Artikel von unseren Mitgliedern

Schriftliche Stellungnahme für Anhörung im Schleswig-Holsteinischen Landtag zum Thema Cybersicherheit

Der Wirtschafts- und Digitalisierungsausschuss des Schleswig-Holsteinischen
Landtags führt eine Anhörung zum „Bericht über die Cybersicherheit unserer Infrastruktur“, Bericht der Landesregierung, Drucksache 20/1584 durch und hat unter anderem die AG KRITIS um schriftliche Stellungnahme gebeten.

Der zur Diskussion stehende Bericht ist unter Drucksache 20/1584 und die Beratung des Landtags darüber im Plenarprotokoll einsehbar.

Unsere Stellungnahme findet sich hier zum Download, alle Stellungnahmen sind als Umdruck beim Landtag Schleswig-Holstein zu finden.

Anhörung zu 27. Sitzung des Ausschusses für Inneres, Sicherheit und Ordnung am 11.12.2023 im Abgeordnetenhaus von Berlin

Am 11. Dezember 2023 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung des Ausschusses für Inneres, Sicherheit und Ordnung im Abgeordnetenhauus von Berlin als Sachverständiger zum Thema „Schutz vor Cyberangriffen: Stand und Entwicklungen“ geladen. Die mündliche Stellungnahme im Ausschuss veröffentlichen wir hier.

„Wie steht es um die gesamte Sicherheit oder die Sicht der Sicherheit in Berlin? – Kurz und knapp: Gruselig und desolat wie in allen Bundesländern und auch auf der Bundesebene, weil alle von Befugnissen, Tätern oder Palantir und KI und Quellen-TKÜ reden, statt von Resilienz und Basissicherheitsmaßnahmen. Ich komme immer wieder auf diese zwei Punkte, weil das die wirkliche Abwehr von Angriffen ist, und dann verpuffen die wirkungslos.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten die öffentlich gewordenen Referentenentwürfe des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ bereit.

Über mehrere voneinander unabhängige Quellen wurde uns der derzeit aktuellste „Bearbeitungsstand: 22.12.2023 09:58“ des RefE NIS2UmsuCG zugespielt, so dass wir diese hier für den demokratischen Diskurs veröffentlichen.

Dem BMI ist durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien bedauerlicherweise untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses grundlegende Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI zumindest das Diskussionspapier veröffentlicht und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die uns zugespielt werden.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der NIS2UmsuCG Versionen:

07.05.2024 NIS2UmsuCG (189 Seiten)

22.12.2023 NIS2UmsuCG (164 Seiten)

27.09.2023 Diskussionspapier des BMI (Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland) (58 Seiten)

03.07.2023 NIS2UmsuCG (146 Seiten)

03.04.2023 NIS2UmsuCG (243 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu KRITIS Dachgesetz Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Stellungnahme zu KRITIS in der Enquetekommission „Krisen- und Notfallmanagement“ im Landtag NRW

Am 01. März 2024 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung der Enquetekommission „Krisen- und Notfallmanagement“ – durch die Lehren der Vergangenheit die Zukunft sicher gestalten zum Themenkomplex „KRITIS“ als Sachverständiger geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

„Machen ist wie dran denken, nur krasser.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Stellungnahme zum Ref-E des KritisDachgesetz

Am 21.12.2023 kontaktierte uns das Bundesministerium des Inneren und bat um Stellungnahme zum aktuellen Referentenentwurf der Neufassung des Kritis-Dachgesetz.

Erstmalig bekamen wir die neue Version in einem offenen Format im Änderungsmodus geschickt – dieses Vorgehen möchten wir ausdrücklich loben. Im Vergleich zu allen anderen Kommentierungen und Stellungnahmen waren wir zum ersten Mal direkt in der Lage alle Änderungen direkt zu sehen – das hat viel Zeit gespart.

