Herr Präsident! Meine Damen und Herren! Selten war ja eine Debatte im Deutschen Bundestag so tagesaktuell wie diese. Lassen Sie mich auf ein Zitat, das ich gestern gelesen habe, zu sprechen kommen. Da wurde geschrieben, das Bundesamt für Sicherheit in der Informationstechnik sei zu dem Ergebnis gekommen, dass das Netz des Bundestages nicht mehr gegen den Angriff verteidigt werden könne und aufgegeben werden müsse.

(Volker Kauder [CDU/CSU]: Was? Der Bundestag muss aufgegeben werden?)

Das hat mich eine Sekunde lang fasziniert.

(Clemens Binninger [CDU/CSU]: Oh, nur eine Sekunde?)

– Ja, eine Sekunde lang hat mich das fasziniert, Herr Binninger, weil mir gleich das Bild einer Schlacht durch den Kopf ging.

(Volker Kauder [CDU/CSU]: Oh ja! Die NATO kommt!)

Wir haben eine Schlacht verloren, meine Damen und Herren – so kann man das sehen –,

(Clemens Binninger [CDU/CSU]: Ja, stimmt!)

eine Schlacht gegen eine Cyberattacke, einen Cyberangriff.

Aber sehen wir uns einmal an, wie wir darauf reagieren. Fakt ist doch: Wir wissen nicht einmal, gegen wen wir die Schlacht verloren haben, oder?

(Volker Kauder [CDU/CSU]: Das weiß man oft nicht!)

– Na ja, Preußen wusste schon, gegen wen es die Schlacht bei Jena und Auerstedt verloren hatte.

(Clemens Binninger [CDU/CSU]: Kommt darauf an, wen Sie fragen! – Weiterer Zuruf von der CDU/CSU: Und warum?)

– Genau; nicht, warum. – Wir aber wissen nicht, gegen wen wir sie verloren haben; das ist für die Analyse aber nicht unwichtig. Wir wissen auch nicht genau, warum wir sie verloren haben.

(Michael Grosse-Brömer [CDU/CSU]: Deswegen muss man alle Kompetenzen nutzen! Auch den Verfassungsschutz!)

Wir haben aber eine Ahnung, liebe Kolleginnen und Kollegen, dass der Bundestag mit seiner Software und seinen Kontrollmöglichkeiten hier nicht wirklich ordentlich aufgestellt war. Jetzt höre ich in dieser Debatte, in der es um tatsächliche Cyberangriffe geht, die also nicht etwa in höheren Sphären stattfindet, plötzlich etwas von Ressortprinzip und Meldepflicht. Das ist meine zweite Verwunderung: Ich finde, das passt nicht zusammen und ist dem Problem nicht angemessen, meine Damen und Herren.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Ja, wir brauchen eine gesetzliche Regelung, und es ist gut, dass wir eine Anhörung hatten. Aber ich muss Ihnen sagen: So wie dieser Gesetzentwurf gemacht wurde – selbst mit den Änderungen, die noch vorgenommen wurden –, ist er nicht angemessen. Er geht schon von einem alten IT-Verständnis aus. Es geht, ganz bürokratisch, um Meldepflichten und Sanktionen. Als ob es uns hilft, wenn jemand zum Beispiel 10 000 Euro zahlen muss, weil er seiner Meldepflicht nicht nachgekommen ist! Ich finde, der Gesetzentwurf ist handwerklich schlecht gemacht. Es kommt zu einer Fokussierung auf die Meldepflicht. Aber es fehlt eine Aktivierung der Wirtschaft und der eigenen Interessen der Unternehmen, für Sicherheit zu sorgen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie der Abg. Dr. Petra Sitte [DIE LINKE])

Ich finde, dieses alte IT-Verständnis ist ein bisschen mittelalterlich – es erinnert an die Frühphase der Erfindung des Computers –, und aus den NSA-Vorkommnissen und den Snowden-Berichten wurde nichts gelernt, meine Damen und Herren. Wir sind zum Teil nicht einmal in der Lage, die Selektoren, die uns die NSA schickt, zu verstehen. Wir wissen ja gar nicht, was diese Nullen und Einsen materiell eigentlich bedeuten, um nachvollziehen zu können, ob wir selber ausgespäht werden. Nein, das reicht nicht.

Die Frage muss doch lauten: Wie muss unsere Infrastruktur aussehen, und wo bzw. wie können wir uns konkret schützen? Herr Mayer hat in seinem Beitrag vorhin von einem kooperativen Ansatz geredet. Ich sage Ihnen: Ja, okay, Herr Mayer; ein kooperativer Ansatz ist gut. Aber wenn Sie nicht auf der richtigen Ebene agieren, sondern auf der Ebene von Meldepflichten und Ähnlichem, nützt Ihnen die Kooperation an dieser Stelle auch nichts.

