Artikel von unseren Mitgliedern

Offener Brief der OSBA – Forderung nach mehr Open Source in Staat und Verwaltung

Die Open Source Business Alliance (OSBA) hat einen offenen Brief an alle Bundestagsabgeordneten gerichtet, den auch die AG KRITIS unterzeichnet hat. Die AG KRITIS fordert die Einstufung der öffenlichen Verwaltung als kritische Infrastruktur im Sektor „Staat und Verwaltung“. Da sich die AG KRITIS auch für einen stärkeren Einsatz von Open Source Software im KRITIS-Bereich einsetzt, sehen wir große Überschneidungen zwischen dem offenen Brief und unserer Vorstellung wie sich die öffentliche Verwaltung strategisch entwickeln sollte.

Im offenen Brief bemängelt die OSBA die Tatsache, dass, obwohl die Bundesregierung in ihrem Koalitionsvertrag und der Digitalstrategie festgelegt hat, die digitale Souveränität zu stärken und Open Source Software zu fördern, der tatsächliche Anteil an Open Source Ausgaben bei Bundesprojekten seit 2021 trotzdem nur bei etwa 0,5 Prozent läge. Trotz einiger Leuchtturmprojekte zeige dies, wie stark die politischen Ziele und die Praxis auseinanderklaffen.

Die OSBA schlägt vor, ab einem zu bestimmenden Zeitpunkt nur noch quelloffene, frei nutzbare, anpassbare und überprüfbare Software aus staatlicher Hand zu entwickeln („Public Money, Public Code“) oder zu beschaffen. Ein solches „Zieldatum“ würde – ähnlich wie beim Kohleausstieg oder Verbrennerverbot – Verwaltung und Industrie Planungssicherheit geben und den ernsthaften Willen zu einer echten Open-Source-Transformation zeigen.

Die Forderungen der OSBA und die Forderungen der AG KRITIS bestätigen übereinstimmend die Notwendigkeit, digitale Souveränität durch Open Source in der staatlichen Verwaltung zu fördern.
Wir sind davon überzeugt, dass eine konsequente Abkehr von proprietären Systemen sowohl unsere Resilienz, als auch unsere digitale Souveränität steigern würde.

Der offene Brief der OSBA ist hier in voller Länge veröffentlicht:

Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten alle Referentenentwürfe des „Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557
und zur Stärkung der Resilienz kritischer Anlagen“, kurz KRITIS-Dachgesetz, bereit.

Das BMI hat in der Vergangenheit leider öfter mal versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen, daher muss die Zivilgesellschaft diesen Bug fixen.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der KRITIS-DachG Versionen:

06.11.2024 Gesetzesentwurf der Bundesregierung KRITIS-Dachgesetz (83 Seiten)

05.11.2024 Übersicht wesentliche Änderungen RefE KRITIS-Dachgesetz (5 Seiten, AG KRITIS generiertes PD aus dem Original)

05.11.2024 Übersicht wesentliche Änderungen RefE KRITIS-Dachgesetz (5 Seiten, Original Word Dokument)

05.11.2024 KRITIS-Dachgesetz (80 Seiten)

10.04.2024 KRITIS-Dachgesetz (82 Seiten)

21.12.2023 KRITIS-Dachgesetz (74 Seiten)

21.12.2023 Vergleichsversion – KRITIS-Dachgesetz (100 Seiten)

21.12.2023 Übersicht wesentliche Änderungen – KRITIS-Dachgesetz (9 Seiten)

17.07.2023 KRITIS-Dachgesetz (48 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Unsere Stellungnahme zum Referentenentwurf vom 21.12.2023 des KRITIS-Dachgesetz findet ihr hier:

 

Alle Veröffentlichungen zu NIS2 Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Schriftliche Stellungnahme zum Gesetzentwurf der Bundesregierung des NIS2UmsuCG vom 02.10.2024

Update auf v1.1 am 27.10.2024: Ergänzungen durch Feedback von den Mitgliedern der AG KRITIS als auch aus der Zivilgesellschaft.