Ziel der Richtlinie soll sein, „einheitliche Mindestverpflichtungen für kritische Einrichtungen festzulegen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren.“

Dazu stellen wir fest: Der vorgelegte Gesetzesentwurf enthält keine Mindestverpflichtungen. Stattdessen regelt der Gesetzesentwurf, welche Behörde die Verordnungen erlassen müssen durch die wiederum Mindestverpflichtungen vorgeben würden.

Ob also die vorgesehenen Mindestverpflichtungen zum Ziel der Erhöhung der Resilienz der kritischen Anlagen und Systeme führen würden, lässt sich anhand des vorgelegten Referentenentwurfes nicht bewerten. Konkrete Handlungsanweisungen für KRITIS-Betreiber sind nicht enthalten.

Unsere Stellungnahme steht hier zum Download bereit:

Den bewerteten Referentenentwurf stellen wir hier zur Verfügung:

Herzlichen Dank für die Erlaubnis das Bild zu verwenden, es stammt von: C. Müller, und steht unter CC BY-SA 3.0 Lizenz – via Wikimedia Commons

Schriftliche Stellungnahme für Anhörung im Thüringer Landtag zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November 2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Aktualisierte BSI-Kritisverordnung tritt in Kraft

Zum 1.1.2024 ist die „Vierte Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getreten. Sie bringt zwei positive Neuerungen bei Schwellwerten, spart aber die Sektoren Staat & Verwaltung, sowie Medien & Kultur weiterhin aus.

Mit der neuesten Änderung vom 29.11.2023 (https://www.recht.bund.de/bgbl/1/2023/339/VO.html) werden für den Sektor Siedlungsabfallentsorgung erstmals die Schwellenwerte definiert. Für Verwaltungs- und Zahlungssystem der
gesetzlichen Kranken- und Pflegeversicherung wird der Schwellenwert von 3 Millionen auf 500.000 Versicherte abgesenkt. Die Gas- oder Kapazitätshandelssystem werden zusätzlich zu gehandelten Gasmengen um gehandelte Gastransportkapazitäten erweitert.

Das Bundesministerium des Inneren (BMI) hat bei der AG KRITIS um Stellungnahme zum Entwurf gebeten. Leider konnten unsere Mitglieder diesen nicht rechtzeitig bewerten, denn unser Engagement erfolgt vollständig im Ehrenamt.

Wermutstropfen bleibt auch bei der vierten Änderung, dass die KRITIS Sektoren Staat & Verwaltung, sowie Medien & Kultur immer noch keine Beachtung finden. So sind jegliche staatliche Strukturen und deren Verwaltungen weiterhin nicht von den Regeln für KRITIS erfasst. Die Sektordefinition existiert, die dazugehörige Verordnung allerdings nicht. Cyberkriminelle lassen sich allerdings nicht abschrecken genau diese Verwaltungssysteme anzugreifen, weswegen diese besonders gut geschützt sein müssten.

Der komplette Text der BSI-Kritisverordnung in der aktuellen Fassung kann hier abgerufen werden: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html

offener Brief: Vertrauen lässt sich nicht verordnen

Die Gesetze zur Gesundheitsdatendigitalisierung, die diese Woche im Deutschen Bundestag verabschiedet werden sollen, sind äußerst kritisch. Diese sollen, im Schatten der großen Haushaltsdebatte kurz vor Weihnachten noch diese Woche verabschiedet werden.

Mit dem offenen Brief des Innovationsverbunds öffentliche Gesundheit wendet sich ein breites Bündnis der digitalen Zivilgesellschaft an die Öffentlichkeit und Politik, um dieses Vorhaben in letzter Minute konstruktiv aufzuhalten. Unter großer Eile und größerer Intransparenz versucht das Bundesministerium der Gesundheit zwei Gesetze – das Digitalisierungsgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz – noch diese Woche durchs Parlament zu bringen.

Normalerweise fordert die AG KRITIS die Regulierung von kritischer Infrastruktur. Enge regulative Vorgaben, die auf die Ziele der Authentizität, Verfügbarkeit, Vertraulichkeit und Integrität der kritischen Infrastrukturen abzielen, sind der Weg um der Wirtschaft vorzugeben, welche Maßnahmen unumgänglich sind.

