Was ist KRITIS im Staat? – Forderungen zum Sektor Staat und Verwaltung

Wir fordern die Bundesregierung und alle Landesregierungen auf, für den Sektor „Staat und Verwaltung“ verbindliche und harmonisierte Regelungen für kritische Infrastrukturen im Sektor Staat und Verwaltung zu schaffen, welche auch bis auf die Ebene der kommunalen Verwaltungen gelten. Hier sollten sich die Landes- und Bundesregierung an den Regelungen in der BSI-Kritisverordnung orientieren. Des Weiteren müssen sie Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen.

Bedauerlicherweise ist es weiterhin so, dass es KRITIS-Regelungen zwar für Unternehmen gibt, jedoch nicht im Sektor „Staat und Verwaltung“. Rein staatlich betriebene Infrastrukturen gelten daher bisher nicht als KRITIS.

BetreiberInnen kritischer Anlagen aus den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, und solche, die für diese Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen, sollten Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen müssen.

Selbstverständlich steht die AG KRITIS als unabhängige Interessengemeinschaft hierfür auf Wunsch beratend zur Verfügung.

Gesetzliche Regelungen zur technischen und organisatiorischen Umsetzung des Stand der Technik, die vom Staat für privatwirtschaftliche KRITIS-BetreiberInnen als zumutbar, verhältnismäßig und angemessen angesehen werden, sollten den Mindeststandard für den Staat selbst darstellen. Die dringend zu schaffenden Vorgaben im Sektor „Staat und Verwaltung“ sollten über den Mindeststandard hinaus gehen, denn bei privaten BetreiberInnen kann der Staat die Einhaltung der Gesetze mittels Sanktionen erzwingen – bei Behörden ist das so nicht möglich.

So kann, auch im Fall einer mangelhaften Umsetzung, ohne Sanktionsmöglichkeiten der erreichte Stand über dem Standard liegen, der bei privatwirtschaftlichen BetreiberInnen per Sanktionierung erzwungen werden kann. Dies muss das Mindestziel sein.

Der Aufbau eines ISMS (lnformationssicherheitsmanagementsystem, bspw. nach BSI IT-Grundschutz oder ISO 27001) , sowie der Aufbau eines BCM (Business Continuity Management, bspw. nach BSI Standard 200-4 oder ISO 22301) sind für privatwirtschaftliche KRITIS-BetreiberInnen gesetzlich verpflichtend. Dies sollte gleichermaßen auch für kritische Dienstleistungen gelten, die durch staatliche Akteure erbracht werden.

Aus unserer Sicht ist es unerträglich, dass der Staat gegenüber der Wirtschaft es für zumutbar und verhältnismäßig hält, diese zur Umsetzung des Stand der Technik zu verpflichten, ein vergleichbares Sicherheitsniveau zum Nachteil der BürgerInnen in der eigenen Infrastruktur jedoch nicht durchsetzt. Dies ist aufgrund fehlender rechtlicher Bindung staatlicher Akteure an die geltenden KRITIS-Regularien der Fall. Darüber hinaus sehen wir im föderalen System aktuell keinen Willen, nicht gesetzeskonformes Verhalten staatlicher Akteure bei bereits bestehenden Regulierungen (beispielsweise im Kontext Datenschutz) im erforderlichen Maße zu sanktionieren.

Aufgrund der hervorgehobenen Position der kritischen Dienstleistungen im Sektor Staat und Verwaltung und der zumeist gegebenen Unmöglichkeit einer Ersatzversorgung, halten wir eine wissenschaftliche Betrachtung und Analyse von Kaskadeneffekten für unumgänglich, deren Ergebnis eine Anpassung der Sektoren, Schwellwerte, Anlagen- und Anlagenkategorien auf Basis der tatsächlich erbringbaren Ersatzversorgungsleistung sein sollte.

Ein Regelungszweck des KRITIS-Dachgesetzes soll die klare Identifizierung von Kritischen Infrastrukturen sein. Hierfür ist der Vorschlag der AG KRITIS, sich von der bisherigen Systematik der Schwellwerte zu verabschieden: Aus Sicht der Bevölkerung ist entscheidend, dass eine Versorgung mit den kritischen Dienstleistungen stattfindet (bspw. Trinkwasserversorgung, Stromversorgung, stationäre medizinische Versorgung, Kraftstoff- und Heizölversorgung, Sprach- und Datenübertragung, Bargeldversorgung, Siedlungsabfallentsorgung, usw., vgl. BSI-Kritisverordnung).

Dabei ist unerheblich, wie viele andere Menschen durch die gleiche physische Infrastruktur noch versorgt werden. Insbesondere für die Bereitstellung von leitungs- oder netzgebundenen Diensten können also grundsätzlich keine Schwellwerte gelten, wenn diese eine monopolistische Stellung bspw. durch Betrieb der Leitungs- oder Netzinfrastruktur genießen. Vor diesem Hintergrund muss dann bewertet und entschieden werden, ob bei Ausfall der Infrastruktur in einer Krise eine Ersatzversorgung sicher erbracht werden kann. Ist dies nicht möglich, muss die betrachtete Anlage zur Erbringung der kritischen Dienstleistung als KRITIS gelten.

