Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Knapp 1 000 gemeldete Cyberangriffe in Deutschland pro Tag, das zeigt die Polizeiliche Kriminalstatistik 2024. Die Dunkelziffer wird als weitaus höher geschätzt. Krankenhäuser müssen Operationen verschieben, und ganze Lieferketten brechen zusammen. Die Menschen erhalten Briefe, dass ihre vermeintlich sicheren Daten von einem Datenleck betroffen sind. Sie warten auf dringend benötigte Sozialleistungen, weil sich die Stadtverwaltung seit Monaten von einer Attacke holen muss. Auch die Wirtschaft ist nicht ausreichend geschützt. 2024 entstanden 180 Milliarden Euro Schaden allein in Deutschland. Und was machen wir? Lange Zeit anscheinend ziemlich dösig schlafen; denn die EU-Frist zur Umsetzung von NIS 2 war der 18. Oktober 2024. Genau deswegen müssen wir heute über diesen Gesetzentwurf reden.
Also ja, NIS 2. Nun steht hier ein Umsetzungsgesetz einer EU-Richtlinie zur Debatte, die generell vieles besser machen könnte. Erhöhte Sicherheitsstandards sollen für etwa 30 000 Unternehmen gelten – auf jeden Fall wesentlich mehr als bisher. Deswegen: Schön, dass jetzt ein Gesetzentwurf dafür vorliegt und davor auch eine Verbändeanhörung stattfand. Aber was kam dabei heraus? Ausgerechnet der Staat selbst versucht, sich aus der Cybersicherheit zurückzuziehen. Einen IT-Grundschutz mit Gesetzesrang gibt es nur noch für das Bundeskanzleramt und die Bundesministerien, nicht aber für die übrige Bundesverwaltung. Auch der Hinweis in der Gesetzesbegründung auf untergesetzliche Anforderungen für die Verwaltung ist recht fadenscheinig. Die betreffenden Umsetzungspläne, beispielsweise für den Bund, sind nicht mehr als eine Leitlinie. Sorry, aber das ist keine Cybersicherheit, das ist digitales Klassenrecht.
(Beifall bei der Linken)
Der nächste Knüller: Selbst diese laschen Anforderungen sollen dem BSI erst nach fünf statt nach drei Jahren nachgewiesen werden. Mit dynamischer Fehlerkultur und Lernprozessen hat das herzlich wenig zu tun. Und das, obwohl die Bundesverwaltung bei Vernachlässigung nicht einmal die Bußgelder fürchten muss, die anderen Bereichen bei Verstößen auferlegt werden! Sind wir hier bei „Wünsch dir was“? Anscheinend schon, mit Ausnahme von Cybersecurity; denn da würde ich mir persönlich ganz andere Maßnahmen wünschen. Das ist unverantwortlich und auch arrogant und das Gegenteil einer vertrauensbildenden Maßnahme für die Menschen, für die Betroffenen in diesem Land.
(Beifall bei der Linken)
Und dann erklären Sie mir bitte auch mal, wieso Sie den Personalbedarf für die Umsetzung von IT-Sicherheit im vorliegenden Gesetzentwurf plötzlich nur noch halb so hoch einschätzen wie vorher kalkuliert. Da sind wir doch schon wieder bei den fundamentalen Ansätzen, an denen gesägt wird. Und da reden wir noch nicht mal davon, was von dem benötigten Geld sich dann auch wirklich im Haushalt wiederfindet. Aber das kennen wir ja schon: Rotstift bei ziviler Sicherheit, und Smileys hinter Aufrüstungsposten setzen. Wirklich großartig! Daran scheint auch noch nicht einmal der alarmierende Bericht des Bundesrechnungshofes zur Cybersicherheit des Bundes etwas zu ändern. Wirklich hart daneben!
(Beifall bei der Linken)
Aber das Schlimmste kommt ja erst noch: All die Mängel, die schon der ursprüngliche Gesetzentwurf hatte, wurden nicht beseitigt. Es sind so viele; ich greife mal drei Themen raus.
