vor.
Ich freue mich, dass er auch vorgeschlagen hat, über ein europäisches soziales Netzwerk nachzudenken, das sich nicht über Werbeeinnahmen finanziert, sondern auf gemeinnützigen Grundsätzen basiert. Ein solches gemeinwohlorientiertes Netzwerk gehört auch zu meinen Forderungen für digitale, soziale Innovationen.

Alle Anwesenden waren sich einig, dass ein wirksames Mittel gegen den Erfolg von Desinformationskampagnen im Netz Medienbildung für alle Menschen ist – junge, aber auch ältere. Nur wenn wir alle lernen, Meldungen im Netz richtig zu bewerten, Quellen zu prüfen und die Mechanismen, die im Internet wirken, zu verstehen, werden es Desinformationskampagnen schwerer haben.

Die ganzen Anhörungen können auf der Webseite des Bundestages angesehen werden.
Alle schriftlichen Stellungnahmen der Sachverständigen gibt es dort auch zum Download. Ein kurzes Video zur Anhörung im Ausschuss Digitale Agenda habe ich auf meinem YouTube-Kanal veröffentlicht:

Fachanhörung digitale Wahlbeeinflussung (10.04.2019)