Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Meine sehr verehrten Damen und Herren! Es gibt ein paar Dinge, ohne die diese Digitalisierung, von der jetzt alle sprechen, nicht funktionieren kann: Sicherheit zum Beispiel. Ohne Sicherheit kein Vertrauen, ohne Vertrauen keine Nutzung, ohne Nutzung keine Angebote.

Aber welche Verantwortung hat eigentlich der Staat, wenn es um die Sicherheit im Netz geht? Schauen wir uns dazu ein Zitat von Günther Oettinger, seines Zeichens Kommissar für Digitale Wirtschaft und Gesellschaft in der Europäischen Union, an.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Oje!)

– Nein, ich meine nicht das aktuellste, Herr von Notz, in dem er die Verfechter der Netzneutralität als talibanartig bezeichnet.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Schade eigentlich!)

Das habe ich weder verstanden noch konnte ich talibanartige Züge bei mir oder bei Ihnen feststellen.

(Heiterkeit und Beifall bei der SPD sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)

Ich meine das Zitat, mit dem Günther Oettinger quasi seine Bewerbungsrede vor dem Europäischen Parlament gehalten hat. Nach dem Skandal um Nacktfotos aus gehackten Apple-Benutzerkonten gefragt, antwortete Oettinger:

Hat er das wirklich nicht? Und was ist mit denjenigen, die so blöd sind und über das Internet sogar Informationen verschicken oder einkaufen? Sind sie Opfer oder Täter? Haben sie eine Schuld, oder haben sie eine Mitschuld? Wer ist eigentlich zuständig für Sicherheit im Netz? Und wie gehen wir damit um, wenn es dabei nicht um Fotos, sondern um Infrastrukturen wie Verkehr, Gesundheit, Wasser oder Energie geht, also solche kritischen Infrastrukturen, die maßgeblich für das Funktionieren unseres Gemeinwesens, die öffentliche Sicherheit und Ordnung sind? Das IT-Sicherheitsgesetz, über das wir heute diskutieren, gibt Antworten und formuliert eine staatliche Verantwortung, von der ich zutiefst überzeugt bin, liebe Kolleginnen und Kollegen.

(Beifall bei der SPD sowie des Abg. Stephan Mayer [Altötting] [CDU/CSU])

Aber brauchen wir denn überhaupt ein IT-Sicherheitsgesetz? Ich sage eindeutig Ja. Denn die Gefahr, Opfer eines Cyberangriffs zu werden, ist in den letzten Jahren erheblich gestiegen. Cybercrime ist heute die fünftteuerste Verbrechensart der Welt. Angriffe sind von nahezu jedem Ort der Welt zu jeder Zeit und auf die unterschiedlichsten Ziele möglich. Gleichzeitig sind immer mehr technische Systeme mit dem Internet verbunden und auch untereinander vernetzt.

Es ist eine Sache, ob sich Rihanna und Co. mit plötzlich auftauchenden Nacktfotos im Netz rumschlagen müssen. Eine andere Sache ist es, ob es einen gezielten Angriff auf eine kritische Infrastruktur gibt; denn dieser kann eine Bedrohung für unsere ganze Gesellschaft sein. Hier hat der Staat eine klare Verantwortung. Die Frage, die wir uns heute stellen, ist: Kann er dieser Verantwortung mit dem IT-Sicherheitsgesetz gerecht werden? Um die Antwort gleich vorwegzunehmen: Ja, das IT-Sicherheitsgesetz findet Antworten auf die wesentlichen Herausforderungen, denen wir politisch begegnen müssen. Herrn von Notz sage ich: Das ist kein deutscher Sonderweg, wie Sie das nennen, sondern das ist ein gutes Beispiel, mit dem wir international vorangehen und auch international Standards setzen werden,

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU – Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Double Standards!)

nicht für alle und nicht immer so umfassend, wie ich mir das gewünscht hätte – dazu sage ich gleich noch etwas –; aber es bildet sehr wohl eine Grundlage, auf der man aufbauen kann und die in einer funktionierenden Sicherheitsarchitektur eine zuverlässige Basis bilden wird.

Aber schauen wir uns einmal die Inhalte an: Worum geht es in diesem Gesetz eigentlich, und welche Ziele können damit tatsächlich erreicht werden? Ich möchte vor allem auf zwei Punkte eingehen, die in der öffentlichen Diskussion besonders im Fokus standen.

Zum ersten Mal gibt es für Betreiber kritischer Infrastrukturen eine gesetzliche Verpflichtung, einen Mindeststandard an IT-Sicherheit zu schaffen und einzuhalten. Das ist den einen zu wenig, weil die Branchenverbände selbst Vorschläge für Sicherheitsstandards machen können; den anderen ist der bürokratische Aufwand zu hoch, insbesondere was die Meldepflicht an das BSI angeht. Was sie damit verkennen, ist die Tatsache, das IT-Sicherheit zwar teuer ist, aber ein Mangel an Sicherheit um so vieles teurer ist, dass sich heute niemand mehr der Illusion hingeben darf, man könne darauf wirklich ernsthaft verzichten, liebe Kolleginnen und Kollegen. Ich bin davon überzeugt, dass wir mit der Möglichkeit zur grundsätzlich anonymen Meldung einen guten Kompromiss für alle Akteure gefunden haben, der die Arbeit des BSI in wesentlichen Punkten erleichtern wird und gleichzeitig die Widerstandsfähigkeit der Netze im Bereich kritischer Infrastrukturen erhöht.

Liebe Kolleginnen und Kollegen, lassen Sie mich zweitens auch noch ein paar Punkte zum Thema BSI sagen. Ich finde es richtig und wichtig, dass das BSI im Rahmen des IT-Sicherheitsgesetzes gestärkt wird. Die Zuständigkeit des BSI geht inzwischen weit über die Abwehr von Gefahren für die IT des Bundes hinaus: Es dient zunehmend auch Unternehmen, Verwaltungen und der Politik als Ansprechpartner in Fragen von Cybersicherheit. Herr Korte, es für diese Aufgabe mit zusätzlichen Stellen zu stärken, ist die richtige Entscheidung. Dazu gibt es keine Alternative.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU – Jan Korte [DIE LINKE]: Wir können mal darüber diskutieren! – Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Doch, die Unabhängigkeit des BSI!)

– Das haben auch Sie in diesem Kontext erwähnt. Ich habe bei Ihrer Rede sehr genau zugehört; davon können Sie ausgehen.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Es gibt immer Alternativen!)

Was aber nicht geht – das sage ich in aller Deutlichkeit auch im Hinblick auf die Berichterstattung der vergangenen Tage –, ist eine Doppelfunktion des BSI, die zwei Dinge in sich vereint, die quasi genauso unvereinbar sind wie die rechtliche Gleichstellung von Mann und Frau und die faktische Entgeltungleichheit im 21. Jahrhundert von immer noch 22 Prozent.

Das BSI hat eine klare Rolle in der Cybersicherheitsarchitektur des Bundes und eine eindeutige Zuständigkeit für die defensive Sicherheit in unserem Land. Eine Doppelfunktion, mit der auf der einen Seite die Bürger und die Unternehmen geschützt werden sollen, auf der anderen Seite aber aktiv dazu beigetragen würde, Sicherheitslücken erst zu ermöglichen, würde nicht nur der Glaubwürdigkeit des BSI, sondern auch der Politik insgesamt schaden. Deshalb wollen wir IT-Sicherheit für und nicht gegen die Menschen in unserem Land schaffen. Um diesen Konflikt grundsätzlich zu vermeiden, setzt sich die SPD auch weiterhin für eine größere Unabhängigkeit des BSI ein.

