Sehr verehrte Frau Präsidentin! Sehr verehrte Kolleginnen! Sehr geehrte Kollegen! Erlauben Sie mir, bevor ich auf das IT-Sicherheitsgesetz eingehe, eine kurze Antwort an den Kollegen Korte,

(Jan Korte [DIE LINKE]: Na endlich!)

der ja eben darauf hingewiesen hat, heute wäre ein guter Tag für Deutschland,

(Jan Korte [DIE LINKE]: Ja, genau!)

weil die rot-rot-grüne Landesregierung in Thüringen die V-Leute abgeschaltet habe.

(Beifall bei Abgeordneten der LINKEN – Zuruf von der CDU/CSU: Eine Schande, Herr Korte!)

Heute ist ein schlechter Tag für Thüringen, um es klar zu sagen.

(Beifall bei Abgeordneten der CDU/CSU)

Und ich sage Ihnen auch, warum, und das ohne jeglichen Zynismus und ohne Sarkasmus. Ich hoffe wirklich, dass diese heutige prekäre Entscheidung, die die Landesregierung vorgenommen hat, sich im Nachhinein nicht negativ auf die Sicherheitslage in Thüringen auswirkt

(Jan Korte [DIE LINKE]: Umgekehrt!)

und dass es nicht aufgrund dieser Entscheidung und möglicher Folgeentscheidungen, die jetzt die anderen Bundesländer im Verfassungsverbund vornehmen, zu einer Verschlechterung der Sicherheitslage und einer höheren Gefährdung der Bürgerinnen und Bürger in Thüringen kommt.

(Jan Korte [DIE LINKE]: Das war ja maßgeblich Ihr Verfassungsschutz in Thüringen! Also eine Topbehörde! – Weiterer Zuruf von der LINKEN: Aber die gefährdeten doch die Bürgerinnen und Bürger in Thüringen! – Widerspruch bei der CDU/CSU)

Ich halte die Entscheidung, die heute vorgenommen wird, für hochbedenklich,

(Beifall bei der CDU/CSU)

und es bleibt abzuwarten, wie die anderen Landesverfassungsschutzämter darauf reagieren.

Nun komme ich zum Thema des heutigen Vormittags; das hat durchaus auch etwas mit dem Thema Sicherheit zu tun. Es geht bei dem Schutz kritischer Infrastrukturen und unserer IT-Kommunikation natürlich darum, dass wir einen kooperativen Ansatz wählen, genauso wie im Verfassungsschutzverbund. Man meint vielleicht, wenn wir über Sicherheit unserer Informationstechnik sprechen, auf den ersten Blick, rein technisch betrachtet, dass es nur um den Schutz elektronisch gespeicherter Informationen sowie um deren Systeme geht. Es geht aber, meine sehr verehrten Kolleginnen und Kollegen – das haben auch die Diskussionen über Überwachungs- und Spionagemaßnahmen anderer Staaten oder anderer Unternehmen eindrucksvoll gezeigt –, auch um die Grundwerte unseres Staates. Es geht um wichtige Grundrechte unserer Bürgerinnen und Bürger und auch der Wirtschaft.

Was oft mit den Schlagworten „Schutz der Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ unserer IT- Systeme umschrieben wird, meint im Grunde auch den Schutz der Privatheit und von all dem, was die Menschen dem Netz anvertrauen. Es geht um unsere vertrauliche Kommunikation, um unsere Einkäufe im Netz, um Gesundheitsdaten, um unsere Urlaubserinnerungen und um vieles mehr.

Für Unternehmen geht es um ihre Funktionsfähigkeit und den Schutz ihres Know-hows, ihres geistigen Eigentums. Es geht um die Möglichkeit, neue Geschäftsmodelle entwickeln zu können, ohne einer Ausspähung ausgesetzt zu sein oder Opfer einer kriminellen Machenschaft zu werden.

