Frau Präsidentin! Verehrte Kolleginnen und Kollegen! Industrie 4.0, Internet der Dinge, Cloud Computing und Smart Meter sind nur einige wenige Begriffe, die zeigen, wie sehr sich auch unsere Wirtschaft verändert und dass immer mehr vom Austausch von Informationen und Daten abhängt. Darüber sollten wir uns klar sein, Herr Kollege von Notz. Denn Sie erwecken immer wieder den Eindruck, man könnte mit staatlicher Regulierung alles lösen.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Klar!)

Das wird nicht gehen.

Die Entwicklungen, mit denen wir es zu tun haben, sind meiner Ansicht nach von drei Punkten bestimmt: von Innovationen – auf sie haben wir nicht immer direkt Einfluss –, von Geschäftsmodellen – dabei geht es um die Frage, womit man Geld verdienen kann; das ist einer der größten Treiber –, und vom Verhalten der Kunden, egal ob es Unternehmen sind, die immer mehr auf Technik setzen müssen, oder ob es der Privatnutzer ist, der sich dazu entschließt, künftig alles online und mithilfe von Apps und Ähnlichem zu machen.

Das sind die drei entscheidenden Punkte. Sie haben eine so starke Dynamik, dass es keine Regierung und keine Partei geben wird, die sagt: Wir können alle Gefahren sofort erkennen und schaffen vorneweg entsprechende Regelungen. – Das ist schlicht und einfach nicht möglich. Der Gesetzgeber muss diese Entwicklungen im Blick behalten und dann – er wird aber immer einen Schritt hinterher sein – richtig reagieren und eine gesetzliche Regelung schaffen. Das tun wir heute.

Wir reden heute über ein sehr spezielles Segment. Es geht um kritische Infrastrukturen. Ich verstehe nicht, warum kaum ein Debattenbeitrag ohne die üblichen Warnungen vor dem Verfassungsschutz und der Vorratsdatenspeicherung auskommt. Das geht am Thema vorbei.

(Beifall bei Abgeordneten der CDU/CSU und der SPD)

Ich würde gerne mit Ihnen darüber diskutieren, wie wir kritische Infrastrukturen schützen können. Aber dann müssen wir uns von solchen Aussagen lösen und bereit sein, in der Sache zu diskutieren.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Das hängt schon zusammen!)

Dazu war bislang eher wenig zu hören.

Es mag parteipolitisch nett klingen, wenn Sie sagen – darauf haben Sie ein paarmal abgehoben –, wir seien aufgewacht, würden aber immer noch zu wenig machen. Das sind doch die üblichen rhetorischen Floskeln, mit denen man in der politischen Debatte, finde ich, eher für Langeweile als für einen konstruktiven Dialog sorgt.

(Beifall bei der CDU/CSU und der SPD – Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Seit zehn Jahren sind Sie in der Verantwortung!)

– Ja, wir regieren seit zehn Jahren.

(Jan Korte [DIE LINKE]: Das ist das Problem!)

Das ist gut für dieses Land, wie ich finde.

(Beifall bei der CDU/CSU – Gerold Reichenbach [SPD]: Mit der SPD haben Sie das auch gemacht!)

– Es ist natürlich ganz toll, wenn die SPD mit dabei ist. Das habe ich vergessen. Aber es stimmt schon.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Das nächste Mal Grün wählen! Dann wird es besser!)

Übrigens hat die Netzpartei Die Grünen in dieser Zeit keinen Gesetzentwurf vorgelegt. Auch in den Ländern haben Sie sich nicht mit Maßnahmen zur IT-Sicherheit hervorgetan. Wir haben in dieser Zeit das BSI gestärkt. Wir haben eine Anti-Botnet-Initiative und die Allianz für Cyber-Sicherheit auf den Weg gebracht. Was das Thema De-Mail angeht, ist zu sagen, dass eine Komplettverschlüsselung vorgesehen ist.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Gratuliere! Hättet ihr das mal früher gemacht!)

Sie mögen alles als zu langsam und zu wenig kritisieren. Aber wir haben mehr gemacht als Sie alle, Grüne und Linke in der Opposition, in den ganzen Jahren zusammen. Sie haben das Thema auch nicht entdeckt, und Sie haben bislang auch keine konstruktiven Vorschläge vorgelegt.

(Beifall bei der CDU/CSU und der SPD – Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Wir machen Ihnen konkrete Vorschläge, Herr Binninger! Sehr konkrete Vorschläge!)

Trotzdem – deswegen habe ich meine Ausführungen so eingeleitet – kann man beim Thema IT-Sicherheit nie den Punkt definieren, an dem man feststellen kann: Nun haben wir alles gemacht; es bleibt nichts mehr zu tun. – Das wird nicht möglich sein, weil die starke Dynamik bleibt und von uns verlangt, dass wir immer wieder etwas tun müssen.

Zu den Herausforderungen bei den kritischen Infrastrukturen haben Sie kaum ein Wort verloren, obwohl die Linken und die Grünen sonst immer sagen, der Staat tue zu wenig bei der Spionageabwehr. Aber wenn die Behörde, die für Spionageabwehr zuständig ist, der Verfassungsschutz, mehr Stellen bekommt, dann ist das auch wieder nicht recht. Das ist unglaubwürdig und überzeugt in keinem einzigen Punkt. So widersprüchlich kann nur die Linke argumentieren.

(Beifall bei der CDU/CSU – Widerspruch der Abg. Halina Wawzyniak [DIE LINKE])

Vor welchen Herausforderungen stehen wir eigentlich? Herr Kollege von Notz, Sie haben vorhin ein sehr dramatisches Bild gewählt: In Deutschland brennt die Hütte, was die IT-Sicherheit angeht. – Das könnten Sie sicherlich weiter ausdehnen, aber ich würde es nicht so dramatisch formulieren.

(Michael Grosse-Brömer [CDU/CSU]: Bei seiner Rede gab es die Sonnenfinsternis!)

– Jetzt wird es gleich dunkel, aber erst nach meiner Rede.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Weil die SPD kommt, oder was?)

Ich gebe Ihnen in einem Punkt recht, Herr Kollege von Notz. Ich gebe Ihnen recht, dass wir überhaupt nicht wissen, wo kritische Infrastrukturen heute angegriffen werden, weil die Betreiber, privatwirtschaftliche Unternehmen, kein Interesse daran haben, das öffentlich zu machen, aus Angst vor Rufschädigung oder was auch immer.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Durch Ihr Gesetz auch nicht!)

Wir haben überhaupt kein Lagebild, aus dem hervorgeht, woher Angriffe kommen, wie sie aussehen und welche Sektoren – Energieversorgung, Finanzwirtschaft, Gesundheitsversorgung oder Logistik – hauptsächlich angegriffen werden. Wir wissen schlicht und einfach zu wenig. Es ist unsere Herausforderung, das zu ändern und zu lösen. Deshalb machen wir dieses Gesetz.

Das Gesetz beinhaltet eine Reihe von Komponenten. Wir stärken die Rolle des BSI. Man kann sicherlich darüber diskutieren, wie groß die Unabhängigkeit des BSI sein sollte. Aber dass wir eine Stelle brauchen, die die Kompetenzen bündelt und der Wirtschaft als Ansprechpartner zur Verfügung steht, kann niemand bestreiten. Wie gesagt, wir stärken das BSI, wenn es um Produktuntersuchungen, die Warnfunktion und die Rolle als Ansprechpartner für die Wirtschaft geht. Das ist ein guter und wichtiger Schritt für die Cybersicherheit in diesem Land.