Auch für den Sektor Staat und Verwaltung kann die Frage der Anzahl der Menschen, die Dienstleistungen in einer Verwaltungseinheit (Kommune, Land, Bund) nutzen, nicht dafür entscheidend sein, ob diese Dienstleistung als kritische Infrastruktur zu gelten hat. Von wesentlich höherer Bedeutung ist die Fragestellung, ob die Aufrechterhaltung dieser Dienstleistung als Daseinsvorsorge für den Erhalt der menschlichen Gesundheit, für den Schutz menschlichen Lebens oder auch für die wirtschaftliche Existenz kurz- und mittelfristig Relevanz hat. So ist die Auszahlung von Sozialleistungen oder der Betrieb von gesundheitlichen Dienstleistungen von höherer Relevanz als beispielsweise die Anmeldung eines Kraftfahrzeuges. Insbesondere auf Ebene der Kommunen hilft Standardisierung und interkommunale Zusammenarbeit, den Druck zur Erbringung kritischer Dienstleistungen von einzelnen Verwaltungen zu nehmen.

Photo by Miguel Á. Padriñán

Politische Forderungen an Katastrophenschutz sowie Behörden und Organisationen mit Sicherheitsaufgaben

Der Datenabfluss in der Einsatzkräfte-Alarmierung von Rettungsleitstellen dauert auch 2 Jahre nach unserer Veröffentlichung immer noch an.

Alleine im Sommer 2024 konnten wieder in 9 Rettungsleitstellen-Bereichen die personenbezogene Daten von Hilfesuchenden und die damit verbundenen Einsatz-Informationen einfach über das Internet mitgelesen werden.

Wir haben dies zum Anlass genommen, noch einmal konkrete Forderungen an die politisch Verantwortlichen in Bund, Ländern und Kommunen zu formulieren.

Für den Bereich Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie den Katastrophenschutz sind diese unten aufgeführt. Die Übersicht unserer Forderungen für alle Sektoren findet sich hier.

  1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.
    1. Wir fordern zur Härtung des BOS-Digitalfunk-Zugangsnetzes von jedem Bundesland den Betrieb eigenbeherrschter Übertragungsleitungen, die nach Gesichtspunkten der Ausfallsicherheit verlegt und nicht vom billigsten Anbieter angemietet werden.
    2. In jedem Bundesland müssen stationäre Netzersatzanlagen mit mindestens 72 Stunden Überbrückungszeit an allen BOS-Digitalfunk-Basisstationen verbaut werden. Die aktuelle unterbrechungsfreie Batterieversorgung mit nur wenigen Stunden Überbrückungszeit ist nicht ausreichend.
    3. In jedem Bundesland müssen proportional zur Fläche und Bevölkerung ausreichend viele – jedoch mindestens drei – Satelliten-angebundene mobile Basisstationen (Sat-mBS) zur Verfügung stehen, welche ausgefallene stationäre BOS-Digitalfunk-Basisstationen kurzfristig ersetzen können.
      Zur Einordnung: Beim Hochwasser im Ahrtal 2021 waren ca. 60 stationäre BOS-Digitalfunk-Basisstationen über mehrere Tage ausgefallen. Es kamen dort alle zehn bundesweit existenten Sat-mBS zum Einsatz. Dies war nicht ausreichend.
    4. Wir fordern mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk. Denn mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
  2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, psychosoziale Notfallversorgung) muss zwingend verschlüsselt vorgenommen werden.
    1. Sollte die zeitnahe kommunale Finanzierung von verschlüsselungsfähigen Endgeräten nicht möglich sein, dann hat das Bundesland zwingend in Vorleistung zu treten. Denn die Alarmierungsnetze liegen in 14 der 16 Bundesländer aktuell in kommunaler Trägerschaft.
    2. Die kommunal betriebenen Alarmierungs-Netze müssen gegen langanhaltende Stromausfälle von bis zu 72 Stunden gehärtet werden. Ebenso ist der eigenbeherrschte Betrieb der Übertragungsleitung gegenüber der Anmietung kommerzieller Übertragungs-Netze vorzuziehen. Bei den Alarmierungs-Netzen muss ein vergleichbares Resilienz-Niveau wie beim BOS-Digitalfunknetz erreicht werden.
    3. Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden. Wenn immer möglich, ist eine Zwei-Faktor-Authentisierung (MFA) anzustreben. Sicherheits-Updates müssen zeitnah eingespielt werden. Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
    4. Die Verantwortung für den Betrieb der Alarmierungseinrichtungen muss mittelfristig von den Kommunen auf das Bundesland übergehen. Dies muss in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben werden.
    5. Eine generelle Harmonisierung der 16 Landesgesetze für Brand- und Katastrophenschutz ist anzustreben.
    6. Die Innenministerien der Bundesländer müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Rettungsleitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.
  3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.
    1. Der Betrieb und die Beschaffung von Warnmitteln zur Warnung der Bevölkerung müssen explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen. Beispielsweise ist auch die Anbindung von Stadtinformationssystemen an das Modulare Warnsystem (MoWaS) äußerst heterogen.
    2. Wir fordern die verpflichtende Teilnahme aller Kommunen am bundesweiten Warntag. Aktuell erfolgt die Teilnahme am bundesweiten Warntag auf freiwilliger Basis.
  4. Wir fordern die Errichtung eines Kommunal-CERT in allen Bundesländern. Entweder als Aufgabe des Landes-CERT oder als eigene Struktur. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie etwa Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden. Insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. In den meisten Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Das Titelbild wurde von Karl Gruber angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 4.0 Lizenz.