Artikel von unseren Mitgliedern

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

CDU RLP will die gesetzliche Grundlage für ein Cyberhilfswerk schaffen

Die CDU Rheinland-Pfalz hat in ihrem Regierungsprogram 2021-2026 die Forderung nach einem Cyberhilfswerk aufgenommen. Im Abschnitt 01.07 Vorsorgen findet sicht:

Wir wollen nach dem Modell der Kritis AG analog zum Technischen Hilfswerk (THW) den gesetzlichen Rahmen für die Arbeit eines Cyberhilfswerks (CHW) schaffen, dass bei Großschadenslagen im Bereich der kritischen IT-Sicherheit alle erforderlichen Helfer kurzfristig aus ihren „Zivilberufen“ zusammenziehen kann.

Das vollständige Regierungsprogramm ist hier zu finden:

Die AG KRITIS begrüßt diese strategische Ausrichtung sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist. Gerne beraten wir bei Interesse alle demokratischen Parteien, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

BVG-Interpretation der BSI-Kritisverordnung schlicht falsch

Die Interpretation der Berliner Verkehrsbetriebe, dass die BSI-Kritisverordnung für sie nicht gelte, ist aus unserer Sicht schlicht falsch. Wir sind der Meinung, dass die BVG zweifelsfrei die Schwellenwerte der BSI-Kritisverordnung überschreitet.

Die BVG versteht die Formulierung „Anzahl Fahrgäste/Jahr“ in der BSI-Kritisverordnung als „Individuen pro Jahr“ und behauptete gegenüber dem Tagesspiegel, dass sie „lediglich“ 30 Millionen Individuen als Fahrgäste hat. Gleichzeitig wirbt die BVG aber auf der eigenen Website laut Tagesspiegel mit über 1 Milliarde Fahrgästen pro Jahr. Die BSI-Kritisverordnung legt fest, das ein ÖPNV-Betreiber ab 125 Mio Fahrgäste pro Jahr als kritische Infrastruktur gilt.

Selbst wenn die BVG nicht unter die BSI-Kritisverordnung fallen würde, so sollte sie trotzdem – im Sinne der Versorgungssicherheit – die Mindestvorgaben für kritische Infrastrukturen erfüllen und ihre Infrastruktur regelmäßig unabhängig prüfen lassen.

Die laufende gerichtliche Überprüfung, ob die BVG unter die BSI-Kritisverordnung fällt, kann jedenfalls nicht als Grund herangezogen werden, die KRITIS-Maßnahmen nicht trotzdem zu ergreifen.

Von einem öffentlich-rechtlichen Unternehmen wie der BVG müssen wir erwarten können, dass es unmittelbar und auch ohne gesetzliche Pflicht alle zumutbaren und sinnvollen Maßnahmen umsetzt, welche die Versorgungs- und Betriebssicherheit weiter erhöhen. Alles andere wäre aus unserer Sicht fahrlässig.

Selbst wenn es nicht zu einem Ausfall des Berliner ÖPNV kommt wäre es wahrscheinlich, dass die drohenden Bußgelder am Ende über erhöhte Fahrpreise auf die Fahrgäste umgelegt werden müssten. Des Weiteren ist bereits absehbar, dass der Bußgeldrahmen sich durch das kommende IT-Sicherheitsgesetz 2.0 deutlich vervielfachen wird.

Die BVG sollte daher im Sinne der Berliner Bürger unter der Annahme handeln, dass Sie als größter Verkehrsbetrieb unter die BSI-Kritisverordnung fällt.

Das Bundesministerium des Inneren für Bau und Heimat ist parallel dazu weiterhin gesetzlich verpflichtet, die Umsetzung der BSI-Kritisverordnung zu evaluieren. Im Rahmen einer solchen Evaluierung könnte das BMI auch Einsichten in die kreativen Interpretationsweisen der BSI-Kritisverordnung berücksichtigen, um ähnliche Fälle zukünftig zu vermeiden. Wir fordern daher weiterhin, dass das BMI seinen gesetzlichen Pflichten nachkommt und die fehlenden Evaluierungen durchführt.

 

 

Unsere Forderung zur Evaluierung durch das BMI:

Erste Fraktion im Deutschen Bundestag fordert ein Cyberhilfswerk

Die Fraktion der freien Demokraten im Deutschen Bundestag hat auf Drucksache 19/24632 einen Antrag mit dem Titel: „Pandemie als digitalen Weckruf ernst nehmen – Umfangreiche
Digitalisierungsstrategie vorlegen“ veröffentlicht.