Mit dem vorliegenden Referentenentwurf (Gesetzentwurf der Bundesregierung, Drucksache 20/13184) des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), kurz NIS2UmsuCG, wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsprüfung.

Mit dem neuen Referentenentwurf vom 02.10.2024 werden aus unserer Sicht keine wesentlichen Verbesserungen zu den bisherigen Referentenentwürfen erreicht und lediglich Defizite aufrechtgehalten.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 56 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 56 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei weiterhin keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Hackerparagraph: Stellungnahme der AG KRITIS zum Referentenentwurf Computerstrafrecht

Der RefE Computerstrafrecht zum Hackerparagraph ist ein guter Anfang, aber er schützt die deutsche Sicherheitsforschenden Community unzureichend!

Die Sicherheitsforschenden sollen 3 Voraussetzungen erfüllen, damit sie sich nicht mehr strafbar machen:

  1. In der Absicht handeln, „eine Sicherheitslücke festzustellen“
  2.  Sicherheitslücke an Herstellende bzw. Betreibende oder BSI melden
  3.  Technisches Vorgehen muss „erforderlich sein, um eine Lücke festzustellen“

Wenn die Strafverfolger aufgrund einer Anzeige eine Hausdurchsuchung anordnen, alles einpacken (alle Computer, Handys und jede andere IT) und im Nachgang erst die Absicht vor Gericht besprochen wird, hilft das keinem Sicherheitsforschenden. Es ermutigt weitere dann auch nicht, Lücken zu melden und wir haben den alten Zustand wieder zurück.

Sicherheitsforschende möchten auch nicht nur direkte Sicherheitslücken oder Schwachstellen, sondern auch bemerkte (Funk-)Datenabflüsse ohne vorgenommene root-cause Analyse zur schnellen Behebung melden können. Daher müssen auch solche Szenarien explizit in Bezug auf die Definitionen aber auch in Bezug auf weitere Gesetzesänderungen, die der RefE nicht vorsieht, geklärt werden.

Straferhöhung von 3 auf 5 Jahre für „besonders schwere Fälle“ von IT-Straftaten, also zB wenn Hacker Kritische Infrastrukturen beeinträchtigen. Die Organisierte Kriminalität wird sich bei Ransomware-Erpressungen davon nicht beeindrucken lassen. Das Militär, die Geheimdienste, weitere staatliche Akteure und andere kriminelle Tätergruppierungen ebenso wenig.

Strafmaßerhöhungen bringen in diesen Fällen nichts und simulieren eine Verbesserung der Sicherheit, die nicht wirklich eintritt.

Des weiteren möchten Sicherheitsforschende sich nicht in einer Datenbank registrieren, um für unser aller Gemeinwohl zu sorgen.

Meldungen müssen an Betreibende, Herstellende und das BSI, wie im Entwurf vorhanden gemeldet werden können. Darünber Hinaus muss aber auch an alle anderen Behörden oder Aufsichten auf Bundes-, Landes- oder Kommunalebene Meldung, wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die Landesdatenschutzbeauftragten möglich sein.

Das „Abhörverbot“ gemäß § 5 TDDDG wurde nicht berücksichtigt und korrigiert. Diese Art von Problemen bleibt damit weiterhin bestehen:

Kurznachrichten Mitlesen leichtgemacht
https://ag.kritis.info/2024/10/10/kurznachrichten-mitlesen-leichtgemacht/

Datenabfluss bei Feuerwehr und Rettungsdienst
https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

Behördenfunk in Deutschland: Anspruch und Wirklichkeit
https://ag.kritis.info/2023/07/09/behoerdenfunk-in-deutschland-anspruch-und-wirklichkeit/

Es gab schon lange Forderungen, die unter anderem auch ijon und HonkHase als Mitglieder der AG KRITIS mitgezeichnet haben:
https://sec4research.de/forderungen

Auf dem 2. Symposium des BMJ waren ijon und HonkHase ebenfalls dabei, vorher wurde HonkHase in einer Expertenworkshop-Runde beteiligt und einbezogen:
https://fragdenstaat.de/anfrage/unterlagen-zu-symposien-zur-reform-des-computerstrafrechts/

Der RefE Computerstrafrecht ist unter anderem hier zu finden:
https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/#2024-10-22_BMJ_RefE_Computerstrafrecht

Kurznachrichten Mitlesen leichtgemacht

Digitale Mobilfunknetze sind seit den 1990er Jahren in Deutschland in Betrieb. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Die AG KRITIS wurde von Hinweisgebenden kontaktiert, denen es möglich war, die Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers an mehreren Standorten in Deutschland mitzulesen. Und zwar ohne einen eigenen Funkempfänger. Es war lediglich ein Internet-Zugang notwendig.

Wir haben Einblick bekommen in Mitschnitte von Kurznachrichten mit privaten, geschäftlichen und behördlichen Inhalten. Auch Inhalte aus dem Gesundheitsbereich wurden unverschlüsselt übermittelt und konnten so ohne große technische Hürden mitgelesen werden.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

  1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
  2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben.

Funkempfang ohne eigenen Funkempfänger

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

  • Freiwillige betreiben an Standorten weltweit verteilt software-definierte Funkempfänger an kleinen, kostengünstigen eingebetteten Systemen wie dem Raspberry Pi.
  • Die eingebetteten Systeme sind über eine zentrale Instanz über Internet zugänglich.
  • Für den Empfang analoger Signale (wie UKW-Rundfunk oder Flugfunk) erfolgte die Demodulation im Internet-Browser. Die Funksignale konnten also direkt angehört werden.
  • Auch die Auswertung bestimmter digitaler Signale, wie z.B. der Transponderdaten von Flugzeugen, konnte einfach im Browser erfolgten.
    Eine weitere Zusatz-Software war dazu nicht erforderlich.
  • Die Rohdaten der Empfangssignale konnten in I&Q-Format (In-Phase- und Quadratur-Komponente des Empfangssignals) heruntergeladen werden. Damit war es möglich, sie für spätere Auswertung zu archivieren und die Dekodierung komplexer Modulationsverfahren nachträglich durchzuführen.

Über das Electrosense-Netzwerk war es somit registrierten Nutzern möglich, auf ein sehr breites Funkspektrum an vielen Standorten weltweit zuzugreifen. Und zwar kostenlos und über einen längeren Zeitraum. In Deutschland standen ein Funkempfänger in Westdeutschland und einer in Süddeutschland zur Verfügung. Diese beiden Funkempfänger wurden von unseren Hinweisgebenden benutzt, um die Funksignale im Downlink eines deutschen Mobilfunkbetreibers (also die Aussendungen vom Funkmast in Richtung der mobilen Teilnehmenden) zu erfassen und lokal auf ihren Rechnern auszuwerten.

Zur lokalen Signalverarbeitung kam die Linux-Distribution DragonOS zum Einsatz. Sie enhält schlüsselfertig alle notwendigen Werkzeuge zum Dekodieren der gängigen Funkprotokolle. Laut Dokumentation ist auch das Mitlesen unverschlüsselter Kurznachrichten in Mobilfunknetzen möglich.

So ausgestattet, konnten die Hinweisgebenden eine sehr große Anzahl an unverschlüsselten Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers systematisch erfassen und auswerten:

Einsehbar waren Kurznachrichten mit persönlichen Inhalten.

Ferner waren auch geschäftliche Inhalte lesbar. Durch die Größenbeschränkung der Kurznachrichten handelte es sich aber in der ausgewerteten Stichprobe eher um Belanglosigkeiten.

Pikant waren jedoch die Kurznachrichten mit Inhalten aus dem Bereich der Kritischen Infrastrukturen (KRITIS), von Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sowie aus dem Gesundheitsbereich:

  • Von zwei Energieversorgungs-Unternehmen war die Kommunikation mit den Kundendienst-Kräften vor Ort einsehbar. Dies beinhaltete auch die zahlreichen Benachrichtigungen über die nächsten Einsatzorte, mit Namen, Anschrift und Telefonnummern von Kunden.
  • Ein Bahnunternehmen verschickte seine aktuellen Streckenstörungen und Sicherheitsvorfälle per Kurznachricht an seine Mitarbeitenden. So waren z.B. Störungen durch Personen im Gleis und andere Abweichungen vom Betriebsablauf mitzulesen.
  • Einige Rettungsleitstellen verschickten automatisiert Voranmeldungen von Verletzen an die regionalen Krankenhäuser. Dies konnte in Klartext mitgelesen werden. Auf personenbezogene Daten wurde hier zum größten Teil – aber nicht immer – verzichtet.
  • Einzelne Feuerwehren nutzten die Weiterleitung von Einsatz-Alarmierungen als Kurznachricht. Hier waren in größerem Umfang personenbezogene Daten einsehbar.
  • Ein Krankentransport-Dienstleister in Westdeutschland nutzte Kurznachrichten zur Disposition seiner Einsatzfahrten. So war frei mitlesbar, welche Personen wann an ihrer Wohnanschrift abgeholt wurden, welche medizinische Einrichtungen konkret angefahren wurden, und wann die Rückfahrt nach Hause erfolgte. Ferner auch, ob die Personen z.B. liegend oder mit Sauerstoff-Versorgung befördert wurden.

Schwachstellenmeldung an das Computer Emergency Response Team des Bundes (CERT-Bund)

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) betreibt ein Portal zur Meldung von Schwachstellen. Die Hinweisgebenden gaben auf diesem Weg eine qualifizierte Schwachstellenmeldung ab. Dazu erhielten sie auch eine Eingangsbestätigung. Die Aussendung der Kurznachrichten des Mobilfunk-Netzbetreibers erfolgte aber auch noch mehrere Monate nach der Schwachstellenmeldung an das BSI weiterhin unverschlüsselt.

Meldung an den Bundes-Beauftragten für Datenschutz und Informationsfreiheit (BfDI)

Nach der Meldung an den BfDI erfolgte nach einigen Wochen ausführlicher Prüfung sinngemäß folgende Rückmeldung:

[…] Es wirft die Frage auf, wie ein Unternehmen wie der Mobilfunk-Netzbetreiber seine Kunden über die Gefahren bei unverschlüsselter Übertragung informiert.

Einige der von Ihnen genannten Unternehmen [gemeint sind die betroffenen Versender der Kurznachrichten, Anmerkung des Autors] sind seit Jahrzehnten Kunden des Mobilfunk-Netzbetreibers. Meist bestanden die Vertragsverhältnisse seit Anfang der 90er Jahre.
Insofern gab es in diesen Fällen keine initiale Produktberatung, wie sie heute üblich ist.
Aufgrund Ihrer Hinweise hat der Mobilfunk-Netzbetreiber die Unternehmen gezielt angesprochen und auf besser geeignete Lösungen hingewiesen. […] „.

Auch Monate nach dieser Korrespondenz wurden Kurznachrichten allerdings weiterhin unverschlüsselt übertragen.

Kontaktieren der Kurznachrichten-Versender

In den zahlreichen Kurznachrichten mit behördlichen Inhalten konnten direkte Rückschlüsse auf die Absender der Nachrichten gezogen werden. Die Hinweisgebenden konnten so direkt auf die augenscheinlichen Versender zugehen.

Insbesondere bei den betroffenen Rettungsleitstellen konnte so die unverschlüsselte Aussendung personenbezogener Daten kurzfristig unterbunden werden. Da den Rettungsleitstellen die Problematik der unverschlüsselten Übertragung nicht bekannt war, wurden auch strukturelle Anpassungen in der Voranmeldung von Verletzten an Krankenhäuser angekündigt.

Bei den beiden regional tätigen Energieversorgungs-Unternehmen war ebenso eine direkte Zuordnung auf den Absender anhand der Kunden-Anschriften möglich. Ein Energieversorger schaltete die Kundendienst-Kommunikation per unverschlüsselter Kurznachrichten innerhalb weniger Tage nach der Hinweis-Meldung ab. Beim zweiten Energieversorger wurden nach der Meldung der Hinweisgebenden wenigstens der Name und die Telefon-Nummer von Kunden nicht mehr übermittelt.

