Das Bundesamt für Sicherheit in der Informationstechnik – BSI – bewertet die IT-Sicherheitslage als permanent kritisch. Durch die zunehmende Vernetzung und Digitalisierung von Wirtschaft und Gesellschaft hat das Risiko für gravierende IT-Angriffe extrem zugenommen – auch in Berlin. Gegen die Angriffswelle vom Wochenende konnte sich Berlin offenbar gut verteidigen. Dies darf jedoch nicht zu Leichtsinn führen.

Angriffe auf die Kritische Infrastruktur sind besonders relevant für eine Großstadt wie Berlin, deren Funktionsweisen – wirtschaftlich, sozial, politisch – darauf basieren, dass ein hochkomplexes System ohne Störungen läuft. Tagesaktuell hat die Cryptware „WannaCry“ hat in Großbritannien eine Vielzahl von Krankenhäusern befallen, in Deutschland die Infrastruktur der Deutschen Bahn. Und dabei waren die Angriffe nicht einmal zielgerichtet, sondert eher beiläufig. Die massiven Konsequenzen für die Patienten in Großbritannien waren trotzdem sehr real.

Eine Strategie für IT-Sicherheit muss in Wochen und Monaten gedacht werden, nicht in Jahren oder Jahrzehnten. Die Bedrohungen für unsere Systeme sind hochdynamisch. Ziel muss eine flexible Strategie sein, um den Herausforderungen für IT-Sicherheit zu begegnen – und das gemessen an der Entwicklungsgeschwindigkeit der Bedrohung.

Die IT-Sicherheit in Berlin braucht eine konsequente Durchsetzung von Meldepflichten auch der Berliner Behörden an das ITDZ und das dort angesiedelte Sicherheitsteam. Daran anschließend muss es auch Transparenz der Sicherheitsvorfälle im Land Berlin im Rahmen eines Berichts sowie der Veröffentlichung von entsprechenden Daten als OpenData geben. Datenschutz und IT-Sicherheit müssen konsequent zusammengedacht werden. Das Mitdenken „by Design“ der beiden Punkte sollte sich zudem in den Vergabe- und Ausschreibungskriterien des Landes Berlin widerspiegeln.

Uns allen sollte dabei klar sein, dass IT-Sicherheit nicht bei Behörden endet – nicht bei Kritischer Infrastruktur und nicht bei Unternehmen. Es umfasst auch einen großen Teil des Alltags aller Berliner*innen. Smartphones, intelligente Kühlschränke, Einkäufe im Netz, Online-Banking … unser Alltag läuft inzwischen weitestgehend digital ab, selbst ohne unser Zutun. Nötig ist daher ein zeitgemäßes Verständnis von IT-Sicherheit, dass uns hilft, auf die unterschiedlichen Phänomenbereiche der IT-Sicherheitslage differenziert reagieren zu können.

Hierzu wesentlich beigetragen haben in den letzten Jahren vor allem NGOs, Vereine und Initiativen, die sich auch hier in Berlin der IT-Sicherheit und dem Schutz von Bürgerrechten angenommen haben – ihre Arbeit ist weiter unerlässlich und ohne den konsequenten Druck der Spezialisten und Um-Die-Ecke-Denker z.B. des Chaos Computer Clubs würden wir in einer deutlich prekären Situation dastehen. Daher an dieser Stelle vielen DANK für eure Arbeit!

Im Koalitionsvertrag haben wir die Bedeutung des Themas für die Berliner Wirtschaft erkannt und vereinbart u.a. eine Beratungs- und Informationsstelle IT- Sicherheit aufzubauen. Gut wäre, wenn wir dies mit dem Aufbau eines Berliner Kompetenzzentrum für IT-Sicherheit ergänzen. Denn Berlin verfügt im Sicherheitsbereich über Repräsentanzen vieler weltweit bedeutender Hersteller, Berater und Anbieter. Originär in Berlin ansässig sind zumeist kleine oder mittelständische Unternehmen. Initiativen und Vereine engagieren sich im Bereich „Digital Security“. Aber auch die Kompetenz der Forschungs- und Studierendenprojekte der Berliner Universitäten sollten wir in die Schaffung von Sicherheitsstrukturen einbeziehen.

Längst überfällig ist beispielsweise ein öffentlich gefördertes bug-bounty-Programm an den Universitäten. Jedes größere Unternehmen hat inzwischen ein solches Programm. Warum sollte Berlin nicht auch in seine IT-Sicherheit investieren? Aber auch auf Bundesebene muss sich etwas tun. Die Bundesregierung steht in der Pflicht, mit IT-Sicherheit nicht weiter so fahrlässig umzugehen. Durch staatliche Behörden und Geheimdienste aufgefundene Sicherheitslücken (insbes. 0dayz) müssen der betroffenen Stelle gemeldet werden; ein Ankauf von Sicherheitslücken für den Eigenbedarf der Geheimdienste konterkariert alle Bemühungen um IT-Sicherheit.

Vor diesem Hintergrund sollte IT-Sicherheit strukturell in unabhängigen Behörden eingegliedert werden und nicht beim Dienstherrn von geheimdienstlicher Tätigkeit. Berlin sollten wir als Standort für unabhängige Forschungsstellen für IT-Sicherheit begreifen. In Verbindung mit unseren Wissenschaftseinrichtungen und der geplanten Beratungs- und Informationsstelle IT- Sicherheit haben wir die Chance uns mit der Herkunft und Motivation der Angreifer*innen unabhängig von klassischen Feindbildern auseinandersetzen.

Nicht zuletzt sollte sich darum ein Teil unserer IT-Sicherheitsstrategie um die Aufklärung drehen. Das Empowerment der Bürgerinnen und Bürger ist hier zentral, gleichzeitig muss das Unrechtsbewusstsein gestärkt werden, um vermeintliche Kavaliersdelikte im digitalen Kontext zu verhindern – oder sie konsequent strafrechtlich zu verfolgen. In der Konsequenz ist der IT-Selbstschutz zu stärken: mit effektiver Ende-zu-Ende-Verschlüsselung in Verbindung mit Open-Source-Software und die Stärkung der Medienkompetenz in allen Bevölkerungsschichten.