Dort heißt es neben wichtigen anderen Positionen zu einer defensiven Cybersicherheitsstrategie und zu der Forderung eines unabhängigen BSI unter anderem auch:

Damit auch nach einer Großschadenslage im Cyberraum die Versorgung der Bevölkerung sichergestellt werden kann, sind weiterhin die vorhandenen Bewältigungskapazitäten im BSI zu erweitern, indem ergänzende, ehrenamtliche Strukturen nach Vorbild des THW geschaffen werden.

Der vollständige Antrag ist hier zu finden:

Damit ist die Fraktion der Freien Demokraten die erste Fraktion, die unsere Forderung zur Gründung eines Cyberhilfswerks aufgenommen und zur Fraktionsposition gemacht hat. Dies freut uns sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist.

Gerne beraten wir bei Interesse alle Fraktionen im Deutschen Bundestag, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

IT-Sicherheitsgesetz 2.0 – vierter Entwurf: Jetzt vom BMI nur noch 24h Zeit zur Kommentierung

Das BMI hat eine neue Version des IT-Sicherheitsgesetz 2.0 an die Verbände zirkuliert – diesmal von heute morgen (09.12.2020), exportiert um 10:15 Uhr. Laut mehreren Tweets soll die Frist für die Beteiligung nur noch bis morgen um 14:00 laufen – also etwas über 24h.

Vor dem Hintergrund der Montag veröffentlichten „Berlin Declaration“ des BMI, in der es heißt:

„a commitment to the vital role of public administration in digital transformation based on fundamental democratic values, ethical principles and active involvement of civil society by EU member states“

ist diese Frist ein Schlag ins Gesicht der Zivilgesellschaft. Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird. Gerade in der für die meisten Menschen stressigen Vorweihnachtszeit für die Bewertung der umfassenden Änderungen nur 24 Stunden Zeit zu lassen, zeigt allen denjenigen, die sich dienstlich oder ehrenamtlich für eine Verbesserung der IT-Sicherheit einsetzen, dass ihre Meinung, Bewertung und demokratische Teilhabe unerwünscht ist.

Die AG KRITIS stellt hierzu fest: Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!

Auch bei der Veröffentlichung des dritten Entwurfs gab es zuerst nur 2,5 Werktage Zeit für die Bewertung – nach einem Aufschrei auf Twitter hat das BMI dann kommentarlos die Frist auf 5 Werktage geändert und später von einem redaktionellen Fehler gesprochen – ob eine kommentarlose Fristverlängerung jetzt auch passieren wird, bleibt abzuwarten.

Die kurze Frist legt nahe, das trotz durchgängig kritischer Stimmen durch alle Bundesverbände und Interessensvertretungen hinweg, das IT-Sicherheitsgesetz 2.0 noch unbedingt am 16. Dezember durch das Kabinett beschlossen werden soll.

Wir konnten bestätigen, dass die in diesem Tweet verlinkte Version des IT-SiG2-RefE4 der heute morgen veröffentlichten entspricht:

Hier wird die dritte und die vierte Version des IT-Sig2.0 verglichen: https://draftable.com/compare/lupgBxkcRtAd  

Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen?

Unsere Mitglieder haben sich für die AG KRITIS mit der räumlichen Trennung bei der Digitalisierung von Kritischen Infrastrukturen auseinandergesetzt.Paper der AG KRITIS: Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen

Es ist nicht klug, so das Sprichwort, alle Eier in einem Korb zu lagern. Eine grundlegende Vorsichtsmaßnahme gegen Unfälle und Missgeschicke, aber auch gegen Angriffe, ist die räumliche Trennung von Werten. Insbesondere werden kritische Komponenten grundsätzlich redundant ausgelegt und diese redundanten Systeme räumlich voneinander getrennt betrieben, um zu vermeiden dass ein einzelnes Ereignis einen Schaden anrichten kann.

Es wird niemanden überraschen, dass die fortschreitende Digitalisierung und Vernetzung von Systemen der Kritischen Infrastruktur die Schutzwirkung von Redundanz und räumlicher Trennung deutlich schwächt. Für digitale Angreifer stellt Redundanz alleine kein Hindernis dar, wenn die redundanten Systeme dieselben Schwachstellen aufweisen. Und die Kommunikation in der digital vernetzten Welt koppelt räumlich getrennte Systeme wieder so dicht zusammen, wie schnell Daten durch das Kommunikationsnetz gesendet werden können. Eine unabsichtliche Fehl-Fernbedienung oder ein absichtlicher Angriff können digitalisierte, redundante Komponenten gleichermaßen betreffen.

