Herr Präsident! Verehrte Kolleginnen und Kollegen! Der Innenminister hat vorhin einen interessanten Satz gesagt, den man etwas mit Fakten untermauern muss; denn dann wird das Problem, glaube ich, deutlich. Er hat gesagt: Über das Netz des Bundes, zu dem der Deutsche Bundestag nicht gehört, hat das BSI einen stabilen Schutzschild gelegt. Er verhindert Angriffe wie den, den wir jetzt erleben müssen.

(Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Dann hoffe ich mal, dass morgen nicht das Gegenteil bewiesen wird!)

Wenn man wissen will, wie viele Angriffe jeden Tag verhindert werden, um die Dimension der Bedrohung wahrnehmen zu können, muss man sich die Zahlen anschauen: Dieser Schutzschild verhindert jeden Monat 90 000 Zugriffe von Rechnern der Bundesverwaltung auf infizierte Server. 90 000 Mal wäre es sonst dazu gekommen, dass ein Mitarbeiter durch einen versehentlichen Klick auf einem Server landet, der mit Schadsoftware infiziert ist oder Teil eines Botnetzes ist. In 90 000 Fällen ist das verhindert worden.

Dieser Schutzschild verhindert jede Woche 15 bis 20 oder gar mehr hochkomplexe Angriffe auf das Netz.

(Volker Kauder [CDU/CSU]: Ich schreibe wieder Briefe mit Füller!)

Darunter ist jeden Tag mindestens einer mit Nachrichtendiensthintergrund. Das ist die Dimension der Bedrohung. Hier wissen wir es. Bei uns selber, wo wir für die IT-Sicherheit verantwortlich sind, wissen wir das nur sehr begrenzt.

Frau Kollegin Pau, ich bin Ihnen dankbar für die Klarstellung, dass Sie natürlich nichts dagegen haben, dass auch der Deutsche Bundestag, wenn er so angegriffen wird, wie er jetzt angegriffen wurde, auf die Expertise der Sicherheitsbehörden, des BSI und des Bundesamts für Verfassungsschutz, zurückgreift, ja, zurückgreifen muss.

Frau Kollegin Künast, es war eben ein anderer Eindruck, den man in den letzten Tagen aus der Debatte haben musste. Man musste den Eindruck gewinnen, dass die Opposition angesichts dieses Angriffs auf den Deutschen Bundestag, anstatt sich der Expertise der Sicherheitsbehörden zu bedienen, lieber alleine vor sich hingewurstelt hätte. Das ist so ähnlich, als ob bei einem Hausbrand der Besitzer vor dem Haus steht und die Feuerwehr ablehnt, weil ihm die Farbe nicht gefällt, und stattdessen eine Löscheimerkette machen würde. So wurde Ihre Position wahrgenommen.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD – Gerold Reichenbach [SPD]: Das mit der Farbe würde den Sozialdemokraten nie passieren!)

– Mit der Farbe hättet ihr kein Problem, Gerold, und mit der Feuerwehr wahrscheinlich auch nicht. – Aber das beschreibt das Problem, vor dem wir stehen. Deshalb, weil wir kein Lagebild haben, was die Bedrohung der Industrie angeht, das so konkret ist wie beim Netz des Bundes, brauchen wir ein Gesetz, in dem wir festlegen, was eine kritische Infrastruktur in den Bereichen Logistik, Verkehr, Energie, Wasser, Gesundheit oder Ernährung ist. Wir müssen Mindeststandards vorgeben. Dagegen kann man doch nichts sagen. Ich weiß nicht, ob ich Sie, Frau Künast, falsch verstanden habe. Aber Sie sagen ernsthaft, das sei schlecht, und fordern dann gleichzeitig Standards.

(Renate Künast [BÜNDNIS 90/DIE GRÜNEN]: Es ist keine Hilfe! Es ist viel zu wenig!)

Wir geben sie jetzt vor. Aber zunächst einmal muss man wissen, welche Bereiche zur kritischen Infrastruktur gehören. Was sind die Standards für die Sicherheit des IT-Systems eines Energieversorgers? Wollen wir große Stadtwerke so laufen lassen, wie sie sind? Vielleicht gibt es dann einen Blackout in einer großen Stadt. Um das zu vermeiden, wollen wir Standards vorgeben. Das machen wir jetzt. Wir geben sie auch für die Bundesregierung vor. Wir haben etwas gemacht, was das Ressortprinzip gerade aufhebt.

In der Vergangenheit war es so, dass jedes Ministerium am besten wusste, was für die IT-Sicherheit das Beste ist. Das haben wir jetzt geändert. Das BSI gibt die Standards vor, und damit hat man einheitliche Sicherheitsmechanismen. Das ist der einzige Weg, der richtig ist. Wir wollen keinen Flickenteppich mit Insellösungen, wir wollen nicht, dass jeder etwas anderes macht. Wir wollen einheitliche Standards. Die geben wir mit dem Gesetz vor, und damit leisten wir einen wichtigen Beitrag zur IT-Sicherheit auch des Bundes.

