Moin, Frau Präsidentin! Liebe Kolleginnen! Liebe Kollegen! Bürgerinnen und Bürger! Herr Oppelt, die Umsetzung einer Cybersicherheitsrichtlinie zu nutzen, um auf das Bürgergeld draufzuhauen, das ist AfD-Niveau; das muss ich wirklich sagen. Das muss nun wirklich nicht sein.

(Beifall bei Abgeordneten der SPD und des BÜNDNISSES 90/DIE GRÜNEN – Marc Henrichmann [CDU/CSU]: Die Nerven liegen blank! – Zuruf von der AfD: Was Sie machen, ist SPD-Niveau! – Weiterer Zuruf von der AfD: Heul doch!)

Aber das Anliegen der Union – mehr Cybersicherheit – ist grundsätzlich zu begrüßen. Hoffentlich sind wir uns hier alle einig: Kritische Infrastrukturen können aufgrund nahezu allumfassender IT-Vernetzung manipuliert, abgeschaltet oder gar zerstört werden. Bei der Energieinfrastruktur ist das besonders brisant; denn wenn kein Strom fließt, gehen die Lichter aus, und wenn kein Gas fließt, wird es kalt, und in der Produktion stehen die Bänder still. Von daher ist die Umsetzung der NIS-Richtlinie und weiterer Gesetze im Bereich der Cybersicherheit nicht nur für Innenpolitiker oder Digitalpolitiker relevant, sondern auch für mich als Energiepolitiker.

Und in der Wirkung für jeden Einzelnen von Ihnen, liebe Bürgerinnen und Bürger, ist es enorm wichtig; denn letztlich geht es um nichts weniger als das Funktionieren des gesellschaftlichen Lebens. Was die meisten Menschen nicht wissen: Wenn irgendwo eine Cyberattacke auf das Energienetzwerk, also auf den Strom, läuft, gibt es auch kein Wasser mehr, und ohne Wasser wird es sehr schnell sehr unangenehm im Leben.

Aber es ist natürlich schon ein peinlicher Zufall, dass genau in der Woche, in der Sie uns in Ihrem Antrag Untätigkeit vorwerfen, das Gesetz zur Umsetzung NIS-Richtlinie am Freitag behandelt wird.

(Dr. Silke Launert [CDU/CSU]: Der ist schon früher eingereicht worden! – Marc Henrichmann [CDU/CSU]: Der ist von Juni!)

Aber über diesen Zufall kann man ja hinwegsehen. Sie sehen: Das Gesetzgebungsverfahren läuft. Mir ist ein gründliches Ampelgesetz allemal lieber als ein vermurkstes Unionsgesetz.

Richtig ist: Wir müssen jetzt zügig handeln; das stimmt. Lassen Sie mich anhand einiger Windenergieanlagen konkreter machen, warum Cybersicherheit so wichtig ist; gerade ist es ja schon angedeutet worden. Wir bauen ja immer mehr Windenergieanlagen. Die Windparks werden immer größer und effektiver. 2023 standen in Deutschland an Land insgesamt 28 667 Anlagen. Das heißt, Windenergie war mit einem Drittel der Produktion der wichtigste Energieträger. Jeder Dritte von Ihnen hier im Saal hatte – statistisch gesehen – sein Bier und andere Getränke durch Windstrom kühlen lassen; auch der Fernseher lief mit Windstrom.

Gleichzeitig werden die Windparks natürlich als potenzielles Angriffsziel immer attraktiver. Für Staaten oder private Hackergruppen sind sie ein lohnendes Ziel.

(Moritz Oppelt [CDU/CSU]: Warum haben Sie dann zwei Jahre nichts gemacht? Verstehe ich nicht!)

Wir werden währenddessen zwar unabhängiger von einzelnen Staaten und fossilen Energieträgern, aber abhängiger von einer Technologie, die nun mal auf IT basiert und prinzipiell angreifbar ist. Das Gute aber an der dezentralen Versorgung von Energie durch Wind und Sonne ist, dass es sich um verstreute Ziele handelt, die schwieriger zu attackieren sind. Das hat sich – Sie hatten es gerade schon gesagt, Herr Oppelt – bei dem Cyberangriff 2022 auf das KA-SAT-Satellitennetzwerk gezeigt. Die Kommunikation mit den betroffenen Windenergieanlagen – es waren viele, nämlich 5 800 mit einer Gesamtleistung von 11 Gigawatt – war gestört. Wissen Sie, wie viele Anlagen ausgefallen sind? Fünf sind ausgefallen. Das heißt, eine resiliente Energieversorgung erreichen wir nur mit Dezentralität: über Wind, über Solar und über erneuerbare Energie. Und dass wir endlich mehr in diese Technologien investieren, ist ein sehr großer Fortschritt, meine lieben Damen und Herren.

