Um 9 Uhr beginnen die zweite und dritte Beratung des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme”, des IT-Sicherheitsgesetzes (ITSG). Wir schreiben live mit und haben das Wichtigste zusammengefasst.

Zusammenfassung

Die Debatte verlief erwartbar. Mitglieder von Grünen und Linke wiesen auf Kritikpunkte im Gesetz hin, die wir bereits heute Morgen im Wesentlichen zusammengefasst haben. Mitglieder der CDU lobten sich insbesondere für den „kooperativen Ansatz”, bei dem Wirtschaft und BSI zusammenarbeiten sollen, um Sicherheitsvorfälle zu melden und zu analysieren.

Was an der Debatte auffiel: In beinahe jedem Redebeitrag wurde ein Bogen zum aktuellen Angriff auf die IT des Bundestags geschlagen. Der zeigt nämlich zum einen die Dringlichkeit einer Verbesserung, zum anderen auch die aktuelle Handlungsunfähigkeit und Überforderung von Verwaltung und BSI, den Vorfall unter Kontrolle zu bringen.

Die Opposition referenzierte häufig auch auf die Debatte zur Vorratsdatenspeicherung und mahnte an, dass ein Gesetz zur Erhöhung der IT-Sicherheit und eine anlasslose, massenhafte Speicherung von Kommunikationsdaten im Widerspruch zueinander stünden. Einigkeit herrschte weitgehend in dem Punkt, das BSI müsse unabhängig(er) vom Innenministerium werden. Ein Punkt, der außerhalb des ITSG geregelt werden muss.

Wie abzusehen war, wurde das Gesetz mit der Mehrheit der Regierungsfraktion angenommen. Unser Fazit fällt kurz aus und Petra Sitte hat es in ihrem Redebeitrag lobenderweise vorweggenommen:

Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden.

De Maizière – Innenminister, CDU/CSU (09:02 Uhr)

IT-Sicherheit, Cyberwar, Cyberdefense, Marketing-Wörter. Es gibt kein Big Bang, keine einzige Maßnahme. Lösungen Schritt für Schritt angehen. ITSG ist wichtiger Schritt Richtung IT-Sicherheit.

Cybersicherheit ist IT-Sicherheit. Härtung und Schutz der System. Verhinderung und Verfolgung von Cyberkriminalität. Demokratischer Rechtsstaat hat im Internet nicht mehr und nicht weniger Rechte als außerhalb.

Unternehmen schützen, Wirtschaftsstandort Deutschland ist gefährdet. Cybersicherheit dient Schutz von Bürgern, Innovation, Staat.

Kritische Infrastrukturen schützen. „Die bei denen, wenn sie ausfallen, es für uns kritisch wird.”

Wir wissen, Melden ist peinlich, deshalb soll nicht alles öffentlich gemeldet werden.

Es gibt ein physisches deutsches Netz, das soll das ITSG schützen. Es gibt eine europäische Richtlinie, NIS, die ist dem ITSG nachgebildet. Das ist IT-Sicherheit made in Germany.

Wir haben keine Zeit zu verlieren.

Ist auch wichtig für Industrie 4.0 und Digitalisierung. Wird nicht ohne IT-Sicherheit funktionieren. Beispiel: Selbstfahrende Autos…

Bundestag wird heute das Gesetz verändern, äh verbessern. Hard- und Softwarehersteller werden einbezogen, BSI gestärkt, wird Sanktionen geben. Es bleibt beim „kooperativen Ansatz”. ITSG will kooperatives Verhältnis von Staat und Wirtschaft bei Entwicklung, Aufklärung, Meldung.

Thema Angriffe auf den Bundestag: Bundesregierung und Bundesverwaltung haben physisch getrenntes Netz. Lösung von bestimmtem ausländischen Betreiber nicht mehr akzeptiert. IT-Konsolidierung. Das Schutzschild, das BReg und BVerw gezogen haben, funktioniert ziemlich gut und das BSI hilft uns dabei. Bei Bundestagsangriff ist es gut, dass das BfV seine Hilfe auch anbietet.

