Wahlprüfsteine zur Bundestagswahl 2025

Anlässlich der am 23.02.2025 bevorstehenden Bundestagswahl haben wir die Gelegenheit genutzt und alle im Bundestag vertretenen Parteien gebeten, unsere Wahlprüfsteine zu beantworten.

Folgender Text wurde am 22.12. an alle Parteien versendet:

Die Herausforderungen unserer Zeit rücken die Themen IT-Sicherheit, Resilienz und Krisenvorsorge in einen besonderen Fokus.
Wir haben uns, vor dem Hintergrund der knappen Zeit bis zur Wahl, auf wenige, aber spezifische, Fragen beschränkt.
Ergänzen Sie in Ihrer Antwort gerne inhaltliche Schwerpunkte, die Ihre Partei zusätzlich priorisieren möchte.

  1. Wie stehen Sie zu den Ausnahmen im Sektor „Staat und Verwaltung“ für Ministerien und Behörden auf Bundes-, Landes- und kommunaler Ebene in der Gesetzgebung zur Umsetzung der Richtlinie NIS2 sowie im KritisDG?
    Welche darüberhinausgehenden Maßnahmen wollen Sie ergreifen um die IT-Sicherheit an den genannten Stellen zu verbessern?
  2. Wie stehen Sie zu der Idee, eine Kritis-Verordnung für den Sektor Staat und Verwaltung zu erlassen?
  3. Teilen Sie die Einschätzung, dass dem Staat und seiner Verwaltung IT-Fachkräfte und IT-Fachkompetenz fehlen?
    Wie werden Sie die Personalentwicklung und Kompetenzbildung vorantreiben?
    Wie stehen Sie zu einer TVÖD-Reform, die die Gehaltsniveaus von IT-Fachkräften der marktwirtschaftlichen Realität annähert?
  4. Wie stehen Sie zur Reform des Computerstrafrechts um insb. ehrenamtlichen IT-SicherheitsforscherInnen Rechtssicherheit zu verschaffen?
    Werden Sie den vom BMJ begonnenen Reformprozess fortführen?
  5. Wie stehen Sie zur Forderung der Zivilgesellschaft nach mehr Unabhängigkeit für das BSI?
    Welche Konzepte für die Umsetzung dieses Ziels präferieren Sie?
  6. Teilen Sie die Einschätzung, dass Deutschland derzeit keine ausreichenden Bewältigungskapazitäten für Großschadenslagen, hervorgerufen durch Cybervorfälle, hat?
    Wie stehen Sie vor diesem Hintergrund zur Umsetzung des Konzepts „Cyberhilfswerk“ sowie der aktuell laufenden Machbarkeitsstudie im THW?

Die Antworten werden wir veröffentlichen. Wir haben um Antwort bis zum 15.01.2025 gebeten und werden danach die erhaltenen Antworten bereitstellen.

Foto von Mika Baumeister auf Unsplash

Stellungnahme „Hackerparagraph“ für Verbändeanhörung im Justizministerium

Nachdem die AG KRITIS auch zu den Symposien zum Reformbedarf im Computerstrafrecht eingeladen waren, hat das BMJ auch die AG KRITIS aufgefordert, zum Referentenentwurf eine Stellungnahme im Rahmen der Verbändeanhörung einzureichen.

Unser Gesamturteil lässt sich vielleicht folgendermaßen zusammenfassen: Obwohl der gewählte Ansatz im strafrechtlichen Bereich die Rechtssicherheit der IT-Sicherheitsforschenden deutlich verbessert, wurde nicht der bestmögliche Weg gewählt. Der gewählte Weg würde zwar dafür sorgen, dass IT-Sicherheitsforschende regelmäßig vor Gericht freigesprochen, oder das Verfahren eingestellt würde. Damit wäre aber die IT-SicherheitsforscherIn weiterhin dem Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware, sowie dem Aufwand des Führens eines Gerichtsprozesses ausgesetzt.

Da besonders die ehrenamtliche IT-Sicherheitsforschung unter fehlender Rechtssicherheit leidet, ist es aus unserer Sicht zumutbar, einen Weg zu wählen, der IT-Sicherheitsforschende entlastet, so dass es in der überwiegenden Anzahl der Fälle gar nicht erst zur Anklage kommt. Hier könnte man durch die Ergänzung eines Tatbestandsmerkmals im Strafgesetzbuch, dem Vorsatz zur Schädigung, die Erkundung ob es sich um ehrenamtliche IT-Sicherheitsforschung handelt, den ermittelnden Staatsanwaltschaften auferlegen. Ein eingetretener Schaden, wie z.B. die erfolgte Verschlüsselung von Festplatten, im Falle von Ransomwaregruppen (organisierter Kriminalität) macht dann diese Ermittlung wiederrum unnötig, so dass sich die Frage nach dem Vorsatz einer Schädigung des Opfers nur stellt, wenn es sich höchstwahrscheinlich um gemeinnützige und gutgläubige IT-Sicherheitsforschung handelt. Obwohl dies einen Mehraufwand darstellt, halten wir es für verhältnismäßig und geboten, diesen den Gerichten aufzuerlegen, denn die IT-Sicherheitsforschenden sollen als gesellschaftliche Gegenleistung für Ihren wichtigen Einsatz, so wenig Prozessrisiko wie möglich ausgesetzt sein.

Die Chance dringend notwendige kleinere Änderungen an anderen Gesetzen, außerhalb des Strafgesetzbuchs, wurde durch den gesetzten Rahmen, nur das Strafrecht zu reformieren, von Anfang an nicht gewährt. In unserer Stellungnahme erläutern wir weitere Fehlstellen in anderen Gesetzen, außerhalb des StGB, bei denen ähnliche Ausnahmen, wie jetzt im Referentenentwurf vorgeschlagen, notwendig wären. Beispielsweise fordern wir Ergänzungen von IT-Sicherheitsforschungsausnahmen im Bereich des Abhörverbots im §5 des TDDDG, ebenso ist es notwendig im GeschGehG eine Ausnahme für die Meldung von IT-Sicherheitslücken zu schaffen.

Unsere Stellungnahme ging dem BMJ fristgemäß am 15.12.2024 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt

Foto von Tingey Injury Law Firm auf Unsplash

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten die öffentlich gewordenen Referentenentwürfe des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ bereit.

Über mehrere voneinander unabhängige Quellen wurden uns verschiedene Bearbeitungsstände des RefE NIS2UmsuCG zugespielt, so dass wir diese hier für den demokratischen Diskurs veröffentlichen.

Dem BMI ist durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien bedauerlicherweise untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses grundlegende Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI zumindest das Diskussionspapier veröffentlicht und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die uns zugespielt werden.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der NIS2UmsuCG Versionen:

02.12.2024 NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – Gesamtübersicht Formulierungshilfe) (221 Seiten)

02.12.2024 NIS2UmsuCG (Formulierungshilfe der Bundesregierung) (3 Seiten)

29.11.2024 NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – Gesamtübersicht Formulierungshilfe) (221 Seiten)

29.11.2024 NIS2UmsuCG (Formulierungshilfe der Bundesregierung) (3 Seiten)

25.11.2024 NIS2UmsuCG (Anwendung auf Bundesverwaltung) (2 Seiten)

02.10.2024 NIS2UmsuCG (Bundestagssentwurf) (210 Seiten)

16.08.2024 NIS2UmsuCG (Bundesratsentwurf) (225 Seiten)

22.07.2024 NIS2UmsuCG (verabschiedeter Regierungsentwurf) (208 Seiten)

19.07.2024 NIS2UmsuCG (212 Seiten)

24.06.2024 NIS2UmsuCG (200 Seiten)

24.06.2024 Vergleichsfassung zum Bearbeitungsstand 07.05.2024 10:19 (223 Seiten)

03.06.2024 Foliensatz des BMI (Referentenentwurf für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) (19 Seiten)

07.05.2024 NIS2UmsuCG (189 Seiten)

22.12.2023 NIS2UmsuCG (164 Seiten)

27.09.2023 Diskussionspapier des BMI (Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland) (58 Seiten)

03.07.2023 NIS2UmsuCG (146 Seiten)

03.04.2023 NIS2UmsuCG (243 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu NIS2UmsuCG Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu KRITIS Dachgesetz Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Offener Brief der OSBA – Forderung nach mehr Open Source in Staat und Verwaltung

Die Open Source Business Alliance (OSBA) hat einen offenen Brief an alle Bundestagsabgeordneten gerichtet, den auch die AG KRITIS unterzeichnet hat. Die AG KRITIS fordert die Einstufung der öffenlichen Verwaltung als kritische Infrastruktur im Sektor „Staat und Verwaltung“. Da sich die AG KRITIS auch für einen stärkeren Einsatz von Open Source Software im KRITIS-Bereich einsetzt, sehen wir große Überschneidungen zwischen dem offenen Brief und unserer Vorstellung wie sich die öffentliche Verwaltung strategisch entwickeln sollte.

Im offenen Brief bemängelt die OSBA die Tatsache, dass, obwohl die Bundesregierung in ihrem Koalitionsvertrag und der Digitalstrategie festgelegt hat, die digitale Souveränität zu stärken und Open Source Software zu fördern, der tatsächliche Anteil an Open Source Ausgaben bei Bundesprojekten seit 2021 trotzdem nur bei etwa 0,5 Prozent läge. Trotz einiger Leuchtturmprojekte zeige dies, wie stark die politischen Ziele und die Praxis auseinanderklaffen.

Die OSBA schlägt vor, ab einem zu bestimmenden Zeitpunkt nur noch quelloffene, frei nutzbare, anpassbare und überprüfbare Software aus staatlicher Hand zu entwickeln („Public Money, Public Code“) oder zu beschaffen. Ein solches „Zieldatum“ würde – ähnlich wie beim Kohleausstieg oder Verbrennerverbot – Verwaltung und Industrie Planungssicherheit geben und den ernsthaften Willen zu einer echten Open-Source-Transformation zeigen.

