Bundesministerium des Innern, für Bau und Heimat

Rede · 03.06.2014

"Datensicherheit im digitalen Wandel"

Rede von Bundesminister Dr. Thomas de Maizière, MdB, anlässlich der 1. Jahrestagung von DsiN e.V. am 3. Juni 2014 in Berlin

  • Redner

    Dr. Thomas de Maizière, Bundesminister des Innern

Es gilt das gesprochene Wort.

Sehr geehrter Herr Illek,
meine sehr geehrten Damen und Herren!

vielen Dank für die freundliche Begrüßung. Ich bin gerne gekommen, als Unterstützer von "Deutschland sicher im Netz" und als Schirmherr.

Das Internet lebt davon, dass es unzählige Menschen miteinander verbindet und offen zugänglich ist.

Die Digitalisierung ist von ihrem Wesen her und in ihrer Dynamik auf Teilhabe und Teilnahme möglichst aller angelegt.

Da liegen Chance und Risiko. Das Internet und die Digitalisierung bringen viele Chancen für Fortschritt und Entwicklung mit sich – für alle. Damit wir diese ergreifen können, müssen wir uns der Risiken für das Internet und durch das Internet bewusst sein – und ihnen vorbeugen: Im besten Fall auch alle und für alle.

Wenn es um die Zukunft der Informations- und Kommunikationstechnik geht, liegt es in der Natur meines Amtes, besonders über die Fragen von Schutz und Sicherheit zu sprechen. Aber es entspricht nicht meiner Persönlichkeit und nicht meinem Amtsverständnis als Innenminister und Bürgerminister, mich auf die Risiken zu beschränken. Ich will zuerst die Chancen sehen, die mit der Digitalisierung verbunden sind:


•Chancen für die Gesellschaft,
• Chancen für den Staat und
• Chancen für die Wirtschaft - auch und vor allem für den Mittelstand.

Alle nutzen das weltweite Netz, gerne und zumeist aus freien Stücken.

Aber dennoch weckt die Digitalisierung bei vielen Menschen in unserem Land ähnliche Sorgen wie zuvor schon die Globalisierung: Sie fühlen sich einer Entwicklung wie einer Welle hilflos ausgeliefert.

Und viele sagen: Die Politik sollte das alles lösen. Ich sage: Die Politik sollte nicht vorgeben, mehr zu können als in einer vernetzten Welt möglich, erlaubt und auch sinnvoll ist. Wir sollten uns nicht stärker machen als wir sind. Das verstärkt nur Enttäuschungen. Die Nutzung von Freiheit ist zuerst Sache der verantwortlichen Bürger und nicht zuerst Regelungsgegenstand der Politik. Es kommt auf die Eigeninitiative von Gesellschaft und Wirtschaft an. Genau hier setzt der Verein "Deutschland sicher im Netz" an.

Die in diesem Rahmen initiierten und koordinierten Aktivitäten von Bürgern, kleinen und mittelständischen Unternehmen und anderen Multiplikatoren schaffen mehr Bewusstsein für mehr Sicherheit im Netz. Das ist gut und verdient Unterstützung. Mehr noch als bisher schon.

Kurz nach der Gründung von DsiN im Dezember 2006 – anlässlich des ersten IT-Gipfels der Bundesregierung – hat der damalige Bundesminister des Innern die Schirmherrschaft über diesen Verein übernommen. Wie gesagt: Ich stehe gerne in dieser Tradition – und werde sie fortführen.

Das Thema ist wichtig und der Ansatz ist richtig – erst recht mit Blick auf die neuen Herausforderungen im Bereich der IT-Sicherheit, die 2006 so noch nicht vorstellbar waren.

"Deutschland sicher im Netz" ist ein eigener Akteur im Bemühen um mehr IT-Sicherheit in Deutschland und für Deutschland geworden – das soll so bleiben, das soll künftig noch stärker der Fall sein.

Meine Damen und Herren!

In der Wirtschaft sprechen wir von "Internet 4.0" oder auch dem "Internet der Dinge". Produktion und Dienstleistungen unserer Wirtschaft basieren beinahe ausnahmslos auf IT-Strukturen.

Die Digitalisierung ist nicht nur ein Mega-Thema, sondern auch ein Meta-Thema.

