Herr Präsident! Liebe Kolleginnen und Kollegen! IT-Sicherheit, Cyberwar, Cybercrime, Cyberdefence: An markigen Schlagworten mangelt es nicht, wenn es darum geht, die Herausforderungen der Digitalisierung zu beschreiben. Manche sprechen von gestohlenen Identitäten. Ich halte das für Unsinn. Die Identität wird nicht geklaut. Es geht um den Zugriff auf Passworte und auf Geld, aber nicht um gestohlene Identitäten. Wir sollten mit unserer Sprache aufpassen.

Gehackte Datenbanken, sabotierte Infrastrukturen, ausgespähte Unternehmen und ein ausgespähter Deutscher Bundestag: Alle diese Szenarien prägen die öffentliche Debatte. Es reicht aber nicht aus, solche Herausforderungen wortreich zu bestaunen oder Ängste zu schüren. Es gibt auch keinen Königsweg zur IT-Sicherheit. Es gibt keinen Big Bang oder eine einzelne Maßnahme, mit der von heute auf morgen IT-Sicherheit hergestellt ist.

Es ist wie auch sonst in der Politik: Man muss die Herausforderungen analysieren und dann Schritt für Schritt die Lösungen angehen. Mit dem Entwurf des IT-Sicherheitsgesetzes, der heute in zweiter und dritter Lesung beraten wird, gehen wir einen wichtigen Schritt in Richtung mehr IT-Sicherheit, und dafür bin ich dankbar.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Meine Damen und Herren, wie sich der Staat im Cyberraum strategisch aufstellt, was der einzelne Bürger tut und was die Wirtschaft tut, das wird uns lange und intensiv beschäftigen, in vielen Jahren, die vor uns liegen. Im Hinblick auf die Dynamik der Entwicklungen der Technik werden wir wohl auch unsere Lösungsansätze, die wir jetzt haben oder die wir gestern hatten, neu hinterfragen müssen. Wir werden uns an schnellere Rhythmen staatlicher Reaktion gewöhnen müssen.

Unter dem Schlagwort „Cybersicherheit“ geht es um Folgendes: Es geht zunächst um IT-Sicherheit im Sinne von Safety, das heißt um die Härtung und den Schutz unserer Systeme und Strukturen.

Daneben geht es um die Verhinderung und Verfolgung von Cyberkriminalität durch Polizei und Staatsanwaltschaften. Ich will hierzu nur noch einmal einen Satz mit Blick auf die Opposition sagen: Ich finde, der demokratische Rechtsstaat hat im Internet nicht mehr, aber auch nicht weniger Rechte als außerhalb des Internets, und das sollte der Maßstab für gesetzgeberisches Handeln sein.

(Beifall bei der CDU/CSU und der SPD)

Wir müssen unsere Unternehmen vor Sabotage und Ausspähung schützen. Der Wirtschaftsstandort Deutschland ist durch die Angriffe Privater, aber auch durch die Angriffe anderer Staaten massiv gefährdet.

Schließlich geht es auch um die Erwartung, dass sich der Staat mit seinen Einrichtungen selbst sicher und wehrhaft aufstellt.

Cybersicherheit dient damit dem Schutz der Bürgerinnen und Bürger, dem Schutz unserer Wirtschaft und unserer Innovationsfähigkeit und dem Schutz der Funktionsfähigkeit des Staates. Sie ist ein zentraler Baustein der inneren Sicherheit.

Dort, wo wir handeln können, sollten wir das planvoll, zügig und entschlossen tun, wie mit dem IT-Sicherheitsgesetz, über das wir heute debattieren. Ich fand die Debatte darüber mit der Öffentlichkeit schon vor der ersten Lesung durch uns im Parlament und auch nach der ersten Lesung bei der Sachverständigenanhörung sowie danach konstruktiv und sachorientiert. Die Ziele und Methoden des Gesetzentwurfs wurden nicht grundsätzlich infrage gestellt. Den einen ging es zu weit, den anderen nicht weit genug, aber im Prinzip stößt der Ansatz auf große Zustimmung.

Wir müssen die kritischen Infrastrukturen schützen. Kritische Infrastrukturen sind solche Infrastrukturen, die, wenn sie ausfallen, dazu führen, dass es für uns kritisch wird – Stichworte: Energie, Wasser, Gesundheitswesen, Banken, Versicherungen.

Die Betreiber kritischer Infrastrukturen werden in Zukunft einen Mindeststandard an sicherer IT einrichten und einhalten müssen und Vorfälle im Bereich der IT-Sicherheit von erheblichem Ausmaß an das Bundesamt für Sicherheit in der Informationstechnik melden müssen. Wir wissen, das ist peinlich. Wir wollen das so regeln, dass nicht alles öffentlich gemeldet wird. Das soll geschehen, damit das Bundesamt für Sicherheit in der Informationstechnik andere Betreiber kritischer Infrastrukturen warnen kann.

