Armin Schuster: Ein IT-Sicherheitsgesetz haben wir bereit 2015 gemacht

Frau Präsidentin! Meine sehr verehrten Damen und Herren! Ich darf zunächst einmal in von Notz’scher Sprache sagen: Teile Ihrer Rede waren echt voll krass.

(Heiterkeit und Beifall bei der CDU/CSU)

Das hat mit dem Inhalt Ihres Antrags gar nicht viel zu tun gehabt. Den finde ich nämlich sehr umfangreich – sehr fleißig –, und es stört mich, dass ich nur fünf Minuten darüber reden darf; denn er verdient eigentlich mehr.

Sieben Seiten in Schriftgröße 8: Ich habe mich im Gegensatz zu Ihnen wirklich durchgearbeitet. Sie haben wenig dazu gesagt. Deswegen, meine Damen und Herren von den Grünen, will ich Ihnen an fünf Punkten erklären, welches Schicksal diesen Antrag trotzdem ereilen wird.

Ich habe dies in zwei Kategorien aufgeteilt. Kategorie 1: wirklich gute Ideen in die richtige Richtung, drei Jahre zu spät.

Erster Punkt. Sie fordern eine neue IT-Sicherheitspolitik. Wir haben in der Großen Koalition – ich verstehe, dass Sie gerne mitgemacht hätten; aber das ging nun einmal nicht – eine Digitalisierungsstrategie und einen Nationalen Pakt Cybersicherheit gerade frisch vereinbart. Das ist ein ganz konkreter Vorschlag, aus dem hervorgeht, wie wir uns in diesem Land auf die neuen Bedrohungen einstellen. Aber das sind keine Bedrohungen, die von der Regierung ausgehen. Jedenfalls müssen sie beherrscht werden; dazu komme ich gleich noch.

Zweiter Punkt, das IT-Sicherheitsgesetz. Sie fordern ein IT-Sicherheitsgesetz. Ein solches Gesetz haben wir bereits 2015 gemacht. Damit sind wir Trendsetter in Europa, ich vermute: sogar im Rest der Welt. Wir werden überall gelobt. Ich gebe zu, dass der Fokus allein auf den kritischen Infrastrukturen liegt. Aber das war im ersten Schritt das Maximale, was wir im Einklang mit denjenigen, die davon betroffen sind, machen konnten. Nun kommt GroKo III. Was haben wir vereinbart? Was steht im Koalitionsvertrag? Ein IT-Sicherheitsgesetz 2.0!

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Dann mal los!)

Auch wir wollen fortschreiben. Sorry, aber Ihr kommt ein bisschen spät. Wir wollen mehr Unternehmen, mehr Mittelstand und auch mehr Behörden in die Sicherheitsstrukturen einbeziehen. Ich sage ganz klar: Aus meiner Sicht wird die Sicherheit in der IT – das haben viele Unternehmen noch nicht verstanden – zu dem entscheidenden Qualitätsmerkmal in der deutschen Wirtschaft, aber auch in den Behörden werden. Deshalb lässt sich im Koalitionsvertrag die Formulierung „Security by Design“ finden. Aufgabe des Staates ist es, den Unternehmen klarzumachen, dass Design und Entwicklung künftig das Thema Sicherheit in der IT qualitativ berücksichtigen müssen. Das alles haben wir drauf; das müsst ihr noch lernen. Wir machen das vielleicht beim nächsten Mal zusammen.

Dritter Punkt. Sie fordern Standardisierung. Was macht das Bundesamt für Sicherheit in der Informationstechnik? Es ist die deutsche Trendbehörde, die in engster Zusammenarbeit mit dem DIN, dem Deutschen Institut für Normung – seit Jahrzehnten ein Erfolgsinsti­tut –, längst das Gütesiegel ISO 27001 entwickelt hat, um unter starker deutscher Beteiligung die Standardisierung europaweit und international zu einem Markenzeichen zu machen. Die Kooperation von BSI und DIN ist hervorragend. Ich hoffe, dass wir das fortsetzen werden. Auch hier sind wir Ihnen weit voraus. Sie haben die Ideen, wir die Lösungen.

Zweite Kategorie. Wo sind wir nicht einig? Erstens. Das BSI wegen des Grundrechtsschutzes aus dem BMI herauszuoperieren, ist ungefähr so, als ob man Fastfood essen würde, um schlank zu werden. Entschuldigung, aber das Bundesinnenministerium ist unser Bürgerministerium, unser Gesellschaftsministerium, unser Sicherheitsministerium und vor allen Dingen unser Grundrechtsministerium. Es ist das Verfassungsressort. Das BSI dort herauszuholen, ist aberwitzig; denn nur dort lässt sich Grundrechtsschutz schaffen. Wir wollen das BSI zu einer nationalen Cybersicherheitsbehörde ausbauen, zu einer unabhängigen, neutralen IT-Beratungsstelle für Bürger, Wirtschaft und Verwaltung.

(Beifall bei der CDU/CSU)

Es war von Ihnen eine ganz schlechte Idee, uns in den Bereichen IT, Digitalisierung und Sicherheit anzugreifen. Da sind wir im Koalitionsvertrag wirklich super stark.

(Dr. Konstantin von Notz [BÜNDNIS 90/DIE GRÜNEN]: Davon kann sich niemand etwas kaufen, Herr Schuster!)

Zweitens. In Zeiten der Bedrohungen, die Sie hier skizziert haben – bis hin zum Cyberkrieg –, auf eine aktive Abwehr verzichten zu wollen, bedeutet, dass sich die angeblich modernen Grünen noch im Zeitalter des mittelalterlichen Festungsbaus befinden. Man kann doch solche Bedrohungen nicht allein durch das Bauen von Firewalls beherrschen. Unsere Auffassung ist ganz klar – dazu werden wir Ihnen Vorschläge machen, die Sie quälen werden –: Ja, wir brauchen eine aktive Cyberabwehr. Das heißt, ich will gestohlene Daten zurückholen können. Ich will sie beim Angreifer löschen können. Ich will seinen Server übernehmen und ihn als Ultima Ratio abschalten können.

(Beifall bei der CDU/CSU)

Wer das nicht will, kann nicht glauben, dass die Bedrohungen wirklich so groß sind. Aber das sind sie tatsächlich. Es schreit einem aus allen Sicherheitsbehörden entgegen: Schutz der Bürger, der Wirtschaft und der Verwaltung in den Bereichen IT und Digitalisierung! Wir sind da absolut gesehen nicht spitze, aber relativ gesehen sind wir in Europa und der Welt nicht schlecht.

Vizepräsidentin Claudia Roth:

Herr Schuster, jetzt schreie ich Ihnen entgegen: Ihre Redezeit ist krass überzogen.

(Heiterkeit)

Armin Schuster (Weil am Rhein) (CDU/CSU):

Aber es ist noch kein Skandal.

Vizepräsidentin Claudia Roth:

Nein. Sie dürfen natürlich noch Ihre Rede zu Ende bringen.

Armin Schuster (Weil am Rhein) (CDU/CSU):

Nein, jetzt haben Sie mich völlig – –

Vizepräsidentin Claudia Roth:

Jetzt habe ich Sie rausgebracht.

(Heiterkeit)

So einfach geht es; gut. – Vielen Dank, Herr Schuster.