Beiträge

Meine Frage:

Sind der Bundesregierung Berichte von Nutzern im Internet darüber bekannt (https://key.matiq.com/info/blog/dubious_credit_check), dass bei der Buchung eines Deutschlandtickets durch Privatpersonen mit Bezahlung im geforderten Lastschriftverfahren die Nutzenden zur Eingabe ihres Onlinebanking-Passworts auf Webseiten Dritter aufgefordert werden, obwohl diese Verfahrensweise den BSI-Empfehlungen zum Phishing-Schutz widerspricht, nämlich derartig vertrauliche Informationen nur in der jeweils üblichen Weise also etwa auf der Online-Banking-Website selbst einzugeben, nicht jedoch auf irgendwelchen Webseiten Dritter (https:// www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/SpamPhishing-Co/Passwortdiebstahl-durch-Phishing/Schutz-gegen-Phishing/schutz-gegen-phishing_node.html), und plant die Bundesregierung, bundesweit garantierte Alternativen zum Abo-Modell (beispielweise eine Monatskarte) anzuregen, die aufgrund der vollständigen Bezahlung beim Kauf keiner Bonitätsprüfung, so aber nach den genannten Berichten bisher, bedürfen, um eine Nutzung des Tickets auch durch Personen mit schlechterer Bonität zu ermöglichen?

Antwort der Bundesregierung:

Der Bundesregierung liegen keine Erkenntnisse über Einzelfälle im Sinne der Fragestellung vor. Das Deutschlandticket wird von den Ländern umgesetzt, der Bund unterstützt die Länder bei der Finanzierung. Für die Ausgabe des Deutschlandtickets gelten die Bedingungen des jeweiligen Verkehrsunternehmens. Die Verkehrsunternehmen entscheiden eigenständig über die Vorgaben zur Identifizierung des Kunden beim Abschluss von Abonnements und über eine mögliche Bonitätsprüfung. Eine Zuständigkeit des Bundes ist hier nicht gegeben.

Antwort im Original:

Obwohl Bedrohungen steigen, sind 750 IT-Sicherheitsstellen im Bund unbesetzt, erhält das BSI 21 Mio € weniger und wird die NIS2 Richtlinie nur minimal umgesetzt. Der neue Informationssicherheitsbeauftragte des Bundes wird dadurch ein zahnloser Tiger, Kommunen sind von Sicherheitsstandards ausgenommen und damit weiter besonders gefährdet. So sind wir mit Sicherheit nur eins: verlässlich ungeschützt.

Meine Rede im Wortlaut:

Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Trotz wachsender hybrider Bedrohungen versagt die Ampel auch bei der Cybersicherheit. Es ist täglich erkennbar, dass es keine kohärente Strategie gibt. Ihr neues Sicherheitsgesetz ist sowohl verfassungswidrig als auch sinnfrei. Ihre Cybersicherheitsagenda bezeichneten Experten als sicherheitspolitischen Durchfall. 750 IT-Sicherheitsstellen im Bund sind unbesetzt. Das BSI soll 2025  21 Millionen Euro weniger erhalten. Bei der Umsetzung der EU-Sicherheitsrichtlinien agiert die Ampel zu spät und vor allem nur nach dem absoluten Minimum, sowohl bei der NIS-2-Richtlinie als auch beim KRITIS-Dachgesetz. 

Dieses Vorgehen ist gefährlich, meine Damen und Herren. 

(Beifall bei der Linken)

So wird es zwar als NIS-2-Vorgabe einen Bundes-CISO geben, also einen hochrangigen Informationssicherheitsbeauftragten, aber er hat keine Vetorechte, er hat nur lächerliche Befugnisse, er darf nur koordinieren und unterstützen. Die Folge ist, dass dieser CISO Bund von Anfang an ein zahnloser Tiger sein wird. 

(Beifall bei der Linken)

Das absolute Minimum ist auch der deutsche Sonderweg bei der Umsetzung der NIS-2-Richtlinie hinsichtlich des Ausschlusses der Kommunen. Dabei listet die ehrenamtlich gepflegte Webseite „kommunaler-notbetrieb.de“ – vielen Dank an Jens Lange an dieser Stelle – Cybersicherheitsvorfälle in Hunderten Kommunen auf. Wochenlang gibt es dann keine neuen Ausweise, sind keine Anmeldungen von Geburten oder bei Kitaplätzen möglich, können keine Sozialleistungen abgerufen werden. Das allein zeigt doch: Kommunen sind kritische Infrastruktur und müssen auch als solche geschützt werden. 

(Beifall bei der Linken)

Die NIS-2-Richtlinie fordert auch eine Entkriminalisierung der IT-Sicherheitsforschung. Im Koalitionsvertrag haben Sie eine Reform des Computerstrafrechts versprochen.

