Sehr geehrter Herr Präsident! Meine Damen und Herren! Der Stirb langsam-Filmheld John McLane kommentierte seinen Sieg über das Böse immer mit den Worten „Yippie-ya-yeah“. Auch in der vierten Folge mit dem finalen Sieg über den Cyberterroristen Thomas Gabriel nutzte er diese Worte. Dieser Cyberterrorist hatte zuvor die gesamte IT-Infrastruktur der Ostküste der Vereinigten Staaten lahmgelegt, um einen riesigen Raubzug durchzuführen. Das wäre ihm auch fast gelungen, hätte es nicht John McClane und seinen Mitstreiter gegeben. – Alles nur Film? Alles nur ausgedacht? Davon hat man 2007, als der Film veröffentlicht wurde, vielleicht noch überzeugt sein können. Jetzt und heute zu glauben, dass diese Geschichte – abgesehen von einigen Details – an den Haaren herbeigezogen ist, ist weltfremd.

Da ich nun Ihre volle Aufmerksamkeit habe, können wir den vorliegenden Gesetzentwurf näher betrachten. Das IT-Sicherheitsgesetz, dessen Entwurf uns hier vorliegt, ist sicherlich sachlicher und dröger als der Klassiker Stirb langsam. Es gibt keine bekannten Helden, außer vielleicht dem BSI-Präsidenten Hange, und nur recht wenig Action.

(Clemens Binninger [CDU/CSU]: Und Marian Wendt!)

Aber die Auswirkungen von IT-Angriffen sind genauso gefährlich wie im Film dargestellt.

Wenn heutzutage Angriffe auf die digitalen Strukturen von Unternehmen oder Behörden durchgeführt werden, dann sind die Helden stille Fachleute in den IT-Abteilungen der Unternehmen, Männer und Frauen, die versuchen, die Dinge wieder geradezurücken. Sie schätzen den Schaden ein und ergreifen Gegenmaßnahmen. Sie sitzen dabei oft in Kellern, in hochgesicherten Anlagen oder Bunkern. Sie bieten eine Dienstleistung an, die man eigentlich nur benötigt, wenn etwas schiefgeht. Hier möchte ich einmal ein Lob und meine Anerkennung für die Leistung dieser Menschen aussprechen.

Für erfolgreiche IT-Angriffe gibt es leider medienwirksame Beispiele: Regin, Stuxnet und andere Angriffe aus dem asiatischen Raum oder aus Russland auf Industrieunternehmen, Unternehmen der öffentlichen Daseinsvorsorge und andere KRITIS-Betreiber. Ein aktuelles Beispiel gab es auch im Vorfeld der sächsischen Kommunalwahl am letzten Sonntag, als der Ausfall des KISA-Servers die Briefwahl um bis zu zwei Tage verzögerte.

Die Zahl der Angriffe und Angriffsversuche ist schwer abschätzbar; den Meldungen nach gehen sie jeden Tag in die Abertausende. Ich möchte Ihnen ein kleines Beispiel nennen: Am 18. Mai dieses Jahres fanden bis 14 Uhr weltweit über 100 000 Angriffe auf IT-Systeme statt. Davon kamen allein 24 000 Angriffe aus China. Das alles geschah binnen 14 Stunden. – Deshalb reden wir heute über die Angriffe auf unsere kritische Infrastruktur, diejenige Infrastruktur also, die für das geordnete Zusammenleben und den Fortbestand der freiheitlich-demokratischen Grundordnung in unserem Land essenziell ist.

Dabei sind wir als Nutzer durch unser Verhalten maßgeblich mitverantwortlich für die IT-Sicherheit; denn die größte Sicherheitslücke in der IT ist und bleibt der Mensch. Haben Sie schon einmal einen gefundenen USB-Stick ins Laufwerk gesteckt, einen Link auf einer Schmuddelseite geklickt oder hat sich einmal ein entsprechendes Pop-up geöffnet? Ein Klassiker ist auch, die PIN auf die Bankkarte zu schreiben oder – ein anderes Beispiel – bei verschiedenen Onlinekonten – im Schnitt besitzen wir 14 – die gleiche Passwortkombination zu nehmen, bestehend beispielsweise aus dem Vornamen der Mutter und der alten Postleitzahl oder dem eigenen Geburtsdatum.

(Clemens Binninger [CDU/CSU]: Ich nehme John McClane!)

Schon steht man vor den Scherben jeder noch so ausgeklügelten IT-Sicherheitstechnologie. Da können wir noch so lange über das IT-Sicherheitsgesetz und das hoheitliche Handeln des BSI reden.

Wenn sich die Sicherheitskultur in unserem Land nicht ändert, dann können wir, wie schon gesagt, noch so ausgeklügelte Maßnahmen, noch so hohe Standards oder auch noch so strafbewehrte Mechanismen haben: Wir werden den Kampf gegen Cybercrime verlieren, und zwar auf allen Ebenen. Die digitale Verwaltung wird sich nicht weiterentwickeln; denn ohne Vertrauen geht das nicht. Gleiches gilt für das Onlinebanking, die Industrie 4.0 und im Grunde genommen für jede Dienstleistung im Netz.

Das große Problem ist, dass die Nachlässigkeit vieler Einzelner andere massiv gefährdet. Wenn in der Frage IT-Sicherheit Risiko und Haftung Hand in Hand gingen, würde sich das Problem fast von selbst lösen: Jeder hätte den Anreiz, darauf zu achten, dass die eigenen Systeme ausreichend – wenigstens mit einem Mindeststandard – abgesichert sind. Jedoch ist das bisher noch nicht der Fall. Nachlässige Nutzer sichern ihre Systeme nicht. Wir werden die heutige Verabschiedung des IT-Sicherheitsgesetzes zum Anlass nehmen, darüber nachzudenken, wie wir unsere Gesellschaft für mehr Sicherheitskultur gewinnen können.

Ungesicherte Systeme werden kompromittiert und missbraucht, verbreiten Infektionen, bilden Botnetze und befeuern die Cyberkriminalität. Sie können für alle möglichen kriminellen Zwecke missbraucht werden; man kann sie sogar mieten. Dem einzelnen Nutzer geht im Zweifel nur der Rechner kaputt. Der gesamtwirtschaftliche Schaden ist ungleich höher. Wer sich nicht impft, gefährdet sich und andere. Diese Parallele kann man auch in der IT-Sicherheit ziehen. Deswegen brauchen wir eine weitere Debatte über die Sicherheitskultur. Die Menschen müssen aufgeklärt werden. Die Initiative „Deutschland sicher im Netz“ beispielsweise leistet gute Arbeit bei der Aufklärung. Diese Initiative möchte ich hier lobend erwähnen und herausstellen.

Das vorliegende IT-Sicherheitsgesetz ist ein entscheidender Schritt hin zur Absicherung unserer kritischen Infrastruktur und zur allgemeinen IT-Sicherheit in Deutschland. Die klarere Rolle des Bundesamtes für Sicherheit in der Informationstechnik ist zum Beispiel ein großer Erfolg. Dennoch ist das IT-Sicherheitsgesetz nur ein Mosaiksteinchen im immer wichtigeren Gesamtbild bei der Bekämpfung von Cybercrime, das meine Kollegen und ich im Rahmen der digitalen Agenda auf dem Schirm haben. Ich sehe das Gesetz – auch im Vorfeld der europäischen NIS-Direktive – als wegweisenden Schritt und freue mich daher heute über diesen Erfolg. Ich möchte fast sagen: Yippie-ya-yeah!

(Beifall bei der CDU/CSU sowie bei Abgeordneten der SPD)

Ich schließe die Aussprache.

Bevor wir zu den Abstimmungen über den von der Bundesregierung eingebrachten Gesetzentwurf und den Entschließungsantrag kommen, will ich noch eine Bemerkung zu dem in der Debatte aus guten Gründen mehrfach hergestellten Zusammenhang zwischen den Gesetzesvorschlägen und den konkreten Angriffen auf das Datennetz des Bundestages machen. Dazu hat es in den letzten Tagen neben begründeten Nachfragen manche bemerkenswerten öffentlichen Erklärungen einiger Kolleginnen und Kollegen gegeben, die für mich noch plausibler gemacht haben, warum wir in diesem Gesetzentwurf betroffenen Unternehmen die Vertraulichkeit zusagen, die wir für uns selbst offenkundig nicht gelten lassen wollen im Umgang mit der Aufklärung solcher sensibler Zusammenhänge.