Das zeigt sich etwa, wenn es um den Schutz kritischer Infrastrukturen geht: Die IT-Infrastruktur ist nicht nur eine Infrastruktur wie die Leitungen für Strom und Wasser. Nahezu alle kritischen Infrastrukturen werden mittels IT-Systemen gesteuert. Um es anders zu sagen: Unsere IT-Infrastruktur ist einer der kritischsten Punkte unserer kritischen Infrastrukturen.

IT-Lösungen als Schlüssel und als Medium: Das gilt auch für andere Bereiche, die den Einzelnen unmittelbarer betreffen.

Ich denke etwa an das Gesundheitswesen: Mit digitalen Innovationen kann es uns gelingen, die Kosten in Pflege und Gesundheitserhaltung für eine im Durchschnitt immer älter werdende Bevölkerung in Deutschland zu begrenzen und so die Finanzierbarkeit unserer sozialen Systeme zu erhalten.

Das Fraunhofer-Institut für Integrierte Schaltung hat etwa eine Lokalisierungstechnik entwickelt, die eine drahtlose Ortung für medizinische Geräte oder auch Blutkonserven ermöglicht. Damit können die Nutzungsauslastung von Technik und Material optimiert werden. Diese Maßnahmen führen ebenso zu Kostensenkungen wie der Ansatz, die dezentrale Beobachtung von Patienten und die Analyse ihrer Gesundheitsdaten zumindest phasenweise zu digitalisieren.

Sie merken es schon selbst: Dieses Beispiel führt besonders drastisch vor Augen, welche Bedeutung Datenschutz und Datensicherheit zukommt.

Was für Facebook im Kleinen gilt, trifft auf die Digitalisierung im Großen ebenso zu: Ohne Vertrauen geht es nicht. Wenn die Menschen nicht mehr darauf vertrauen, dass ihre Daten sicher sind, werden sie auf Dauer ihre eigene Identität nicht mehr preisgeben – damit ist das Prinzip eines Netzwerks wie Facebook in Frage gestellt. Das Gleiche gilt für viele mögliche IT-Anwendungen: Ohne Personalisierung verlieren sie ihren technologischen Nutzen und damit auch ihren wirtschaftlichen Reiz.

Hier gibt es große Herausforderungen, kurz-, mittel- und langfristig – kurzfristig für die digitale Kommunikation, mittelfristig für den wirtschaftlichen Aufschwung und langfristig für den gesellschaftlichen Zusammenhalt in unserem Land.

Viele Menschen in unserem Land haben mit Blick auf das Internet wenig Vertrauen. Die Folge: Weniger gesellschaftliche Teilnahme, weniger soziale Teilhabe und auch weniger Potential für die Digitalisierung.

Bei vielen anderen Menschen und vielen unsere kleinen und mittelständischen Unternehmen hingegen ist die Situation eine andere: Hier herrscht zuweilen zu viel Vertrauen.

Sie sind sich oftmals der Gefahren gar nicht bewusst, die von ihren manchmal schlecht, manchmal gar nicht gesicherten Systemen ausgehen.

Der langfristige Erfolg digitaler Innovationen und Investitionen hängt also auch ganz entscheidend von der Daten- und IT-Sicherheit ab.

Vertrauen ist die neue und wichtige wirtschaftliche Währung im Internet. Vertrauen ist ein Wettbewerbsfaktor der Digitalisierung.

Wir brauchen gleichzeitig mehr Vertrauen in die Systeme und mehr Bewusstsein für die Anfälligkeit der Systeme – das ist keine leichte Aufgabe.

Neben Aufklärung kommt es darauf an, dass wir in der Lage sind, unsere Systeme zu verteidigen. Denn die Zahl der Angriffe nimmt stetig zu.

Die Angriffe sind vielfältiger Natur und kommen aus unterschiedlichen Richtungen. Und sie werden raffinierter.

Schwachstellen in der digitalen Infrastruktur werden ausgenutzt für Computersabotage, Computerspionage und andere Formen der Computerkriminalität.

Der großflächige Identitätsdiebstahl im April dieses Jahres hat uns nochmals und deutlich die Notwendigkeit vor Augen geführt, die Sicherheit und Vertrauenswürdigkeit der IT-Infrastrukturen spürbar zu verbessern.

Wir müssen im Bereich der IT-Sicherheit handlungsfähig sein, das heißt vor allem schneller und effektiver werden – auf der operativen und auf der politischen Ebene.

