Jimmy Schulz (FDP), Vorsitzender des Ausschusses Digitale Agenda, erklärt zur Antwort der Bundesregierung auf die Kleine Anfrage „Bereitstellung von Erkenntnissen aus dem Hack der Bundesregierung für Wirtschaft und Bevölkerung“ (Fragen auf Drucksache 19/2252):

Obwohl die Bundesregierung eindeutig mitteilt, dass es interne Prozesse und Kommunikationspläne für Cyberzwischenfälle gibt, so sieht dieser Kommunikationsplan nicht vor, die Abgeordneten des Deutschen Bundestages über laufende Zwischenfälle zu informieren.

Es wird klar, dass die Behörden, die neben anderen Cyberzwischenfällen u. a. den Hack des Informationsverbundes Berlin-Bonn (IVBB) koordinierten, die Abgeordneten des Deutschen Bundestages erst nach Beendigung der Maßnahmen informieren wollten. Eine Anpassung des Nutzungsverhaltens oder Kommunikationsverhaltens der Abgeordneten an die aktuelle Cyberlage ist damit nicht möglich und offensichtlich auch nicht gewollt.

Es ist zudem mehr als notwendig, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bevölkerung und Wirtschaft nicht nur über Standardsicherheitsmaßnahmen informiert, sondern auch Erkenntnisse aus aktuellen Cyberlagen weitergibt. Das BSI selbst hält es für ausreichend, nur die: „Bundesbehörden, Landesbehörden, Betreiber Kritischer Infrastrukturen und Mitglieder der Allianz für Cyber-Sicherheit“ über aktuelle Cyberlagen zu informieren. Die Angebote „Bürger CERT“ und „BSI für Bürger“ beinhalten ausschließlich „Standard-Sicherheitsmaßnahmen“, jedoch keine lagebezogenen Informationen zur konkreten Abwehr von Cyberangriffen.

Darüber hinaus ist es meiner Meinung nach fast schon fahrlässig, dass IT-Sicherheitsüberprüfungen, wie z.B. Pentests (Tests auf Schwachstellen des IT Systems) bei unseren Behörden nicht regelmäßig und verpflichtend durchgeführt werden, sondern stattdessen diese grundlegenden Sicherheitsmaßnahme nur ein unverbindliches Angebot ist, welches auch nur nach einer Einzelfallbewertung durchgeführt wird.