(Beifall bei der SPD sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)

Die Angriffe werden immer ausgeklügelter und ausgefeilter. Einfallstore können die Kommunikationsnetze, die Steuerungselemente, also auch die Bauteile in den Turbinen, oder auch externe Serviceanbieter sein oder gar die ganzen Turbinen, wenn wir anfangen, chinesische Turbinen in Deutschland einzusetzen. Es ist deshalb richtig, dass sich unsere Sicherheitsbemühungen nicht nur auf die Bereiche Sicherheit und Digitales beschränken, vielmehr sind alle gefragt. Die Politik muss strenge und handhabbare Vorschriften machen. Die Regulierungsbehörden müssen diese dann vernünftig umsetzen und Standards durchsetzen. Und es braucht Unternehmen, die sich ihrer Verantwortung auch wirklich bewusst sind.

Dazu zählen zunächst einmal die Hersteller von Windenergieanlagen. Europäische Hersteller werden durch die NIS-Richtlinie adressiert. Klar muss sein: Jede Anlage, die gebaut wird, wird ja nicht nur bei uns in Betrieb genommen, sondern auch in anderen Ländern zugelassen. Das heißt, wir brauchen europäisch harmonisierte Standards. Die Sicherheitsstandards müssen für jede einzelne Komponente gelten. Eine Windenergieanlage besteht aus über 13 000 Teilen; sie sieht zwar nicht so aus, sondern eher wie ein Propeller mit einem Stamm. Selbst wenn wir die ganzen Schrauben und Platinen abziehen, bleiben noch eine ganze Menge Bauteile, die relevant für die Steuerung sind und damit den Betrieb stören oder verhindern können. Ich rede nicht von einer einmaligen Standardisierung, sondern von einem risikobasierten Ansatz über die gesamte Stromproduktion und die gesamte Lebensdauer. Denn wir alle wissen: Gerade im digitalen Bereich gibt es immer mehr Fortschritt, und Hacker und Gegenhack schaukeln sich gegenseitig hoch. Deswegen muss zu jedem Zeitpunkt klar sein, dass Bauteile und Updates sicher sind.

Es ist nur konsequent, dass Unternehmen Risikomanagement betreiben müssen. Es muss auch wirklich im Bewusstsein ankommen, dass nicht nur große Hersteller, sondern auch vermeintlich kleine und nicht so wichtige Betriebe Teil der kritischen Infrastruktur sind und genauso wichtig sind; denn auch ihre Dienstleistungen können ein Einfallstor sein. Da müssen wir wirklich aufpassen; das gilt zum Beispiel auch für Serviceanbieter. Am 12. April 2022 ist ein großer Servicedienstleister in Deutschland mit über 2 000 Mitarbeitern Opfer einer Cyberattacke geworden. Auch dort waren fast 8 000 Windkraftanlagen betroffen, und wiederum gab es kaum Ausfälle. Trotzdem hätte es ins Auge gehen können, wenn die Technologie selbst nicht so sicher gewesen wäre. Schauen wir mal auf die fossilen Energieerzeugungsanlagen: Wenn dort die Kommunikation attackiert wird, dann halten die nicht ohne Weiteres zwei Monate durch.

Kommen Sie bitte zum Schluss.

An diesem Beispiel zeigt sich, wie wichtig Cybersicherheitsmaßnahmen auch auf Unternehmensebene sind. Deswegen sollten wir sie im Rahmen des Net-Zero Industry Acts vorzeitig implementieren, damit wir sichergehen können, dass wir auch sicher bleiben.

In diesem Sinne ganz herzlichen Dank.

(Beifall bei der SPD sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN und des Abg. Dr. Lukas Köhler [FDP])

Die letzte Rednerin in dieser Aussprache ist Dr. Silke Launert für die CDU/CSU-Fraktion.

(Beifall bei der CDU/CSU)