Bundestagsrede von Dieter Janecek 20.03.2015

IT-Sicherheitsgesetz

Als nächster Redner hat der Kollege Dieter Janecek von Bündnis 90/Die Grünen das Wort.

Dieter Janecek (BÜNDNIS 90/DIE GRÜNEN):

Sehr geehrte Frau Präsidentin! Liebe Frau Kampmann, der Vergleich mit Arminia Bielefelds Rolle im DFB--Pokal reizt mich nun schon ein bisschen. Sie wollen die IT-Sicherheit international voranbringen, wie das auch Kollege Mayer gesagt hat. Aber Champions League ist das noch lange nicht.

(Beifall der Abg. Britta Haßelmann [BÜNDNIS 90/DIE GRÜNEN])

Das, was Sie hier vorlegen, ist im Gegenteil eher Kreisklasse.

(Heiterkeit und Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Kommen wir zum Schutz unserer digitalen Infrastruktur. Die SPD ist bei diesem Thema noch nicht so lange dabei, aber die Union beschäftigt sich damit schon seit zehn Jahren.

Sie sind mit diesem Thema in der Tat überfordert. Es hat zwei Jahre vom ersten Referentenentwurf – damals noch unter Innenminister Friedrich – bis heute gedauert. Wie bei der digitalen Agenda insgesamt, kann man auch hier feststellen: Es ist wahrlich kein großer Wurf. Es ist eine konsequente Fortsetzung Ihres Klein-Kleins der digitalen Agenda.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Das, was Sie hier vorlegen, ist ein Gesetzentwurf zur Simulation von IT-Sicherheit.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Ja!)

Das, was wir aber brauchen, ist ein wirkungsvolles Regelwerk, ja sogar ein dynamisches Regelwerk, auf dem Sie aufbauen und die IT-Sicherheit tatsächlich verbessern können.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Ihr Ziel ist es doch, die kritische Infrastruktur zu schützen. Sie nehmen die Wirtschaft in die Pflicht – dabei unterstützen wir Sie –, stellen aber an die eigene kritische Infrastruktur des Bundes nur sehr geringe Anforderungen. Da kann ich die Kritik aus der Wirtschaft schon verstehen, die da lautet: Das, was ihr von uns verlangt, würden wir gerne auch bei euch sehen. – Das aber liefern Sie nicht.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Bei 50 Milliarden Euro liegt nach Schätzungen der Schaden der deutschen Volkswirtschaft durch Cyberattacken. Der Bundeswirtschaftsminister stellt zu Recht fest, dass gerade in Kleinbetrieben Bedenken bei der Datensicherheit die Digitalisierung hemmen. Jetzt frage ich Sie allerdings: Welchen Beitrag also leistet Ihr vorgelegter Gesetzentwurf? Wird mit diesem Gesetzentwurf der Wirtschaft geholfen, mit der Gefahr von Cyberangriffen besser umzugehen? Die Antwort ist eindeutig Nein. Enthält der Gesetzentwurf wirksame Instrumente, die die Unternehmen zur Verbesserung der IT-Sicherheit benötigen? Auch das ist nicht der Fall. Hilft der Gesetzentwurf insbesondere den kleinen und mittleren Unternehmen bei der Digitalisierung? Auch das ist noch weniger der Fall.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Sie verlieren sich in Ihrem Gesetzentwurf in Unklarheiten. Das geplante IT-Sicherheitsgesetz wird in dieser Form keinen Beitrag zur Steigerung der IT-Sicherheit in Deutschland leisten. Ich sage Ihnen auch, warum. Ihr Gesetzentwurf schreibt zwar eine Meldepflicht bei IT-Sicherheitsvorfällen vor. Es bleibt aber völlig unklar, was mit diesen Meldungen passiert. Das Bundesamt für Sicherheit in der Informationstechnik kann sich durch die Dokumentationspflicht ein Lagebild über die IT-Sicherheit verschaffen. Das ist vorgesehen. Die Frage ist allerdings: Was passiert mit diesen Daten? Die Frage ist auch: Welche Planungs- und Rechtssicherheit geben Sie den Unternehmen?

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Schauen wir uns einmal die Begrifflichkeiten an: Der „Stand der Technik“ solle berücksichtigt werden, heißt es in § 8 a Absatz 1 Ihres Gesetzentwurfes. „Erhebliche Störungen“ sollen gemeldet werden, so § 8 b Absatz 4. Von „kritischer Infrastruktur“ ist in § 1 die Rede. All diese Begriffe sind unklar definiert. An diesem Gesetzentwurf lässt sich überhaupt nicht erkennen, welche Unternehmen von der Meldepflicht überhaupt betroffen sind.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)

Alles in allem – die Liste ließe sich noch lange fortsetzen –: So viel Unklarheit hilft Unternehmen bei der IT-Sicherheit nicht weiter. Dass Unternehmen und ihre Verbände Meldepflichten kritisieren, ist natürlich wenig überraschend. Dennoch stellt sich hier schon die Sinnfrage: Wo ist denn hier der direkte Beitrag zur Verbesserung der IT-Sicherheit? Tragen die vorgesehenen verschärften Berichtspflichten tatsächlich dazu bei, das IT-Sicherheitsniveau von Unternehmen zu verbessern? Der Schwerpunkt Ihres Gesetzentwurfes müsste doch vielmehr auf der Behebung von und dem vertrauensvollen Austausch über IT-Sicherheitslücken und -Schwachstellen liegen. Das tut er eben nicht.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

Sie bieten auch keinen Anreiz, Angriffe möglichst früh zu identifizieren und dadurch Schaden abzuwenden. Im Gegenteil: Sie schaffen eine Meldebürokratie, deren Verwertung, Analyse und Bereitstellung unklar bleiben.

Liebe Kolleginnen und Kollegen, die aktuelle Bundesregierung und die Vorgängerregierung waren beim Thema IT-Sicherheit jahrelang im Dämmermodus. Jetzt sind Sie endlich aufgewacht. Das ist gut so; da stimme ich auch Herrn Korte zu, da gehen wir in eine Richtung.

Die Herausforderungen sind komplex; das ist keine Frage. Der vorgelegte Gesetzentwurf überzeugt aber nicht, weder inhaltlich noch konzeptionell; denn er hilft nicht, die Herausforderungen in der IT-Sicherheit zu bewältigen. Der Schutz kleiner und mittelständischer Unternehmen und der Privatuser vor Cyberangriffen bleibt dabei außen vor. Das kann uns nicht zufriedenstellen. Deshalb: Wenn Sie Champions League sein wollen, dann machen Sie endlich Ihre Hausaufgaben. Auf unsere konstruktive Begleitung dabei können Sie sich verlassen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der LINKEN)

4394935