Vor diesem Hintergrund habe ich im Bundesministerium des Innern zwei neue Unterabteilungen geschaffen, in denen Ressourcen aus der IT-Abteilung und aus der Abteilung Öffentliche Sicherheit gebündelt werden.

Meine Damen und Herren!

Die Verantwortung für mehr Sicherheit liegt aber nicht nur beim Staat. Um dem steigenden Schutzbedarf von digitalen Infrastrukturen gerecht zu werden, müssen IT-Hersteller, Provider, Experten, Verantwortliche und nicht zuletzt die IT-Anwender selbst effektiv zusammenwirken.

Aber die Politik kann und muss mehr als bisher tun, um der Digitalisierung in ihrer Trag- und Spannweite gerecht zu werden.

Deshalb hat die neue Bundesregierung die „Digitale Agenda“ auf den Weg gebracht. Das ist keine Agenda, der die Digitalisierung folgen soll, sondern das ist unsere Agenda, unser Hausaufgabenheft, unser Plan für das, was Politik kann und was ihre Rolle ist. Nicht mehr, aber auch nicht weniger.

Deutschland sicher im Netz: Das kann auch in der Organisation einer Regierung nur eine Querschnittsaufgabe sein. Alle Ressorts der Bundesregierung haben ihren Teil zur Digitalen Agenda beizutragen. Entscheidend ist, dass wir unsere Maßnahmen eng abstimmen.

Meine Damen und Herren!

Es gibt keine absolute Sicherheit - wenn nicht in der analogen Welt, dann auch nicht digital. Es geht um Sicherheit, die möglichst groß und möglichst umfassend sein soll. Damit wir diesem Ziel jedoch so nah wie möglich kommen, müssen die unterschiedlichen Akteure – Politik und Wirtschaft, Staat und Bürger – auf unterschiedlichen Ebenen vorgehen:

Es geht um:

1. Sicherheit durch Recht,
2. Sicherheit durch Technik
3. und Sicherheit durch Umsicht.

Zum ersten Punkt: Mit Blick auf Sicherheit durch Recht haben wir mittlerweile verstanden, dass es sich bei Freiheit und Sicherheit nicht um ein Gegensatzpaar handelt. Das Gegenteil ist richtig: Sicherheit und Freiheit sind zwei Seiten einer Medaille.

Wir sind auf internationale Datentransfers angewiesen, um zu kommunizieren und Handel zu treiben.

Das führt neben vielen Themen wie dem elektronischen Rechtsverkehr, der Identifizierung im Internet durch sichere Verfahren auch und insbesondere zum Thema Datenschutz.

Vor dem Hintergrund der weltweiten Vernetzung und der Enthüllungen über den Missbrauch personenbezogener Daten hat sich die Wahrnehmung des Datenschutzes grundlegend gewandelt: Wir sprechen heute beim Datenschutz von einem harten wirtschaftlichen Standortfaktor.

Und das Bewusstsein der Bürger für den Wert ihrer Daten steigt.

Wir haben einen gemeinsamen Binnenmarkt in Europa und wir wissen, was wir daran haben. Es steht daher für mich außer Frage, dass wir auch einen gemeinsamen digitalen Binnenmarkt brauchen. Das verlangt auch einen einheitlichen Datenschutz in Europa.

Wir brauchen eine Modernisierung des Datenschutzes und wir brauchen diese Modernisierung auf EU-Ebene.

Das moderne Datenschutzrecht muss drei Maßstäben genügen:

• Es muss internettauglich sein.
• Es muss handhabbar und verständlich sein.
• Und es darf im Prinzip keinen Rückschritt im Vergleich zum Status Quo bedeuten.

Diese drei Ziele in Europa miteinander zu vereinbaren, ist angesichts des Verhandlungsstands in Brüssel nicht leicht.

Ich kann hier nicht weiter ins Detail gehen. Nur so viel: Wir sind noch nicht am Ziel. Unsere Politik bei den Beratungen in Brüssel hat zum Ziel, dass wir ein zukunftsgerichtetes und zukunftsfestes Datenschutzrecht bekommen.

So weit zum Thema Recht. Aber Recht ist nicht alles.