Wir müssen uns wirklich mit der Prozesshaftigkeit des Themas auseinandersetzen. Die Gewährleistung von Sicherheit ist nämlich kein Produkt, das von einem Bundesamt oder einer Bundessicherheitsbehörde zertifiziert wird und an das dann ein Haken gemacht wird. Es reicht auch nicht, den neuesten Stand der Technik zu berücksichtigen, vielleicht sogar noch unter finanziellen Gesichtspunkten. Nein, Sicherheit kann hier nur gewährleistet werden, wenn man jemanden zwingt, Standards einzuhalten, regelmäßige Risikoanalysen durchzuführen, Gefahrenlagen zu konkretisieren, Szenarien zu entwickeln, und zwar stündlich und täglich neu. Da passt Ihr bürokratisches System gar nicht hinein.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Neulich habe ich auf einer Reise in die USA sehen können, wie dort Sicherheit hergestellt wird. Dort lässt man sich nicht von Sanktionen beeindrucken. Dort werden Teams aufgestellt. Es gibt ein red Team und ein blue Team, also ein rotes Team und ein blaues Team. Die Roten müssen ständig angreifen, und die Blauen müssen verteidigen, müssen diesen Angriff überhaupt erst einmal ausfindig machen.

(Clemens Binninger [CDU/CSU]: Das machen dann die Grünen!)

Das hört sich vielleicht kurios an, aber dadurch wird Kreativität freigesetzt. Ihr technokratischer Gesetzentwurf hingegen enthält null Angebote, um das Spiel der Hacker mit uns zu simulieren.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Sie reden immer vom Schutz der kritischen Infrastruktur. Es ist ja richtig, dass dieser Schutz wichtig ist, aber Sie erwähnen an keiner Stelle den Schutz des Grundrechts auf Vertraulichkeit und Integrität der informationstechnischen Systeme. Dazu hat das Bundesverfassungsgericht schon 2008 eine Entscheidung gefällt. Es hat festgestellt, dass der Staat Bürgerinnen und Bürger und Unternehmen schützen muss.

Angesichts der Aktualität dieses Themas muss ich Ihnen sagen, was mich besonders verwirrt: Uns liegt heute ein Gesetzentwurf zur IT-Sicherheit vor, der angesichts der rasanten Entwicklung im Bereich der Informationstechnologie regelrecht mittelalterlich erscheint. Aber gleich, in der anschließenden Debatte zur Vorratsdatenspeicherung, wird gesagt werden, in welchen Bereichen wir Massen an Daten speichern werden, obwohl wir an dieser Stelle noch gar nichts gelöst haben. Legen Sie diese beiden Gesetzentwürfe in ihrer ganzen Unzulänglichkeit einmal übereinander. Jetzt wollen Sie eine Meldepflicht normieren, und gleich werden Sie sagen, dass die Telekommunikationskontaktdaten aller Bürgerinnen und Bürger zentral, wenn auch offline, gespeichert werden sollen. Es gibt aber einen Zugang, und die Daten werden zum Teil auch abgefragt werden. Ihr Gesetzentwurf bietet an dieser Stelle überhaupt keine Sicherheit.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN und bei der LINKEN)

Mein Vorschlag lautet: Legen Sie gleich beide Gesetzentwürfe weg. Organisieren Sie Sicherheit als Prozess. Sorgen Sie für einen ständigen Anreiz für die Wirtschaft und die Betreiber der kritischen Infrastruktur, dranzubleiben. Setzen Sie Standards, und fangen Sie an, auch die sonstigen Rechtsbereiche anders zu regeln.

Sicherheit stellen Sie übrigens nur her, wenn Sie Open-Source-Produkte nutzen.

Frau Kollegin.

Letzter Gedanke. – Bei Open-Source-Produkten kann man Sicherheitslücken nicht verstecken, sondern jeder kann schauen, ob Sicherheitslücken bestehen und Abhilfe schaffen.

(Beifall der Abg. Kathrin Vogler [DIE LINKE])

Sorgen Sie dafür, dass der Staat Sicherheitslücken nicht geheim hält oder sogar anhäuft. Fangen Sie endlich an. Sorgen Sie endlich für Sicherheit, nicht nur mittels moderner Technik, sondern auch durch kreative Analyseformen und das Durchspielen von Gefahrensituationen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Clemens Binninger ist der nächste Redner für die CDU/CSU-Fraktion.

(Beifall bei der CDU/CSU)