Für unsere Gesellschaft, meine sehr verehrten Kolleginnen und Kollegen, geht es insgesamt darum, dass IT-Sicherheit mittlerweile das Gerüst ist, ohne das das öffentliche Leben und unsere Wirtschaft und letztendlich wohl auch unser Gemeinwesen insgesamt nur schwerlich existieren könnten.

Wie sehr die Sicherheit unserer IT-Systeme tagtäglich bedroht wird, belegen eindrucksvoll die Zahlen aus dem letzten Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik aus dem Jahr 2014 – der Innenminister hat schon darauf hingewiesen –: Es gibt derzeit weltweit über 250 Millionen verschiedene Varianten von Schadprogrammen, tagtäglich kommen etwa 300 000 neue hinzu. Das BSI geht davon aus, dass allein in Deutschland bereits heute mehr als 1 Million Internetrechner Teil eines Botnetzes sind, das heißt, ohne das Wissen des Besitzers des Internetrechners Teil eines kriminellen Netzwerkes sind,

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja! Seit zehn Jahren regieren Sie!)

und von der Tendenz her nimmt das bedauerlicherweise stark zu.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja!)

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass im Vergleich von 2013 zu 2014 die Zahl der Spam-E-Mails um 80 Prozent zugenommen hat,

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja, während Sie an Staatstrojanern arbeiten!)

dass die Zahl der E-Mails, die Schadsoftware aufweisen, innerhalb nur eines Jahres um 36 Prozent zugenommen hat. Wir alle kennen Stuxnet, aber auch viele weitere spektakuläre IT-Sicherheitsvorfälle aus den letzten Jahren, die diese Gefährdungssituation weltweit, aber auch in Deutschland, belegen. Das BSI hat im Frühjahr letzten Jahres zwei Sicherheitsvorfälle offenkundig gemacht, bei denen insgesamt etwa 34 Millionen digitale Identitäten, E-Mail-Konten oder Passwörter, gestohlen wurden.

Dennoch glaube ich – und das ist das Bemerkenswerte –, dass immer noch viele Firmen, aber auch private Nutzer den Ernst der Lage häufig deutlich unterschätzen. So müssen wir immer noch feststellen, dass in der Praxis häufig nur geringe Schutzmaßnahmen getroffen werden. Einfache, aber notwendige Schutzmaßnahmen unterbleiben, sei es aus Kostengründen, sei es schlicht aus Bequemlichkeit oder auch aus Ahnungslosigkeit. Aus diesem Grunde können wir auf staatliche Mindestvorgaben in bestimmten Bereichen letztlich nicht verzichten.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Das alles zeigt, meine sehr verehrten Kolleginnen und Kollegen, die große Bedeutung, die die IT-Sicherheit mittlerweile für uns und unser gesamtes Leben hat, aber auch den großen Handlungsbedarf, vor dem wir stehen.

Mit dem nun vorliegenden Entwurf eines IT-Sicherheitsgesetzes bringen wir eines der ersten größeren Vorhaben der Digitalen Agenda in dieser Legislaturperiode auf den Weg. Mit diesem IT-Sicherheitsgesetz wird die Cybersicherheitsstrategie der Bundesregierung aus dem Jahr 2011 konsequent fortgesetzt und erweitert.

Herr Kollege von Notz, ich möchte Ihnen klar erwidern,

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Bitte!)

weil Sie insinuiert haben, dass das Bundesinnenministerium eine unklare Haltung zur Verschlüsselungstechnik habe:

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja! – Jan Korte [DIE LINKE]: Ja!)

Der Bundesinnenminister und auch die CDU/CSU-Bundestagsfraktion haben eine eindeutige und klare Haltung zur Verschlüsselungstechnik.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Sagen Sie es noch einmal!)

Wir machen uns, mit Verlaub, auch nicht zu Hehlern von Sicherheitslücken.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Natürlich! Der BND will die ankaufen!)

Das ist eine infame Unterstellung, die Sie hier vorgenommen haben, die so einfach nicht zutrifft. Dem möchte ich in aller Deutlichkeit entgegnen.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Eine Sicherheitslücke in der IT ist natürlich umso gravierender für das Allgemeinwohl, je stärker sogenannte kritische Infrastrukturen betroffen sind.

Herr Kollege Mayer, lassen Sie eine Zwischenfrage des Kollegen von Notz zu?

Selbstverständlich. Sehr gerne.

(Tankred Schipanski [CDU/CSU]: Der Stehler ist kein Hehler!)

Ja, der Stehler ist kein Hehler. – Tut mir leid, dass ich Sie jetzt direkt unterbreche, und danke, dass Sie die Frage zugelassen haben. Ich will kurz auf die Vorwürfe antworten.

Sagen Sie, Herr Mayer, für das Innenministerium – vielleicht kann der Minister kurz nicken –, dass der BND von seinen Plänen, in Zukunft Sicherheitslücken anzukaufen, Abstand nimmt? Wenn das nicht der Fall ist, wie würden Sie das denn nennen, wenn jemand illegale Sicherheitslücken ankauft, und zwar nicht, um sie zu schließen, sondern um sie zu nutzen? Also entweder distanzieren Sie sich davon, oder Sie können diesen Vorwurf leider nicht entkräften, Herr Mayer.

(Gerold Reichenbach [SPD]: Konstantin von Notz, das ist Grundkurswissen: Für den BND ist das Kanzleramt zuständig, nicht der Innenminister!)

Sehr geehrter Herr Kollege von Notz, ich distanziere mich von der Behauptung, die Sie vorgenommen haben, weil sie einfach nicht zutrifft. Es stimmt nicht, dass das Bundesinnenministerium Sicherheitslücken ankauft.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Nein, es toleriert!)

Es stimmt auch nicht, dass der Bundesinnenminister hier irgendwelchen Sicherheitslücken oder Backdoors das Wort geredet hat.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Das habe ich nicht gesagt!)

Es gibt eine klare Position des Bundesinnenministers, und diese wird zu 100 Prozent von der CDU/CSU-Bundestagsfraktion geteilt.

(Michael Grosse-Brömer [CDU/CSU]: Von der SPD auch!)

Die Vertraulichkeit und die Integrität der Kommunikation sind für uns außerordentlich wichtige Grundwerte. Gerade die von Ihnen genannte Verschlüsselungstechnik wird derzeit von der Bundesregierung und auch vom BSI finanziell unterstützt und vorangetrieben.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Aber nicht ins Gesetz geschrieben!)

Die Ende-zu-Ende-Verschlüsselung ist für uns ein ganz wichtiges und essenzielles Sicherungsinstrument.

(Beifall bei der CDU/CSU – Zuruf der Abg. Halina Wawzyniak [DIE LINKE])

Dabei bleibt es auch. Die Behauptung wird auch nicht wahrer, wenn Sie sie häufiger wiederholen.

Meine sehr verehrten Damen und Herren, eine Sicherheitslücke in der IT ist natürlich umso gravierender, je stärker die kritischen Infrastrukturen betroffen sind. Wir alle kennen Horrorszenarien und auch entsprechende Science-Fiction-Filme; aber die Gefahr ist real. Die Gefahr, dass es auch in Deutschland zu einer massiven Beeinträchtigung der öffentlichen Ordnung kommt, droht durchaus, beispielsweise wenn sich ein länger andauernder Stromausfall ereignet, wenn die Lebensmittelversorgung ausfällt, wenn die Wasserversorgung ausfällt oder wenn es zeitweise zum Zusammenbruch des Telekommunikationsnetzes kommt.

Das IT-Sicherheitsgesetz, das wir heute in der ersten Lesung debattieren, regelt daher konsequenterweise die Bereiche, in denen wir uns als moderne Gesellschaft Ausfälle der IT weder leisten können noch wollen. Bei unseren kritischen Infrastrukturen muss daher künftig ein Mindeststandard an IT-Sicherheit vorgehalten werden. Die Betreiber der kritischen Infrastrukturen werden gehalten, erhebliche IT-Sicherheitsvorfälle zu melden. Ich empfinde es schon als erheblichen Fortschritt, dass es in Zukunft möglich sein wird, diese Meldungen bis zu einer gewissen Erheblichkeitsschwelle anonym zu machen. Also erst wenn eine erhebliche Beeinträchtigung oder wenn ein Ausfall der kritischen Infrastruktur droht, muss diese Meldung mit Klarnamen vollzogen werden. Bis diese Erheblichkeitsschwelle erreicht wird, ist die Meldung auch anonym möglich. Ich glaube, dass dies ein erheblicher Fortschritt ist, um auszuschließen, dass es zu der von der Wirtschaft befürchteten Prangerwirkung kommt.

Mir ist auch sehr wichtig, dass wir mit diesem IT-Sicherheitsgesetz einen kooperativen Ansatz verfolgen. Die Befürchtungen und die Zweifel, die teilweise in der IT-Wirtschaft vorhanden sind, dass es letzten Endes eine Einbahnstraße ist, dass also nur die Betreiber kritischer Infrastrukturen an die neue zentrale Meldestelle des BSI melden und es keine Rückkopplung gibt, werden dadurch ausgehebelt und ausgeräumt, dass es sehr wohl der Ansatz dieses Gesetzes ist, dass die Betreiber kritischer Infrastrukturen natürlich gleichermaßen durch das BSI informiert werden und möglicherweise im Vorfeld, noch vor dem Eintritt von Schadensereignissen, vor dem Eintritt von Cyberangriffen, entsprechend alarmiert werden und sich so besser vorbereiten und rüsten können.

(Beifall der Abg. Nadine Schön [St. Wendel] [CDU/CSU])

Dieser kooperative Ansatz, der mit diesem Gesetzentwurf verfolgt wird, ist aus meiner Sicht ein erheblicher Fortschritt.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Wir werden parallel zu dem Schutz kritischer Infrastrukturen die Kompetenzen des BSI ausbauen. Die Warnbefugnisse des BSI werden gestärkt. Ferner wird die Möglichkeit geschaffen, dass die Öffentlichkeit genauso wie auch die deutsche Wirtschaft stärker beraten wird.

Meine sehr verehrten Kolleginnen und Kollegen, wir gehen jetzt in das parlamentarische Verfahren. Wir werden am 20. April eine Anhörung zu diesem Thema durchführen. Ich sage hier für die Unionsfraktion ganz klar: Wir sind offen für Hinweise, für Verbesserungsvorschläge von allen Seiten. Ich habe schon den Eindruck – auch nach den ersten Rückmeldungen aus der Wirtschaft –: Der Grundansatz dieses Gesetzes wird vollumfänglich geteilt. Im Detail kann man mit Sicherheit noch über das eine oder andere sprechen.

Ich bin auch der festen Überzeugung, dass es uns mit diesem IT-Sicherheitsgesetz gelingt –

Herr Kollege, Sie müssen zum Schluss kommen.

– ich komme sehr gerne zum Ende –, Schrittmacher innerhalb der Europäischen Union zu sein und die Verhandlungen bezüglich der NIS-Richtlinie auf europäischer Ebene voranzutreiben. Das IT-Sicherheitsgesetz – davon bin ich fest überzeugt – wird für die kommende NIS-Richtlinie Vorbild sein. Insoweit ist das kein rein nationaler Ansatz, –

Herr Kollege, ich muss Sie noch einmal bitten, zum Schluss zu kommen!

– sondern ein Vorbild für die europäische Ebene. Mit einem entsprechend konstruktiven Ansatz, denke ich, sollten wir auch die parlamentarischen Verhandlungen führen.

Herzlichen Dank für die Aufmerksamkeit.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Als nächste Rednerin hat die Kollegin Halina Wawzyniak von der Fraktion Die Linke das Wort.

(Beifall bei der LINKEN)