Rede von
Peter
Paterna
- Parteizugehörigkeit zum Zeitpunkt der Rede:
(SPD)
- Letzte offizielle eingetragene Parteizugehörigkeit: (SPD)
Herr Kollege Blens, eine der Grundtugenden, die man als Parlamentarier wohl haben müßte, ist, dem anderen wenigstens zuzuhören. Ich wundere mich doch sehr über Ihre Rede; denn von all dem, was Sie hier auf die Hörner nehmen zu müssen glaubten, habe ich bei der Beratung im Innenausschuß nicht ein einziges Wort gesagt. Sie können das auch nicht in dieser Richtung interpretieren. Sie können davon auch keine Ansatzpunkte finden, wenn Sie meine Rede aus der ersten Lesung nachlesen. Im Ge-
Paterna
genteil, ich habe der Regierung und der CDU/CSU-und der FDP-Fraktion eine konstruktive Haltung angekündigt und habe sie durchgehalten.
Wenn dann auf Ihrer Seite zu den strittigen Punkten — ich sage Ihnen, was mir an diesem Gesetz problematisch erscheint — nicht das geringste Entgegenkommen gezeigt wird, müssen Sie sich nicht wundern, wenn wir es ablehnen. Das hat aber mit all den Gründen, die Sie vermuten, überhaupt nichts zu tun.
Wir müssen allerdings auch den Alternativgesetzentwurf der Fraktion DIE GRÜNEN — ein solcher ist es angesichts der vielen Änderungswünsche fast — ablehnen, und zwar deshalb — obwohl uns an der Analyse, die diesem Antrag zugrunde liegt, eine ganze Menge gut gefällt —, weil er einfach an dem, was in der Wirklichkeit durchsetzbar ist, vorbeigeht.
Ich will Ihnen das nur an einem einzigen Beispiel deutlich machen. Schauen Sie sich nur einmal den von Ihnen vorgeschlagenen § 3 a an. Dort geht es um die Anzeigepflichten. Ich zitiere:
Jeder, der informationstechnische Systeme oder Komponenten der Informationstechnik herstellt, errichtet, vertreibt oder betreibt, die erhebliche Auswirkungen auf die Verletzlichkeit der Gesellschaft haben, hat dies dem Bundesamt für die Sicherheit in der Informationstechnik anzuzeigen.
Auf diese Anzeigepflicht stützen Sie dann eine ganze Menge daraus abzuleitender Forderungen.
Lieber Herr Kollege Such, wenn Sie gemeinsam mit der Kollegin Rust von der Bundesregierung den Auftrag bekämen, dieses Amt zu leiten,
und der Finanzminister würde Ihnen zugeben, Sie könnten sich zahlenmäßig und qualifikationsmäßig so viele Menschen in diesem Amt zusammenholen, wie Sie wollen, wären Sie natürlich überhaupt nicht in der Lage, diesen Anspruch zu administrieren. Das geht gar nicht. Man darf sich von etwas Gutgemeintem nicht so weit jenseits der Wirklichkeit tragen lassen, daß dann solche Gesetzestexte dabei herauskommen. Das können wir nicht mitmachen.
Wie, bitte, wollen Sie denn von jemandem, der Informationstechnik herstellt, verlangen, er solle vorhersehen, in welchem Anwendungszusammenhang diese Informationstechnik nachher implementiert wird? Oder wie wollen Sie von einem Komponentenhersteller verlangen, vorherzusehen, in welches Gerät und in welches System nachher der Speicherchip XY eingebaut wird? Das würde ja im Ergebnis dabei herauskommen. Von dem Vertreiber können Sie das auch nicht verlangen, ganz abgesehen davon, daß Sie von beiden wohl auch schlecht verlangen können, zu definieren, wo diese Eingriffsschwelle mit den erheblichen Auswirkungen und der Verletzlichkeit gegeben ist und wo nicht. Dies ist einfach irreal. Das heißt: So nützlich Ihre Analyse ist und so hilfreich es im einzelnen auch gewesen wäre, über viele Ihrer Vorschläge zu beraten, so müssen wir dies, da wir hier
keine Einzelberatung vornehmen können, im ganzen ablehnen, Herr Kollege.