ITSG ist EIN wichtiger Rechtsrahmen, ein nächster wird folgen. Nächste Woche evtl. Beginn Trilog zur EU-Datenschutzgrundverordnung, die auch für mehr Sicherheit in der IT sorgt.

Digitale Verwundbarkeit hat auch mit digitaler Sorglosigkeit zu tun. Noch so gute Gesetze ohne „Sicheres Fahren” im Netz gehen nicht. Anschnallgurt-Vergleich. Wenn man unsicher fährt, kommt es trotzdem zu Unfällen. Eigenverantwortung der Bürger.

Zwischenruf: Auch die sichern, die sich ordentlich verhalten!

Absolut!

Halte viel davon, dass wir uns Versicherungslösungen anschauen.

Petra Pau – Linke (09:17 Uhr)

ITSG ist längst überfällig. Linke will gute IT-Sicherheit, aber es liegt ein Schatten über dem Gesetz: NSA-Affäre. Bisher größter Angriff auf Bürgerrechte und Rechtsstaat in der BRD. Weniger IT-Sicherheit ist kaum denkbar. Bundesregierung entschied sich für null IT-Sicherheit.

Seltsamkeiten im Gesetzesentwurf. Zwei Gewinner: BND und BfV. Wettlauf der Geheimdienste schafft nicht mehr IT-Sicherheit, sondern weniger. Deshalb sagen wir nein. Es ist pure Selbstverständlichkeit, dass Informationen dem BfV übermittelt werden müssen und der Bundestag diese auch übermittelt. Auch selbstverständlich, dass BfV bei Bundestagsangriff hilft. Verstehe nicht die Pappkameraden, die gefordert haben, der Bundestag solle kooperieren.

IT-Sicherheit ist mehr als Innenpolitik. Für Linke hätten zwei Strukturveränderungen Vorrang: BSI aus Innenministerium lösen, zur ressortübergreifenden Bundesbehörde machen. Klare Qualitätsansprüche, finanzielle und personelle Mittel. BfDI weiter aufwerten. Bis hin zu einem Vetorecht.

Haben erlebt: Bei Anhörung zu VS-Gesetz wurde BfDI schlicht ignoriert. B90/Grüne haben Veränderungsantrag vorgelegt, Ablehnung Regierungsentwurf. Linke schließt sich an. Ein schlechtes Gesetz schafft nicht mehr Sicherheit im digitalen Zeitalter.

Gerold Reichenbach – SPD (09:23)

Heute wissen nur noch Computer, in welchem Regal sich Waren befinden. Störung hätte zur Folge, dass niemand mehr zugreifen kann. Waren wären noch da, niemand würde sie finden. Störungen können sich über Stunden und Tage hinwegziehen. Schutz kritischer Infrastrukturen ist elementar für Aufrechterhaltung des Staatswesens. Verbindliche Mindestanforderungen setzen. Unternehmen sollen sich und andere nicht schädigen.

Vorwurf, es handele sich um Meldegesetz. Stimmt nicht. Verstärkt die Pflichten der Telkos, stärkt BSI. Mehr Aufklärung in Bevölkerung soll helfen, BKA bekommt mehr Kompetenzen bei Cyber-Kriminalität. Experten-Anhörung, GroKo hat wichtige Anregungen aufgenommen. In EU wird gerade NIS beraten. Änderungsanträge: Bußgelder bei Verstößen, sonst wie Parkverbot ohne Bußgeld. Entspricht dem kooperativen Ansatz des Gesetzes.

BSI kann das nicht alleine lösen, braucht Kooperationen mit den Unternehmen. Fehlende Mitwirkungspflicht von Zulieferern kritisiert. Ist aber erstmal vertraglich zu regeln, klappt aber bei Monopolen und Streitigkeiten nicht. Deshalb hat BSI nun Anforderungsbefugnis, Unternehmen muss bei Beseitigung von Sicherheitslücken mithelfen.

Zweckbindung klarer gefasst: Abwehr von Gefahren der IT-Sicherheit des Bundes, Wartung und Warnung, Aufgaben BSI nach BSI-Gesetz – nichts mehr.

