Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Meine sehr geehrten Damen und Herren! Bei der Einbringung und auch heute haben alle Redner betont: Die IT-Sicherheitslage in Deutschland ist angespannt. Der Hackerangriff auf unser Parlament – auch das wurde in vielen Reden erwähnt – ist das jüngste Beispiel dafür, wie verwundbar informationstechnische Systeme sind. Für unsere Wirtschaft hat KPMG ermittelt, dass 40 Prozent der deutschen Firmen in den vergangenen zwei Jahren Ziel von Computerkriminalität waren. Die dabei entstandene Schadenssumme geht in die Milliarden. Gestern hat BITKOM kommuniziert, dass Unternehmen bei der IT-Sicherheit deutlich nachbessern müssen. Die Schadsoftware wird immer komplexer und bleibt nicht selten unerkannt. Auch der letzte Bericht des BSI zur Lage der IT-Sicherheit in Deutschland stellte klar heraus, dass durch die zunehmende digitale Durchdringung und Vernetzung aller Lebensbereiche und Arbeitsbereiche eine dynamische Gefährdungslage entsteht. Anders ausgedrückt: Die zunehmende Vernetzung macht unsere Systeme insgesamt immer anfälliger.

Genau hier setzt das IT-Sicherheitsgesetz an. Im Grundsatz klingt das Ziel des Gesetzes zunächst einfach: Um die Chancen der Digitalisierung erfolgreich nutzen zu können, ist es erforderlich, das IT-Sicherheitsniveau zu erhöhen. Das klingt einleuchtend, man könnte fast sagen: banal. Dass es aber alles andere als selbstverständlich ist, entsprechende Vorkehrungen zu treffen, belegen die eben zitierten Studien sehr eindeutig.

In Deutschland existieren eine Reihe freiwilliger Initiativen und Angebote zur Erhöhung der IT-Sicherheit, die äußerst sinnvoll sind. Eine Vielzahl von Firmen handelt vorbildlich, allein schon aus eigenem Interesse. Aber Freiwilligkeit allein reicht insbesondere bei kritischen Infrastrukturen eben nicht aus, um die IT-Systeme gegen Angriffe zu schützen. Oftmals wird das Bewusstsein für Handlungs- und Investitionsbedarf bei der IT-Sicherheit erst geweckt, wenn tatsächlich ein Schaden eingetreten ist. Dann ist es meist zu spät. Das können und dürfen wir uns als hochentwickelte Industrienation nicht leisten. Das IT-Sicherheitsniveau verschiedener Infrastrukturen innerhalb der Sektoren, die für die Daseinsvorsorge in unserem Land als kritisch anzusehen sind, ist sehr unterschiedlich. Es ist daher absolut dringlich, durch dieses Gesetz die Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen.

Deutschland nimmt damit eine Vorreiterrolle im Bereich der IT-Sicherheit ein. Beispielgebend ist dabei aber nicht nur die Tatsache, dass wir dieses Gesetz auf den Weg bringen, sondern vor allem auch die dahinterstehende kluge Philosophie des kooperativen Ansatzes. Dieser besteht auf der einen Seite aus einer engen Beteiligung der Unternehmen, also der Betroffenen, über ihre Verbände. Auf der anderen Seite stehen ein wirksamer Sanktionsmechanismus sowie die Kontrolle der Einhaltung der zu definierenden Verpflichtungen durch das BSI. Ich bin der Überzeugung, dass es mit diesem Ansatz gelingt, ein funktionierendes System zu etablieren und passgenaue und branchenspezifische Standards zu erreichen, die dem notwendigen Sicherheitsniveau einer digitalen Gesellschaft entsprechen. Nur mit diesem Ansatz werden wir der dynamischen Entwicklung begegnen können.

(Beifall bei Abgeordneten der CDU/CSU)

Von einem höheren Sicherheitsniveau wird unsere gesamte Wirtschaft in Deutschland profitieren. Unsere Wirtschaft ist auf das Funktionieren kritischer Infrastrukturen angewiesen, der eine mehr, der andere weniger. Kein Unternehmen in unserem Land kann es sich leisten, dass es in für die Daseinsvorsorge elementaren Bereichen über einen längeren Zeitraum beeinträchtigt ist. Daher erreichen wir mit einem Mehr an Sicherheit für die Betreiber kritischer Infrastrukturen automatisch auch ein Mehr an Sicherheit für unsere Wirtschaft.

Welche weiteren Vorteile hat dieses Gesetz für die Wirtschaft? Ein Punkt kommt mir in der Diskussion gelegentlich etwas zu kurz: Das durch das IT-Sicherheitsgesetz geschaffene Meldesystem ist – Stephan Mayer hat es vorhin erwähnt – alles andere als eine Einbahnstraße. Die Unternehmen, die an dem System mitarbeiten, bekommen Rückmeldungen vom BSI auch über andere Vorfälle. Insofern sind die Unternehmen zu einem privilegierten Meldesystem zusammengeschlossen. Ich möchte gar nicht in Abrede stellen, dass den Unternehmen natürlich auch ein Aufwand entsteht; aber durch die Meldepflicht, die im Übrigen in der Regel anonym erfolgt, und durch den Austausch von Informationen über sicherheitsrelevante Aspekte profitieren die Unternehmen in hohem Maße voneinander. Durch das System von Meldung und Rückmeldung können wichtige Informationen zu einem Frühwarnmechanismus beitragen und zu einem einheitlichen Lagebild führen.

Ein weiterer Mehrwert für die Unternehmen liegt in der Erarbeitung von IT-Mindeststandards. Dies gilt in zweierlei Hinsicht: Wir wissen, dass das Sicherheitsniveau bei den einzelnen Unternehmen sehr heterogen ist. Auf der einen Seite bieten die Standards Orientierung, da sie den Unternehmen aufzeigen, ob und in welchem Bereich der IT-Sicherheit Handlungsbedarf besteht. Da auch bei der Erarbeitung der Standards der kooperative Ansatz verfolgt wird, haben die Firmen zudem die Gelegenheit, über ihre Verbände ihre Erfahrungen und Kenntnisse in den Prozess einzubringen. Auf der anderen Seite bieten die Standards aber auch Rechtssicherheit für die Unternehmen, da das BSI die Eignung der erarbeiteten Standards feststellt.

Im parlamentarischen Verfahren konnte eine weitere Verbesserung erzielt werden. Die Einbindung der Softwarehersteller ist hier zu nennen.

Als letzten Punkt möchte ich einen zentralen Kritikpunkt aus der Wirtschaft aufnehmen und verdeutlichen, weshalb es so schwer ist, bereits heute den Kreis der Betroffenen definitiv festzulegen. Angesichts der Dynamik der Digitalisierung ist es sehr komplex, die kritischen Infrastrukturen zu identifizieren und dauerhaft festzuschreiben. Zunächst sind im Gesetz Sektoren und Branchen definiert. Es dürfte aber jedem klar sein, dass allein die Zugehörigkeit zu einer Branche eine nicht hinreichende Bedingung darstellen kann. Ein Beispiel aus dem Bereich der Energie: Es gibt in Deutschland aktuell circa 1,6 Millionen Erneuerbare-Energien-Anlagen. Die meisten davon sind klein und absolut unkritisch. Schließt man hingegen viele EEG-Anlagen, beispielsweise viele Windkraftanlagen, über eine gemeinsame Leitwarte zu einem virtuellen Kraftwerk zusammen, so kann aus vielen kleinen Anlagen eine kritische Infrastruktur werden. – An diesem Beispiel wird deutlich, dass man sich bei der Festlegung der Schwellenwerte an den Dienstleistungen und am Versorgungsgrad orientieren muss und eben nicht nur an der Größe der Anlagen. Dieser komplizierte Vorgang muss für alle Branchen entsprechend durchgearbeitet werden.

Das Gesetz verfolgt einen neuen und modernen Ansatz, einen kooperativen Ansatz. Angesichts der Komplexität, vor allem aber der Dynamik der Digitalisierung ist das genau der richtige Weg. Dieser kooperative Ansatz muss allerdings auch gelebt werden. Deshalb wäre es schön, wenn wir Parlamentarier in die Erarbeitung der Verordnung mit einbezogen werden könnten.

(Beifall bei der CDU/CSU)

Dabei muss uns allen aber bewusst sein, dass sowohl für die Verordnung als auch für das Gesetz stetige Kontrolle und Evaluierung erforderlich sein werden. Sicherheit ist ein dynamischer Prozess.

Die Koalition macht heute auch im Sinne unserer Wirtschaft einen klugen und großen Schritt Richtung Stabilisierung unserer IT-Sicherheit.

Vielen Dank für Ihre Aufmerksamkeit.

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Marian Wendt ist der letzte Redner zu diesem Tagesordnungspunkt für die CDU/CSU-Fraktion.

(Beifall bei der CDU/CSU)