(Beifall bei der CDU/CSU und der SPD)

Jetzt komme ich zum Thema Meldepflicht. Frau Kollegin Künast, ich weiß nicht, ob Sie die Bestrebungen der letzten Jahre mitverfolgt haben. Es gab eine ganze Reihe von kooperativen Ansätzen mit der Industrie. Es gibt KRITIS, es gibt Austauschplattformen, aber diese basierten immer auf freiwilliger Meldung. Jetzt machen wir uns nichts vor: Es ist für ein Unternehmen überhaupt nicht attraktiv, sagen zu müssen: Gestern wurde unser Rechenzentrum angegriffen. – Wer will denn das in die Öffentlichkeit tragen? Deshalb brauchen wir ein Verfahren, dass der Vorgang gemeldet wird, damit wir Lageerkenntnisse haben. Aber wir garantieren auch Anonymität oder Vertraulichkeit.

Aber ohne die Meldepflicht wissen wir nicht, wie umfangreich die Angriffe sind, wissen wir nicht, welche neue Schadsoftware kommt, wissen wir nicht, wo es vielleicht fast zu einem Ausfall der Energieversorgung gekommen wäre. All die Informationen, die wir im Netz des Bundes haben, brauchen wir auch bei kritischen Infrastrukturen. Das erreichen wir mit diesem Gesetz, das erreichen wir mit der Meldepflicht.

Dass wir Verstöße mit Bußgeld bewehren müssen, ist klar. Ich verstehe gar nicht, warum die Grünen jetzt ironisieren. Ich meine, mich zu erinnern, dass Sie das immer verlangt haben und Begriffe wie „zahnloser Tiger“ verwendet haben. Unser Gesetz ist kein zahnloser Tiger. Wir haben die Meldepflicht, und wir haben auch eine Bußgeldandrohung. Aber wir setzen darauf – das sind auch die Signale, die wir aus der Industrie haben –, dass kooperativ im Interesse der Sache mitgearbeitet wird.

Dann haben Sie sich immer im Innenausschuss beklagt, dass man eine Meldepflicht für die Unternehmen einführe, aber die Bundesverwaltung selber mit Ausnahme der Standards im Gesetzentwurf gar nicht vorkomme. Dazu muss ich Ihnen sagen: Da hinken Sie der aktuellen Rechtslage weit hinterher. Eine Meldepflicht für die Bundesverwaltung gibt es seit 2010. Seit 2010 müssen Behörden der Bundesverwaltung jeden IT-kritischen Angriff unverzüglich oder, wenn er nicht ganz so bedeutend war, innerhalb eines Monats melden. Das haben wir dort schon.

Im Bereich der Bundesverwaltung haben wir den Schutzschild, wir haben die Meldepflicht, und das übertragen wir jetzt, wo es Sinn macht, auch auf die Betreiber kritischer Infrastrukturen. Das zu tun, ist mehr als richtig und wichtig. Bitte, nehmen Sie diese Platzpatrone, die Ihnen als Argument dient, einfach aus Ihrem Munitionsvorrat. Sie ist einfach falsch und wird nicht besser, wenn man sie dauernd wieder herausholt.

(Beifall bei der CDU/CSU)

Jetzt zum Verfahren bzw. zu dem, was wir dafür getan haben, die Wirtschaft nicht zu überfordern. Ich denke dabei an den Kollegen Pfeiffer, dessen Anliegen es ist, dass die Unternehmen nicht überfordert werden. Wir lassen den Unternehmen zwei Jahre Zeit für die Umsetzung. Das, was der Gesetzgeber nicht konkretisieren kann, weil es technische Fragen betrifft, regeln wir in einer Verordnung. Diese Verordnung wird nicht allein vom BSI erarbeitet, sondern gemeinsam mit der Wirtschaft, mit den Betreibern und den Verbänden. Wir haben zwei Jahre Umsetzungszeit vorgesehen, bevor die Regelung verpflichtend wird, und nach vier Jahren – Kollege Reichenbach hat es angesprochen – folgt eine Evaluation.

Ich glaube, das ist ein sehr gutes, kluges und kooperatives Vorgehen. Wir leisten damit einen großen und wichtigen Beitrag zur Sicherheit der IT in unserem Land. Sicherlich könnte man noch viel mehr machen. Wir beginnen mit den Bereichen, die besonders heikel sind: Energieversorgung, Wasser, Finanzen und Telekommunikation. Weitere Schritte müssen folgen.

Ich habe mir erlaubt, den Entschließungsantrag der Grünen zu lesen, den sie im Innenausschuss vorgelegt haben.

(Beifall bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)

– Beifall kann ich leider nicht spenden. Es war ein Sammelsurium an Wünschen, die das grüne Herz begehrt. Die roten und blauen Teams kamen nicht vor, Frau Künast, aber jede Menge grüne Wünsche. Man kann sagen: viele Wünsche, aber keine Lösungen. Insofern ist der vorliegende Gesetzentwurf deutlich besser und konkreter. Er dient der Sicherheit der IT in diesem Land, und deshalb hat er unser aller Zustimmung verdient.

Herzlichen Dank.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Christina Kampmann ist die nächste Rednerin für die SPD-Fraktion.

(Beifall bei der SPD)