Wenn man aber in Verschwörungstheorie annimmt, dass die Gesetze nicht eingehalten werden, brauchen wir gar keine Gesetze mehr machen.

Standards, die für Wirtschaft gelten, gelten auch für alle Bundesbehörden. Auch Bundesverwaltung.

Stärkere Unabhängigkeit des BSI wäre notwendig, hätte aber die Komplexität des Gesetzes zu hoch gemacht. Änderungsantrag der Grünen ist wie Wunschzettel für alles Digitale. Rasante Entwicklungen in IT-Branche, deshalb soll Gesetz nach vier Jahren wissenschaftlich evaluiert werden. Erster Schritt, werden uns mit weiteren Themen beschäftigen müssen. Finde Versicherungslösungen sympathisch, brauchen aber klare Haftungsregelungen. Debatte geht weiter.

Überzeugt, dass wir mit ITSG einen richtigen und wichtigen Schritt getan haben. Linke ist immer noch ein bisschen in der Vergangenheit, denn in der digitalen Welt ist die Null von der Information gleichwertig der Eins.

Dieter Janecek – Grüne (09:37 Uhr)

Bundestagsangriff zeigt, man schafft es nicht, IT-Sicherheit hinzukriegen. MdBs haben Informationsbedürfnis, das wurde nicht befriedigt.

Im Änderungsantrag wurden Fehler nicht beseitigt. Außerdem VDS: Justizminister legt verfassungswidriges Gesetz vor. Wenn bei ITSG dasselbe, man kann nicht einfach ein Gesetz mit Hacker-Meldezentrale etablieren. Schutz der BürgerInnen ist überhaupt nicht vorgesehen, Aufklärung fehlt. Dialog mit Wirtschaft und Behörden fehlt, deswegen sind wir heute so anfällig. Interessant, dass sich Wirtschaft und Banken dazu geäußert haben, man solle die vom Gesetz Betroffenen erweitern.

Auch lobende Dinge: Änderungsantrag bringt Bewegungen in die richtige Richtung. Zum Beispiel Bußgelder. Aber nur bei tatsächlichem Schaden. Kein Meldeanreiz.

Rolle des BSI: Wir haben auf die SPD gesetzt in Punkto Unabhängigkeit. Wenig geblieben.

In Zeiten von NSA und Snowden bringt das kein Vertrauen, wir haben Vorschläge gemacht, die in die richtige Richtung gehen. Penetrationstest, dynamisches Prüfen.

Wir lehnen das Gesetz ab, da kein präventiver Ansatz, Titel hält Versprechen nicht.

Stephan Mayer – CDU/CSU (09:43)

Leben nicht mehr denkbar ohne funktionierende IT-Infrastruktur. Aber auch Abhängigkeit steigt. Richtig und wichtig, dass ITSG so stringent vorangetrieben wurde. BSI geht davon aus, dass bundesweit mehr als 1 Mio. Rechner Teil eines Botnetzes sind. Angeblich jeden Tag 300.000 neue Varianten von Schadprogrammen.

Geht um Bereiche der Daseinsvorsorge. Mindeststandards schaffen für Betreiber von KRITIS. Kooperativer Ansatz ist herausragend. Betreiber werden intensiv mit eingebunden vom zukünftigen Meldezentrum des BSI. Nicht jede Störung muss mit Klarnamen gemeldet werden, wegen Prangerwirkung. Nur die, die erheblich sind und zu Ausfall bzw. Funktionsbeeinträchtigung führen.

Telkos werden verpflichtet, dass Kunden informiert werden, wenn die Infrastruktur eines Kunden schadhaft ist. Darüber hinaus Erlaubnis für BSI, IT-Produkte auf Sicherheit überprüfen zu können.

Nicht einfach gemacht. Sachverständigenanhörung, Gespräche mit Betroffenen und anderen Vertretern der Community. Änderungsantrag mit Verbesserungen. BSI gestärkt. Nicht nur für Ressortbereich des BMI zuständig, sondern auch für alle anderen Bundesbehörden. Mitwirkungspflicht für Hersteller von Software und Hardware.