In diesem Artikel diskutieren wir die Schwächung physischer Barrieren durch Digitalisierung und mögliche Maßnahmen zur Sicherstellung eines grundlegenden Schutzniveaus einer digitalisierten Kritischen Infrastruktur.

Physische Trennung als traditionelle Schutzmaßnahme

Physische Trennung in den verschiedensten Ausprägungen ist eines der am weitesten verbreiteten Schutzkonzepte, um Schaden zu vermeiden oder zumindest das Schadensausmaß zu reduzieren. Die Techniken sind dabei so vielfältig wie für uns alltäglich und intuitiv, dass wir sie vielleicht nicht einmal wirklich als solche erkennen. Ein Beispiel für so eine intuitive räumliche Trennung sind Bürgersteige und Fahrspuren, während Ampeln eine ebenso intuitive zeitliche Trennung darstellen.

Auch Kritische Infrastruktur wird in wesentlichen Teilen durch physische Trennung geschützt, sei dies die räumliche Barriere um ein Kraftwerk oder die räumlich getrennte redundante Stromversorgung eines Krankenhauses. Auch die durch Ressourcen-Lagerung erreichte zeitliche Trennung der Verbraucher von den Versorgungsquellen ist ein wesentlicher Baustein traditioneller Schutzkonzepte.

Schaden mit nahezu Lichtgeschwindigkeit

Digitalisierung von Kritischer Infrastruktur bedeutet vor allem einen automatisierten Austausch, sowie die Erzeugung und Verarbeitung von Sensor- und Steuerdaten. Insbesondere die hohe Geschwindigkeit der Kommunikation, zwischen 50 und 90% der Lichtgeschwindigkeit, verringert den Schutzeffekt räumlicher Trennung von kommunizierenden Komponenten in dramatischer Weise.

Allein in diesem Jahr finden sich etliche öffentliche Berichte von Firmen, Universitäten, Gerichten, kommunalen Systemen als auch Universitätskliniken und Krankenhäusern, die durch Ransomware innerhalb kürzester Zeit für Tage oder Wochen vollständig lahmgelegt wurden. Was selbst eine massive Sabotage an der Stromversorgung nicht erreichen könnte, bewirkt die Schadsoftware der organisierten Kriminalität in Minuten. Traditionelle Schutzkonzepte, die nur auf Redundanz und physischer Trennung beruhen, sind in einer digitalisierten Infrastruktur offensichtlich unzureichend.

Digitalisierte Schutzkonzepte

Die wesentliche Frage ist also, wie die physische Trennung ergänzt werden kann, um sowohl gegen Fehler als auch gegen Angriffe in einer digitalisierten Infrastruktur zu schützen? Sehr abstrakt betrachtet ist dies ein Kernthema der IT-Sicherheit, in deren Entwicklung eine Vielzahl von Schutzmechanismen erarbeitet wurden, mit denen physische Mechanismen ersetzt oder ergänzt werden. Die „Firewall“ hat es als dominantere Technologie sogar bis in den allgemeinen Sprachgebrauch geschafft. Im Folgenden werden einige Konzept vorgestellt, die in der IT-Sicherheit entwickelt wurden, um die Auswirkungen von Angriffen und Fehlern zu limitieren und zu verringern.

Isolation & Kapselung

Auch wenn es verlockend bzw. kostengünstiger erscheint, Systeme großflächig einheitlich zu digitalisieren, sollte nicht einfach „alles mit allem“ vernetzt werden. Der Grad der Vernetzung sollte sich an dem konkret vorgesehenen Kommunikationsbedarf orientieren. Systeme unterschiedlicher Kritikalität sollten auch im digitalen grundsätzlich voneinander getrennt bleiben. Kommunikation sollte nur in dem Maße ermöglicht werden, wie Bedarf und Nutzen nachgewiesen werden – sog. Business need to Know Designprinzip. Insbesondere sollen redundante Komponenten nicht über dieselben Kommunikationsnetze steuerbar bzw. erreichbar sein.

Eng verbunden mit dem Designprinzip der Isolation ist auch das „least privilege“ Designprinzip, das die Zugriffsmöglichkeiten und Rechte auf den einzelnen Systemen in ähnlicher Weise auf das Notwendige einschränkt.