Die Forderungen der OSBA und die Forderungen der AG KRITIS bestätigen übereinstimmend die Notwendigkeit, digitale Souveränität durch Open Source in der staatlichen Verwaltung zu fördern.
Wir sind davon überzeugt, dass eine konsequente Abkehr von proprietären Systemen sowohl unsere Resilienz, als auch unsere digitale Souveränität steigern würde.

Der offene Brief der OSBA ist hier in voller Länge veröffentlicht:

Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten alle Referentenentwürfe des „Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557
und zur Stärkung der Resilienz kritischer Anlagen“, kurz KRITIS-Dachgesetz, bereit.

Das BMI hat in der Vergangenheit leider öfter mal versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen, daher muss die Zivilgesellschaft diesen Bug fixen.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der KRITIS-DachG Versionen:

06.11.2024 Gesetzesentwurf der Bundesregierung KRITIS-Dachgesetz (83 Seiten)

05.11.2024 Übersicht wesentliche Änderungen RefE KRITIS-Dachgesetz (5 Seiten, AG KRITIS generiertes PD aus dem Original)

05.11.2024 Übersicht wesentliche Änderungen RefE KRITIS-Dachgesetz (5 Seiten, Original Word Dokument)

05.11.2024 KRITIS-Dachgesetz (80 Seiten)

10.04.2024 KRITIS-Dachgesetz (82 Seiten)

21.12.2023 KRITIS-Dachgesetz (74 Seiten)

21.12.2023 Vergleichsversion – KRITIS-Dachgesetz (100 Seiten)

21.12.2023 Übersicht wesentliche Änderungen – KRITIS-Dachgesetz (9 Seiten)

17.07.2023 KRITIS-Dachgesetz (48 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Unsere Stellungnahme zum Referentenentwurf vom 21.12.2023 des KRITIS-Dachgesetz findet ihr hier:

 

Alle Veröffentlichungen zu NIS2 Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Schriftliche Stellungnahme zum Gesetzentwurf der Bundesregierung des NIS2UmsuCG vom 02.10.2024

Update auf v1.1 am 27.10.2024: Ergänzungen durch Feedback von den Mitgliedern der AG KRITIS als auch aus der Zivilgesellschaft.

Mit dem vorliegenden Referentenentwurf (Gesetzentwurf der Bundesregierung, Drucksache 20/13184) des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), kurz NIS2UmsuCG, wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsprüfung.

Mit dem neuen Referentenentwurf vom 02.10.2024 werden aus unserer Sicht keine wesentlichen Verbesserungen zu den bisherigen Referentenentwürfen erreicht und lediglich Defizite aufrechtgehalten.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 56 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 56 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei weiterhin keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Nachbesserungsbedarf beim Reformvorschlag zum Hackerparagraph

redaktioneller Hinweis: Der folgende Text ist nicht mehr aktuell. Der Text wurde weiterentwickelt und konkretisiert. Die aktuelle Version wurde für unsere Stellungnahme an das BMJ entwickelt und veröffentlicht, diese Version steht hier zur Verfügung Die alte Version bleibt aus Transparenzgründen hier erhalten.

Das BMJ hat in seinem Reformvorschlag zum Computerstrafrecht nicht die beste Wahl getroffen. Die Rechtsunsicherheit wäre mit diesem Gesetz, wie versprochen, endlich beseitigt, auch wenn sich die IT-Sicherheitsforschenden weiterhin Risiken aussetzen müssen.

Im Entwicklungsprozesses dieses Gesetzes veranstaltete das BMJ ein Symposium zum Reformbedarf im Computerstrafrecht, zu welchen verschiedene zivilgesellschaftliche Vertretergruppen, IT-Sicherheitsforscher aber auch Staatsanwälte und Ermittler eingeladen wurden. Auch HonkHase und Ijon haben teilgenommen.

Die beiden Möglichkeiten, Rechtssicherheit für IT-Sicherheitsforschende zu schaffen, die im Rahmen des Symposiums diskutiert wurden, waren:

  1. Computerstraftaten zu Vorsatzstraftaten zu machen. Ein Betrug ist z.B. eine Vorsatzstraftat. Damit ein Betrug als Betrug gilt, muss der Täter die Absicht gehabt haben, das Opfer zu betrügen. Das bedeutet, das ein anklageerhebender Staatsanwalt zumindest prüfen muss, ob es Indikationen für einen Vorsatz der Schädigung des Dritten gibt.
  2. Eine Ausnahme definieren, die unter bestimmten Umständen das Überwinden von Zugangshindernissen in fremde Computern straffrei definiert. Diese Umstände muss dann die angeklagte Person nach Anklageerhebung darlegen und wird dann freigesprochen.