Erstens: schwammige Begriffe wie „wichtige“ und „besonders wichtige“ Einrichtungen. Und das eng verbundene KRITIS-Dachgesetz bringen Sie nicht parallel auf den Weg. Also leider wieder nichts mit Synchronisierung! Wenn Sie sich hier also wieder mit „schlank“ und „unbürokratisch“ loben: Dieses Geschreibsel namens NIS-2-Umsetzungsgesetz ist das Gegenteil davon. Es ist voller Schlupflöcher, Glaskugelbegriffe, und die Beratungsindustrie wird sich über zahlreiche kostspielige Aufträge freuen. Wirklich hervorragend kosteneffizient!
(Beifall bei der Linken)
Zweitens. Länder und Kommunen bleiben außen vor. Dabei erleben die Menschen gerade auf diesen Verwaltungsebenen Dysfunktion und Datenabfluss durch fehlende IT-Sicherheit. Wie passt das zusammen? Wie schon bei der Bundesverwaltung höre ich immer: Das Geld fehlt, die qualifizierten Leute fehlen. – Aha. So sieht das also aus, wenn Herr Dobrindt, wie er sagt, im Kampf gegen Cyberattacken massiv aufrüsten will. Das ist kein brillanter Plan für Sicherheit; das ist digitales Glücksspiel. Der Einsatz sind unsere Infrastruktur, unsere Daten und unsere Zukunft. Wie scheinheilig ist das bitte?
(Beifall bei der Linken sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)
Drittens. Die Türen bleiben offen für das Geheimhalten von IT-Schwachstellen und staatlichem Hacken. Der Grund: Dem Bundesamt für Sicherheit in der Informationstechnik, BSI, kommt bei der Cybersicherheit in NIS 2 eigentliche eine Schlüsselfunktion zu, doch es bleibt gefangen in einer Doppelrolle. Es soll IT-Sicherheit stärken. Gleichzeitig hat es aber Pflichten zur Unterstützung von Polizeien und Geheimdiensten bei deren Aufgaben. Bedeutet also: IT-Schwachstellen im Zweifel nicht melden, sondern für Überwachungszwecke geheim halten. Sie lösen das im vorliegenden Gesetzentwurf wie? Ganz einfach: Sie schieben die fragliche Passage § 3 Absatz 1 des BSI-Gesetzes mal eben von Nummer 13 auf Nummer 18. Das war’s. Das Problem bleibt einfach drin. Nicht einmal das Urteil des Bundesverfassungsgerichts von 2021 zum notwendigen Schwachstellenmanagement lässt bei Ihnen den Alarm schellen; auch das fehlt in Ihrem Entwurf.
(Filiz Polat [BÜNDNIS 90/DIE GRÜNEN]: Hört! Hört!)
Als Gipfel wollen Sie auch noch unterbinden, dass das BSI Kenntnis über die Anzahl durch Geheimdienste geheim gehaltener IT-Schwachstellen erhalten darf. Nicht mal die Anzahl! So ist dem BSI also nicht mal eine grobe Einschätzung möglich. Unfassbar! Das kann und darf einfach nicht die Rolle des BSI sein oder gar bleiben. Und das ist auch sicher nicht die Intention der NIS-2-Richtline.
Digitale Sicherheit ist ein Grundrecht, Daseinsvorsorge und eine Voraussetzung für Vertrauen in der Demokratie. Sie gehört uns allen: nicht nur den Konzernen, nicht nur den Ministerien und erst recht nicht dem Lobbyismus. Cybersecurity heißt: gleiche Regeln, gleiche Rechte, gleiche Verantwortung. Alles andere gefährdet schlicht und ergreifend unsere Demokratie. Denn: Unsere digitale Zukunft ist nur so stark wie ihr schwächstes Glied, und dieses Gesetz darf nicht dafür sorgen, dass genau das der Staat selber ist.
(Beifall bei der Linken sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)
Fazit. Erst eine EU-Richtlinie nur mit Minimalprogramm umzusetzen, sie im Bundeskabinett noch mal weiter zu verkleinern und auch noch die Intentionen der NIS-2-Richtlinie für IT-Sicherheit bewusst zu unterwandern, ist erstaunlich kurz gedacht. Das gefährdet unser Allgemeinwohl und die hoheitliche Integrität, und das auch noch bei einem so zentralen Thema wie der IT-Sicherheit. Ich bin tief enttäuscht.
Danke.
(Beifall bei der Linken)