Zum zweiten Punkt: Um gutes Handwerk geht es auch bei Sicherheit durch Technik, in Verbindung mit Recht. Die Bedrohungslage im Cyberraum ist real, angespannt und vielfältig.

Deshalb brauchen wir ein Bündel von Maßnahmen zum besseren Schutz unserer IT. Zentrale Vorhaben sollen in einem ersten IT-Sicherheitsgesetz geregelt werden.

Wir müssen alles tun, um die Vertrauenswürdigkeit unserer IT-Infrastruktur hochzuhalten und einer der sichersten digitalen Standorte weltweit zu bleiben.

Wir wollen einen ersten Entwurf des Gesetzes im Sommer so weit haben, dass wir in angemessener Weise öffentlich darüber diskutieren können.

Wir brauchen

• Mindeststandards für die Zertifizierung und Zulassung von kritischer IT,
• eine klare Verantwortlichkeit der Betreiber von kritischen Infrastrukturen für die Sicherheit ihrer Systeme (einschließlich Telekommunikations- und Telemediendienste-Anbieter) und
• klare Vorgaben zu anonymen oder offenen Meldepflichten für erhebliche IT-Sicherheitsvorfälle im Bereich kritische Infrastrukturen an die zuständigen Behörden.

Hier kommt es auf eine enge Zusammenarbeit zwischen dem Staat und der Wirtschaft an, die im Bereich der IT-Sicherheit bereits gute Tradition ist.

Hier setzt auch DsiN an – mit Erfolg. Viele Handlungsvorschläge und Initiativen stoßen in der Wirtschaft auf positive Resonanz. Herr Illek hat einige genannt, ich will noch das Anti-Bot-Netz-Beratungszentrum des Branchenverbandes eco erwähnen, das auch unser BSI unterstützt.

Die Reichweite der Digitalisierung ist auch eine Frage des Vertrauens in die Unternehmen, die IT-Systeme herstellen und betreiben.

Viele IT-Verantwortliche stellen derzeit die Frage, ob bestimmte IT-Produkte aus dem außereuropäischen Ausland oder auch global angebotene Internetdienste vertrauenswürdig sind. Auch wir als öffentliche Hand achten bei der Auftragsvergabe darauf.

Es gilt, was ich eingangs gesagt habe: Die Digitalisierung lebt von der globalen Vernetzung und einer global stattfindenden Innovation. Selbst wenn wir die Möglichkeit dazu hätten - und wir haben sie ja gar nicht, wie Sie wissen - sollten wir uns davor hüten, in einen Protektionismus zu verfallen, der nur auf deutsche oder europäische IT-Systeme und -Dienste setzt.

Wir sollten vielmehr auf vertrauenswürdige Systeme und Dienste setzen, auf Informationstechnik, deren Sicherheit wir beurteilen können, und die wir auf internationale Dienste aufsetzen können.

Wenn ausländische Hersteller und Dienstleister ihre Angebote auf das besondere Bedürfnis der Deutschen und Europäer nach sicheren Diensten und Produkten einstellen, ist das schon gut. Und es wird die Folge sein. Zumindest haben mir während meiner USA-Reise viele IT-Unternehmen signalisiert, dass sie bereit wären, solche Produkte anzubieten. Es ist in ihrem Interesse.

Aber natürlich ist die Beurteilung deutscher und europäischer Produkte leichter und belastbarer als diejenige von Produkten, die anderswo entwickelt und produziert worden sind.

Im Rahmen der Digitalen Agenda wollen wir auch die Entwicklung vertrauenswürdiger und leistungsfähiger IT - Produkte und Dienste - in und aus Deutschland und in und aus Europa fördern. Das ist eine kluge Verbindung von Standortpolitik und Patriotismus.

Ich komme zum letzten meiner drei Punkte, Sicherheit durch Umsicht.

Selbst wenn das Recht perfekt wäre und die Technik perfektioniert wäre und selbst wenn Recht und Technik zusammen passen, muss immer noch Umsicht dazu kommen.

Dieser Punkt richtet sich in erster Linie an die privaten Nutzer. Er richtet sich jedoch auch an die Wirtschaft, und zwar sowohl als Nutzer wie auch als Produzent.

Jeder noch so gute Datenschutz und jede noch so gute IT-Technik hilft nicht, wenn es bei Vorsicht und Weitsicht mangelt.