Durch die vorgenommene Wahl des zweiten Ansatzes werden Staatsanwaltschaften entlastet – jedoch zum Nachteil der IT-Sicherheitsforschenden, die im Zweifel von Vernehmung bis Hausdurchsuchung und mit Monate- oder jahrelanger Beschlagnahmung von Computerhardware rechnen müssen, bevor es zum Freispruch kommt.

Wir fordern daher das Parlament auf, Computerstraftaten dieser Art zu Vorsatzstraftaten zu machen.

Um das Problem unnötiger Hausdurchsuchungen und Hardware-Beschlagnahmungen trotz Ausnahme-Regelung (2.) zu verhindern wird von einzelnen die Idee diskutiert, ein Register zu schaffen, in welchem proaktiv die Intention dokumentiert wird. Diese Idee lehnen wir ab, denn ein solches Register kann nicht verhältnismäßig sein. Nur die Daten die man nicht hat, kann man auch nicht verlieren.

In § 202a wird ein neuer Absatz 3 und 4 angefügt, welcher regelt, dass das Eindringen in fremde Systeme dann nicht unbefugt ist, wenn es zur Feststellung einer Sicherheitslücke erfolgt, welche dann gemeldet werden muss. Das Gesetz ist explizit und definiert als mögliche Meldestellen die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik.

Aus unserer Sicht fehlt in dieser Liste der Meldestellen mindestens die Bundes- und 16 Landesdatenschutzbeauftragten, sowie die auf Landesebene eingerichteten Zentralen Ansprechstellen Cybercrime (ZAC). Eine entdeckte IT-Sicherheitslücke ist regelmäßig auch Anlass zur Vermutung eines Datenabflusses durch Dritte. Der Fund der Lücke beweist, das andere diese auch hätten nutzen können. Es ist daher möglich, dass IT-Sicherheitsforschende nicht die Ursache (die IT-Sicherheitslücke), sondern den möglichen Datenabfluss melden und auch so ihr gutwilliges und gemeinnütziges Verhalten dokumentieren. Weitere Anregungen zur Vervollständigung der Liste der möglichen Meldeempfänger bietet das Cyber-Wimmelbild der Verantwortungsdiffusion, bereitgestellt durch die NGO interface

Ein Aspekt, der leider nicht im Rahmen des Symposiums vertiefend erläutert wurde, ist die Tatsache, dass IT-Sicherheitsforschung auch im Bereich von Funkübertragungen erfolgt. Hier steht der § 5 TDDDG sogar schon der Meldung an eine zuständige Behörde im Weg. Das Abhörverbot entstammt aus einer Zeit, als wirksame Verschlüsselungsgeräte im Bereich von Funkübertragungen unglaublich klobige Geräte waren, die mit Mobilität nichts gemein hatten und eigentlich nur in Gebäuden, Schiffen oder Flugzeugen montiert werden konnten.

Der Stand der Technik hat sich hier weiterentwickelt. Bei Funkkommunikation in sensitiven Bereichen (beispielsweise KRITIS generell, Staat und Verwaltung, unverschlüsselte personenbezogene Daten) ist verschlüsselte Kommunikation inzwischen die Norm. Dort wo trotzdem noch unverschlüsselt über Funk kommuniziert wird, ist dies ein Anlass zur Besorgnis und staatlicher Prüfung. Unsere Entdeckungen rund um die Möglichkeiten Energieerzeugungsanlagen und andere Anlagen über unverschlüsselte und unauthentifizierte Funkkommunikation zu steuern, zeigen das Problem auf, dass der Staat nicht ausreichend in der Lage ist, diese Problematiken zu prüfen. Zwar wird in manchen sensitiven Bereichen der Stand der Technik zumindest für privatwirtschaftliche Betreiber von KRITIS vorgegeben, in staatlichen Einrichtungen gibt es allerdings oft keine Vorgaben für Mindestsicherheitsstandards im Bereich der IT-Sicherheit.

Alleine in der letzten Woche (KW42/2024) sind beim BSI und den LfDIs Schwachstellenmeldungen zu mindestens 6 verschiedenen Funkschnittstellen von 6 Rettungsleitstellen eingegangen, bei denen personenbezogene Daten ungesichert über Funk übertragen wurden.

Der Empfang und die Kenntnisnahme solcher unverschlüsselter Kommunikation, mit dem Zweck der Meldung an die zuständige Behörde, muss legalisiert werden. Ein möglicher Ansatz wäre eine Adaption nach dem Wesensgehalt des neuen StgB § 202a (3) als neuen §5 (4) TDDDG.

Im Ref-E wurde bisher keine Änderung des §202c vorgesehen. Dieser Paragraph regelt das Verbot von Hackingwerkzeugen. Da allerdings dieser Paragraph auf den § 202a verweist, der geändert werden soll, ist uns derzeit noch unklar, welche Auswirkungen in dieser Konstellation befürchtet werden müssen.

