Guter Herr Präsident! Meine Damen und Herren! Die IT‑Sicherheit ist die Achillesferse unserer modernen Gesellschaft; ich habe das schon an vielen Stellen gesagt. Man könnte erwarten, dass nach zwei Jahren Beratung ein Gesetz herauskommt, das den Namen „IT-Sicherheitsgesetz“ auch verdient. Da Sie sich aber erst in den letzten Tagen in der Koalition geeinigt haben – mal wieder auf den letzten Metern – und uns im Ausschuss das auf den letzten Drücker vorgelegt wurde, müsste man eigentlich etwas spöttisch sagen: Das ist eher ein Gutes-Internet-Gesetz 2.0. Das würde es am trefflichsten beschreiben. Leider! Das ist bedauerlich.

Es gibt eine große Diskrepanz

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: So ist es!)

zwischen dem, was Sie in den zwei Jahren in diesen Entwurf eines Sicherheitsgesetzes hineingeschrieben haben, und dem, was Sie als Regierungsfraktionen auf den letzten Drücker in einen Entschließungsantrag gegossen haben. Dieser Entschließungsantrag ist ein Auftrag an die nächste Bundesregierung, wie IT‑Cybersicherheit in Deutschland gestaltet werden soll. Das ist allerdings nicht Ihre Aufgabe. Ihre Aufgabe ist es, Gesetze zu machen und sie mit Mehrheit zu beschließen, aber nicht, Aufträge an irgendeine zukünftige Bundesregierung aufzuschreiben, meine Damen und Herren.

(Beifall bei der FDP und dem BÜNDNIS 90/DIE GRÜNEN)

So bleibt das IT‑Sicherheitsgesetz leider ein Flickenteppich. Eine wirkliche Strategie, wie Cybersicherheit konsequent zu Ende gedacht werden soll, ist das nicht. Deswegen haben wir im Ausschuss zahlreiche Änderungsanträge eingebracht – ich habe das in der ersten Lesung angekündigt – und auch einen Entschließungsantrag dazu geschrieben. Wohlgemerkt, in Ihrem Entschließungsantrag stehen einige Dinge drin, die deckungsgleich sind, weswegen wir uns zum Entschließungsantrag auch enthalten werden.

(Zuruf von der CDU/CSU: Oh!)

Es fehlen zum Beispiel agile Sicherheitsmaßnahmen, es fehlt zum Beispiel transparente Kommunikation.

Ich will nur stichpunktartig sagen, was ich auch in der Vergangenheit immer wieder gesagt habe: Wir brauchen die konsequente Offenlegung von Sicherheitslücken. Alle Bundesbehörden müssen Sicherheitslücken dem BSI melden, und die müssen konsequent verantwortlich geschlossen werden, damit sie nicht offenbleiben, damit sie auch im Innenministerium nachher nicht für andere Zwecke genutzt werden können, weil das die Cybersicherheit schädigt. Das ist in diesem Gesetz nicht drin. Es gibt immer noch Ausnahmen von Meldepflichten. Und es gibt – das ist für die Wirtschaft echt ein Problem – immer noch keinen qualitativen Rückkanal, der der Wirtschaft einen Nutzen hinsichtlich der Cybersicherheit bringt. Es gibt jede Menge Meldepflichten, jede Menge Bürokratie, aber eben keinen direkten Nutzen für die Unternehmen. Das habe ich beim IT‑Sicherheitsgesetz 1.0 schon kritisiert. Es bleibt leider weiter dabei.

(Beifall bei der FDP)

Hätte, hätte – das hilft uns nicht weiter. Wie gesagt, Ihr Entschließungsantrag nimmt einige Dinge ins Visier. Statt diesen Aufkleber, Ihr Sicherheitskennzeichen, auf der Software anzubringen, hätten Sie besser mal über die Haftung von Herstellern nachgedacht. Das ist das Relevante. Was machen wir denn in Zukunft, wenn Boxen ohne Bildschirm, ohne Tastatur rauskommen, aber keine Sicherheitsupdates eingespielt werden? Das merkt man ja erst später. Wir haben mal gesagt: Haften statt heften! Machen Sie keinen Aufkleber drauf, sondern nehmen Sie die Unternehmen in die Haftung! Dann wird das auch besser.

(Beifall bei der FDP)

Ja, meine Damen und Herren, das alles ist nicht überzeugend. Wir werden das ablehnen müssen. Es gibt einen Silberstreif am Horizont: Bald sind Bundestagswahlen, dann kann sich das ändern.

Herzlichen Dank.

(Beifall bei der FDP)

Vielen Dank, Herr Kollege Höferlin. – Nächste Rednerin ist die Kollegin Vizepräsidentin Petra Pau aus der Fraktion Die Linke.

(Beifall bei der LINKEN)