Bundestagsrede von Dieter Janecek 12.06.2015

IT-Sicherheitsgesetz

Dieter Janecek (BÜNDNIS 90/DIE GRÜNEN):

Sehr geehrter Herr Präsident! Sehr geehrter Herr Minister! Sehr geehrter Herr Reichenbach, danke für die Einführung in die binäre Logik.

(Heiterkeit – Gerold Reichenbach [SPD]: Offensichtlich muss das einer ja mal tun!)

Das können wir dann später noch ausführen. Aber jetzt einmal ernsthaft.

Das Computernetz des Deutschen Bundestages ist, wie wir seit circa 36 Stunden wissen, wohl zumindest in Teilen nicht mehr zu retten. Machen wir uns doch einmal ehrlich: Wir als Parlament und auch Sie als Bundesregierung, als Koalition stehen ganz schön peinlich da, wenn wir, wenn Sie heute über ein IT-Sicherheitsgesetz beraten, das den Anspruch hat, anderen – den Betreibern kritischer Infrastruktur – IT-Sicherheit zu gewährleisten, wir das aber selber, Sie das aber selber nicht hinkriegen. Das ist ein Widerspruch, den Sie nicht auflösen können.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN – Michael Grosse-Brömer [CDU/CSU]: Das sind wir aber alle, glaube ich! Oder?)

Auch wir als Abgeordnete haben ein Informationsbedürfnis, das in den letzten Wochen und Monaten nicht gerade erfüllt worden ist. Wir haben im Ausschuss Digitale Agenda des Deutschen Bundestages Forderungen gestellt, ob wir einen Bericht bekommen können über das, was seit Wochen passiert. Wenn jetzt in den Medien geschrieben wird, dass die Verantwortung, wie ich heute in der FAZ lesen darf, bei den Abgeordneten liegt, weil die vielleicht USB-Sticks in den Bundestag eingeführt haben, dann sage ich: Es ist richtig, dass 50 Prozent der IT-Sicherheitslecks entstehen, weil Menschen nicht verantwortungsbewusst handeln. Es ist aber auch richtig, dass die Bundesrepublik Deutschland in Sachen IT-Sicherheit ein Entwicklungsland ist. Auch das beweist die heutige Debatte.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN – Thomas Jarzombek [CDU/CSU]: Selbst bei den Russen haben sie eingebrochen!)

Ich komme zum Gesetzentwurf. Der Gesetzentwurf, den wir heute in zweiter und dritter Lesung behandeln, kommt mit marginalen Änderungen daher. Die vielen Mängel am ersten Gesetzentwurf, die von vielen Seiten benannt wurden, haben Sie kaum korrigiert. Sie kommen Jahre zu spät, und in der Reichweite ist das Ganze kläglich. Es passt auch gut in den Kontext der Debatten, die wir führen.

Vorratsdatenspeicherung. Der Bundesjustizminister legt jetzt ein offensichtlich verfassungswidriges Gesetz vor.

(Thomas Strobl [Heilbronn] [CDU/CSU]: Woher wissen Sie denn das?)

Das kann man ja nur begrüßen. Vielleicht ein geschickter Schachzug, mit dem verhindert werden soll, was kaum noch aufzuhalten ist? Sie können beim IT-Sicherheitsgesetz nicht genauso vorgehen, in einem Bereich, wo wir es mit einem dynamischen Prozess – Herr Minister, das Internet ist dynamisch; deswegen kann man darauf nicht rein bürokratisch reagieren – zu tun haben. Sie können mit diesem Gesetz nicht einfach eine Hackermeldezentrale etablieren. Das ist das, was am Ende übrig bleibt. Sie können auch nicht all das ignorieren, was Sie nicht vorsehen: dass es zum Beispiel auch um den Schutz der Bürgerinnen und Bürger geht,

(Gerold Reichenbach [SPD]: Wie weit haben Sie das Gesetz gelesen? Haben Sie es überhaupt gelesen?)

dass es zum Beispiel auch darum geht, dass BITKOM sagt, dass nicht einmal die Hälfte von gut tausend befragten Unternehmen Festplatten oder andere Datenträger verschlüsseln, dass Sie also Aufklärung betreiben müssen, gerade bei den mittelständischen Unternehmen. Sie halten im Wirtschaftsministerium eine Plakatserie zur IT-Sicherheit bereit – ich glaube, sechs Plakate kann man dort bestellen –: Das ist alles schön und gut, aber der intensive Dialog mit der Wirtschaft, auch mit den Behörden, hat über die Jahre nicht stattgefunden. Deswegen sind wir heute so anfällig. Das ist auch ein Versagen, das Sie zu verantworten haben.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Es ist ja auch ganz interessant, dass sich Teile der Wirtschaft, wie der Bankenverband, mit einer Stellungnahme zu diesem Gesetzentwurf geäußert und die Empfehlung abgegeben haben, das Gesetz auf weitere systemrelevante Player zu erweitern. Es kommt auch nicht alle Tage vor, dass Unternehmensverbände umfassende Regulierung anmahnen.

Wieso schaffen Sie es nicht – das ist ein Vorschlag, den auch wir machen –, zentrale IT-Anlaufstellen einzurichten, die speziell KMUs bei der Schaffung einer hohen und zeitgemäßen IT-Sicherheit unterstützen? Es sollte so sein, dass die Unternehmen zu diesen Anlaufstellen kommen können und ihnen gesagt wird: Wir helfen konkret aus einer Hand. – Das ist ein Vorschlag, den auch Professor Kagermann von der ACATEC jüngst bei uns im Ausschuss Digitale Agenda erhoben hat.

Ich will auch ein paar lobende Dinge sagen. Mit dem von der Großen Koalition vorgelegten Änderungsantrag hat es durchaus Bewegung in die richtige Richtung gegeben. Sie sehen Bußgelder, das heißt das Instrument der Sanktionen, vor. Das Problem ist aber: Wenn Sie ein Bußgeld für Unternehmen verhängen – das kann bis zu 100 000 Euro gehen –, wird es nur dann fällig, wenn die betreffende Störung tatsächlich zum Schaden führt. Welchen Anreiz bieten Sie damit? Sie geben nicht den Anreiz, dass entsprechende Fälle gemeldet werden. Also, auch das passt nicht zusammen, auch das ist nicht zielführend.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN – Gerold Reichenbach [SPD]: Stimmt doch gar nicht! Sie müssen lesen!)

Es fehlt bei Ihnen einfach die Anreizmotivation für die Unternehmen. Und weil die eben fehlt, können Sie auch nicht die entsprechenden Maßnahmen durchführen, die wir brauchen.

Ich komme jetzt – Herr Reichenbach hatte darauf abgehoben – zur Rolle des BSI. Wir haben durchaus auf die SPD gesetzt. Sie haben immer wieder die Unabhängigkeit des BSI proklamiert und gefordert, das BSI aus der Verantwortung des BMI herauszunehmen. Das ist jetzt liegen geblieben wie anderes auch. Es ist ein grundlegender Konstruktionsfehler des Gesetzes, wenn Sie einerseits dem BSI eine zentrale, gewichtige Rolle zuweisen, andererseits aus dem BSI aber kein unabhängig gestelltes Bundesamt machen. Das ist unsere Forderung. In die Richtung müssen Sie gehen. Solange Sie das nicht tun, verfolgen Sie auch nicht den richtigen Ansatz.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie der Abg. Dr. Petra Sitte [DIE LINKE])

Liebe Kolleginnen und Kollegen, in Zeiten von NSA und Snowden sorgt all das, was Sie vorlegen – auch das, was wir gerade erleben –, nicht gerade für Vertrauen aufseiten der Bürger und auch nicht aufseiten der Unternehmen. Wir haben in unserem Entschließungsantrag Vorschläge gemacht, die in die richtige Richtung gehen.

Schaffen Sie positive Anreize für die Wirtschaft, ihre IT-Sicherheitskonzepte stetig und proaktiv fortzuentwickeln und zu pflegen! Setzen Sie einen IT-Sicherheitsansatz um, der möglichst auf der unabhängigen Auditierung und Zertifizierung von Produkten und Verfahren, also auf sogenannten Penetrationstests, basiert!

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Denn es macht doch keinen Sinn, dass Sie nur auf Meldungen setzen und nicht dynamisch prüfen. Sie müssen dynamisch prüfen. Das Internet ist dynamisch, die Bürokratie ist bürokratisch. Das muss zusammengehen; aber das kommt in diesem Gesetz nicht zusammen.

Ich komme zum Schluss. Wir lehnen das von Ihnen vorgelegte Gesetz ab, da es keinen Ansatz für präventive Maßnahmen bietet. Sie schaffen damit keine Sicherheit bei Wirtschaft, Verwaltung und Bevölkerung. Das Gesetz trägt einen Titel; es hält aber dieses Versprechen nicht. Deswegen lehnen wir dieses Gesetz ab.

Vielen Dank.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

4395714