Herr Präsident! Werte Kolleginnen und Kollegen! Sehr geehrte Damen und Herren auf der Tribüne und an den Bildschirmen! Ein Ende der Durchdringung unseres Lebens durch Digitalisierung ist nicht absehbar – das ist genannt worden –: automatisierte Fahrzeuge, Gesundheitsdienstleistungen, intelligente Fabriken oder gar intelligente Städte.

Sicherheitslücken und Cyberangriffe können dramatische Folgen haben. Nehmen wir das von Ihnen genannte Beispiel der immer komplexer werdenden Logistikketten. Heute wissen nur noch die Computer, in welchem Regal, auf welchem Schiff oder welchem Lkw sich Waren befinden. Eine Störung oder ein Ausfall von Rechnern und Netzwerken hätte zur Folge, dass niemand mehr darauf zugreifen kann. Die Waren wären zwar noch da, aber keiner weiß mehr, wo. Nicht auszudenken, was das für unsere Versorgung bedeutet, etwa mit Nahrungsmitteln oder Arzneimitteln. Wie wir gerade im Bundestag leidvoll erleben, können sich solche Störungen nicht nur über Stunden, sondern über Tage oder vielleicht sogar über Monate hinziehen. Um solche Situationen geht es beim IT-Sicherheitsgesetz, über dessen Entwurf wir heute in zweiter und dritter Beratung beraten.

Es geht um den Schutz kritischer Infrastrukturen, also die Bereiche, die für die Bevölkerung und für die Aufrechterhaltung unseres Staatswesens elementar sind. Weil die Strukturen im modernen, digitalisierten und vernetzten Zeitalter sehr verwundbar sind, wollen wir mit dem IT-Sicherheitsgesetz verbindliche Mindeststandards setzen. In den in Rede stehenden Bereichen geht es nicht nur um die Frage, ob sich Unternehmen selbst schädigen, wenn sie aus Kostengründen auf Sicherheitsmaßnahmen verzichten, sondern auch darum, ob damit auch eine Schädigung der Allgemeinheit einhergeht.

Aber das betrifft nur eine Säule des Gesetzes. Die Opposition erhebt den Vorwurf, hier handle es sich um ein reines Meldegesetz oder hier gehe es nur, wie Sie, Frau Kollegin Pau, behaupten, um eine Kompetenz- und Stellenerweiterung beim Verfassungsschutz. Zu einem solchen Vorwurf kann man eigentlich nur kommen, wenn man relativ früh beim Lesen des Gesetzentwurfs aufgehört und seinen alten ideologischen Katalog herausgeholt hat.

(Beifall bei der SPD und der CDU/CSU)

Das Gesetz verstärkt die Pflichten der Telekommunikationsanbieter, die eine zentrale Rolle für die Sicherheit im Netz spielen. Wir stärken das Bundesamt für Sicherheit in der Informationstechnik, BSI, in seiner Funktion, die Bürgerinnen und Bürger, Behörden und Unternehmen bei der Herstellung von mehr Sicherheit für sich selbst und im Netz zu beraten und zu unterstützen. Durch mehr Aufklärung der Öffentlichkeit soll ein weiterer Beitrag zur Verbesserung der IT-Sicherheit geleistet werden. Nicht zuletzt werden wir die Zuständigkeiten des Bundeskriminalamtes zur Bekämpfung von Cyberkriminalität erweitern.

Das Parlament hat – auch hier gilt das Struck’sche Gesetz, wonach kein Gesetz den Deutschen Bundestag so verlässt, wie es hineingekommen ist – eine Expertenanhörung durchgeführt. Die Koalitionsfraktionen haben wichtige Anregungen der Experten, die sich alle grundsätzlich über die Bedeutung und Wichtigkeit dieses Gesetzes einig waren, aufgenommen. Auch auf europäischer Ebene – das wurde bereits genannt – beraten wir zurzeit über eine Richtlinie, die im europäischen Rahmen für mehr Sicherheit im Internet und in den informationstechnischen Systemen sorgen soll; das ist die sogenannte NIS-Richtlinie. Deswegen haben wir Vorgaben, die diese Richtlinie absehbar enthalten wird, per Änderungsantrag der Koalition bereits in den Gesetzentwurf aufgenommen. Das betrifft die Möglichkeit der bußgeldbewehrten Sanktionen, wenn Betreiber kritischer Infrastrukturen gegen die im Gesetz festgeschriebenen Pflichten wie etwa die Meldepflicht verstoßen.

