Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Das IT-Sicherheitsgesetz ist ein überfälliger, notwendiger Schritt zum Aufbau einer Sicherheitsarchitektur für das digitale Leben in unserem Land. Die Enthüllungen Edward Snowdens und millionenfacher Datendiebstahl haben das Vertrauen der Menschen in die digitale Zukunft tiefgreifend gestört. Kriminelle, Hacker, ausländische Geheimdienste – sie alle verlagern ihre Aktivitäten mit der wachsenden digitalen Durchdringung aller gesellschaftlichen und wirtschaftlichen Lebensbereiche eben in diese digitale Welt.

Heute kann man aus der Ferne von nahezu jedem Ort der Welt zu jedem beliebigen Zeitpunkt einen Angriff starten. Laut Lagebericht zur IT-Sicherheit in Deutschland übersteigt die Gesamtzahl der PC-basierten Schadprogrammvarianten inzwischen die 250-Millionen-Marke, es gibt in Deutschland jeden Monat mindestens 1 Million Infektionen durch Schadprogramme, und die Zahl der Schadprogrammvarianten steigt täglich um 300 000. Diese schier unglaublichen Zahlen zeigen: Mit solchen Angriffen finanziert sich heute schon eine ganze kriminelle Industrie. Diese kriminelle Industrie ist arbeitsteilig organisiert: von der Aufdeckung von Softwareschwachstellen über die Entwicklung von Produkten zur gezielten Ausnutzung dieser Schwachstellen und der Vermarktung dieser Produkte bis hin zur wirtschaftlichen oder anderweitigen Verwertung.

Liebe Kolleginnen und Kollegen, wir haben es nicht mit jungen Hackern zu tun, wie sie in den 90er-Jahren in Hollywood-Blockbustern vom FBI gejagt wurden; diese Zeiten sind vorbei. Es handelt sich heute um professionell organisierte kriminelle Strukturen oder gar um Geheimdienste, die ohnehin mit ganz anderen Ressourcen ausgestattet sind.

Das IT-Sicherheitsgesetz ist ein wichtiger Schritt für die Sicherheit unserer industriellen Produktion. Systeme zur Fertigungs- und Prozessautomatisierung werden im Zeitalter von Industrie 4.0 mit dem Internet vernetzt. Dieser Prozess schreitet voran. Das Risiko, dass unsere industrielle Produktion durch Angriffe aus der digitalen Welt existenzbedrohliche Auswirkungen erleidet, steigt. Die Digitalisierung unserer Industrie darf nicht zur Achillesferse unserer Wirtschaft werden!

(Beifall bei Abgeordneten der SPD)

Das ist die Bedrohungslage, mit der wir es zu tun haben.

Mit dem IT-Sicherheitsgesetz schreiben wir vor, dass Unternehmen, die von großer Bedeutung für unser Gemeinwesen als Ganzes sind, ihre IT-Sicherheit auf dem Stand der Technik halten müssen. Bereits heute wäre für mehr Sicherheit gesorgt, wenn die vorhandene und installierte Sicherheitstechnik adäquat eingesetzt würde. Ein großes Handicap hierbei ist, dass Sicherheitstechnik als nicht anwenderfreundlich empfunden wird. Hier scheint es Verbesserungsmöglichkeiten zu geben. Sicherheitstechnik muss anwenderfreundlich entwickelt werden. Wichtig sind neben der Technik die Menschen, die diese Technik anwenden. Der beste technische Standard hilft überhaupt nicht, wenn er falsch eingesetzt wird. Die Unternehmen trifft die wichtige Aufgabe, ihre Mitarbeiterinnen und Mitarbeiter besonders zu schulen und zu sensibilisieren. Für IT-Sicherheit sorgen gut ausgebildete Menschen und nicht die Technik allein.