In diesem Fall bestand die Chance, eine Architektur zu schaffen, die von vornherein den vier Schutzzielen genügt – diese Chance hat das BMG leider nicht ergriffen. Die Entwürfe, die diese Woche im Deutschen Bundestag verabschiedet werden, entsprechen nicht dem Stand der Technik.

Die Prüfsteine, die im offenen Brief genannt werden sind unbedingt einzuhalten. Keiner davon ist verhandelbar – denn IT-Sicherheit ist wie eine Ingenieursleistung. Kein Politiker würde auf die Idee kommen, einen Kompromiss zur Traglast einer Brücke zu schließen, denn die Traglast wird von einem Ingenieur berechnet und festgelegt.

Ob ein Schutzniveau angemessen ist, muss von Experten auf wissenschaftliche Weise bewertet werden. Die staatlichen Stellen, die wir uns geschaffen haben, um solche Fragen verbindlich zu bewerten müssen nun nach diesem Gesetzesentwurf zu Fragen der elektronischen Patientenakte nicht mehr berücksichtigt werden.

Das BMG hat es versäumt, trotz mehrfacher Aufforderung aus Zivilgesellschaft und Politik, eine robuste Architektur in einem offenen Konsultationsprozess vorzulegen. Stattdessen wurde die Systemarchitektur unter Verschluss gehalten, mutmaßlich bis das Gesetz durch den Bundestag verabschiedet wurde. Die wenigen belastbaren Daten die es zur Systemarchitektur gibt, lassen nichts gutes vermuten. Das Konzept „confidential computing“ auf das sich der Gesundheitsminister bezieht, ist vage, nicht definiert und kein Ersatz für hochwertige, patientenindividuelle Verschlüsselung.

Wir unterstützen diese breite zivilgesellschaftliche Initiative, die im offenen Brief „Vertrauen lässt sich nicht verordnen“ ausgeführt werden. Die Erstunterzeichner dieses offenen Briefs sind in alphabetischer Reihenfolge:

  1. AG KRITIS
  2. Chaos Computer Club e. V.
  3. D64 – Zentrum für Digitalen Fortschritt e. V.
  4. Deutsche Aidshilfe e. V.
  5. Digitale Gesellschaft e. V.
  6. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
  7. FrauenComputerZentrumBerlin e. V. (FCZB)
  8. Innovationsverbund Öffentliche Gesundheit (InÖG) e. V.
  9. Komitee für Grundrechte und Demokratie e. V.
  10. LAG Selbsthilfe von Menschen mit Behinderungen und chronischen Erkrankungen RLP e. V.
  11. LOAD e. V.
  12. Superrr Lab
  13. Topio e. V.
  14. Verbraucherzentrale Bundesverband e.V. (vzbv)

Wir fordern die Bundesregierung auf, das Gesetzesvorhaben zu stoppen. Der Text des öffentlichen Brief ist hier verlinkt:

 

Foto von Chris Liverani auf Unsplash

Bundesweiter Warntag 2023: AG KRITIS fordert bundesweite Gesetzesreform für Katastrophenschutz

Bundesweiter Warntag am 14.09.2023: AG KRITIS fordert Stärkung der Warnsysteme und bundeseinheitliche Gesetzgebung

Morgen, am 14. September 2023 werden um 11:00 im Rahmen des bundesweiten Warntages die Katastrophenwarnsysteme in ganz Deutschland getestet.

Unser Sprecher Manuel Atug dazu: „Katastrophenschutz ist keine kommunale Spielwiese!“ –

Johannes Rundfeldt mahnt: „Katastrophenwarnung und deren Übung darf nicht optional sein!“

Wir fordern dringend eine bundeseinheitliche Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz. Die Verantwortung für den Betrieb und die Beschaffung der Warnmittel soll explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen und z.B. die Anbindung von Stadtinformationssystemen ist äußerst heterogen.