(Beifall bei der SPD)

Meine sehr verehrten Damen und Herren, tatsächlich gibt es weitere Punkte, auf die wir uns im Koalitionsvertrag geeinigt haben, die aber in diesem Entwurf des IT- Sicherheitsgesetzes noch nicht auftauchen, obwohl ich sagen würde: Sie passen da eigentlich ziemlich gut hinein.

Ich denke zum Beispiel an die Aussage, dass Deutschland Verschlüsselungsstandort Nummer eins werden soll. In meinen Ohren klingt das jedes Mal richtig gut. Fakt ist aber: Verschlüsselung geschieht nur selten von selbst. So etwas wie eine marktgetriebene Verschlüsselung ist zwar zu finden, sie kommt aber ungefähr genauso häufig vor wie eine Niederlage von Arminia Bielefeld im DFB-Pokal, nämlich quasi nie.

(Beifall bei der SPD – Burkhard Lischka [SPD]: Das ist schon mal gut!)

Warum sollte man also nicht eine Verpflichtung zur Transportverschlüsselung für Telekommunikationsunternehmen aufnehmen?

(Burkhard Lischka [SPD]: Sehr richtig!)

Dass IT-Hersteller und -Diensteanbieter für Datenschutz- und Sicherheitsmängel ihrer Produkte haften sollen, steht ebenfalls im Koalitionsvertrag, und auch diese Regelung hätte ihren Platz in diesem Gesetzentwurf, weil damit ein deutlicher Gewinn an IT-Sicherheit erreicht werden könnte.

Meine sehr verehrten Damen und Herren, IT-Sicherheit ist die unverzichtbare Bedingung für die Digitalisierung. Ich glaube, das ist heute mehr als deutlich geworden. Ohne Sicherheit im Netz, ohne ein Maximum dessen, was wir tun können, um unsere Systeme zu schützen, ist all das, was uns in Zukunft ausmachen wird, hinfällig.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Dann legen Sie einen besseren Gesetzentwurf vor!)

Industrie 4.0 ist ohne IT-Sicherheit null und nichtig, und die Cloud-Technologie wäre ohne Cybersicherheit komplett sinnlos. Weitere Beispiele sind E-Government, Smart Meter, autonomes Fahren, intelligentes Wohnen und digitales Arbeiten. Selbst das Spielen wird in Zukunft zur sicherheitstechnologischen Herausforderung werden, wenn die just angekündigte WLAN-Barbie in deutschen Kinderzimmern ihr Unwesen treibt; denn ab Herbst soll es ein Modell geben, das Gespräche der Kleinsten in unseren Kinderzimmern aufzeichnen wird. Es ist nicht auszudenken, was passiert, wenn die erste Barbie gehackt wird.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Stoppt die WLAN-Barbie!)

– Genau, darin sind wir uns einig.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja!)

Liebe Kolleginnen und Kollegen, man kann so viele Beispiele aufzählen, die zeigen: Vieles von dem, was heute bereits Realität ist und in Zukunft noch viel stärker auf uns zukommt, wird schlichtweg nicht möglich sein, wenn wir nicht ein Maximum an Cybersicherheit gewährleisten. Deshalb ist es gut, dass wir mit dem Entwurf des IT-Sicherheitsgesetzes einen Anfang gemacht haben, der für entscheidende Bereiche des öffentlichen Lebens die Schaffung und Einhaltung von Mindeststandards vorschreibt.

Klar ist aber: Das kann tatsächlich nur ein Anfang sein. Denn die Gefährdungslage wird eher zu- als abnehmen, und nicht nur die technischen, sondern auch die politischen Herausforderungen werden mit der weiteren digitalen Durchdringung aller Lebenswelten zunehmend größer. Lasst uns deshalb nicht auf dem ausruhen, was wir erreicht haben, sondern die Digitalisierung politisch so gestalten, dass sie zu dem wird, was sie verdient hat: zu einem positiven Zukunftsversprechen.

Danke schön.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Vielen Dank. – Als nächster Redner hat der Kollege Dieter Janecek von Bündnis 90/Die Grünen das Wort.