(Beifall bei Abgeordneten der SPD)

Auf einen Aspekt möchte ich besonders hinweisen: Nach § 100 Telekommunikationsgesetz dürfen Unternehmen zur Störungserkennung und -beseitigung Daten sammeln. Die Praxis zeichnet sich durch unterschiedliche Speicherdauern aus. Beim Thema Datensammeln stehen Freiheit und Sicherheit in einem besonderen Spannungsverhältnis. Die Balance zwischen Freiheit und Sicherheit ist ein ständiger Abwägungsprozess. Bei der Abwägung, wie viele Daten und für wie lange diese Daten gespeichert werden, müssen die Unternehmen besonders sorgfältig sein. Ich frage mich, wie die unterschiedliche Speicherdauer bei den verschiedenen Telekommunikationsdienstleistern gerechtfertigt werden soll. Die Internetprovider oder Telekommunikationsdienstleister müssen zu einheitlichen Speicherdauern bei sensiblen Daten kommen. In der Kürze liegt die Würze, dieser Grundsatz ist besonders bedeutsam, wenn es um die Speicherung von sensiblen Daten der Bürgerinnen und Bürger geht.

Der Bundesgerichtshof hat in einem Urteil aus dem letzten Jahr erklärt, dass § 100 Telekommunikationsgesetz mit der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs vereinbar ist. Die genaue Lektüre des Urteils zeigt, dass der Bundesgerichtshof wegen der kurzen Speicherdauer keinen Konflikt mit der höchstrichterlichen Rechtsprechung gesehen hat. Deshalb lege ich den Telekommunikationsunternehmen den Grundsatz der Datensparsamkeit besonders ans Herz.

(Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Das passt doch gar nicht zum nächsten Tagesordnungspunkt!)

Nachdenklich hat mich ein Punkt im Gesetzentwurf gemacht, über den ich hier sprechen möchte: Der Kompetenzzuwachs beim Bundesamt für Sicherheit in der Informationstechnik, insbesondere die Einbeziehung der Bundesbehörde in den Anwendungsbereich des Gesetzes, ist – das muss man hier deutlich sagen – heikel. Ich bin mir nicht sicher, ob die Anbindung des Bundesamtes für Sicherheit in der Informationstechnik beim Bundesinnenministerium heute noch gerechtfertigt ist. Immerhin ist das BSI berechtigt, von anderen Bundesbehörden Protokolldaten abzufragen.

(Clemens Binninger [CDU/CSU]: Nur zur Aufgabenerfüllung!)

Verträgt sich dies mit der Staatsorganisation unseres Landes? Wie verträgt sich das mit dem Ressortprinzip? Am Ende kommt es darauf an, lieber Herr Kollege, wie die Anbindung vonseiten des Bundesinnenministeriums tatsächlich, faktisch gelebt wird.

Ich kann mir vorstellen, dass das Bundesamt für Sicherheit in der Informationstechnik perspektivisch zu einer unabhängigen Behörde nach dem Vorbild der Bundesdatenschutzbeauftragten weiterentwickelt wird. Eine solche unabhängige oberste Bundesbehörde hätte die Aufgabe, die IT-Sicherheit bei allen Verfassungsorganen sicherzustellen. Eine solche Behörde würde über die IT-Sicherheit in unserem Land wachen. Eine solche unabhängige oberste Bundesbehörde wäre die Partnerin der Bundesdatenschutzbeauftragten.

Insgesamt liegt uns ein Gesetzentwurf vor, der rund und auch für die Opposition zustimmungsfähig ist. Die Koalitionsfraktionen haben bei der Verbesserung dieses Gesetzes gute Arbeit geleistet. Wir haben die wesentlichen Kritikpunkte aus der öffentlichen Anhörung aufgenommen. Das betrifft den Punkt der Sanktionsregime für den Fall von Verstößen gegen IT-Sicherheitsstandards, und das betrifft die Einbeziehung von Bundesbehörden in den Anwendungsbereich des Gesetzes. Besonders freut mich die obligatorische Evaluation, die aus diesem Haus gefordert wurde und nun Gesetz wird. Dafür ein großer Dank an die Kolleginnen und Kollegen!

IT-Sicherheit, liebe Kolleginnen und Kollegen, ist eine Daueraufgabe. Wir sollten uns nicht scheuen, auch bei der Entwicklung des rechtlichen Rahmens auf der Höhe der Zeit zu sein.

Vielen Dank.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Das Wort erhält nun Renate Künast, Bündnis 90/Die Grünen.