Hackerparagraph: Stellungnahme der AG KRITIS zum Referentenentwurf Computerstrafrecht

redaktioneller Hinweis: Der folgende Text ist nicht die finale Stellungnahme. Die Inhalte aus diesem Text wurden in die dem BMJ zur Verfügung gestellten Version berücksichtigt. Die finale Stellungnahme an das BMJ steht hier zur Verfügung Diese ältere Version bleibt aus Transparenzgründen hier erhalten.

Der RefE Computerstrafrecht zum Hackerparagraph ist ein guter Anfang, aber er schützt die deutsche Sicherheitsforschenden Community unzureichend!

Die Sicherheitsforschenden sollen 3 Voraussetzungen erfüllen, damit sie sich nicht mehr strafbar machen:

  1. In der Absicht handeln, „eine Sicherheitslücke festzustellen“
  2.  Sicherheitslücke an Herstellende bzw. Betreibende oder BSI melden
  3.  Technisches Vorgehen muss „erforderlich sein, um eine Lücke festzustellen“

Wenn die Strafverfolger aufgrund einer Anzeige eine Hausdurchsuchung anordnen, alles einpacken (alle Computer, Handys und jede andere IT) und im Nachgang erst die Absicht vor Gericht besprochen wird, hilft das keinem Sicherheitsforschenden. Es ermutigt weitere dann auch nicht, Lücken zu melden und wir haben den alten Zustand wieder zurück.

Sicherheitsforschende möchten auch nicht nur direkte Sicherheitslücken oder Schwachstellen, sondern auch bemerkte (Funk-)Datenabflüsse ohne vorgenommene root-cause Analyse zur schnellen Behebung melden können. Daher müssen auch solche Szenarien explizit in Bezug auf die Definitionen aber auch in Bezug auf weitere Gesetzesänderungen, die der RefE nicht vorsieht, geklärt werden.

Straferhöhung von 3 auf 5 Jahre für „besonders schwere Fälle“ von IT-Straftaten, also zB wenn Hacker Kritische Infrastrukturen beeinträchtigen. Die Organisierte Kriminalität wird sich bei Ransomware-Erpressungen davon nicht beeindrucken lassen. Das Militär, die Geheimdienste, weitere staatliche Akteure und andere kriminelle Tätergruppierungen ebenso wenig.

Strafmaßerhöhungen bringen in diesen Fällen nichts und simulieren eine Verbesserung der Sicherheit, die nicht wirklich eintritt.

Des weiteren möchten Sicherheitsforschende sich nicht in einer Datenbank registrieren, um für unser aller Gemeinwohl zu sorgen.

Meldungen müssen an Betreibende, Herstellende und das BSI, wie im Entwurf vorhanden gemeldet werden können. Darünber Hinaus muss aber auch an alle anderen Behörden oder Aufsichten auf Bundes-, Landes- oder Kommunalebene Meldung, wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die Landesdatenschutzbeauftragten möglich sein.

Das „Abhörverbot“ gemäß § 5 TDDDG wurde nicht berücksichtigt und korrigiert. Diese Art von Problemen bleibt damit weiterhin bestehen:

Kurznachrichten Mitlesen leichtgemacht
https://ag.kritis.info/2024/10/10/kurznachrichten-mitlesen-leichtgemacht/

Datenabfluss bei Feuerwehr und Rettungsdienst
https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

Behördenfunk in Deutschland: Anspruch und Wirklichkeit
https://ag.kritis.info/2023/07/09/behoerdenfunk-in-deutschland-anspruch-und-wirklichkeit/

Es gab schon lange Forderungen, die unter anderem auch ijon und HonkHase als Mitglieder der AG KRITIS mitgezeichnet haben:
https://sec4research.de/forderungen

Auf dem 2. Symposium des BMJ waren ijon und HonkHase ebenfalls dabei, vorher wurde HonkHase in einer Expertenworkshop-Runde beteiligt und einbezogen:
https://fragdenstaat.de/anfrage/unterlagen-zu-symposien-zur-reform-des-computerstrafrechts/

Der RefE Computerstrafrecht ist unter anderem hier zu finden:
https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/#2024-10-22_BMJ_RefE_Computerstrafrecht

Kurznachrichten Mitlesen leichtgemacht

Digitale Mobilfunknetze sind seit den 1990er Jahren in Deutschland in Betrieb. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Die AG KRITIS wurde von Hinweisgebenden kontaktiert, denen es möglich war, die Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers an mehreren Standorten in Deutschland mitzulesen. Und zwar ohne einen eigenen Funkempfänger. Es war lediglich ein Internet-Zugang notwendig.

Wir haben Einblick bekommen in Mitschnitte von Kurznachrichten mit privaten, geschäftlichen und behördlichen Inhalten. Auch Inhalte aus dem Gesundheitsbereich wurden unverschlüsselt übermittelt und konnten so ohne große technische Hürden mitgelesen werden.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

  1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
  2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben.