Keinerlei Sanktionsbefugnisse vorzusehen, wie von Teilen der Wirtschaft gefordert, stünde nicht nur im Widerspruch zur absehbaren europäischen Richtlinie, sondern würde auch zu Ungleichbehandlungen führen; denn in der Telekommunikation und im Energiebereich gibt es bereits Sanktionsmechanismen. Schließlich wäre es unsinnig, ein Gesetz zu beschließen, das für diejenigen, die es nicht befolgen, keine Folgen hätte. Damit verhielte es sich wie mit einem Parkverbot ohne Bußgeld.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Das alles widerspricht aber keineswegs dem grundsätzlich kooperativen Ansatz des Gesetzes, wie es der Minister genannt hat. Für IT-Sicherheit kann Politik nicht alleine sorgen. Wir sind auch wegen der Komplexität der Materie auf die Mitarbeit der Unternehmen und ihr Know-how angewiesen. Deshalb binden wir die Unternehmen und die Verbände mit ihrem Sachverstand ein. Das BSI wird die vorzugebenden Sicherheitsstandards gemeinsam mit der Wirtschaft erarbeiten.

Während der parlamentarischen Beratungen wurden von vielen Stellen die fehlenden Mitwirkungspflichten von sogenannten Komponentenherstellern, also den Zulieferern von Soft- und Hardware für die Betreiber kritischer Infrastrukturen, kritisiert; denn diese Betreiber sind bei der Erfüllung der ihnen auferlegten Pflicht, mehr Sicherheit herzustellen, unter Umständen auf die Mitarbeit der Zulieferer angewiesen.

Das ist natürlich zuvörderst vertraglich zwischen den Unternehmen und ihren Vertragspartnern zu regeln; aber bei Monopolsituationen oder auch im Streitfall kann es bei der Durchsetzung dieser Mitwirkung durchaus zu Schwierigkeiten kommen. Gerade bei kritischen Infrastrukturen, wie der Stromversorgung, der Nahrungsmittelversorgung und, und, und, können wir nicht warten, bis die Streitigkeiten auf zivilrechtlichem Wege geklärt sind. Deswegen besteht in diesen Fällen – dies ist einer der Änderungsvorschläge, den die Koalition in den Gesetzentwurf eingebracht hat – eine Anordnungsbefugnis des BSI gegenüber den Herstellern, die in einem sogenannten kritischen Fall bei der Beseitigung einer Störung mitwirken müssen.

Außerdem haben wir als Ergebnis der Anhörung die Untersuchungsbefugnisse des BSI und die Zweckbindung klarer gefasst. Wir haben explizit klargestellt, dass sie nur für die Erfüllung folgender Aufgaben des BSI genutzt werden dürfen: zur Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes, zur Beratung und Warnung, zur Erfüllung der Aufgaben des BSI als zentrale Meldestelle für die Sicherheit in der Informationstechnik bei kritischen Infrastrukturen nach §§ 8 a und 8 b des BSI-Gesetzes – für nichts mehr. Die Opposition mutmaßt, es bestehe dennoch die Gefahr, dass diese Daten auch für andere Interessen verwendet werden könnten. Dem ist ein klarer gesetzlicher Riegel vorgeschoben.

Wenn wir allerdings in einer allgemeinen Verschwörungstheorie davon ausgehen, dass diese Gesetze ohnehin nicht eingehalten werden, wie übrigens auch andere Gesetze, dann brauchen wir als Gesetzgeber kein Gesetz mehr zu machen.

(Beifall bei Abgeordneten der SPD und der CDU/CSU)

Ich sage in diesem Zusammenhang noch etwas anderes. Wenn sich ein Mitarbeiter des BSI, etwa wenn er jetzt im Bundestag tätig ist, nicht an das Gesetz hält und es missbraucht, dann landet er vor dem Kadi und zuvor vielleicht vor einem Untersuchungsausschuss. Wenn das ein Mitarbeiter eines ausländischen Geheimdienstes macht, bekommt er höchstens den Vaterländischen Verdienstorden. Auch diesen Unterschied sollten Sie in dieser Debatte berücksichtigen.

(Beifall bei Abgeordneten der SPD und der CDU/CSU)

Die Vorfälle, mit denen wir selbst ja auch zu kämpfen haben, machen deutlich, wie wichtig es ist, dass die Standards, die wir der Wirtschaft vorgeben und die wir von der Wirtschaft verlangen – auch das haben wir aufgrund unseres Änderungsantrages in den Gesetzentwurf aufgenommen –, auch für die Behörden des Bundes – für alle Behörden des Bundes – gelten. Dazu gehört übrigens auch der nichtparlamentarische Teil der Bundestagsverwaltung. Das BSI muss die Informationen bekommen, die es braucht, um entsprechende Sicherheitsstandards vorzugeben.