(Manuel Höferlin (FDP): Machen wir doch! Nur nicht da!)

In der Praxis sind Sicherheitsforschende aber immer noch wegen des Hackerparagraphen mit einem Bein im Gefängnis. Sicherheitslücken bleiben bestehen; denn Meldungen bedeuten Risiken.

(Manuel Höferlin (FDP): Setzen wir um! Gar kein Problem!)

Die Ampelpolitik bleibt das größte Cybersicherheitsrisiko für Deutschland. Und mit Sicherheit sind wir nur eins: verlässlich ungeschützt. 

Vielen Dank. 

(Beifall bei der Linken)

Meine Frage:

„Sind der Bundesregierung Berichte von Nutzern im Internet darüber bekannt (https://key.matiq.com/info/blog/dubious_credit_check), dass bei der Buchung eines Deutschlandtickets durch Privatpersonen mit Bezahlung im geforderten Lastschriftverfahren die Nutzenden zur Eingabe ihres Onlinebanking-Passworts auf Webseiten Dritter aufgefordert werden, obwohl diese Verfahrensweise den BSI-Empfehlungen zum Phishing-Schutz widerspricht, nämlich derartig vertrauliche Informationen nur in der jeweils üblichen Weise also etwa auf der Online-Banking-Website selbst einzugeben, nicht jedoch auf irgendwelchen Webseiten Dritter (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Schutz-gegen-Phishing/schutz-gegen-phishing_node.html), und plant die Bundesregierung, bundesweit garantierte Alternativen zum Abo-Modell (beispielweise eine Monatskarte) anzuregen, die aufgrund der vollständigen Bezahlung beim Kauf keiner Bonitätsprüfung, so aber nach den genannten Berichten bisher, bedürfen, um eine Nutzung des Tickets auch durch Personen mit schlechterer Bonität zu ermöglichen?“

Antwort der Bundesregierung:

„Der Bundesregierung liegen keine Erkenntnisse über Einzelfälle im Sinne der Fragestellung vor.

Das Deutschlandticket wird von den Ländern umgesetzt, der Bund unterstützt die Länder bei der Finanzierung. Für die Ausgabe des Deutschlandtickets gelten die Bedingungen des jeweiligen Verkehrsunternehmens. Die Verkehrsunternehmen entscheiden eigenständig über die Vorgaben zur Identifizierung des Kunden beim Abschluss von Abonnements und über eine mögliche Bonitätsprüfung. Eine Zuständigkeit des Bundes ist hier nicht gegeben.“

Antwort im PDF:

Meine Frage:

„Wie begründet die Bundesregierung angesichts der anhaltend hohen Gefährdungslage im Cybersicherheitsbereich die Zurückstellung von mindestens elf Maßnahmen der Cybersicherheitsagenda (s. Antwort des Bundesministeriums des Innern und für Heimat auf meine Nachfrage im Nachgang zu TOP 4 der 64. Sitzung des Ausschusses für Digitales des Deutschen Bundestages am 15. Mai 2024 bzw. www.heise.de/news/Kommentar-zur-Cybersicherheitsagenda-Von-Hochglanzstory-zum-nationalen-Drama-9774726.html), darunter auch die Maßnahme “Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung” (bitte jeweils jede zurückgestellte Maßnahme begründen, insbesondere hinsichtlich der genannten Maßnahme “security by design and by default”), und welche Maßnahmen, die sich aktuell noch in Umsetzung befinden, wird die Bundesregierung noch bis zum 31. Dezember 2024 erledigen können?“

Antwort der Bundesregierung:

„Die Umsetzung der Cybersicherheitsagenda behält für das Bundesministerium des
Innern und für Heimat (BMI) hohe Priorität. Viele Maßnahmen der Cybersicherheitsa-
genda befinden sich in Umsetzung oder sind bereits umgesetzt. Auch bei den zu-
rückgestellten Maßnahmen sind teilweise bereits Umsetzungsschritte erfolgt. Das
BMI tritt für eine weitere Stärkung der Ressourcen in diesem Bereich ein, um die Cy-
bersicherheit, insbesondere durch eine schnellere und umfassendere Umsetzung der
Cybersicherheitsagenda, zu erhöhen.


