12.06.2015 | Deutscher Bundestag / 18. WP / Sitzung 110 / Tagesordnungspunkt 23

Norbert Lammert - IT-Sicherheitsgesetz

Lade Interface ...
Anmelden oder Account anlegen






Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Meine sehr verehrten Damen und Herren! Sicherheit spielt in der politischen Rhetorik eine immens große Rolle, egal ob wir über den G-7-Gipfel, den internationalen Terrorismus oder den Schutz vor Einbruch und Diebstahl reden. Für einen Bereich aber wurde dieses Thema viel zu lange vernachlässigt, nämlich für die gesamte Informationstechnologie. Bei aller Kritik an dem Gesetzentwurf, bei allen berechtigten Forderungen, noch weiterzugehen, und bei allen Zweifeln an den Details in der Umsetzung ist es gut, dass damit endlich Schluss ist, liebe Kolleginnen und Kollegen. Gut, dass wir dieses Thema endlich auf die politische Agenda gesetzt haben. Gut, dass die Große Koalition mit dem IT- Sicherheitsgesetz eines der ersten Vorhaben im Rahmen der Digitalen Agenda umsetzen wird.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Um es vorwegzunehmen: Auch ich finde, das Gesetz dürfte an der einen oder anderen Stelle noch weiter gehen. Ich bin aber davon überzeugt, dass es uns trotzdem richtig gut gelungen ist und dass wir damit einen Anfang gemacht haben, der sich sehen lassen kann. Das ist ein guter Tag für die IT-Sicherheit in Deutschland. Es ist ein gutes Beispiel für gesetzliche Rahmenbedingungen innerhalb der Europäischen Union.

Herrn Janecek sage ich: Wer uns als Entwicklungsland in Sachen IT-Sicherheit bezeichnet – darin bin ich ganz bei Herrn Binninger –, von dem erwarte ich auch ganz konkrete Vorschläge und Lösungen zur Verbesserung statt einer Aneinanderreihung von Forderungen, wie sie Ihrem Antrag entsprechen, die bei wohlwollender Betrachtung gerade noch etwas mit dem Thema „Digital“ zu tun haben, aber mit Sicherheit nicht mit der IT- Sicherheit.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Aber lassen Sie mich das näher ausführen. IT-Sicherheit ist kein Selbstzweck. Für mich ist sie das Fundament der Digitalisierung. Industrie 4.0 ohne Sicherheit ist komplett undenkbar. Autonomes Fahren – der Minister hat es eben angesprochen – ohne Sicherheit ist geradezu lebensgefährlich. Cloud-Technologie ohne Sicherheit ist überhaupt nicht möglich. Kein Unternehmen, keine Verwaltung und kein privater Nutzer werden ihre Daten in einer Cloud speichern, wenn sie nicht zutiefst überzeugt sind, dass sie dort sicher sind.

Egal wohin man schaut: Die Digitalisierung unserer Gesellschaft wird nicht funktionieren, wenn wir nicht ein Maximum dessen gewährleisten, was an Sicherheit möglich ist. Deshalb bin auch ich davon überzeugt, dass es einen staatlichen Handlungsauftrag gibt. Es ist konsequent und folgerichtig, diesen im Bereich der kritischen Infrastrukturen zu sehen. Denn hier ist die Gesellschaft besonders verletzlich. Deshalb müssen wir ein Mindestmaß an IT-Sicherheit gesetzlich regeln und zur Pflicht machen.

Wenn wir über die Meldepflichten reden, dann sehen wir: Ohne diese haben wir heute eine komplett unklare Gefährdungslage. Wenn wir nicht wissen, wie groß die Gefahr ist: Wie sollen wir dieser Gefahr dann begegnen? Deshalb brauchen wir die Meldepflichten. Was wir aber nicht brauchen, sind Unternehmen, die sich an dieser Stelle wegducken, weil sie den Wert eines umfassenden Lagebildes und die sich daraus ergebenden Chancen für ein gezieltes Vorgehen gegen Angreifer verkennen.

Stattdessen brauchen wir Unternehmen, die in die Sicherheit ihrer IT investieren. Das gibt es nicht zum Nulltarif; das ist klar. Investitionen kosten Geld und sind teuer. Ich bin aber überzeugt davon, dass sich dort jeder einzelne Cent lohnt; denn für den, der es versäumt, rechtzeitig zu investieren und sich zu schützen, wird es am Ende noch teurer werden. Deshalb muss dieses Gesetz auch mehr sein als nur eine Vorgabe für Betreiber kritischer Infrastrukturen.

Ich wünsche mir, dass wir damit einen Anstoß für eine gesamtgesellschaftliche Debatte über das Thema IT-Sicherheit geben können. Die ist längst überfällig, und deshalb ist es auch gut, dass wir das heute diskutieren.

(Beifall bei der SPD sowie des Abg. Michael Grosse-Brömer [CDU/CSU])

Liebe Kolleginnen und Kollegen, seit der letzten Lesung hat es einige Änderungen gegeben, über die wir heute schon gesprochen haben. Es gibt aber auch Aspekte, die wir im Koalitionsvertrag vereinbart haben und – davon bin ich überzeugt – die in diesem Gesetzentwurf noch ihren Platz hätten finden können, dieses Mal aber noch außen vor geblieben sind.

Ich denke zum Beispiel – damit bin ich bei den Grünen – an das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das endlich mit Leben erfüllt werden muss. Die Nutzung von Methoden zur Anonymisierung und Pseudonymisierung und all das, was wir unter den Stichworten „Privacy by Design“ und „Privacy by Default“, also dem technikgestützten Datenschutz und dem Datenschutz durch Voreinstellung, diskutieren: Das haben wir im Koalitionsvertrag vereinbart, und das dürfen wir nicht aus den Augen verlieren, sondern sollten es entschieden weiterverfolgen.

(Beifall bei der SPD sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)

Ich wünsche mir aber auch – hier bin ich auch auf der Linie der Opposition –, dass wir zu einer größeren Unabhängigkeit des BSI kommen und dass wir uns endlich Gedanken darüber machen, wie wir in dieser Richtung die richtigen Weichen stellen können; denn das BSI wird mit diesem Gesetz bezüglich der Abwehr von Gefahren für die Sicherheit der Informationstechnik in Unternehmen, in den Verwaltungen und in Bezug auf die Bürgerinnen und Bürger deutlich gestärkt, und das ist auch gut so.

Die Anbindung an das BMI in diesem Bereich bringt aber eine Gefahr mit sich, die über die Probleme hinsichtlich der Zuständigkeit für die defensive Sicherheit deutlich hinausgeht. Um diesen Konflikt gar nicht erst entstehen zu lassen, werden wir uns auch weiterhin für eine größere Unabhängigkeit einsetzen. Das ist meiner Meinung nach nicht nur glaubwürdiger, sondern wird der Rolle des BSI im Rahmen der gesamten Sicherheitsarchitektur des Bundes auch wesentlich besser gerecht.

(Beifall bei Abgeordneten der SPD)

Meine sehr verehrten Damen und Herren, seit der letzten Lesung hat sich einiges getan, und viele der neuen Ansätze, die sich in dem aktuellen Entwurf finden, sind absolut zu begrüßen. So haben die jüngsten Vorfälle gezeigt – das wurde heute schon vermehrt angesprochen –, dass sich die IT-Sicherheitslage im Bund stetig verschärft und dass Angriffe nicht nur immer zahlreicher, sondern auch immer komplexer werden. Deshalb ist es folgerichtig, dass der veränderte Gesetzentwurf auch den Bund in die Pflicht nimmt; denn auch hier brauchen wir verbindliche Mindeststandards, um diesen Herausforderungen begegnen zu können.

Genauso verhält es sich mit der nun vorgesehenen Einbeziehung von Hard- und Softwareherstellern; denn wenn Betreiber kritischer Infrastrukturen Sicherheitslücken nicht vollständig beheben können, dann dürfen die Hersteller an dieser Stelle nicht untätig bleiben. Deshalb ist es nur konsequent, dem BSI hier das Recht einzuräumen, von diesen auch die Mitwirkung an der Beseitigung einer Störung zu verlangen.

Es ist auch richtig, über den kooperativen Ansatz hinauszugehen und ein Bußgeld für diejenigen vorzusehen, die im Rahmen dieses Gesetzes nicht dazu bereit sein werden, ihren Beitrag zu leisten. Frau Künast, das betrifft nicht nur die Meldepflichten, sondern auch die Mindeststandards. Das ist aus meiner Sicht auch kein Mangel an Vertrauen, sondern unterstreicht nur die politische Bedeutung, die IT-Sicherheit im Rahmen kritischer Infrastrukturen hat und die wir ihr auch zugestehen.

(Beifall bei Abgeordneten der SPD)

Diese Veränderungen bringen erhebliche Verbesserungen an wichtigen Stellen und zeigen damit, dass wir es mit der Umsetzung von mehr IT-Sicherheit in Deutschland ernst meinen. Dafür haben wir heute einen entscheidenden Schritt getan.

(Michael Grosse-Brömer [CDU/CSU]: Wir von der Koalition!)

– „Wir von der Koalition“, genau.

(Heiterkeit bei Abgeordneten der CDU/CSU)

Bei der ersten Lesung habe ich gesagt – ich zitiere mich einmal selbst –, dass ich mir in diesem Gesetzentwurf eine Verpflichtung zur Transportverschlüsselung für Telekommunikationsunternehmen gut hätte vorstellen können, weil so etwas wie eine marktgetriebene Verschlüsselung in etwa so häufig zu finden ist wie eine Niederlage von Arminia Bielefeld im DFB-Pokal, nämlich quasi nie. Dieter Janecek von den Grünen meinte daraufhin, dass dieser Entwurf fußballkategorisch doch eher in der Kreisklasse statt in der Champions League zu verorten sei. Inzwischen ist Arminia Bielefeld aufgestiegen, das Champions-League-Finale hat am vergangenen Samstag stattgefunden, und ich bin nach den benannten Änderungen geradezu zutiefst davon überzeugt, dass wir mit diesem Entwurf in der sicherheitspolitischen Champions League angekommen sind. Vielleicht sind wir noch nicht der FC Barcelona – da ist, glaube ich, noch ein bisschen Luft nach oben –;

(Stephan Mayer [Altötting] [CDU/CSU]: Aber der FC Bayern München!)

aber im Halbfinale ausscheiden wird dieser Gesetzentwurf mit Sicherheit nicht.

Herzlichen Dank.

(Beifall bei der SPD sowie bei Abgeordneten der CDU/CSU)

Das Wort erhält nun der Kollege Hansjörg Durz für die CDU/CSU-Fraktion.

(Beifall bei der CDU/CSU)


Daten
Quelle Deutscher Bundestag, Nutzungsbedingungen
Quellenangabe Deutscher Bundestag via Open Parliament TV
Abgerufen von http://dbtg.tv/fvid/5233337
Wahlperiode 18
Sitzung 110
Tagesordnungspunkt IT-Sicherheitsgesetz
00:00
00:00
00:00
00:00
Keine
Automatisch erkannte Entitäten beta