Sehr geehrter Herr Präsident! Sehr verehrte Kolleginnen! Sehr geehrte Kollegen! Ich glaube, man kann mit Fug und Recht behaupten, dass die digitale Infrastruktur, die Systeme der Information und der Telekommunikation mittlerweile das Rückgrat unserer modernen Gesellschaft sind. Unser Arbeits- und Wirtschaftsleben, die ehrenamtliche Tätigkeit, aber auch in vielen Bereichen unser privates Leben wären ohne eine funktionierende IT-Infrastruktur nicht mehr denkbar. Unser Leben wird dadurch in vielerlei Hinsicht einfacher und bequemer.

Wir erleben es ja derzeit selbst als Parlamentarier: In allen Lebensbereichen steigt in zunehmendem Maße auch die Abhängigkeit von einer funktionierenden und sicheren IT-Infrastruktur. Deshalb ist es richtig und wichtig, dass wir dieses IT-Sicherheitsgesetz – dieses Gesetz zum Schutz kritischer Infrastrukturen – so stringent vorangetrieben haben und heute in der zweiten und dritten Lesung abschließend behandeln.

Meine sehr verehrten Kolleginnen und Kollegen, das Bundesamt für Sicherheit in der Informationstechnik geht davon aus, dass bundesweit mehr als 1 Million Internetrechner Teil eines sogenannten Botnetzes sind. Das heißt, die Inhaber eines Rechners wissen nichts davon, dass ihr Rechner mittlerweile von einer hochkriminellen Organisation gekapert wurde und jederzeit für deren perfide Zwecke ferngesteuert werden kann. Man geht mittlerweile davon aus, dass es über 250 Millionen verschiedene Varianten von Schadprogrammen gibt. Angeblich kommen jeden Tag 300 000 neue Varianten hinzu.

Das zeigt, wie groß die Dimensionen sind und wie brisant dieses Thema ist. Das betrifft alle Bereiche, aber vor allem natürlich die Bereiche, die existenziell, zumindest essenziell für unser tagtägliches Leben sind. Das sind die Bereiche der Daseinsvorsorge. Es geht um Energie, Telekommunikation, Ernährung, Transport, Banken und Versicherungen, aber auch um die Wasserversorgung.

Es ist richtig, dass wir mit dem Gesetzentwurf zum Schutz kritischer Infrastrukturen Mindeststandards für die Sicherheit der Betreiber kritischer Infrastrukturen schaffen. Herausragend finde ich an diesem Gesetz den kooperativen Ansatz. Es ist nicht so, dass den Betreibern kritischer Infrastrukturen von oben aufoktroyiert wird, was sie zu tun und zu lassen haben; vielmehr werden die Betreiber kritischer Infrastrukturen in die Erarbeitung der Mindeststandards intensiv mit eingebunden. Sie werden einbezogen von dem Kompetenzzentrum, dem zukünftigen Meldezentrum, dem Bundesamt für Sicherheit in der Informationstechnik.

Mir ist es auch wichtig, darauf hinzuweisen, dass nicht jede Störung mit Klarnamen des Unternehmens genannt werden muss. In der Wirtschaft wurde die Befürchtung geäußert, dass sich eine Prangerwirkung dadurch ergibt, dass, wenn jede Störung genannt werden muss, letzten Endes auch ein großer Schaden, vielleicht eine gewisse Rufschädigung für das Unternehmen entstehen kann. Dem ist nicht so. Es müssen nur die erheblichen Störungen gemeldet werden, die zu einem Ausfall bzw. einer Funktionsbeeinträchtigung führen. Ich glaube, das ist ein sehr vernünftiger, ein sehr weiser Ansatz.

(Beifall bei der CDU/CSU)

Meine sehr verehrten Kolleginnen und Kollegen, wir verpflichten darüber hinaus Telekommunikationsunternehmen, dass sie in Zukunft ihre Kunden informieren, wenn bekannt ist, dass die Infrastruktur eines Kunden schadhaft ist. Das haben bisher schon viele Telekommunikationsunternehmen gemacht, aber mit diesem Gesetz wird es verpflichtend für alle.

Wir erteilen darüber hinaus dem BSI die Erlaubnis, dass es in Zukunft IT-Produkte auch auf Sicherheit überprüfen und diese Überprüfungen entsprechend kommunizieren kann. Auch dies ist ein wichtiger Mehrwert.

Meine sehr verehrten Kolleginnen und Kollegen, wir haben es uns mit diesem Gesetz nicht einfach gemacht. Wir haben eine intensive Sachverständigenanhörung durchgeführt. Wir haben viele Gespräche mit betroffenen Unternehmen, mit Unternehmensverbänden, aber auch mit vielen anderen Vertretern der Community geführt. Wir haben gemeinsam einen Änderungsantrag erarbeitet, der meines Erachtens wesentliche Verbesserungen enthält. Zum einen wird die Rolle des Bundesamtes für Sicherheit in der Informationstechnik deutlich gestärkt. In Zukunft ist es möglich, dass das Bundesamt für Sicherheit in der Informationstechnik nicht nur für den Ressortbereich des BMI zuständig ist, sondern für die gesamte Bundesregierung, also für alle anderen Ressorts, Mindeststandards für die IT-Sicherheit festlegen darf.

(Clemens Binninger [CDU/CSU]: Sehr gut!)

Des Weiteren haben wir eine Mitwirkungspflicht vorgesehen für die Hersteller von IT-Produkten, vor allem von Softwareprodukten. Es ist auch ein wichtiger Mehrwert, dass in Zukunft eine gesetzliche Verpflichtung besteht, dass also die Hersteller der Softwareprodukte vom BSI verpflichtet werden können, zur Vermeidung von Störungen oder zur Behebung von eingetretenen Störungen beizutragen.

Umstritten sind in der Wirtschaft die Sanktionsmöglichkeiten, die wir vorsehen. Es ist mir wichtig, darauf hinzuweisen, dass es bei den Sanktionsvorschriften nicht darum geht, die Wirtschaft zu gängeln; vielmehr geht es darum, dafür zu sorgen – jeder muss Interesse daran haben –, dass dieses Gesetz kein zahnloser Tiger ist. Nur mittels dieser Sanktionsvorschriften wird erreicht, dass Störungen, die zu einem Schaden geführt haben, gemeldet werden. Das entspricht dem kooperativen Ansatz dieses Gesetzes. Es geht nicht nur darum, dass wie in einer Einbahnstraße Störungen gemeldet werden müssen. Die Betreiber kritischer Infrastrukturen erfahren im Gegenzug vom BSI, wie die Bedrohungssituation ist, dass man sich gegen bestimmte mögliche Angriffe zur Wehr setzen muss und dass man mehr tun muss. Es ist also keine Einbahnstraße; vielmehr geht der Ansatz in beide Richtungen. Das kann nur funktionieren, wenn die betroffenen Unternehmen, die einen konkreten Schaden erfahren haben, verpflichtet werden – durchaus auch bußgeldbewehrt verpflichtet werden –, diesen Schaden zu melden. Darüber hinaus entspricht diese Sanktionsvorschrift auch den Regelungen, die schon heute im Energiewirtschaftsgesetz für Energieversorgungsunternehmen oder auch im Telekommunikationsgesetz für Telekommunikationsunternehmen enthalten sind. In der parallel sich auf europäischer Ebene in Verhandlung befindlichen NIS-Richtlinie – das ist auch schon erwähnt worden – werden nach dem aktuellen Stand der Verhandlungen verpflichtende Sanktionsvorschriften mit vorgesehen. Deswegen ist es nur richtig, dass wir jetzt auch schon mit diesem Gesetz Sanktionsvorschriften implementieren.

Meine sehr verehrten Kolleginnen und Kollegen, wir sehen eine Evaluierung des Gesetzes vier Jahre nach Inkrafttreten der Verordnung vor. Ich glaube, dass dies richtig ist; denn wir sehen selbst – man ist ja selbst fassungslos –, wie rasant die Entwicklung ist, wie komplex die Angriffe mittlerweile sind, wie schwer sie teilweise überhaupt zu detektieren sind. Insofern ist es richtig, dass wir dieses Gesetz und die damit in Verbindung stehende Verordnung vier Jahre nach ihrem Inkrafttreten einer intensiven Evaluierung unterziehen.

Wichtig war es auch vielen Vertretern der Unternehmen, aber vor allem auch vielen Kollegen, dass wir, auch was die Verordnungsermächtigung anbelangt, klare Vorgaben machen, nach welchen Kriterien festgelegt werden soll, welches Unternehmen jetzt zur kritischen Infrastruktur gehört und welches nicht, also welches Unternehmen vom Gesetz betroffen sein wird und welches nicht. Deswegen ist es richtig, dass wir in der Verordnung branchenspezifische Schwellenwerte festlegen und dies auch im Gesetz entsprechend deutlich machen.

Meine sehr verehrten Kolleginnen und Kollegen, dieses Gesetz ist aus meiner Sicht ein wichtiger Schritt nach vorne, was die Erhöhung der IT-Sicherheit anbelangt. Es ist ein Etappenerfolg. Es ist mit Sicherheit nicht das Ende unserer Bemühungen und der Gespräche zur Verbesserung der IT-Sicherheit. Aber ich glaube, wir können mit Fug und Recht behaupten: Wir sind als deutscher Gesetzgeber mit diesem Gesetz Schrittmacher auf europäischer Ebene. Eines – das möchte ich zum Abschluss sagen – muss uns auch klar sein: IT-Sicherheit kann nie an den nationalen Grenzen enden, sondern es bedarf immer eines europäischen, vielleicht sogar eines weltweiten Ansatzes. Sehr geehrter Herr Kollege Janecek, wir sind alles andere als ein „Entwicklungsland“. Ich glaube, mit diesem Gesetz sind wir durchaus Schrittmacher, was die jetzt laufenden Verhandlungen auf europäischer Ebene anbelangt. Deswegen bitte ich herzlich um Zustimmung zu diesem zukunftsweisenden Gesetz.

Herzlichen Dank.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Nächste Rednerin für die Fraktion Die Linke ist die Kollegin Petra Sitte.

(Beifall bei der LINKEN)