Funkempfang ohne eigenen Funkempfänger

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

  • Freiwillige betreiben an Standorten weltweit verteilt software-definierte Funkempfänger an kleinen, kostengünstigen eingebetteten Systemen wie dem Raspberry Pi.
  • Die eingebetteten Systeme sind über eine zentrale Instanz über Internet zugänglich.
  • Für den Empfang analoger Signale (wie UKW-Rundfunk oder Flugfunk) erfolgte die Demodulation im Internet-Browser. Die Funksignale konnten also direkt angehört werden.
  • Auch die Auswertung bestimmter digitaler Signale, wie z.B. der Transponderdaten von Flugzeugen, konnte einfach im Browser erfolgten.
    Eine weitere Zusatz-Software war dazu nicht erforderlich.
  • Die Rohdaten der Empfangssignale konnten in I&Q-Format (In-Phase- und Quadratur-Komponente des Empfangssignals) heruntergeladen werden. Damit war es möglich, sie für spätere Auswertung zu archivieren und die Dekodierung komplexer Modulationsverfahren nachträglich durchzuführen.

Über das Electrosense-Netzwerk war es somit registrierten Nutzern möglich, auf ein sehr breites Funkspektrum an vielen Standorten weltweit zuzugreifen. Und zwar kostenlos und über einen längeren Zeitraum. In Deutschland standen ein Funkempfänger in Westdeutschland und einer in Süddeutschland zur Verfügung. Diese beiden Funkempfänger wurden von unseren Hinweisgebenden benutzt, um die Funksignale im Downlink eines deutschen Mobilfunkbetreibers (also die Aussendungen vom Funkmast in Richtung der mobilen Teilnehmenden) zu erfassen und lokal auf ihren Rechnern auszuwerten.

Zur lokalen Signalverarbeitung kam die Linux-Distribution DragonOS zum Einsatz. Sie enhält schlüsselfertig alle notwendigen Werkzeuge zum Dekodieren der gängigen Funkprotokolle. Laut Dokumentation ist auch das Mitlesen unverschlüsselter Kurznachrichten in Mobilfunknetzen möglich.

So ausgestattet, konnten die Hinweisgebenden eine sehr große Anzahl an unverschlüsselten Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers systematisch erfassen und auswerten:

Einsehbar waren Kurznachrichten mit persönlichen Inhalten.

Ferner waren auch geschäftliche Inhalte lesbar. Durch die Größenbeschränkung der Kurznachrichten handelte es sich aber in der ausgewerteten Stichprobe eher um Belanglosigkeiten.

Pikant waren jedoch die Kurznachrichten mit Inhalten aus dem Bereich der Kritischen Infrastrukturen (KRITIS), von Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sowie aus dem Gesundheitsbereich:

  • Von zwei Energieversorgungs-Unternehmen war die Kommunikation mit den Kundendienst-Kräften vor Ort einsehbar. Dies beinhaltete auch die zahlreichen Benachrichtigungen über die nächsten Einsatzorte, mit Namen, Anschrift und Telefonnummern von Kunden.
  • Ein Bahnunternehmen verschickte seine aktuellen Streckenstörungen und Sicherheitsvorfälle per Kurznachricht an seine Mitarbeitenden. So waren z.B. Störungen durch Personen im Gleis und andere Abweichungen vom Betriebsablauf mitzulesen.
  • Einige Rettungsleitstellen verschickten automatisiert Voranmeldungen von Verletzen an die regionalen Krankenhäuser. Dies konnte in Klartext mitgelesen werden. Auf personenbezogene Daten wurde hier zum größten Teil – aber nicht immer – verzichtet.
  • Einzelne Feuerwehren nutzten die Weiterleitung von Einsatz-Alarmierungen als Kurznachricht. Hier waren in größerem Umfang personenbezogene Daten einsehbar.
  • Ein Krankentransport-Dienstleister in Westdeutschland nutzte Kurznachrichten zur Disposition seiner Einsatzfahrten. So war frei mitlesbar, welche Personen wann an ihrer Wohnanschrift abgeholt wurden, welche medizinische Einrichtungen konkret angefahren wurden, und wann die Rückfahrt nach Hause erfolgte. Ferner auch, ob die Personen z.B. liegend oder mit Sauerstoff-Versorgung befördert wurden.

Schwachstellenmeldung an das Computer Emergency Response Team des Bundes (CERT-Bund)

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) betreibt ein Portal zur Meldung von Schwachstellen. Die Hinweisgebenden gaben auf diesem Weg eine qualifizierte Schwachstellenmeldung ab. Dazu erhielten sie auch eine Eingangsbestätigung. Die Aussendung der Kurznachrichten des Mobilfunk-Netzbetreibers erfolgte aber auch noch mehrere Monate nach der Schwachstellenmeldung an das BSI weiterhin unverschlüsselt.