Im Rahmen des bundesweiten Warntages erwarten wir, dass in allen drei Mobilfunknetzen 4-stellige Message ID Warnnachrichten per Cell Broadcast ausgesendet werden. Der Stichtag für die Umsetzung dieses Standards wurde bereits im Februar 2023 erreicht. Bedauerlicherweise unterliegt der Stichtag für die Umsetzung von 3-stelligen Message IDs, eine weitere Übergangsfrist, bis 24. Februar 2024.
Dies bedeutet, dass ältere Handys, insbesondere 2G-Geräte und Senioren-Handys – auch bekannt als „Tastentelefone“ – weiterhin nicht von Cell Broadcast Warnungen erreicht werden.
Möglicherweise wird, wie schon im Dezember 2022, immerhin die Telekom Cell Broadcast-Nachrichten für ältere Geräte aussenden.

Die AG KRITIS kritisiert die Tatsache, dass Kommunen die Teilnahme am bundesweiten Warntag freiwillig wählen können, jedoch nicht verpflichtet sind. Ein effektiver Warntag kann nur gewährleistet werden, wenn alle Beteiligten aktiv mitwirken.
Generell begrüßen wir jedoch den Warntag und sehen in ihm eine wichtige Möglichkeit, die Funktionsweise der Warnmittel zu testen und sicherzustellen, dass möglichst viele Bürgerinnen und Bürger erreicht werden. Alle Menschen in Deutschland können durch den Warntag die Funktionsweise der verschiedenen Systeme erfahren und so im Ernstfall noch schneller reagieren.

Beim letzten Warntag konnten nach einer repräsentativen Umfrage des BBK  90,8% der Bevölkerung mit mindestens einem Warnmittel erreicht werden. Das sind schon sehr gute Werte, damit die Durchdringung des Warnmittelmixes auch dieses Mal geprüft werden kann, empfehlen wir allen Bürgerinnen und Bürgern, die eigenen Erfahrungen am diesjährigen Warntag an das BBK zurückzumelden.

 

Foto von Etienne Girardet auf Unsplash 

Schriftliche Stellungnahme für den Landtag Thüringen

Wir wurden eingeladen, zu dem von der CDU-Fraktion eingebrachten Antrag 7/6817 trägt den Titel „Gewappnet für den Ernstfall? Reform des Thüringer Katastrophenschutzes endlich angehen!“ als AG KRITIS Stellung zu nehmen. Der Antrag aus der Opposition versucht mit offensiven Einzelmaßnahmen den Katastrophenschutz in Thüringen zu verbessern.

Außer acht gelassen wird dabei, dasss nur mehr Geld und mehr Ausrüstung nicht helfen, die Wirksamkeit des Katastrophenschutzes zu erhöhen: stattdessen braucht es systemische und strukturelle Veränderungen, Standardisierung und stärkere Digitalisierung, gerade in dem eher tradierten Feld des Katastrophenschutzes. Auch auf die Bereiche Ausbildung und Übung gehen wir in unserer Stellungnahme ein.

Unsere Schlußfolgerung zu dem Antrag:

Der föderale Staat stellt ein strukturelles Problem im Katastrophenschutz dar, denn Katastrophen und deren Bewältigung halten sich nicht an Landesgrenzen. Es ist dem Bürger nicht erklärbar, wenn zwischen Ländern der Katastrophenschutz unterschiedlich ausgerüstet ist, funktioniert oder reagiert.

Sowohl die Vorgehensweisen, als auch die eingesetzten Technologien und Strukturen des Katastrophenschutzes müssen so einheitlich wie irgendwie möglich aufgestellt sein, um nahtlose gegenseitige Unterstützung jederzeit gewährleisten zu können. Eine solche Harmonisierung ist daher auch innerhalb der Bundesländer dringend zu verwirklichen.

Hier muss viel Verantwortung von den Kreisen und Kommunen zurück auf das Land übertragen werden, denn Kreise und Kommune haben oft nicht die Ressourcen, dieser Verantwortung gerecht zu werden.

Download der Stellungnahme als PDF

Drucksache_7-6817_Stellungnahme_AG_KRITIS_20230825

 

Image: Landtag Thüringen