Sehr geehrte Frau Präsidentin! Verehrte Kolleginnen und Kollegen! Meine sehr geehrten Damen und Herren! Die Vernetzung, insbesondere die Vernetzung der Wirtschaft, ist das zentrale Thema der heute zu Ende gehenden CeBIT in Hannover; Nadine Schön hat bereits darauf hingewiesen. In der vernetzten Wirtschaft kommuniziert – was sich viele nicht vorstellen können, aber heute schon sehr real ist – alles mit allem. Das in diesem Zusammenhang in jüngster Zeit am häufigsten genannte Schlagwort lautet Industrie 4.0.

Neben dem industriellen Bereich ist eine weitere praktische Anwendung in dieser vernetzten Welt, die besonders im Fokus der Öffentlichkeit steht, das vernetzte, auch autonom genannte Fahren. Kaum eine Vision beflügelt die Fantasie der Menschen so wie die Vorstellung selbstfahrender Autos – im Positiven, aber auch im Negativen. Diese Ambivalenz dem selbstfahrenden Auto gegenüber lässt sich auf die Digitalisierung insgesamt übertragen.

In der Erfassung und Analyse riesiger Datenmengen liegen enorme Potenziale für die Wissenschaft, für die Wirtschaft, für die Verbrauer, für die Gesellschaft insgesamt. Bei aller Euphorie dürfen wir aber nicht vergessen: Zunehmende Vernetzung macht Systeme insgesamt auch anfälliger. Wenn auf immer mehr Systeme über das Internet zugegriffen werden kann, bedeutet dies auch immer mehr potenzielle Einfallstore. Deshalb ist Vernetzung ohne Cybersicherheit nicht denkbar. Vernetzung und Sicherheit sind zwei Seiten derselben Medaille.

Die Informationsgesellschaft ist verwundbar – wie sehr, darauf haben meine Vorredner heute bereits mehrfach hingewiesen. Auch ich möchte noch einmal die Zahl nennen, dass etwa 40 Prozent der deutschen Firmen in den vergangenen zwei Jahren das Ziel von Computerkriminalität waren. Die Schadenssumme beläuft sich auf geschätzte 54 Milliarden Euro. Diese Zahlen zeigen, dass die Bedrohung nicht abstrakt, sondern real ist. Anzahl und Qualität der Angriffe auf IT-Systeme nehmen zu.

Dennoch klingen diese Zahlen immer sehr weit entfernt. Um es ein Stück konkreter und fassbarer zu machen, möchte ich ein praktisches Beispiel heranziehen, das Mitte vergangenen Jahres durch die Medien ging und zeigt, wie ein solcher Angriff aussehen kann und mit welchen Folgen zu rechnen ist.

Ein Krimineller auf der Flucht ist möglicherweise auf freie Straßen angewiesen. Wie er das erreichen kann, haben Wissenschaftler in Michigan demonstriert. Mit der Erlaubnis der örtlichen Straßenverkehrsbehörde haben IT-Spezialisten fast 100 drahtlos miteinander vernetzte Ampeln übernommen und konnten in der Folge die Rotphasen der jeweiligen Ampeln nach Belieben steuern. Wie konnte das passieren? Die Angreifer haben sich simpler, aber gleichzeitig signifikanter Sicherheitslücken bedient.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja! Im Siemens-Steuerungssystem!)

Die Drahtlosverbindung war unverschlüsselt, und die Zugangsdaten waren noch auf die Standardeinstellung programmiert. Dabei war es den Forschern möglich, lediglich mit einem Laptop und einem Funksender auf das gesamte System zuzugreifen.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Aber genau die müssen das nicht melden! Das ist nämlich eine öffentliche Behörde!)

Als Ergebnis des Feldversuchs hielten die Forscher ein systemimmanentes Fehlen von Sicherheitsbewusstsein fest. Es fehlen also nicht die notwendigen IT-Systeme, sondern es fehlt am Sicherheitsbewusstsein.

Genau hier setzt das IT-Sicherheitsgesetz an.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Eben nicht!)

Der zentrale Punkt, auf den Politik reagieren muss und auf den wir mit dem heutigen Gesetzesvorschlag reagieren, ist, Bewusstsein zu schaffen. Ein Leben ohne digitale Vernetzung können und wollen wir uns in der heutigen Gesellschaft nicht mehr vorstellen. Wir leben in einer vernetzten Welt. Wir erleben diese Vernetzung tagtäglich: in der Kommunikation untereinander, im Büro, beim Onlineeinkauf, bei der Kommunikation mit Behörden, Unternehmen und Banken. Experten gehen davon aus, dass im Jahr 2020 weltweit 50 Milliarden Geräte miteinander vernetzt sein werden, von der Industrieanlage bis zur Uhr, von der PV-Anlage auf dem Dach bis zur Heizung im Keller. Daraus ergeben sich enorme Chancen.

Wir müssen aber auch ein Bewusstsein für die Gefahren schaffen, die durch Vernetzung entstehen. Dies gilt umso mehr, wenn mit dem Einsatz von IT Risiken für andere geschaffen werden. Das gilt also zuallererst für den Bereich der kritischen Infrastrukturen, sprich: für jene Zweige, die für das Funktionieren von Staat, Wirtschaft und Gesellschaft essenziell sind: Energie, Wasser, Transport, Verkehr und Gesundheit. Angriffe auf kritische Infrastrukturen stellen eine besondere Bedrohung dar, da ein Ausfall weitreichende Folgen für das Gemeinwohl hätte. Sie gehören daher verstärkt unter Schutz gestellt.

Der vom Bundesminister vorgelegte Entwurf eines IT-Sicherheitsgesetzes begegnet diesen Herausforderungen, die sich durch die zunehmende Vernetzung stellen. Denn erstens schafft er ein Bewusstsein für die Gefahren und Risiken, die mit der Digitalisierung einhergehen. Es werden jene Bereiche adressiert, deren Infrastrukturen als kritisch anzusehen sind, und diesen Bereichen wird ein gewisses Maß an IT-Sicherheit verbindlich vorgeschrieben.

Zweitens ist im Gesetzentwurf die Zusammenarbeit der staatlichen Institutionen mit der Wirtschaft, mit den betroffenen Branchen angelegt. Dies gilt sowohl für die Festlegung der Einzelsegmente der betroffenen Branchen als auch für die Definition der branchenweiten Standards. Damit werden die Erfahrung und das Wissen aus der Wirtschaft genutzt. Der Staat alleine kann und wird diese Herausforderung nicht in den Griff bekommen. Der Weg führt nur über die Zusammenarbeit von Staat und Wirtschaft. Dieser Denkansatz liegt diesem Gesetzentwurf zugrunde und ist vollkommen richtig.

(Beifall bei der CDU/CSU sowie des Abg. Burkhard Lischka [SPD])

Drittens bleibt der Gesetzentwurf nicht bei der Definition eines bestimmten Status quo stehen, sondern nimmt die Dynamik der Digitalisierung auf. Er etabliert einen fortlaufenden Informationsaustausch zwischen Wirtschaft und Behörden und sorgt damit dafür, dass Erfahrungen und Erkenntnisse weitergegeben werden. Dies ist dringend geboten; denn sobald Verwundbarkeiten von IT-Strukturen bekannt sind, können diese branchenübergreifend genutzt werden. Im weltweiten Netz sind Lücken in kürzester Zeit gescannt. Umso wichtiger ist die Kommunikation und Zusammenarbeit untereinander. Dabei ist es für die Wirtschaft absolut sinnvoll, dass die Meldungen in aller Regel anonym erfolgen können. Ich denke, dass damit ein vernünftiger Ausgleich zwischen privatwirtschaftlichem Interesse und Schutzbedürftigkeit der Allgemeinheit erreicht werden konnte.

Dieser Ausgleich, dieses Augenmaß ist auch im weiteren Verfahren notwendig, wenn definiert wird, welche Unternehmen von dem Gesetz konkret betroffen sind. Es gilt aber auch, den administrativen und organisatorischen Aufwand insgesamt möglichst gering zu halten, indem zum Beispiel das Gesetz mit bereits existierenden Anforderungen bestimmter Branchen synchronisiert wird.

Vernetzung und Sicherheit sind zwei Seiten derselben Medaille. Die Chancen, die sich aus der Digitalisierung gerade für die deutsche Wirtschaft bieten, sind überragend. Die Potenziale werden aber nur dann zu heben sein, wenn bei der Vernetzung auch den Risiken begegnet wird. Bundesminister de Maizière hat einen Gesetzentwurf vorgelegt, der einen wichtigen Beitrag dazu leisten wird. Er schafft Bewusstsein und geht die Herausforderungen in einem kooperativen Ansatz zwischen Staat und Wirtschaft an. Der Entwurf des IT-Sicherheitsgesetzes ist ein erster und ein sehr guter Schritt der Digitalen Agenda der Bundesregierung.

Vielen Dank.