Umstritten sind Sanktionsmöglichkeiten. Nicht dazu da, die Wirtschaft zu gängeln. Gesetz darf aber kein zahnloser Tiger sein, Störungen müssen wirklich gemeldet werden. Sanktionen auch in EU-NIS-Richtlinie vorgesehen.

Fassungslos wie rasant die Entwicklung ist, deshalb Evaluierung nach vier Jahren. Klare Vorgaben, welches Unternehmen zu KRITIS gehört und welches nicht. Deshalb branchenspezifische Schwellenwerte. Gesetz ist ein wichtiger Schritt nach vorne, Etappenerfolg, sicher nicht das Ende.

Deutschland ist mit ITSG Schrittmacher auf europäischer Ebene. IT-Sicherheit kann nie an den Grenzen enden.

Petra Sitte – Linke (09:52)

Gesetz definiert KRITIS nicht, das soll eine Verordnung regeln. Das bedarf einer Überarbeitung. Angenommen, Bundestag ist auch KRITIS. Parlament ohne sicheres Datennetz ist ziemlich aufgeschmissen. Trotz aller Bemühungen hat es einen Angriff gegeben, Daten sind abgeflossen, Netz ist kompromittiert.

Nach ITSG: Der Fall müsste gemeldet werden. Anbieter müssen an Prävention, Aufklärung und Beseitigung arbeiten. IuK-Kommission bemüht sich, Abgeordnete wollen Wiederherstellung der Arbeitsfähigkeit. Angriffe wie in den letzten Tagen gegen die IuK-Kommission gehen vollkommen an der Sache vorbei. Keine Belege für Zweifel an der Vorsitzenden der IuK-Kommission.

Zu Aufklärung gehört vor allem Transparenz. Bereits im Prozess. Wird wohl noch Monate dauern. IT-Angelegenheiten dürfen keine Black Box sein. Brauchen offene Software, offene Prozesse und offene Kommunikation. Hilft besser als Geheimniskrämerei.

Kompetenzerweiterung BfV und BND: Geheimdienste wirken bei IT-Unsicherheit mit, sind eher ein Sicherheitsrisiko. Tiefe Vertrauenskrise, daher kein Wunder, dass eine Firma nicht ihre Datenlecks mit den Geheimdiensten teilen will, die anderen bei Wirtschaftsspionage helfen.

Vorgelegtes ITSG ist eher Geheimdienst-Aufbaugesetz. Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden. [Danke für die Blumen!]

Metin Hakverdi – SPD (09:58)

ITSG ist wichtig für Industrie 4.0., Risiko für Industrie steigt. Digitalisierung unserer Industrie darf nicht zur Achillesferse werden. Für Sicherheit sorgt nicht die Technik allein.

Anbieter dürfen Daten sammeln. Balance zwischen Freiheit und Sicherheit ist ständiger Abwägungsprozess. Muss man sorgfältig sein. Unterschiedliche Speicherdauern können nicht gerechtfertigt werden. „In der Kürze liegt die Würze”, besonders bei Datenspeicherung. Lege Telkos den Grundsatz der Datensparsamkeit ans Herz.

Kompetenzzuwachs bei BSI ist heikel. Nicht sicher, ob Anbindung BSI ans BMI berechtigt ist, da es von anderen Protokolldaten einsehen kann. Kommt darauf an, wie das BMI die Anwendung legt. BSI zur unabhängigen Behörde ausbauen.

IT-Sicherheit ist eine Daueraufgabe, muss auch bei rechtlichem Rahmen auf der Höhe der Zeit sein.

Renate Künast – Grüne (10:05 Uhr)

Selten war eine Debatte so tagesaktuell. Zitat: „Das BSI sei zu Ergebnis gekommen, dass Netz des BT nicht mehr verteidigt werden könne und aufgegeben werden müsse.”

Wir haben eine Schlacht verloren gegen eine Cyberattacke. Aber wie reagieren wir? Wir wissen nicht mal, gegen wen wir die Schlacht verloren haben. Wir wissen nicht, warum, haben aber eine Ahnung, dass der Bundestag nicht ordentlich aufgestellt war. Gesetz ist dem Problem nicht angemessen.

ITSG ist selbst mit Änderungen nicht angemessen, geht von altem IT-Verständnis aus. Als ob es hilft, dass jemand 10.000 Euro zahlen muss, wenn er seiner Meldepflicht nicht nachgekommen ist.

Finde, altes IT-Verständnis ist so ein bisschen Mittelalter und aus Snowden wurde nichts gelernt. Wir sind ja nicht mal in der Lage zu wissen, was Nullen und Einsen materiell bedeuten.

Wie muss Infrastruktur aussehen, wie können wir uns schützen? Meldepflicht bringt da nichts. Wir müssen uns mit Thema des Prozesses auseinandersetzen. Reicht nicht, den neuesten Stand der Technik zu „berücksichtigen”. Man muss zwingen, Standards einzuhalten. Szenarien zur Gefahrenlage herstellen, stündlich und täglich neu.

In USA: Nicht durch Sanktionen getrieben, Unternehmen stellen Teams auf, bei denen die einen ständig angreifen und andere verteidigen. Dafür haben sie in ihrem technokratischen Gesetz [ITSG] null Angebot. Keine Erwähnung des Grundrechtes des Schutzes auf Vertraulichkeit und Integrität von IT-Systemen.

Bei Thema VDS schon wieder Massen an Daten speichern. Beide Gesetze zueinanderdenken. Erst Meldepflicht, dann zentrale Speicherung der Kommunikationsdaten aller Bürger. Gesetz hat kein Angebot für Sicherheit.

Mein Vorschlag: Legen sie beide Gesetze weg. Open Source nutzen, Sicherheitslücken nicht verstecken. Fangen sie endlich an, mit kreativer Analyse und Durchspielen von Gefahren Sicherheit zu schaffen.

Clemens Binninger – CDU/CSU (10:13 Uhr)

De Maizière hat gesagt: Netz des Bundes hat stabiles Schutzschild durch BSI. Verhindert Angriffe wie im Bundestag. Jeden Monat 90.000 Zugriffe auf infizierte Server. Jede Woche 15–20 hochkomplexe Angriffe, jeden Tag mind. einer mit ND-Hintergrund.

Muss Eindruck haben, dass Opposition bei Bundestagshack seine eigene Suppe kochen will. Beschreibt das Problem: Kein Lagebild über Bedrohung in der Industrie. Müssen Mindeststandards vorgeben.

Wer fällt unter ITSG? Große Stadtwerke. Bundesregierung, Ressortprinzip wird aufgehoben, BSI gibt Standards vor, einheitliche Sicherheitsmechanismen. Wichtiger Beitrag zu IT-Sicherheit des Bundes.

Meldepflicht und Bußgelder verhindern zahnlosen Tiger, bringen kooperative Mitarbeit. Meldepflicht für Bundesverwaltung gibt es seit 2010 für jeden IT-kritischen Angriff.

Wir lassen Unternehmen zwei Jahre Zeit zur Umsetzung. Konkretes wird in Verordnung geregelt. Gemeinsam mit BSI, Unternehmen, Verbänden. Sehr gutes, kluges Vorgehen. Großer, wichtiger Beitrag zur IT-Sicherheit. Beginn bei besonders heiklen Bereichen.

Christina Kampmann – SPD (10:20)

Sicherheit spielt in Rhetorik eine große Rolle. In IT wurde das lange vernachlässigt. Gut, dass wir das geändert haben.

Gesetz dürfte noch weiter gehen, aber ist ein guter Anfang. Änderungsantrag der Grünen hat nicht mehr viel mit IT-Sicherheit zu tun.

Industrie 4.0, selbstfahrende Autos, Cloud,…

Digitalisierung funktioniert nicht, wenn nicht Maximum an Sicherheit. Gibt staatlichen Handlungsauftrag.

Ohne Meldepflichten unklare Gefährdungslage, so kann man Gefahr nicht begegnen. Brauchen Unternehmen, die in ihre IT-Sicherheit investieren. Jeder einzelne Cent lohnt sich, sonst wird es am Ende noch teurer. Gesetz muss mehr sein als Vorgabe für KRITIS – Anstoß für gesamtgesellschaftliche Debatte zu IT-Sicherheit, die ist längst überfällig.

Hat Änderungen gegeben. Manche aber außen vor geblieben: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen, technikgestützter Datenschutz, größere Unabhängigkeit des BSI.

Angriffe werden immer zahlreicher und komplexer. Deshalb gut, dass Bund und Hersteller mit in die Pflicht genommen werden. Wichtig, über kooperativen Ansatz hinauszugehen.

Erhebliche Verbesserungen, wir meinen es ernst, haben heute einen entscheidenden Schritt getan. Wir von der Koalition.

Hätte mir auch Verpflichtung zur Verschlüsselung vorstellen können. $Fußballvergleich.

Wir sind in der sicherheitspolitischen Champions League angekommen.

Hansjörg Durz – CDU/CSU (10:31)

Aktuelle Vorgänge zeigen, IT-Sicherheit ist verwundbar. Letzter BSI-Bericht hat gezeigt, dass dynamische Gefährdungslage entsteht, wir werden immer anfälliger.

Hier setzt ITSG an. Erforderlich, IT-Sicherheitsniveau zu erhöhen. Gibt freiwillige Initiativen. Freiwilligkeit allein hilft, besonders bei KRITIS, nicht aus. Bewusstsein wird oft erst geweckt, wenn Schaden eingetreten ist.

Widerstandsfähigkeit KRITIS muss erhöht werden, Deutschland hat Vorreiterrolle in IT-Sicherheit.

Kluge Philosophie des kooperativen Ansatzes: Beteiligung von Unternehmen und Sanktionsmechanismus mit Kontrolle.

Mehr an Sicherheit ist automatisch mehr an Sicherheit für die Wirtschaft. Meldesystem ist alles andere als Einbahnstraße. Unternehmen bekommen auch Rückmeldung über andere Vorfälle. „Privilegiertes Meldesystem”.

Weiterer Mehrwert für Unternehmen sind IT-Mindeststandards. Bietet Orientierung und Rechtssicherheit.

Weitere Verbesserung: Einbindung der Softwarehersteller.

Kritik aus Wirtschaft, schwer den Kreis der Betroffenen festzulegen. Zunächst Sektoren und Branchen definiert. Reicht nicht, ist kompliziert.

Kollaborativer Ansatz ist wegen Dynamik genau richtig. Parlamentarier sollten in die Verordnung miteinbezogen werden. Sicherheit ist ein dynamischer Prozess. Koalition macht einen klugen und großen Schritt für Stabilisierung der IT-Sicherheit.

Marian Wendt – CDU/CSU (10:39)

John Wayne sagte beim Sieg über Cyberterroristen: „Jippie-ja-yeah!”

In Realität weniger Action, aber die Auswirkungen sind genauso gefährlich wie im Film dargestellt. Stille Fachleute, sitzen oft in Kellern, hochgesicherten Anlagen, Bunkern. Lob und Anerkennung für diese Menschen.

Erfolgreiche Angriffe: Regin, Stuxnet, andere Angriffe. Anzahl der Angriffe schwer abschätzbar.

Nutzer sind durch Verhalten mitverantwortlich bei IT-Sicherheit. Haben sie schon mal auf einen Link auf einer Schmuddelseite angeklickt, PIN auf die Bankkarte geschrieben? Schon steht man vor den Scherben einer Sicherheitspolitik. Man würde den Kampf gegen Cybercrime verlieren.

Problem ist, dass Nachlässigkeit Einzelner andere gefährdet.

Parallele zum Impfen in der IT-Sicherheit, brauchen weitere Debatte und Aufklärung. Initiative Deutschland sicher im Netz. ITSG ist ein entscheidender Schritt. Klare Rolle des BSI ist großer Erfolg. Aber trotzdem: ITSG nur ein Mosaikstein in der Bekämpfung von Cybercrime.

Ich möchte fast sagen: „Jippie-ja-yeah!”

Abstimmung Gesetzentwurf

Gesetz mit Mehrheit der GroKo angenommen.

Abstimmung Entschließungsantrag der Grünen

Entschließungsantrag abgelehnt.