(Beifall bei der CDU/CSU und der SPD)

Des Weiteren geht es um eine Regelung der Meldepflicht. Unternehmen und Verbände wie BITKOM hatten am Anfang Sorge: Was wird da von uns verlangt? Können wir uns den damit verbundenen bürokratischen Aufwand überhaupt leisten? Ist es geschäftsschädigend, wenn ein großes Unternehmen aus der Finanzwirtschaft melden muss, dass sein Rechenzentrum gehackt wurde? – Mittlerweile bekommen wir überwiegend positive Rückmeldungen. Die Unternehmen sagen: So wie es gesetzlich geregelt ist, ist es gut. Bis zu einem bestimmten Grad wird die Anonymität gewahrt.

Kleine Unternehmen können eine gemeinsame Meldestelle bei ihrem Verband einrichten, die sich dann an das BSI wendet. Wir garantieren die Anonymität. Alle Unternehmen aus dieser Branche profitieren davon, weil sie gewarnt werden: Bank XY oder Logistiker XY wurde mit diesem oder jenem Modus Operandi oder diesem oder jenem Trojaner angegriffen. Achtung! Wappnet euch, und setzt entsprechende Maßnahmen um! – Dieser Schritt geht mehr als nur in die richtige Richtung. Er schafft die Grundlage dafür, dass wir unsere kritischen Infrastrukturen für die Bevölkerung und die Versorgung sicherer machen. Hier gehen wir einen wichtigen Schritt nach vorne.

Nun zum Punkt, den Sie ein paarmal kritisiert haben. Sie haben gesagt, im Gesetz sei zu wenig geregelt und es enthalte zu viele unbestimmte Rechtsbegriffe. Auch darüber haben wir uns Gedanken gemacht. Aber ich garantiere Ihnen: Wer sich mit diesem Thema seriös auseinandersetzt, wird erkennen, dass sich in einem statischen Gesetz nie alle denkbaren Begrifflichkeiten für alle Zeiten regeln lassen: Was ist ein Cyberzwischenfall? Wann ist er meldepflichtig? Welche Unternehmen und welche Branchen sind einzubeziehen? Es handelt sich vielmehr um einen dynamischen Prozess, wie Sie selber gesagt haben, Herr Kollege von Notz. Deshalb wählen wir den Verordnungsweg, um es Exekutive, Parlament und Wirtschaft zu ermöglichen, diese Fragen gemeinsam zu beantworten.

Wer gehört zu den Betreibern kritischer Infrastrukturen? Dazu gehört sicherlich nicht jedes Stadtwerk. Vielleicht gehören aber Stadtwerke ab einer bestimmten Größe dazu. Wir gehen von etwa maximal 2 000 Betreibern kritischer Infrastrukturen aus, die am Ende unter die Meldepflicht fallen können. Auf jeden Fall werden wir auch in Zukunft immer wieder überprüfen müssen, ob wir alle Betreiber kritischer Infrastrukturen erfasst haben oder ob es neue Sektoren gibt, die es aufgrund bestimmter Geschäftsmodelle zu berücksichtigen gilt. Diese Dynamik lässt sich nicht im Gesetzgebungsverfahren auflösen. Dazu braucht man den Verordnungsweg.

Herr Kollege, es tut mir leid, aber ich muss Sie in Ihrer Dynamik unterbrechen. Sie müssen zum Schluss kommen.

Ich überziehe selten, aber noch habe ich Licht.

Einen Punkt möchte ich noch ankündigen. Die Regierung und die sie tragenden Fraktionen sind durchaus offen für konstruktive Vorschläge. Wir selber haben einige Ideen, wie wir nachjustieren können. Das gilt insbesondere für die Standards in der Verwaltung. Wir werden in jedem Fall über die Frage der Evaluierung reden müssen. Die Unternehmen bekommen zwei Jahre Zeit für die Umsetzung. Wir müssen dann nach einer bestimmten Zeit erneut prüfen.

Dieses Gesetz schafft auf einem wichtigen Feld eine gute Grundlage, um die IT-Sicherheit in unserem Land zu verbessern. Ich kann Sie nur dazu einladen, daran konstruktiv mitzuwirken.

Herzlichen Dank.

(Beifall bei der CDU/CSU und der SPD)

Als nächster Redner hat der Kollege Lars Klingbeil von der SPD-Fraktion das Wort.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)