Last, but not least – ich glaube, auch das muss man in einer Beratung zugestehen –: Auch die Veränderungen im Gesetz sind Ergebnisse von Kompromissen in einer Koalition. Man kann nicht alles durchsetzen. Aber ich bin der festen Überzeugung: Es sind gute Kompromisse. Natürlich hätten wir an der einen oder anderen Stelle auch noch andere Veränderungen vorgenommen. Meine Fraktion und ich sind der Auffassung, dass angesichts der Aufgaben, die dem BSI, also dem Bundesamt für Sicherheit in der Informationstechnik, zuwachsen, eine stärkere Unabhängigkeit und Selbstständigkeit geboten gewesen wären.

Aber ich gebe zu, dass all dies innerhalb dieses Gesetzgebungsverfahrens zu regeln, die Komplexität überstiegen hätte. Das ist übrigens auch das Problem des Entschließungsantrags der Grünen. Deswegen haben Sie wohlweislich keine Gesetzesänderungsvorschläge gemacht.

(Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Bei all den schlechten Gesetzen, die Sie vorlegen, kommen wir gar nicht mehr nach!)

In vielen Bereichen ist Ihr Entschließungsantrag nach dem Motto gestrickt: Wir schreiben jetzt in das IT-Sicherheitsgesetz hinein, was wir alles im digitalen Bereich, von Datenschutz bis sonst wo, gerne mal gehabt hätten. Ich halte das erstens für wenig praktikabel und zweitens für wenig redlich.

(Britta Haßelmann [BÜNDNIS 90/DIE GRÜNEN]: Gucken Sie sich mal die Digitale Agenda an!)

Weil wir es aber gerade bei kritischen Infrastrukturen, aber auch in der gesamten IT-Branche mit rasanten Entwicklungen und Neuerungen zu tun haben – dessen sind wir uns bewusst –, haben wir als Koalition vorgeschlagen und in den Gesetzentwurf einfließen lassen, dass das Gesetz nach vier Jahren wissenschaftlich evaluiert wird.

(Clemens Binninger [CDU/CSU]: Genau!)

Ich glaube, das ist eine sehr vernünftige Position.

(Beifall bei Abgeordneten der SPD)

Es trägt übrigens auch dem Umstand Rechnung, dass wir mit diesem Gesetz das Thema „IT-Sicherheit, Vertrauen in IT“ und die Fragen, die der Minister angesprochen hat, nicht abschließend werden regeln können; vielmehr ist dies ein erster Schritt. Wir werden uns mit weiteren Themen in diesem Bereich beschäftigen müssen. Ich nenne nur ein Beispiel, Herr Minister: die von Ihnen genannten Versicherungslösungen, die ich sehr sympathisch finde. Aber das funktioniert natürlich nur dann, wenn wir auch gegenüber der Wirtschaft, ähnlich wie beim Beispiel mit dem Fahrrad, klare Haftungsregelungen haben. Wer sein Fahrrad nicht abschließt, wird haftbar gemacht, wenn er Schäden gegenüber Dritten verursacht.

(Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Was?)

Das heißt, auch in diesem Bereich brauchen wir klare Haftungsregelungen. Die Debatte geht weiter.

(Kathrin Vogler [DIE LINKE]: Das steht in den Allgemeinen Geschäftsbedingungen! Vertragsrecht! Ganz einfach!)

Ich bin der festen Überzeugung, dass wir hier mit diesem IT-Sicherheitsgesetz und mit den von der Koalition vorgelegten Änderungen einen richtigen und wichtigen Schritt getan haben. Frau Pau, mit Ihrem Beispiel haben Sie übrigens leider nur deutlich gemacht, dass die Linke immer noch ein bisschen in der Vergangenheit ist.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Herr Kollege, Sie achten bitte auf die Uhr.

Ich komme zum Schluss, Herr Präsident. – Denn in der digitalen Welt ist die Null nicht gleich null wie in der analogen Welt, sondern von der Information gleichwertig gegenüber der Eins.

(Beifall des Abg. Philipp Mißfelder [CDU/ CSU] – Dr. Petra Sitte [DIE LINKE]: Das ist ja das Problem!)

Auch in diesem Sinne bitte ich Sie, dem Gesetz zuzustimmen.

Ich bedanke mich für Ihre Aufmerksamkeit.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Das Wort erhält nun der Kollege Dieter Janecek für die Fraktion Bündnis 90/Die Grünen.