Cyber-Angriff : In eigener Sache

Der Totalschaden ist nicht eingetreten - der Cyber-Angriff auf das IT-System des Bundestags aber noch nicht vollständig abgewehrt. So in etwa lässt sich die Information von Bundestagspräsident Norbert Lammert (CDU) an die Abgeordneten nach der Ältestenratssitzung vergangenen Donnerstag zusammenfassen. Zwar müsse in Teilen das IT-System neu aufgesetzt werden, doch sei das "nach derzeitigen Kenntnisstand" nicht mit einem Austausch der Hardware verbunden, schrieb Lammert. Einen Tag später verabschiedete der Bundestag ein Gesetz, mit dem die IT-Sicherheit "kritischer Infrastrukturen" verbessert werden soll. Für süffisante Kommentare in den Medien war damit schon mal gesorgt - ganz nach dem Motto: Wer den Schaden hat ...

Kritik von Lammert Da sich auch mehrere Bundestagsabgeordnete zu dem Thema medial eingelassen hatten und unter anderem über mangelnde Informationen geklagt hatten, fand Lammert vor der Abstimmung über das IT-Sicherheitsgesetz deutliche Worte. Alles was die Sicherheitsstruktur des Bundestages angeht, habe man gemeinsam beschlossen, sagte der Bundestagspräsident. "Mir ist auch kein Streit darüber in Erinnerung." Im Übrigen säßen in der Kommission des Ältestenrates, die sich mit der Aufklärung des Vorfalls befasst "sachkundige" Mitglieder aller Fraktionen. Manch öffentliche Äußerung erschließe sich ihm nicht, da auch im Ältestenrat "keine einzige Fraktion Kritik an der Arbeit der IT-Kommission oder der Bundestagsverwaltung geäußert hat".

Im Verlauf der Debatte spielte der Angriff auf das Datennetz des Parlaments nur eine untergeordnete Rolle. Bundesinnenminister Thomas de Maizière (CDU) verwies auf ausländische Geheimdienste, die offensichtlich hinter der Attacke stünden. Angesichts dessen sei er dafür, "dass das gesetzlich dafür zuständige Bundesamt für Verfassungsschutz seine Hilfe anbietet".

Dagegen hat auch Petra Pau (Die Linke), Bundestagsvizepräsidentin und Vorsitzende der IT-Kommission des Bundestags, im Grunde nichts einzuwenden. Es sei eine pure Selbstverständlichkeit, dass der Bundestag dem nach dem Gesetz zuständigen Bundesamt für Verfassungsschutz die Informationen, "die ihm nach Recht und Gesetz zustehen" übermittelt. Genauso selbstverständlich müsse es aber sein, dass der Verfassungsschutz dem Bundestag seine Erkenntnisse zu dem Angriff übermittelt. Aufforderungen, der Bundestag solle doch bitte mit der Behörde kooperieren, seien für sie vor diesem Hintergrund unverständlich, machte Pau deutlich.

Was das Gesetz angeht, das am Ende mit den Stimmen der Koalition in der durch den Innenausschuss geänderten Fassung (18/4096, 18/5121) angenommen wurde, so bleibt aus ihrer Sicht vieles, was geregelt werden sollte, ungeregelt. "Übrig bleiben zwei Gewinner: der BND und der Verfassungsschutz." Ein Wettlauf der Geheimdienste schaffe aber nicht mehr sondern weniger IT-Sicherheit, sagte die Linken-Abgeordnete.

Den Vorwurf, mit dem Gesetz würden lediglich die Geheimdienste gestärkt, wies Gerold Reichenbach (SPD) zurück. "Darauf kann man nur kommen, wenn man relativ früh beim Lesen des Gesetzentwurfes aufgehört hat und seinen alten ideologischen Katalog herausgeholt hat", sagte er. Tatsächlich erweitere das Gesetz die Pflichten der Telekommunikationsanbieter und stärke das BSI.

Reichenbach betonte, der Bundestag habe im Verlaufe der Beratungen zu dem Gesetz viele Anregungen von Experten aufgenommen. So seien die Untersuchungsbefugnisse des BSI und die Zweckbindung der Datennutzung klarer gefasst worden. "Den Mutmaßungen der Opposition, die Daten könnten auch für andere Interessen verwendet werden, ist ein klarer gesetzlicher Riegel vorgeschoben worden", betonte er. Reichenbach nannte die erzielten Änderungen einen guten Kompromiss innerhalb der Koalition. Die SPD, so machte er deutlich, hätte sich jedoch eine stärkere Unabhängigkeit des BSI vom Bundesinnenministerium gewünscht.

Mit der Rolle des BSI zeigte sich auch Dieter Janecek (Grüne) unzufrieden. Es sei ein Konstruktionsfehler des Gesetzes, dass dem BSI eine zentrale Rolle zugewiesen werde, ohne es zu einem unabhängig gestellten Bundesamt zu machen. Nicht zuletzt deswegen gelangte er zu der Feststellung: "In Sachen IT-Sicherheit ist Deutschland ein Entwicklungsland." Die "marginalen Änderungen", die der Regierungsentwurf erfahren habe, änderten nichts daran, dass das Gesetz zu spät komme und nicht ausreichend sei, sagte er. So sei weiterhin der Schutz der Bürger vor Ausspähung nicht vorgesehen. Außerdem fehle es an Aufklärung im Bereich der kleinen und mittelständischen Unternehmen.

Kooperativer Ansatz Stephan Mayer (CSU) widersprach Janeceks Einschätzung. Mit Blick auf die derzeit noch zu erarbeitenden EU-weiten Regelungen zur IT-Sicherheit sei Deutschland kein Entwicklungsland, sondern ein Schrittmacher, sagte Mayer und sprach von einem zukunftsweisenden Gesetz. Als "herausragend" bewertete er den kooperativen Ansatz des Gesetzes. Den Betreibern kritischer Infrastrukturen werde nicht von oben aufoktroyiert, was sie zu tun und zu lassen hätten. Vielmehr würden sie intensiv in die Erarbeitung der Mindeststandards eingebunden. Was die Kritik an der ausbleibenden Nennung der konkret betroffenen Infrastrukturen angeht, so sagte Mayer, es sei richtig, in einer Verordnung branchenspezifische Schwellenwerte festzulegen "und dies auch im Gesetz entsprechend deutlich zu machen".