Meldung an den Bundes-Beauftragten für Datenschutz und Informationsfreiheit (BfDI)

Nach der Meldung an den BfDI erfolgte nach einigen Wochen ausführlicher Prüfung sinngemäß folgende Rückmeldung:

[…] Es wirft die Frage auf, wie ein Unternehmen wie der Mobilfunk-Netzbetreiber seine Kunden über die Gefahren bei unverschlüsselter Übertragung informiert.

Einige der von Ihnen genannten Unternehmen [gemeint sind die betroffenen Versender der Kurznachrichten, Anmerkung des Autors] sind seit Jahrzehnten Kunden des Mobilfunk-Netzbetreibers. Meist bestanden die Vertragsverhältnisse seit Anfang der 90er Jahre.
Insofern gab es in diesen Fällen keine initiale Produktberatung, wie sie heute üblich ist.
Aufgrund Ihrer Hinweise hat der Mobilfunk-Netzbetreiber die Unternehmen gezielt angesprochen und auf besser geeignete Lösungen hingewiesen. […] „.

Auch Monate nach dieser Korrespondenz wurden Kurznachrichten allerdings weiterhin unverschlüsselt übertragen.

Kontaktieren der Kurznachrichten-Versender

In den zahlreichen Kurznachrichten mit behördlichen Inhalten konnten direkte Rückschlüsse auf die Absender der Nachrichten gezogen werden. Die Hinweisgebenden konnten so direkt auf die augenscheinlichen Versender zugehen.

Insbesondere bei den betroffenen Rettungsleitstellen konnte so die unverschlüsselte Aussendung personenbezogener Daten kurzfristig unterbunden werden. Da den Rettungsleitstellen die Problematik der unverschlüsselten Übertragung nicht bekannt war, wurden auch strukturelle Anpassungen in der Voranmeldung von Verletzten an Krankenhäuser angekündigt.

Bei den beiden regional tätigen Energieversorgungs-Unternehmen war ebenso eine direkte Zuordnung auf den Absender anhand der Kunden-Anschriften möglich. Ein Energieversorger schaltete die Kundendienst-Kommunikation per unverschlüsselter Kurznachrichten innerhalb weniger Tage nach der Hinweis-Meldung ab. Beim zweiten Energieversorger wurden nach der Meldung der Hinweisgebenden wenigstens der Name und die Telefon-Nummer von Kunden nicht mehr übermittelt.

Um den Versender der Krankentransport-Einsatzdispositionen zu ermitteln, mussten die Hinweisgebenden die laut Kurznachrichten angefahrenen Krankenhäuser kontaktieren. Die Krankhäuser widerum konnten anhand der – von den Hinweisgebenden anonymisiert übermittelten – Patienten-Daten den Krankentransport-Dienstleisters ermitteln.
Auch dieser Dienstleister war von der Problematik der unverschlüsselten Kurznachrichten überrascht und konnte dann doch zeitnah auf andere Kommunikations-Mittel zur Disposition der Einsatzfahrten umstellen.

Rechtlicher Rahmen

Die rechtlichen Regelungen zum „Abhören“ von Funksignalen sind im „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) geregelt. Dieses ist aus dem „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG) hervorgegangen. Mit dem TTDSG widerum wurden 2021 die Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst.

In § 5 des TDDDG ist das „Abhörverbot“ geregelt. So heißt es:

§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
(1) Mit einer Funkanlage (§ 3 Absatz 1 Nr 1 des Funkanlagengesetzes) dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure im Sinne des § 2 Nummer 1 des Amateurfunkgesetzes, für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.
(2) Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 3 besteht, anderen nicht mitgeteilt werden. § 3 Absatz 4 gilt entsprechend.
(3) Das Abhören oder die in vergleichbarer Weise erfolgende Kenntnisnahme und die Weitergabe von Nachrichten aufgrund besonderer gesetzlicher Ermächtigung bleiben unberührt.

Gemäß § 27 TDDDG droht hier bei Verstoß eine Freiheitsstrafe von bis zu 2 Jahren:

§ 27 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
1. entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
2. entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
3. entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt
bereitstellt. […]

Es drohen also schon beim unbefugten Abhören „im stillen Kämmerlein“, auch unverschlüsselt ausgesendeter Funksignale, empfindliche strafrechtliche Konsequenzen.

Das Abhörverbot greift aber auch dann, wenn z.B. die Sicherheitslücke eines Funknetzes – wie die fehlende Verschlüsselung – dokumentiert und als Schwachstellenmeldung an eine Sicherheitsbehörde weitergereicht wird. Ebenso, wenn Hinweisgebende den Funknetz-Betreiber oder betroffene Personen selber über die unverschlüsselte Übermittlung von personenbezogenen Daten hinweisen.

Auch die mit uns in Kontakt stehenden Hinweisgebenden wurden darauf unmissverständlich hingewiesen. So stellt der BfDI sinngemäß klar:

Von einer strafrechtlichen Verfolgung [gegenüber dem Mobilfunk-Netzbetreiber, Anmerkung des Autors] möchte ich absehen, da dies auch Fragen im Zusammenhang mit § 5 [„Abhörverbot“, Anmerkung des Autors] des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekomunikation und bei Telemedien (TTDSG) aufwirft.