Ein Schaden bei einem Betreiber kritischer Infrastruktur kann zu einem Schaden für die Allgemeinheit werden. Das wollen wir verhindern; das sind die innere Ratio und das Ziel dieses Gesetzentwurfs.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Auch die Sicherheit des Internets insgesamt wird durch das IT-Sicherheitsgesetz spürbar erhöht werden. Wir reden alle über die Grenzenlosigkeit des Internets. Da ist auch viel dran. Es gibt aber immer noch ein physisches deutsches Netz und IT-Systeme, die in Deutschland betrieben werden. Bei ihnen setzt unser Entwurf des IT-Sicherheitsgesetzes an.

Der Gesetzentwurf passt in die internationale Diskussion. Wir verhandeln in Europa über eine Richtlinie der Europäischen Union, die europäische NIS-Richtlinie. Sie ist unserem deutschen Gesetzentwurf praktisch nachgebildet. Das ist IT-Sicherheit made in Germany für die Europäische Union. Was wir hier praktisch machen, ist die Vorwegumsetzung einer Richtlinie, die bald kommt. Natürlich haben wir das so verhandelt, dass beides kompatibel ist. Das hat es bisher nur selten gegeben, aber wir haben keine Zeit zu verlieren.

(Beifall bei der CDU/CSU und der SPD)

Meine Damen und Herren, was wir hier schaffen, ist auch wichtig für das, was wir „Internet der Dinge“ nennen, für Industrie 4.0, für automatisiertes Fahren, für Logistikketten und für vieles andere mehr. Ohne IT-Sicherheit wird das nicht funktionieren. Niemand wird sich in ein Auto setzen, das automatisch fährt, wenn dieses Fahren von außen leicht manipuliert werden kann. Niemand wird sich auf eine digitalisierte Logistikkette verlassen, wenn die einzelnen Schritte dieser Logistikkette und die Abläufe, die damit verbunden sind, von außen leicht angegriffen werden können. Ohne IT-Sicherheit wird es eine Digitalisierung der Industrie und unseres Lebens nicht geben können. Deswegen ist das ein zentraler Punkt, damit die Digitalisierung überhaupt ein Erfolg wird.

Dem Deutschen Bundestag liegt heute ein Gesetzentwurf vor, der durch die Koalitionsfraktionen verändert und verbessert wurde, wofür ich dankbar bin. Es wird so sein, dass Hard- und Softwarehersteller in die Abwehr von Cyberangriffen auf kritische Infrastrukturen miteinbezogen werden. Es wird so sein, dass die Rolle des Bundesamts für Sicherheit in der Informationstechnik gestärkt wird, auch gegenüber den Bundesressorts. Es wird Sanktionen und Bußgelder geben. Das war ein umstrittener Punkt. Aber wie auch immer man das sieht: Wir werden durch die europäische Richtlinie sowieso Bußgelder bekommen. Deswegen ist es nicht schädlich, das bereits jetzt einzuführen. Ich bin dankbar für diese Änderungen.

Eines ist mir wichtig: Auch mit diesen Änderungen bleibt es grundsätzlich bei dem, wie wir es nennen, kooperativen Ansatz dieses IT-Sicherheitsgesetzes. Was heißt das? Melden und Warnen, Standards und Sicherungsmaßnahmen – das kann der Staat gerade hier nicht allein. Das IT-Sicherheitsgesetz will ein kooperatives Verhältnis zwischen dem Staat und der Wirtschaft bei der Entwicklung der Standards, bei der Zertifizierung der Standards, bei der Weiterentwicklung der Standards und beim Aufklären von Schadangriffen. Deswegen ist dies auch methodisch ein interessantes, ein modernes und vielleicht für andere Politikbereiche wegweisendes Gesetz.

Ich möchte aus meiner Sicht ein Wort zum Thema „Angriffe auf den Bundestag“ sagen. Viele wissen das nicht: Die Bundesregierung, die Bundesverwaltung betreibt mit den Netzen des Bundes ein physisch getrenntes Netz. Auch dort haben wir vor einiger Zeit die Entscheidung getroffen, dass wir uns von einem bestimmten ausländischen Betreiber lösen wollen. Mit nicht unerheblichen Geldmitteln sorgen wir dafür, dass das Netz künftig nur durch deutsche Hersteller und Betreiber betrieben wird. Wir sind, wie Sie wissen, auch dabei, beim Thema IT-Konsolidierung, also bei dem Zusammenführen der Fachverfahren, dafür zu sorgen, dass wir gemeinsamer als bisher vorgehen. Der Schutzschild, den die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert, und er funktioniert ziemlich gut.

(Clemens Binninger [CDU/CSU]: Ja! Genau!)

Ich würde nicht sagen, dass er absolut sicher ist, aber er funktioniert ziemlich gut. Das BSI hilft uns dabei.

Natürlich respektiere ich er – ich halte das für voll verständlich –, dass der Bundestag einen anderen Weg gegangen ist. Wir als Bundesregierung sind bereit – wir tun es auch –, durch das Bundesamt für Sicherheit in der Informationstechnik zu helfen.