Ich muß Ihnen in aller Freundschaft sagen: Wenn keines Ihrer Mitglieder in der Sitzung des federführenden Ausschusses, in der die Einzelberatung vorgenommen wird, anwesend ist — Sie waren von Anfang bis Ende nicht durch eine Person vertreten —, dann tut es uns leid; dann können wir eben auch nicht über Einzelheiten verhandeln, sondern müssen die Angelegenheit pauschal bewerten, wie ich es hier tue.
Ich wiederhole nur stichwortartig die Punkte, die wir in dieser Problematik für ungelöst halten. Es ist — das habe ich bereits in der ersten Lesung gesagt — darauf hinzuweisen, daß dieses Amt dem Innenminister unterstellt ist, und zwar mit sehr weitreichenden Eingriffsbefugnissen, daß die Aufgabe zu wenig anwenderorientiert ist — da liegen nämlich die größten Sicherheitsdefizite —, daß der Vernetzungsproblematik bei den Informations- und Kommunikationstechniken zu wenig Aufmerksamkeit geschenkt wird und daß zu den Aufgaben des Amtes zu wenig Technikfolgenabschätzung gehört. Das hat überhaupt nichts mit Investitionslenkung oder -Verhinderung oder staatlichen Einsatzverboten zu tun.
Ich wäre gerne bereit, auf Grund der Arbeiten der Enquete-Kommission, die Ihr Kollege Rüttgers lange geleitet hat, über diesen Komplex zu berichten. Das führt zu ganz anderen und, so glaube ich, auch von Ihnen ernst zu nehmenden Problemen, die mit dem Schattenboxen, das Sie hier veranstaltet haben, nun überhaupt nichts zu tun haben.
Ich nenne einen weiteren Punkt: Dieses Amt wird über nicht genügend Unabhängigkeit verfügen. Das führt etwa zu dem Problem, daß das Ganze so bleibt, wie es ist, wenn das Amt erkennt, daß weniger bei den Anwendern solcher technischen Systeme als vielmehr auf der Übertragungsstrecke der Deutschen Bundespost — etwa bei den Richtfunkstrecken — gravierendste Sicherheitslücken vorhanden sind, das Amt sich aber nicht durchsetzen kann, weil der Innenminister als oberster Dienstherr, eingebunden in Kabinetts- und Parteiloyalitäten, seinem Postminister nicht auf die Füße treten wird. Welche Probleme wir mit solchen Ämtern, die ihren Sachverstand nicht unabhängig entfalten können, bekommen, sehen wir beim Bundesgesundheitsamt. In diesem Zusammenhang könnte ich Ihnen auch eine Reihe von Beispielen nennen. Ich halte dies für problematisch.
Es gibt — das ist ein weiterer kritischer Punkt, der zu beobachten sein wird — einen Zielkonflikt zwischen den internen und den externen Beratungsaufgaben. Ich glaube, das liegt auf der Hand. Wenn man einerseits das Bundeskriminalamt oder den Verfassungsschutz beraten soll, wie man bestimmte Systeme knacken kann, und wenn man andererseits extern die Anwender und Hersteller beraten soll, wie man Sy-18250 Deutscher Bundestag - 11. Wahlperiode - 23C. Sitzung. Bonn, Mittwoch, den 24. Oktober 1990
Paterna
steme implementiert, die man nicht knacken kann, dann gerät man natürlich in Schwierigkeiten.
Ich glaube, diese Schwierigkeiten sind nicht hinreichend gelöst. Wir werden diese Praxis beobachten.
— Auch wenn Sie noch so häufig dazwischenrufen, so bekommen Sie damit das Problem nicht aus der Welt.
Wir werden in der Zukunft auch darüber nachdenken müssen, ob das Prinzip der Freiwilligkeit wirklich der Weisheit letzter Schluß ist und ob für bestimmte Anwendungsfälle — nicht generell — nicht auch eine Kontrollbefugnis oder gegebenenfalls wenn auch nicht eine Publizitätspflicht, so doch zumindest ein Publizitätsrecht geschaffen werden sollte. Denn eines der Probleme, die wir bei der Sicherheit in der Informationstechnik haben, ist, daß Sicherheitspannen, etwa im Bankensystem, als Geschäftsgeheimnisse, die, wenn sie nach außen dringen, geschäftsschädigenden Charakter haben, behandelt werden. Es ist der Sicherheit natürlich nicht förderlich, wenn darüber eine öffentliche Debatte gar nicht stattfinden kann und das Verschweigen und Vertuschen unter Umständen billiger kommt als eine sicherheitstechnische Nachrüstung.
Weiterhin haben wir Probleme mit dem von der FDP in den Beratungen noch verstärkten Einfluß des Bundesministeriums für Wirtschaft. Hier kann es nach unseren Erfahrungen sehr leicht passieren, daß weniger der absolute Sicherheitsstandard das Ausschlaggebende ist, als vielmehr, daß man dieses Zertifikat als Exportförderungsinstrument einsetzt und damit dieses Amt nicht seinen eigentlichen Zwecken entsprechend benutzt.
Ein grundsätzliches Problem, das man durch keinen Gesetzestext wird lösen können, ist, daß ein solches Amt suggerieren könnte, man könne solche Techniken sicher machen. Das kann man nicht. Man kann relativ mehr Sicherheit schaffen; aber man wird kein System sicher machen, weder gegen böswillige Angriffe noch gegen Systemfehler. Wenn Sie das nicht glauben, Herr Kollege Blens, lesen Sie den „Spiegel" von der letzten Woche nach. Dort werden Sie über der Überschrift „die programmierte Katastrophe" ein paar hilfreiche Dinge finden, die vielleicht auch Ihnen zu denken geben.
Letzter Punkt unserer Kritik: Die gesellschaftliche Kontrolle ist bei dieser ganzen Veranstaltung nicht vorgesehen. Die GRÜNEN haben einen Beirat vorgeschlagen. Darüber haben wir auch nachgedacht. Andererseits ist die Inflation von Beiratslösungen, wie man aus der Praxis weiß, häufig nicht der Weisheit letzter Schluß. Das ist zuzugeben. Wir hatten statt dessen vorgeschlagen, einen Unterausschuß des Innenausschusses zu bilden, der mit fachkundigen Kollegen aus verschiedenen Ausschüssen besetzt werden kann. Das ist leider insbesondere am Widerstand des Kollegen Hirsch gescheitert, der sich darüber königlich
amüsiert. Vielleicht denken Sie darüber noch einmal nach. Das wäre ein denkbarer Ansatz. Es gibt in diesem Parlament auch Beispiele dafür, daß so etwas funktioniert. So könnte man die parlamentarische Kontrolle dieser Arbeit gewährleisten, auch mit Hilfe eines Dialogs nach außen, über Anhörungen, Beteiligung kritischer Wissenschaftler und dergleichen mehr.
Fazit: Für alle diese kritischen Punkte sind im Gesetz keine hinreichenden Vorkehrungen getroffen. Wir lehnen es deshalb ab. Wir werden die Praxis beobachten. Man kann viele dieser Kritikpunkte im Rahmen des Gesetzes bei gutem Willen beheben. Wir haben immerhin durchgesetzt, daß die Bundesregierung nach angemessener Zeit, wenn sich das Amt eingearbeitet hat, dem Parlament berichtet. Wir werden dann zu prüfen haben, ob wir Korrekturen durchsetzen können.
Die Datensicherheit ist sehr wichtig. Wir halten deshalb die vorgesehene Ausstattung dieses Amtes mit Personal für vertretbar, bitten allerdings, da Datenschutz zumindest gleichrangig damit ist, darum, dann, wenn der Bundesbeauftragte wieder Personalwünsche hat, ihm mit ähnlicher Großzügigkeit entgegenzukommen.
Vielen Dank.