Unabhängigkeit

Jede Abhängigkeit eines digitalen Systems bedeutet auch eine weitere potentielle Angriffsfläche. Auch die möglichen Fehlerquellen werden schnell unüberschaubar. Daher sollten Systeme in Kritischen Infrastrukturen möglichst unabhängig von anderen Systemen, Diensten und Funktionen betrieben werden. Ist eine Abhängigkeit notwendig, sollte diese als ebenso kritisch berücksichtigt werden. Benötigt ein System beispielsweise die exakte Uhrzeit, lässt sich eine Abhängigkeit zu einem Zeit-Server nicht vermeiden. Dieser Zeit-Server muss dann in das Schutzkonzept gegen Angriffe und Fehler mit einbezogen werden.

Heterogenität

Zuerst einmal sollte akzeptiert werden, dass Teile eines Systems ausfallen oder kompromittiert werden können. Insbesondere muss geplant werden, dass gleichartige Komponenten mit höherer Wahrscheinlichkeit gleichzeitig betroffen sind, weshalb Backup- und Wiederherstellung für den Ausfall ganzer Komponentengruppen geplant, umgesetzt und (auch die Wiederherstellung) getestet werden müssen.

Digitalisierte Systeme bestehen heutzutage jeweils aus einem komplexen Stapel von Software- und Hardware-Komponenten. Eine wesentlich Erkenntnis ist, dass Schwachstellen einer Komponente dieses Stapels meist alle Systeme betreffen, in denen diese Komponente verwendet wird. Die weite Verbreitung einer Komponente, z. B. eines Betriebsystems oder einer beliebten Softwarebibliothek führt dazu, dass auch deren Schwachstellen weit verbreitet sind und die betroffene System dementsprechend angreifbar wären. Um die Auswirkungen einzelner Schwachstellen zu reduzieren ist es demzufolge wichtig, die Verbreitung gleichartiger Baureihen zu beschränken, kurz, die Infrastruktur aus Systemen mit möglichst unterschiedlichen Software- und Hardware-Komponenten aufzubauen. Damit würde Heterogenität als eine digitale Schutztechnik die Redundanz bzw. räumliche Trennung ergänzen.

Praktisch bedeutet Heterogenität aber auch, dass der Aufwand in der Herstellung und im Betrieb der Infrastruktur steigt. Offensichtlich kann nicht jedes System vollständig anders als alle anderen aufgebaut werden. Deshalb ist es zuerst wichtig, eine Abwägung zu treffen und minimale Heterogenitätsanforderungen zu definieren. Dabei kann weiterhin der, oft durchaus räumlich beschränkte, Wirkbereich von Systemen berücksichtigt werden. Eine einfache Verteilung gleichartiger Komponenten auf unterschiedliche Systeme führt nämlich auch dazu, dass alle Systeme gleichzeitig angreifbar werden. Diese Abschätzung fehlt bisher in allen wesentlichen Standards und Richtlinien für den Schutz von Systemen.

Bei einigen Technologien ist Heterogenität nur in geringem Maß umsetzbar. In diesem Fall ist neben erhöhten Isolations- und Unabhängigkeitsanforderungen auch eine bessere Reaktivität notwendig.

Reaktivität

Im Vergleich zu nicht digitalisierter Kritischer Infrastruktur unterliegen Hardware und insbesondere Software heutzutage sehr kurzen Lebenszyklen. Wöchentliche Updates und monatliche „Patchdays“ sind eher die Regel als die Ausnahme. Gleichzeitig gilt das Betreiben möglichst aktueller Software und Hardware als beste Maßnahme gegen Angriffe. Dies ist schon in einem Büro-IT Umfeld schwierig. Digitale Kritische Infrastruktur schnell und häufig zu aktualisieren wird in den meisten Fällen ein enorme Herausforderung sein. Gleichzeitig stellt dies sogar ein wesentliches Risiko für die Verfügbarkeit der Versorgung dar. Trotzdem gehört die Reaktivität auf neue Schwachstellen als auch aktualisierte Software und Hardware in jedes Schutzkonzept. Möglichst frühzeitig sollte das eigene Reaktionsvermögen – unter anderem auf Schwachstellen und veraltete Komponenten – realistisch abgeschätzt werden. Dieses (vermutlich nicht allzu schnelle) Reaktionsvermögen sollte dann die Basis für die Planung von Betriebs- und Wartungszyklen sein. Ebenso sollte der Schutzbedarf gemäß den vorher vorgestellten Konzepten daran ausgerichtet werden, wie viele Schwachstellen innerhalb eines Betriebszyklus zu erwarten sind, ohne diese reaktiv beheben zu können.

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier: