Bundestag beschließt das IT-Sicherheitsgesetz
Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-Fraktion geänderten Fassung (18/5121) beschlossen. Ein Entschließungsantrag der Fraktion Bündnis 90/Die Grünen (18/5127) fand hingegen keine Mehrheit.
Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Tun sie dies nicht, droht ihnen entsprechend der beschlossenen Änderung der Regierungsvorlage ein Bußgeld. Ebenfalls neu eingefügt wurde in das Gesetz eine Evaluierung nach vier Jahren. Gleichzeitig werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Außerdem wird der Aufgabenbereich BSI nochmals erweitert.
Koalition und Opposition sind uneins
Im Verlauf der Debatte begrüßten Redner der Koalitionsfraktionen den Gesetzentwurf in der geänderten Fassung. Von einem „zukunftsweisenden Gesetz“ mit dem man Schrittmacher in Europa sei, sprach Stephan Mayer (CDU/CSU). Es sei im Verlauf der Beratungen ein guter Kompromiss erreicht worden, befand Gerold Reichenbach (SPD). Auch Bundesinnenminister Dr. Thomas de Maizière (CDU) begrüßte die durch das Parlament eingebrachten Änderungen.
Kritik gab es von Seiten der Opposition. Ein mehr an Sicherheit werde durch das Gesetz nicht erreicht, sagte Petra Pau (Die Linke). Dieter Janecek (Bündnis 90/Die Grünen) bemängelte, das Gesetz biete keinen Ansatz für präventive Maßnahmen und trage einen Titel, „der sein Versprechen nicht hält“.
Minister: Bundesamt soll Bundestag Hilfe anbieten
Cyber-Sicherheit diene dem Schutz der Wirtschaft, der Bürger und der Funktionsfähigkeit des Staates, sagte der Bundesinnenminister. „Da, wo wir handeln können, sollten wir es auch tun“, begründete er die Gesetzesinitiative. Es gelte, Schäden bei kritischen Infrastrukturen zu verhindern, da Schäden bei einem Betreiber zu Problemen für alle führen könnten.
Der Minister ging auch auf den Angriff auf die IT-Systeme des Bundestags ein. Da sich der Verdacht erhärtet habe, wonach ausländische Geheimdienste hinter der Attacke stehen, „bin ich dafür, dass das gesetzlich dafür zuständige Bundesamt für Verfassungsschutz seine Hilfe anbietet“.
Linke: Vieles bleibt ungeregelt
Es sei eine pure Selbstverständlichkeit, dass der Bundestag dem nach dem Gesetz zuständigen Bundesamt für Verfassungsschutz die Informationen, „die ihm nach Recht und Gesetz zustehen“ übermittelt, entgegnete Petra Pau, Bundestagsvizepräsidentin und Vorsitzende der IT-Kommission des Bundestages.
Genauso selbstverständlich sei es aber, dass das Bundesamt für Verfassungsschutz dem Bundestag seine Erkenntnisse zu dem Angriff übermittelt. Aufforderungen, der Bundestag solle doch bitte mit der Behörde kooperieren, seien für sie vor diesem Hintergrund unverständlich, machte Pau deutlich.
Was das Gesetz angeht, so bleibt aus ihrer Sicht vieles was geregelt werden sollte ungeregelt. „Übrig bleiben zwei Gewinner: der BND und der Verfassungsschutz.“ Ein Wettlauf der Geheimdienste schaffe aber nicht mehr sondern weniger IT-Sicherheit, sagte die Linke-Abgeordnete.
SPD: Mehr Pflichten für Telekommunikationsanbieter
Den Vorwurf, mit dem Gesetz würden lediglich die Geheimdienste gestärkt, wies Gerold Reichenbach (SPD) zurück. „Darauf kann man nur kommen, wenn man relativ früh beim Lesen des Gesetzentwurfes aufgehört hat und seinen alten ideologischen Katalog heraus geholt hat“, sagte er. Das Gesetz verstärke die Pflichten der Telekommunikationsanbieter und stärke auch das BSI. Mit mehr Aufklärung der Öffentlichkeit solle zudem ein weiterer Beitrag zu mehr IT-Sicherehit geleistet werden.
Reichenbach betonte, der Bundestag habe im Verlaufe der Beratungen zu dem Gesetz viele Anregungen von Experten aufgenommen. So seien die Untersuchungsbefugnisse des BSI und die Zweckbindung der Datennutzung klarer gefasst worden. „Den Mutmaßungen der Opposition, die Daten könnten auch für andere Interesse verwendet werden, ist ein klarer gesetzlicher Riegel vorgeschoben worden“, betonte er. Reichenbach nannte die erzielten Änderungen einen guten Kompromiss innerhalb der Koalition. Die SPD, so machte er deutlich, hätte sich jedoch eine stärkere Unabhängigkeit des BSI vom Bundesinnenministerium gewünscht.
Grüne: Deutschland ist ein Entwicklungsland
Mit Blick auf die angegriffenen IT-Systeme des Bundestags nannte es Dieter Janecek (Bündnis 90/Die Grünen) „ganz schön peinlich“, ein IT-Sicherheitsgesetz zu verabschieden, dass bei anderen für IT-Sicherheit sorgen soll, „es selber aber nicht hinzubekommen“.
Zugleich bemängelte er, dass das Informationsbedürfnis der Abgeordneten in den letzten Wochen und Monaten nicht erfüllt worden sei. Für Janecek ein Beleg dafür: „In Sachen IT-Sicherheit ist Deutschland ein Entwicklungsland.“ Die „marginalen Änderungen“, die der Regierungsentwurf erfahren habe, änderten nichts daran, dass das Gesetz zu spät komme und nicht ausreichend sei, sagte er. So sei weiterhin der Schutz der Bürger vor Ausspähung nicht vorgesehen. Außerdem fehle es an Aufklärung im Bereich der kleinen und mittelständischen Unternehmen.
CDU/CSU: Ein zukunftsweisendes Gesetz
Stephan Mayer (CDU/CSU) widersprach Janeceks Einschätzung. Mit Blick auf die derzeit noch zu erarbeitenden EU-weiten Regelungen zur IT-Sicherheit sei Deutschland kein Entwicklungsland sondern ein Schrittmacher, sagte Mayer und sprach von einem zukunftsweisenden Gesetz. Als „herausragend“ bewertete der Unionsabgeordnete den kooperativen Ansatz des Gesetzes.
Den Betreibern kritischer Infrastrukturen werde nicht von oben aufoktroyiert, was sie zu tun und zu lassen hätten. Vielmehr würden sie intensiv in die Erarbeitung der Mindeststandards eingebunden. Was die Kritik an der ausbleibenden Nennung der konkret betroffenen Infrastrukturen angeht, so sagte Mayer, es sei richtig, in einer Verordnung branchenspezifische Schwellenwerte festzulegen „und dies auch im Gesetz entsprechend deutlich zu machen“. (hau/12.06.2015)