(Clemens Binninger [CDU/CSU]: Wenn man sich helfen lässt!)

Ich bin auch dafür, da einiges dafür spricht, dass es sich um einen Angriff eines ausländischen Nachrichtendienstes handelt, dass auch das gesetzlich dafür zuständige Bundesamt für Verfassungsschutz seine Hilfe anbietet.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

All das sind aber Angebote. Die Entscheidung darüber, wie von diesen Angeboten Gebrauch gemacht wird und wie es mit dem Netz weitergehen soll, trifft allein der Deutsche Bundestag. Ich werde dazu weder intern noch öffentlich irgendwelche Ratschläge geben. Ich wollte nur einmal erläutern, dass die Netze getrennt betrieben werden.

Mit dem Gesetz, das wir heute verabschieden, geht Deutschland einen wichtigen Schritt in Richtung mehr Sicherheit und Verlässlichkeit, aber auch einen wichtigen Schritt in Richtung Modernität und Technologieoffenheit. Aber: Das ist nur ein wichtiger Rechtsrahmen. Ein nächster wird folgen. Es spricht viel dafür, dass wir am kommenden Montag bei dem Treffen der europäischen Innenminister eine abschließende Stellungnahme des Europäischen Rates für die Datenschutz-Grundverordnung bekommen mit der Folge, dass dann der sogenannte Trilog mit dem Parlament beginnt. Ich hoffe, dass das Verfahren bis Ende des Jahres abgeschlossen sein wird und wir dann in der Europäischen Union eine Datenschutz-Grundverordnung haben, die durch mehr Datenschutz auf europäischer Ebene für mehr Sicherheit im Informationszeitalter sorgt.

Dazu muss aber auch noch etwas anderes kommen. Digitale Verwundbarkeit hat auch mit digitaler Sorglosigkeit der Bürgerinnen und Bürger zu tun. Man kann noch so gute Gesetze machen, man kann noch so gute Rahmenbedingungen schaffen, ohne verantwortungsvolles und sicheres Fahren im Netz geht es nicht. Ich nenne Ihnen ein Beispiel, das Sie alle kennen: Wir haben im Kfz-Bereich Sicherheitsvorschriften. Wir verlangen, dass man einen Sicherheitsgurt anlegt. Wir verlangen Airbags, Knautschzonen und all das. Das ist der staatliche Bereich. All das nützt nichts, wenn man unsicher Auto fährt. Dann gefährdet man sich, und das führt zu Unfällen. Deswegen gehört zu all dem, was der Staat macht, was wir tun und tun wollen, ein verantwortliches eigenes Verhalten der Bürgerinnen und Bürger. Da ist noch viel zu tun. Das hat etwas mit Bildung und Aufklärung zu tun, aber – wie gesagt – auch mit dem, woran wir von diesem Pult aus immer gern appellieren, nämlich mit der Eigenverantwortung der Bürger. Ohne diese gibt es auf Dauer keine IT-Sicherheit in unserem Land.

(Beifall bei der CDU/CSU und der SPD – Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Es gibt aber Leute, die sich ordentlich verhalten! Für die müssen wir auch Sicherheit herstellen!)

– Absolut. Denjenigen, die sich ordentlich verhalten, wird es besser gehen als denjenigen, die sich nicht ordentlich verhalten. Das ist im Internet so wie auch sonst in der Welt, und das finde ich auch richtig so.

Wenn ich dies noch als vorletzten Gedanken sagen darf: Ich halte viel davon, dass wir uns Versicherungslösungen nähern. Bei anderen Sachverhalten haben wir auch Versicherungslösungen. Wenn ich ein Fahrrad nicht abschließe, dann sagt die Diebstahlversicherung: Der Schaden wird nicht ersetzt. Wenn ich es abschließe, wird der Schaden ersetzt, wenn das Fahrrad trotzdem geklaut wird. Auf Dauer müssen wir wohl dazu kommen, dass derjenige, der sich sicherer verhält, einen Vorteil hat gegenüber dem, der sich unsicherer verhält. Dafür sind zivilrechtliche Versicherungslösungen oft besser als staatliche Eingriffslösungen. Ich finde, daran müssen wir auch arbeiten.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Am heutigen Tag aber konzentrieren wir uns auf das IT-Sicherheitsgesetz, das unsere kritischen Infrastrukturen schützt. Die Menschen in Deutschland vertrauen darauf, dass sie in einem sicheren Land leben. Sie wissen, dass es keine absolute Sicherheit gibt. Sie verlangen und erwarten, dass wir das uns Mögliche tun, sie zu schützen. Das gilt im normalen Leben genauso wie im Internet. Mit dem IT-Sicherheitsgesetz werden wir einen wichtigen Schritt in diese Richtung machen. Ich hoffe auf eine breite Zustimmung zu diesem Gesetz.

Herzlichen Dank.

(Beifall bei der CDU/CSU und der SPD)

Das Wort erhält nun die Kollegin Petra Pau für die Fraktion Die Linke.

(Beifall bei der LINKEN)