Zu den zurückgestellten sowie die in der Umsetzung befindlichen Maßnahmen wird
folgendes mitgeteilt:
a) (2.9) Ausbau der Zentrale Stelle für Informationstechnik im Sicherheitsbe-
reich (ZITiS) als zentraler Dienstleister für die Sicherheitsbehörden sowie
Auf- und Ausbau eigener nationaler Entwicklungsfähigkeiten und Bewer-
tungskompetenzen bei der ZITiS und
b) (3.11) Konsequenter Ausbau der ZITiS, um digitale Ermittlungswerkzeuge
für die Sicherheitsbehörden zur Stärkung der Auswerte- und

Analysefähigkeiten im Kampf gegen Cybercrime zu entwickeln.
Der Auf- und Ausbau eigener nationaler Entwicklungsfähigkeiten und Be-
wertungskompetenzen bei der ZITiS (2.9) sowie die Stärkung der Auswerte-
und Analysefähigkeiten im Kampf gegen Cybercrime (3.11) erfolgt im Rah-
men der verfügbaren Ressourcen.
Zurückgestellt werden jene Aktivitäten, die eine umfangreiche Ressourcen-
verstärkung (Stellen, Sachmittel und Personal) erfordern, welche sich in An-
betracht der angespannten Haushaltslage auch nicht durch Umpriorisierun-
gen in angemessenen Rahmen abbilden lassen.
Die Maßnahmen 2.9 und 3.11 sind als auf Dauer angelegte Zielsetzung zu
verstehen, weshalb eine abschließende Umsetzung in 2024 nicht zu erwar-
ten ist.
c) (3.1) Ausbau der zentralen Kompetenz- und Service-Dienstleistungen des
Bundeskriminalamtes (BKA) zur Bekämpfung von Cybercrime.
Der Ausbau der zentralen Kompetenz- und Service-Dienstleistungen des
BKA wurde bereits begonnen. Die Weiterführung der Maßnahme erfolgt im
Rahmen der verfügbaren Finanz- und Personalressourcen.
d) (4.1) Stärkere gesetzliche Verankerung der Informationssicherheit und Um-
setzung eines Verstärkungsprogramms für die Cybersicherheit des Bundes
mit der Einrichtung eines Chief Information Security Officers für den Bund
(CISO BUND) und eines Kompetenzzentrums zur operativen Sicherheitsbe-
ratung des Bundes.
Die Einrichtung der Rolle des CISO Bund und die gesetzliche Verankerung
der Rolle der Informationssicherheitsbeauftragten sind im Rahmen des NIS-
2-Umsetzungs-und-Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) ge-
plant und könnten daher in Abhängigkeit des Gesetzgebungsverfahrens ab-
geschlossen werden. Nur mit zusätzlichen Haushaltsmitteln wäre darüber
hinaus der Aufbau eines Kompetenzzentrums zur operativen Sicherheitsbe-
ratung des Bundes möglich.
e) (4.2) Etablierung des Grundsatzes „security by design and by default“ in der
Bundesverwaltung
Seit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 2021 müssen die Stellen
des Bundes gem. § 8 Abs. 4 Gesetz über das Bundesamt für Sicherheit in
der Informationstechnik (BSIG) „bei der Planung und Umsetzung von we-
sentlichen Digitalisierungsvorhaben des Bundes“ das Bundesamt für Si-
cherheit in der Informationstechnik (BSI) frühzeitig beteiligen und ihm Gele-
genheit zur Stellungnahme geben. So werden Sicherheitsanforderungen di-
rekt von Anfang an bei der Digitalisierung mitgedacht (Security-by-Design).
Verantwortlich für ist hierfür im BSI die Sicherheitsberatung Bund..

f) (4.4) Investition in Quantencomputing beim BSI zur Gewährleistung der si-
cheren Regierungskommunikation
Investitionen in Quantencomputing beim BSI zur Gewährleistung der siche-
ren Regierungskommunikation wären mit zusätzlichen Haushalsmitteln
möglich.
g) (5.1) Förderung von Investitionen für Cyber-Resilienz-Maßnahmen in kleine
und mittlere Unternehmen (KMU), die dem KRITIS-Sektor angehören
h) (5.2) Einrichtung von Awareness und Cyber-Resilienz-Projekten, die vom
BSI und von externen Dienstleistern angeboten werden
Für die Maßnahmen 5.1 und 5.2 stehen keine ausreichenden Haushaltsmit-
tel zur Verfügung.
i) (6.2) Konzeption und initialer Aufbau eines zivilen Cyberabwehrsystems
(ZCAS)
Die Maßnahme baut auf der Maßnahme 6.1, Aufbau eines BSI Information
Sharing Portals (BISP) auf und kann nach deren Umsetzung starten.
j) (8.1) Modernisierung der Weitverkehrsnetze gemäß der „Netzstrategie 2030
für die öffentliche Verwaltung“
Die Maßnahme befindet sich in Umsetzung. Im Jahr 2024 erfolgt im Rah-
men des IPv6 Programm des Bundes die weitere Umsetzung zur Moderni-
sierung innerhalb der Netze des Bundes (NdB). Diese soll bis Ende 2024
den Datenaustausch mit dem neuen Protokoll IPv6 zwischen ersten Behör-
den und dem Informations-Technik-Zentrum des Bundes (ITZ-Bund) ermög-
lichen.
k) (8.5) Erweiterung des Digitalfunknetzes für die Behörden und Organisatio-
nen mit Sicherheitsaufgaben (Datenkommunikation)
Die Maßnahme 8.5 umfasst die Frage, wie ein hochsicheres, hochverfügba-
res modernes Breitbandnetz die bisherige TETRA-Technik künftig ersetzen
kann, um eine zeitgemäße breitbandige Datenkommunikation zu ermögli-
chen. Hierfür sind weitere Abstimmungen zwischen Bund und Ländern er-
forderlich, um ein bundesweit einheitliches und wirtschaftliches Vorgehen
zu gewährleisten. Der Bund ist hierzu mit den Ländern im ständigen Aus-
tausch. Die Maßnahme ist insofern als zurückgestellt bezeichnet, um den
Eindruck zu vermeiden, der Bund würde von einem abgestimmten, gemein-
samen Vorgehen aller Beteiligten Abstand nehmen wollen.
l) Die weiteren in Umsetzung befindlichen Maßnahmen sind wegen fehlender
notwendiger grundgesetzlicher und einfachgesetzlicher Änderungen sowie
unzureichender Mittel und Stellen bis Ende 2024 nicht abzuschließen.“

Antwort der Bundesregierung als PDF:

Meine Frage:

„Welche konkreten Inhalte bzw. Ergebnisse enthält der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der aktuell laufenden Prüfung gem. § 9b des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik fertiggestellte (technische) Prüfbericht zu sicherheitsrelevanten Komponenten im 5G-Netz, der laut Eigenaussage der BSI-Präsidentin Claudia Plattner im Interview der Jung & Naiv-Folge 686 (https://www.youtube.com/watch?v=MkjQcT_eI_E) bereits an das Bundesministerium des Innern und für Heimat (BMI) übermittelt wurde, und weshalb war dieser der Leistungsebene des BMI zum Zeitpunkt der 66. Sitzung des Digitalausschusses des Deutschen Bundestages vom 12. Juni 2024, vertreten durch den Staatssekretär Dr. Markus Richter, nicht bekannt (bitte in der Antwort auch das Datum nennen, an dem der Bericht dem BMI übergeben wurde)?“

Antwort der Bundesregierung:

„Das Bundesministerium des Innern und für Heimat (BMI) prüft aktuell nach § 9b Absatz

4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik(BSIG) den Einsatz von kritischen Komponenten chinesischer Hersteller in den deutschen öffentlichen 5G-Mobilfunknetzen. Das BSI ist in die Prüfungen des BMI eingebunden und berichtet regelmäßig an das BMI. Das BSI unterrichtet in diesem Zusammenhang insbesondere über potentielle Risiken, die von einzelnen in den betreffenden 5G-Netzen verbauten Komponenten ausgehen. Einen singulären Bericht zu einem Prüfergebnis des BSI gibt es nicht. Die Einschätzungen des BSI fließen in die Gesamtbewertung des BMI ein und sind auch Herrn Staatssekretär Dr. Richter bekannt. In diesem Sinne hat er am 12. Juni 2024 in der 66. Sitzung des Digitalausschusses des Deutschen Bundestages berichtet.“

Antwort im Original:

Lissabon, 20. Juni 2024 – Wir, die Unterzeichnenden, sprechen uns vehement gegen die geplante Einführung der sogenannten Chatkontrolle aus.

Wir sind zwar gerade auf Ausschussreise in Lissabon, haben aber die Diskussion zur Chatkontrolle intensiv begleitet und begrüßen die klare Ablehnung Deutschlands in Brüssel. Die Verschiebung der Abstimmung ist dabei nicht ausreichend, wir fordern die endgültige Ablehnung des Konzepts Chatkontrolle.

Wir sind der Überzeugung, dass mit der geplanten Chatkontrolle der abscheuliche Missbrauch von Kindern nicht verhindert werden kann, dafür aber jegliche Kommunikation kontrolliert werden könnte.

Es bedarf anderer Maßnahmen wie verpflichtende Meldemechanismen bei Online-Diensten, eine stabile Finanzierung von Hotlines und Beratungsstellen sowie eine Verbesserung der Medienkompetenz insbesondere in vulnerablen Gruppen sowie mehr Sensibilisierung der Bevölkerung und stärkere Prävention auch im Analogen.

Schutz der Privatsphäre in Gefahr

Das Recht auf Privatsphäre, das von der Bundesregierung geplante Recht auf Verschlüsselung und das Recht auf Schutz vor Gewalt dürfen nicht gegeneinander ausgespielt werden. Sie alle sind essenziell für die gesellschaftliche und demokratische Teilhabe aller, insbesondere von unterrepräsentierten Gruppen und nicht zuletzt von Jugendlichen und Heranwachsenden selbst.

Unverhältnismäßigkeit und Gefährdung spezifischer Gruppen

Doch nicht nur Kinder und Jugendliche haben ein Recht auf Privatsphäre – auch durch Verschlüsselung –, das es zu schützen gilt. Angehörige benachteiligter Gruppen, Journalistinnen, Whistleblowerinnen und Anwälte sind am meisten von Überwachung und Machtmissbrauch durch staatliche und andere Kontrollstellen betroffen und deshalb besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen.

Rechtsstaatliche Prinzipien bewahren

Die Einführung der Chatkontrolle steht im Widerspruch zu dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sowie den Grundrechten auf Privatsphäre und Meinungsfreiheit, wie sie in der Europäischen Menschenrechtskonvention und dem Grundgesetz verankert sind. Der Schutz
dieser Rechte ist essenziell für das Vertrauen der Bürgerinnen und Bürger in den Rechtsstaat und die Demokratie.

Unterzeichnende:

  • Tabea Rössner MdB, Ausschussvorsitzende des Auschuss für Digitales, B90/Grüne
  • Anke Domscheit-Berg MdB, Mitglied des Auschuss für Digitales, Die Linke
  • Sabine Grützmacher MdB, Mitglied des Auschuss für Digitales, B90/Grüne

Kontakt für Rückfragen:

Anke Domscheit-Berg, MdB, digitalpolitische Sprecherin der Gruppe die Linke im Bundestag
Platz der Republik 1, 11011 Berlin
(030) 227 73107
anke.domscheit-berg@bundestag.de

18.06.2024

Dear Council of the European Union, 
Dear national governments, 

In the last days of the Belgian EU Council Presidency, Belgium has put forward its final initiative to reach a general approach in the Council of the EU regarding the highly contested CSA regulation (Proposal for a regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse). In possibly putting the CSA Regulation to a vote on 19 June, the Council is risking far more than just passing a simple regulation. 

Sexual abuse and the exploitation of children, including the dissemination of child sexual abuse material, must be addressed with the utmost determination in accordance with the rule of law. While the regulation proposal put forward by the EU Commission includes some good and crucial measures, such as the EU center, it is highly questionable whether core aspects of the regulation are compatible with European fundamental rights. 

As parliamentarians, we observe with great concern the proposal of the Council of the EU that would put to an end the confidentiality of private communication. Even if the Belgian Council Presidency has now presented a compromise proposal that would limit the obligation to scanning private unencrypted as well as encrypted video and image content, it remains just as much an encroachment on fundamental digital rights and takes the discussion back to the origin of the debate. In fact, the Belgian proposal represents the Commission’s first plans that came to light in December 2021. 

Safe and encrypted communication is of utmost importance for every human being. This also accounts for children and victims of sexual abuse to allow for safe emergency and help services – particularly in countries where victim support organisations cannot rely on the support and confidentiality of state law enforcement authorities. 

Besides risking to contradict the aim of the CSA proposal by intervening in the digital self-determination of people, there might be several unintentional but dangerous side effects: 

  • Client Side Scanning (CSS) and any other mass surveillance, would render confidential information carriers impossible: Scanning would affect users who rely on confidential communication and whose communication is particularly protected (professionals bound by confidentiality such as journalists, lawyers, the medical sector, but also whistleblowers). Furthermore, built-in backdoors could compromise the confidentiality of digitally transmitted trade secrets and business transactions. Encryption protects the identity and the contents of communication participants, thus preserving the autonomy of victims of sexual violence. 
  • Democratic society and democratic debate need trustworthy spaces: Democratic societies need privacy for the formation of opinions and will. The proposed measures carry the danger of leading to self-censorship, jeopardizing safe spaces for children and victims of sexual violence, but also for everyone else. It will also likely leave to users unwilling to use digital services and lose trust in providers if their data is not secure and protected. 
  • Blueprint for authoritarian states and weakening cybersecurity: By building an architecture capable of undermining all possibility of private digital communication, the regulation might inadvertently serve as a blueprint for surveillance in authoritarian states and can serve as a built-in backdoor that can easily be exploited for all sorts of surveillance practices (e.g. trade secrets) and cybercriminals. Once built, this IT-architecture is an invitation to undermine privacy. 
  • Impairment of digital educational, youth, and assistance services: It will eliminate the common practice to exchange important sexual health information to such education as is case in some European countries. 

The mandatory investigation of private communication messages without suspicion carries the risk of creating a climate of general suspicion. Such an approach will irreparably damage the image of the European Union as a guarantor of freedom. 

We explicitly warn that the obligation to systematically scan encrypted communication, whether called “upload-moderation” or “client-side scanning”, would not only break secure end-to-end encryption, but will to a high probability also not withstand the case law of the European Court of Justice. Rather, such an attack would be in complete contrast to the European commitment to secure communication and digital privacy, as well as human rights in the digital space. 

We therefore urgently need an approach that prioritizes the protection and prevention of child sexual abuse, provides more resources and better-targeted coordination of European law enforcement authorities, strengthens victim support in accordance with fundamental rights, and avoids relying on a false sense of security through technosolutionism. 

As national and European parliamentarians, we are convinced that the proposed measures are incompatible with European fundamental rights. We are committed to safeguarding the right to anonymous and pseudonymous use of the internet, as well as strengthening end-to-end encryption. 

We urgently call on all negotiating governments in the COREPER to reject a general approach based on compromise proposal that Belgium has put forward. 

Signatories 

Tobias B. Bacherle, MP, Alliance 90/The Greens, Germany 

Konstantin von Notz, MP & Vice Chair of the group, Alliance 90/The Greens, Germany

Süleyman Zorba, MP, The Greens, Austria

Maximilian Funke-Kaiser, MP, FDP, Germany

Konstantin Kuhle, MP & Vice Chair of the  group, FDP, Germany 

Sven Clement, MP, Pirates, Luxembourg

Valentin Abel, MP, FDP, Germany

Sephanie Aeffner, MP, Alliance 90/The Greens, Germany

Alviina Alametsä, MEP, Greens/EFA, Finland

Rasmus Andresen, MEP, The Greens/EFA, Germany

Christine Aschenberg-Dugnus, MP, FDP, Germany 

Maik Außendorf, MP, Alliance 90/The Greens, Germany 

Christian Bartelt, MP, FDP, Germany

Jens Beeck, MP, FDP, Germany

Katharina Beck, MP, Alliance 90/The Greens, Germany

Lukas Benner, MP, Alliance 90/The Greens, Germany

Michael Bloss, MEP, The Greens/EFA, Germany 

Damian Boeselager, MEP, The Greens/EFA, Germany 

Dr. Jens Brandenburg, MP, FDP, Germany

Patrick Breyer, MEP, The Greens/EFA, Germany 

Saskia Bricmont, MEP, The Greens/EFA, Belgium

Georg Bürstmayr, MP, The Greens, Austria 

Anke Domscheit-Berg, MP, Die Linke, Germany

Marcel Emmerich, MP, Alliance 90/The Greens, Germany 

Emilia Fester, MP, Alliance 90/The Greens, Germany 

Alexandra Geese, MEP, The Greens/EFA, Germany 

Stefan Gelbhaar, MP, Alliance 90/The Greens, Germany 

Anikó Glogowski-Merten, MP, FDP, Germany

Andreas Glück, MEP, Renew Europe, Germany 

Marketa Gregorová, MEP, The Greens/EFA, Czech Republic

Sabine Grützmacher, MP, Alliance 90/The Greens, Germany 

Thomas Hacker, MP, FDP, Germany

Svenja Hahn, MEP, Renew Europe, Germany 

Philipp Hartewig, MP, FDP, Germany

Katrin Helling-Plahr, MP, FDP, Germany 

Bernhard Herrmann, MP, Alliance 90/The Greens, Germany

Manuel Höferlin, MP, FDP, Germany

Dr. Christoph Hoffmann, MP, FDP, Germany 

Ottmar von Holtz, MP, Alliance 90/The Greens, Germany

Lamya Kaddor, MP, Alliance 90/The Greens, Germany

Misbah Khan, MP, Alliance 90/The Greens, Germany

Daniela Kluckert, MP, FDP, Germany 

Marcel Kolaja, MEP, The Greens/EFA, Czech Republic 

Moritz Körner, MEP, Renew Europe, Germany

Michael Kruse, MP, FDP, Germany

Wolfgang Kubicki, MP, FDP, Germany 

Katharina Kucharowits, MP, SPÖ, Austria

Renate Künast, MP, Alliance 90/The Greens, Germany

Ulrich Lechte, MP, FDP, Germany 

Dr. Thorsten Lieb, MP, FDP, Germany

Helge Limburg, MP, Alliance 90/The Greens, Germany

Denise Loop, MP, Alliance 90/The Greens, Germany

Oliver Luksic, MP, FDP, Germany

Kristine Lütke, MP, FDP, Germany 

Boris Mijatovic, MP, Alliance 90/The Greens, Germany 

Maximilian Mordhorst, MP, FDP, Germany 

Hannah Neumann, MEP, The Greens/EFA, Germany 

Jan-Christoph Oetjen, MEP, Renew Europe, Germany 

Dr. Paula Piechotta, MP, Alliance 90/The Greens, Germany

Volker Redder, MP, FDP, Germany

Tabea Rößner, MP, Alliance 90/The Greens, Germany 

Michael Sacher, MP, Alliance 90/The Greens, Germany 

Kassem Taher Saleh, MP, Alliance 90/The Greens, Germany

Dr. Nikolaus Scherak, MP, NEOS, Austria 

Ria Schröder, MP, FDP, Germany

Kordula Schulz-Asche, MP, Alliance 90/The Greens, Germany 

Prof. Dr. Stephan Seiter, MP, FDP, Germany

Kim van Sparrentak, MP, The Greens/EFA, Netherlands 

Dr. Marie-Agnes Strack-Zimmermann, MP, FDP, Germany 

Jens Teutrine, MP, FDP, Germany

Stephan Thomae, MP, FDP, Germany

Johannes Vogel, MP, FDP, Germany

Robin Wagener, MP, Alliance 90/The Greens, Germany

Sandra Weeser, MP, FDP, Germany

Nicole Westig, MP, FDP, Germany

Katharina Willkomm, MP, FDP, Germany

Christina-Johanne Schröder, MP, Alliance 90/The Greens, Germany

————————————————————————————-

Offener Brief – als PDF

Cybersicherheit für alle gibt es nur mit Ländern und Kommunen

Wegen niedriger Sicherheitsstandards werden Kommunen häufig Opfer von Cyberangriffen, auch für sie müssen EU-NIS2 Mindeststandards für IT-Sicherheit gelten! Die Ampel ist zu langsam, gute Ideen gibt jedoch, z.B. ein Cybersicherheitsnetzwerk mit mobilen Hilfsteams.

Meine Rede zur Umsetzung der NIS2-Richtlinie im Wortlaut (14.06.2024):

Sehr geehrte Präsidentin! Liebe Kolleginnen und Kollegen! „Wenn Sie als Kommune von einer Cyberattacke betroffen sind, sind Sie ganz allein auf weiter Flur“, sagte gestern Melitta Kühnlein, IT-Chefin der Landeshauptstadt Potsdam. Potsdam war schon zweimal Ziel eines Cyberangriffs. Dabei stünde Potsdam als große und reiche Kommune noch ganz gut da, meinte sie auch. Etwa drei Viertel der knapp 11 000 Kommunen in Deutschland sind sehr klein, wie mein schönes Fürstenberg in Brandenburg, wo genau ein Mitarbeiter für die ganze IT zuständig ist.

Immer häufiger werden Kommunen Opfer von Cyberangriffen mit schweren Folgen, wenn zum Beispiel Meldestellen, Jugendämter oder Kfz-Stellen offline und damit kaum noch handlungsfähig sind. Das Gefahrenpotenzial dafür steigt ständig, und die Ampel muss in der Tat bei der Cybersicherheit einen Zahn zulegen. Das fordert die Union in ihrem Antrag zur Umsetzung der NIS-2-Richtlinie für Cybersicherheitsmindeststandards in der EU völlig zu Recht.

Die Linke kritisiert aber darüber hinaus, dass dieser Gesetzentwurf Kommunen und Länder komplett ausnimmt, und das geht so nicht.

(Beifall bei der Linken)

Die Sicherheitsstandards in vielen Kommunen sind völlig ungenügend. Die Risiken sind erheblich, und Kommunen sind kritische Infrastruktur. À la Vogel Strauß das Problem einfach auszublenden, ist der völlig falsche Weg, meine Damen und Herren.

(Beifall bei der Linken)

Die Ampel muss mit Ländern und Kommunen eine gemeinsame nationale IT-Sicherheitsstrategie entwickeln, mit dem Ziel, vor allem auch kleinere Kommunen zu unterstützen: beim Aufsetzen von Notfallplänen, bei der Sicherstellung der Arbeitsfähigkeit, falls der Ernstfall doch mal eintritt, damit dann der Schaden möglichst klein bleibt.

Die Linke fordert aber auch den gemeinsamen Aufbau eines Cybersicherheitsnetzwerkes mit mobilen Fachkräfteteams, die Kommunen oder auch KMU in Angriffssituationen anfordern können, damit sie eben nicht mehr allein auf weiter Flur sind, wie es Melitta Kühnlein beschrieb.

(Beifall bei der Linken)

Für mehr Cybersicherheit braucht es nämlich nicht nur bessere Strategien, sondern auch die Umsetzung wirksamer Maßnahmen und vor allem viel mehr Kooperation zwischen Bund, Ländern und Kommunen.

Vielen Dank.

(Beifall bei der Linken)

Mehr IT-Sicherheit und Unabhängigkeit der öffentlichen Verwaltung von IT-Produkten großer Konzerne sind seit Jahren Thema, nicht erst seit dem Mitschnitt einer WebEx-Videokonferenz von Militärs. Seit Jahren soll mehr Open Source Software (OSS) in Behörden eingesetzt werden. Im Dezember 2022 wurde dafür das Zentrum für Digitale Souveränität (ZenDiS) gegründet, aber nun trotz steigender Relevanz ausgebremst. Wie aus zwei schriftlichen Fragen von Anke Domscheit-Berg hervorgeht, hat das ZenDiS weder die personellen, noch die finanziellen Ressourcen, um die groß gesteckten Ziele zu erreichen, z.B. wie geplant den Open Source Arbeitsplatz für die Verwaltung in 2025 breit auszurollen. Laut Antwort der Bundesregierung hat das ZenDis erst neun Mitarbeiter*innen und nur einen einzigen Auftrag(für die Plattform OpenCoDE) erhalten. Eine zusätzliche Bremse für das ZenDiS ist die fehlende Integration der Länder, obwohl es seit 2022 Beitrittsgesuche gibt. Auch die Vergabepraxis des Bundes stützt bisher zu über 99 Prozent proprietäre Software. Alles das geht zu Lasten der IT-Sicherheit, führt zu bleibend hohen Lizenzkosten und gefährlichen Abhängigkeiten, statt das Ökosystem für Open Source Software zu fördern.

Dazu erklärt Anke Domscheit-Berg, digitalpolitischen Sprecherin der Linken im Bundestag:

„Die Ankündigungen der Ampel-Regierung in Koalitionsvertrag und Digitalstrategie zu mehr Einsatz von Open Source im Bund waren vielversprechend, erste Schritte gingen in die richtige Richtung, z.B. der Aufbau des Zentrums für digitale Souveränität oder die Vorgabe im neuen Onlinezugangsgesetz, dass künftig Open Source Software Vorrang haben soll bei der Digitalisierung der Verwaltung. Aber Absichtserklärungen und die Gründung einer GmbH sind keine ausreichenden Voraussetzungen, um die beschlossenen Ziele auch zu erreichen. Erst im Dezember 2023 antwortete mir die Bundesregierung auf eine Kleine Anfrage, dass ab 2025 der breite Rollout des Open Source Arbeitsplatzes im Bund (OpenDesk) erfolgen soll. Mir ist völlig schleierhaft, wie dieses Ziel erreicht werden soll, denn auch ein Jahr nach seiner Gründung gibt es für OpenDesk nur drei Mitarbeiter beim ZenDiS und überhaupt keine Beauftragung durch den Bund, dabei sollte OpenDesk das wichtigste Projekt des ZenDiS sein und ist auch Schwerpunkt einer neuen deutsch-französischen Vereinbarung zur Förderung von Open Source.

Mit nur neun Mitarbeiter*innen, davon nur vier für konkrete Open Source Vorhaben, und einem Budget in 2024 von geradezu lächerlichen 19 Mio, die auf drei große Vorhaben aufgeteilt werden sollen, kann man nicht zeitnah eine stärkere digitale Unabhängigkeit erreichen und damit zur dringend nötigen Steigerung der IT-Sicherheit beitragen.

Kein einziges Bundesland wurde bisher wie geplant am ZenDiS beteiligt, dabei könnte die direkte Beteiligung der Länder zu mehr Beauftragungen und damit zu mehr Ressourcen und mehr Fortschritten bei der Umsetzung von Open Source Vorhaben führen. An der Bereitschaft der Länder liegt es nicht, denn Thüringen hat schon im Juni 2022 eine Absichtserklärung unterschrieben und wartet bisher vergeblich auf das Go des Bundes.

Auch die Vergabepraxis hat mit den Erklärungen der Ampel-Regierung nichts zu tun. So entfielen in dieser Legislatur für die Entwicklung von Software oder für Dienstleistungsaufträge im Zusammenhang mit Software in dieser Legislatur nur 0,5 Prozent auf Open Source, wie aus meiner Kleinen Anfrage vom Dezember 2023 hervorgeht.Ich sehe nicht, wie der krasse Unterschied zwischen gelebter Praxis und Absichtserklärungen verringert werden kann, wenn Vergabevorschriften nicht angepasst werden, der Einsatz von Open Source durch den Bund im Onlinezugangsgesetz nur „soll-Vorschrift“ bleibt statt einer „muss-Vorschrift“ wie im Schweizer Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben, und wenn weiterhin das ZenDiS ausgebremst und massiv unterfinanziert ist. So kann die Ampel-Regierung absehbar eines ihrer wichtigsten digitalpolitischen Koalitionsziele auch bis zum Ende der Legislatur nicht mehr erreichen. Das ist nicht nur für die Ampel peinlich, sondern bedeutet insbesondere weniger IT-Sicherheit, anhaltende Abhängigkeiten vor allem von US-Konzernen, extrem hohe Lizenzkosten (in 2025 laufen die milliardenschweren Lizenzverträge des Bundes mit Microsoft aus) und eine verpasste Chance zur Förderung eines global relevanten Ökosystems für Open Source Software.“

Weiterführende Links:

Meine Frage:
Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 47 auf Bundestagsdrucksache 20/5426 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/054/2005426.pdf)?

Weiterlesen

Medienecho