Und eine Staatsanwaltschaft meldete den Hinweisgebenden sinngemäß zurück:

[…] Hier wurde aus Sicht der Bundesnetzagenur mitgeteilt, dass aus ihrer Sicht das bloße Bereitstellen eines internet-angebundenen Funkempfängers kein Verstoß gegen das Abhörverbot darstellt, wobei zugleich die Frage aufgeworfen wurde, inwieweit ein strafrechtlcihes Verhalten beim Hinweisgeber vorliegen könnte, da dieser bewusst die fragliche Frequenz eingestellt und damit Daten empfangen und decodiert hat. […]

Ein konkretes Strafverfahren gegen die Hinweisgebenden wurde aber – unseres Wissens nach – nicht eröffnet.

Was tun ?

Hinweisgebenden bleibt also nur die anonyme Abgabe einer Schwachstellenmeldung, um rechtlich auf der sicheren Seite zu sein.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, Mobilfunk-Netze selber abzuhören. Schwachstellen-Meldungen sollten – wenn überhaupt – nur anonym erfolgen.

Als AG KRITIS fordern wir deshalb:

  • Rechtliche Regelungen, die es Sicherheitsforschenden ermöglicht, die Sicherheitslücke eines Funknetzes – wie z.B. die fehlende Verschlüsselung – straffrei zu dokumentieren und als Schwachstelle verantwortungsvoll melden zu können.
    Das „Abhörverbot“ im TDDDG muss dahingehend angepasst werden.
    Das Dokumentieren von Schwachstellen in Funknetzen zum Zweck der Meldung an Sicherheitsbehörden muss straffrei sein.
  • Nach unserem Verständnis von § 6 TDDDG haben Betreiber von Mobilfunknetzen „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb des Unternehmens des Anbieters und an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen“ [Zitat § 6 TDDDG].
    Mobilfunk-Netzbetreiber sind also unserer Meinung nach verpflichtet, das unbefugte Offenbaren von Nachrichteninhalten an Dritte auszuschließen.
    Konkret bedeutet dies, Nachrichteninhalte – insbesondere jene mit personenbezogenen Daten – sind nach dem Stand der Technik zu verschlüsseln.
  • Die Aufsichtbehörden (d.h. BfDI und Bundesnetzagentur) müssen auf die konsequente Verschlüsselung personenbezogener Daten seitens der Mobilfunk-Netzbetreiber aktiv hinwirken. Die muss auch mit den gesetzlich verfügbaren Mitteln in der Praxis durchgesetzt werden.

Status Quo

Die Sicherheitslücke bei einem deutschen Mobilfunk-Netzbetreiber wurde von den Hinweisgebenden Ende 2022 an BSI und BfDI gemeldet. Sie bestand noch bis mindestens Ende 2023 weiterhin fort.

Wir hoffen, der betreffende Mobilfunk-Netzbetreiber hat die Sicherheitslücke mittlerweile geschlossen. Verifizieren konnten wir dies aufgrund der oben dargestellten Rechtslage („Abhörverbot“) aber nicht.

 

Artikel: heise.de – Bundesrat schiebt Ausschussempfehlungen zu NIS2 wortlos durch​

Manuel ‚HonkHase‘ Atug erklärt bei heise.de, was es mit den aktuellen Ausschussempfehlungen zu NIS2 auf sich hat.

Mit der Formulierung „durch vergleichbare landesrechtliche Vorschriften“ müssten verschiedene Gebietskörperschaften der Bundesländer zukünftig das BSI-Gesetz als Maßstab nehmen, selbst wenn es gegebenenfalls über die in der EU geforderten NIS2-Mindestmaßnahmen hinaus geht. Damit das nicht passiert, soll diese Formulierung auf „die NIS-2-Richtlinie umsetzende landesrechtliche Vorschriften“ geändert werden. Sonst müsste man in den 16 Bundesländern zu viele und vor allem bundeseinheitliche Cybersicherheitsmaßnahmen umsetzen.

Auch im Entwurf des KRITIS-Dachgesetzes sind – wie im NIS2-Entwurf – die Schwellenwerte grundsätzlich zu hinterfragen, aufgrund der besonderen Stellung der Daseinsvorsorge im Gesundheitsbereich. Die Sinnhaftigkeit der alleinig entscheidenden Schwellenwerte solle daher vor diesem Hintergrund erneut geprüft werden. Die AG KRITIS sieht diesen Punkt seit vielen Jahren bei fast allen KRITIS-Sektoren und -Branchen ebenfalls so und würde es begrüßen, wenn das endlich entsprechend der tatsächlichen Lagesituation angepasst werden würde.

Da Krankenhäuser nach § 108 SGB V erst nach einer Übergangsfrist von fünf Jahren Nachweise vorlegen müssen, wurde eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. Erste Nachweise kommen damit erst frühestens 2030.

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier: