Torsten Felstehausen über Hessisches IT-Sicherheitsgesetz

In seiner 137. Plenarsitzung am 28.06.2023 diskutierte der Hessische Landtag über das Hessisches Gesetz zum Schutz der

elektronischen Verwaltung

(Hessisches IT-Sicherheitsgesetz - HITSiG). Dazu unser Sprecher für Datenschutz Torsten Felstehausen

Frau Präsidentin, meine Damen und Herren!

Herr Beuth sagte gerade, er sei gespannt, was sie jetzt wieder falsch gemacht hätten. Nein, es gibt auch Gesetzentwürfe, die sind sinnvoll, notwendig, und die sollte man auch verabschieden – keine Frage. Nichtdestotrotz – das ist natürlich auch die Aufgabe in einem solchen Parlament; das haben wir auch im Ausschuss gemacht – schaut man auf solche Gesetzentwürfe und überlegt: Ist damit alles abgebildet, oder gibt es noch Punkte, bei denen man sagt, da wäre noch etwas möglich?

Natürlich braucht Hessen ein Gesetz zum Schutz der elektronischen Verwaltung. Ohne IT lassen sich heute viele Abläufe der öffentlichen Hand doch gar nicht mehr darstellen. Gleichzeitig ist genau diese IT-Infrastruktur immer stärkeren Angriffen aus dem Netz ausgesetzt. Was das bedeutet, mussten zuletzt die Stadtverwaltung in Rodgau, die Polizei in Wiesbaden sowie die Feuerwehr in Elbtal erfahren. Es sind eben nicht nur die Kernbereiche der Verwaltung, die immer häufiger angegriffen werden. Ziele von Hackern werden zunehmend Energieversorger, Stadtwerke oder Verkehrsunternehmen. Die Abhängigkeit, die wir heute von der IT haben, macht uns eben auch immer angreifbarer. Die Täter sind auf der einen Seite staatliche Auftraggeber, auf der anderen Seite kommerziell orientierte Kriminelle oder auch nur Menschen, die versuchen, in fremde Netze einzudringen.

So divers die Motivationen der Angreifer sind, so unterschiedlich sind auch die Zielbilder der Angriffe. Mal geht es darum, staatliches Handeln zu unterminieren, die staatliche Handlungsfähigkeit auszuhebeln. Anderen geht es schlicht und ergreifend um mögliche Datenbeute und darum, ein möglichst hohes Lösegeld zu kidnappen.

Auf all diese Bedrohungen braucht es in Hessen eine personell gut ausgestattete Antwort, einen digitalen Schutzschirm für unsere Daten, unsere Netze und unsere IT-Infrastruktur. Dafür braucht es selbstverständlich eine Rechtsgrundlage, da in diesen Fällen in die Grundrechte der Bürgerinnen und Bürger sowie der Arbeitnehmerinnen und Arbeitnehmer eingegriffen wird. Herr Beuth, dieses Ziel – das will ich ganz deutlich sagen –, dass wir eine vernünftige Rechtsgrundlage haben werden, unterstützen wir als LINKE ausdrücklich. Aber leider präsentiert Hessen mit diesem Gesetzentwurf einen Schirm, der Löcher hat; und auf diese möchte ich jetzt hinweisen.

Es bleibt für uns unverständlich, warum zwar die gesamte Landesinfrastruktur gesichert werden soll, Schulen aber nicht unter den digitalen Schutzschirm fallen. Auch dort werden große Mengen personenbezogener Daten verarbeitet, und die Schule der Zukunft ist nicht ohne eine funktionsfähige IT-Infrastruktur vorstellbar. Die größten Löcher in der öffentlichen IT-Sicherheit – der Änderungsantrag der SPD weist hierauf völlig zu Recht hin – lassen sich aber bei den Kommunen ausmachen. Dort gibt es zwar eine Reihe freiwilliger Angebote, und sollte sich die Zeit finden, sagt das Land Hessen zu, werde es Unterstützungsleistungen geben; es gibt aber keine verpflichtenden Strukturen, die dort aufgebaut werden. Das reicht aus unserer Sicht für eine vernetzte IT-Landschaft nicht aus. Daher sind wir der SPD für die Initiative ausdrücklich dankbar, einen neuen § 15 einzufügen, der die Kommunen zumindest verpflichtet, Informationssicherheitsleitlinien zu erstellen.

Natürlich müssen wir uns auch hier über die Finanzierung der kommunalen IT-Sicherheit unterhalten. Das werden die Kommunen nicht allein schaffen. Zumindest die kleineren Kommunen – damit sind wir wieder beim Thema – werden nicht die Möglichkeit haben, das allein zu bewerkstelligen. Es sind nämlich die kleinen Kommunen, die weder personell noch technisch in der Lage sind, sich den immer intensiveren Angriffen zur Wehr zu setzen. Es macht Sinn, wie es sogar die Stadt Kassel fordert, dass es in Hessen eine verpflichtende zentrale Meldestelle für IT-Angriffe gibt. Denn die Angriffe, die heute eine Kommune in Nordhessen treffen, bedrohen morgen alle anderen öffentlichen Einrichtungen in Hessen, die Kommunen, die Stadtwerke, die Krankenhäuser.

Hier braucht es eine schnelle Eingreiftruppe, die Schadensmeldungen sammelt, auswertet und ad hoc Abwehrmaßnahmen für alle sammelt und zur Verfügung stellt, die unter dem IT-Sicherheitsschirm stehen. Denn die Sicherheitskette, auch im IT-Bereich, ist nur so stark wie ihr schwächstes Glied. Aber hierfür müsste man eben Geld in die Hand nehmen. Man müsste bereit sein, auf die Kommunen zuzugehen; aber das ist eben nicht die Stärke dieser Landesregierung. Lieber agiert die Hessische Landesregierung nach dem Motto „Rette sich, wer kann“, und „In der Not ist sich jeder selbst der Nächste“.

Meine Damen und Herren, da der Gesetzentwurf in die richtige Richtung geht, wir aber noch erhebliche Defizite sehen, insbesondere bei den Kommunen, weil der Schirm einfach noch zu viele Löcher hat, werden wir uns bei diesem Gesetzentwurf enthalten. – Vielen Dank.

(Beifall DIE LINKE)