Es ist wie beim Hauseinbruch: Man kann sein Haus maximal abschirmen mit Technik und abriegeln. Wer aber dann den Schlüssel in der Tür lässt, handelt zu sorglos.

Im Bereich der Kommunikation erlebt der persönliche Kontakt vielleicht ein Comeback. Als junger Mann wurde ich von meinen Eltern angehalten, mich am Telefon kurz zu fassen - jede Einheit koste schließlich ihren Preis - auch beim Ortsgespräch. Heute ist Telefonie unvorstellbar günstig. Der Preis kann dennoch ziemlich hoch sein. Die Währung hat sich nur geändert: Nicht Geld, sondern Daten.

Das gilt auch für Unternehmen: Keine Videokonferenz der Welt wird je so sicher sein wie das persönliche Gespräch im abhörsicheren Raum oder an der frischen Luft. Manchen Managern würde das gar nicht schaden…

Wer die Empfehlungen von DsiN aufmerksam mit verfolgt, stellt fest, dass es viele weitere Maßnahmen gibt, deren Kosten überschaubar sind, deren Nutzen aber im Ernstfall für das jeweilige Unternehmen unbezahlbar sein kann:

• Die Einrichtung eines IT-Sicherheitsmanagements im Unternehmen,
• Schulungen mindestens für führende Mitarbeiter,
• die Durchführung regelmäßiger Audits der IT-Sicherheitsmaßnahmen durch unternehmensinterne oder – externe Auditoren.

Erziehung zur Datensparsamkeit, Bewusstsein für den verantwortlichen Umgang mit den digitalen Daten – seien es die persönlichen oder die des Unternehmens – sind das eine.

Das andere ist das Bewusstsein für die Bequemlichkeit der Spezies Mensch. Sicherheitstechnik muss alltagstauglich sein - sonst findet sie keine Anwendung.

Für mehr Sicherheit im Netz müssen wir Gewohnheiten überwinden und eine neue Selbstverständlichkeit schaffen.

Das zeigt sich besonders deutlich beim Thema sichere Kommunikation im Netz: Mit der De-Mail und der elektronischen Identitätsfunktion (eID) des neuen Personalausweises (nPA) verfügen wir über zwei gute nationale Sicherheitsinfrastrukturen.

De-Mails sind im Gegensatz zu E-Mail bei ihrer Übermittlung über das Internet - also dort, wo Angriffe im Regelfall erfolgen - immer verschlüsselt. Auch der neue Personalausweis ist ein sehr sicheres Medium und steht jedem Bürger zur Verfügung. Seine Anwendung kann noch vielfältiger sein.

Vor allem aber könnte die Nutzung der beiden Dienste deutlich selbstverständlicher sein als es derzeit der Fall ist.

Hier kommt DsiN eine zentrale Rolle zu. Es nicht nur Werbekampagnen, sondern auch Projekte wie die „Digitale Nachbarschaftshilfe“, die in der Fläche wirklich eine Veränderung der Verhaltensweisen bewirken.

Meine Damen und Herren!

Trotz all unserer Bemühungen: Der Zielkonflikt zwischen Schutz und Bequemlichkeit wird wohl nie ganz aufzulösen sein. Das war schon bei der Debatte über die Einführung des Sicherheitsgurts im Auto so.

Und wir kennen es aus der Geschichte:

• Der Indianer ist leicht bewaffnet und nur wenig geschützt - aber er ist schnell und wendig.
• Der Ritter hingegen verfügt über eine starke Rüstung und schwere Bewaffnung - ist jedoch schwerfällig und langsam.

Die Kunst besteht darin, beides so gut wie möglich zu verbinden. Perfekt geht es nicht. Es geht um möglichst weitgehende Optimierung.

Dazu leistet DsiN seit über sieben Jahren einen wichtigen Beitrag. DsiN hat in dieser Zeit als Schnittstelle zwischen Staat, Wirtschaft und Bürgern mit einer Vielzahl von Aktivitäten bereits viel zu einem bewussteren Umgang mit einer immer komplexer werdenden IT-Technologie beigetragen. Das soll weiterhin so sein!

In diesem Sinne wünsche ich weiterhin viel Erfolg und Unterstützung und freue mich auf hoffentlich viele praxistaugliche Ergebnisse dieser Tagung. Vielen Dank.

Vielen Dank.