Um den Versender der Krankentransport-Einsatzdispositionen zu ermitteln, mussten die Hinweisgebenden die laut Kurznachrichten angefahrenen Krankenhäuser kontaktieren. Die Krankhäuser widerum konnten anhand der – von den Hinweisgebenden anonymisiert übermittelten – Patienten-Daten den Krankentransport-Dienstleisters ermitteln.
Auch dieser Dienstleister war von der Problematik der unverschlüsselten Kurznachrichten überrascht und konnte dann doch zeitnah auf andere Kommunikations-Mittel zur Disposition der Einsatzfahrten umstellen.

Rechtlicher Rahmen

Die rechtlichen Regelungen zum „Abhören“ von Funksignalen sind im „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) geregelt. Dieses ist aus dem „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG) hervorgegangen. Mit dem TTDSG widerum wurden 2021 die Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst.

In § 5 des TDDDG ist das „Abhörverbot“ geregelt. So heißt es:

§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
(1) Mit einer Funkanlage (§ 3 Absatz 1 Nr 1 des Funkanlagengesetzes) dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure im Sinne des § 2 Nummer 1 des Amateurfunkgesetzes, für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.
(2) Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 3 besteht, anderen nicht mitgeteilt werden. § 3 Absatz 4 gilt entsprechend.
(3) Das Abhören oder die in vergleichbarer Weise erfolgende Kenntnisnahme und die Weitergabe von Nachrichten aufgrund besonderer gesetzlicher Ermächtigung bleiben unberührt.

Gemäß § 27 TDDDG droht hier bei Verstoß eine Freiheitsstrafe von bis zu 2 Jahren:

§ 27 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
1. entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
2. entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
3. entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt
bereitstellt. […]

Es drohen also schon beim unbefugten Abhören „im stillen Kämmerlein“, auch unverschlüsselt ausgesendeter Funksignale, empfindliche strafrechtliche Konsequenzen.

Das Abhörverbot greift aber auch dann, wenn z.B. die Sicherheitslücke eines Funknetzes – wie die fehlende Verschlüsselung – dokumentiert und als Schwachstellenmeldung an eine Sicherheitsbehörde weitergereicht wird. Ebenso, wenn Hinweisgebende den Funknetz-Betreiber oder betroffene Personen selber über die unverschlüsselte Übermittlung von personenbezogenen Daten hinweisen.

Auch die mit uns in Kontakt stehenden Hinweisgebenden wurden darauf unmissverständlich hingewiesen. So stellt der BfDI sinngemäß klar:

Von einer strafrechtlichen Verfolgung [gegenüber dem Mobilfunk-Netzbetreiber, Anmerkung des Autors] möchte ich absehen, da dies auch Fragen im Zusammenhang mit § 5 [„Abhörverbot“, Anmerkung des Autors] des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekomunikation und bei Telemedien (TTDSG) aufwirft.

Und eine Staatsanwaltschaft meldete den Hinweisgebenden sinngemäß zurück:

[…] Hier wurde aus Sicht der Bundesnetzagenur mitgeteilt, dass aus ihrer Sicht das bloße Bereitstellen eines internet-angebundenen Funkempfängers kein Verstoß gegen das Abhörverbot darstellt, wobei zugleich die Frage aufgeworfen wurde, inwieweit ein strafrechtlcihes Verhalten beim Hinweisgeber vorliegen könnte, da dieser bewusst die fragliche Frequenz eingestellt und damit Daten empfangen und decodiert hat. […]

Ein konkretes Strafverfahren gegen die Hinweisgebenden wurde aber – unseres Wissens nach – nicht eröffnet.

Was tun ?

Hinweisgebenden bleibt also nur die anonyme Abgabe einer Schwachstellenmeldung, um rechtlich auf der sicheren Seite zu sein.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, Mobilfunk-Netze selber abzuhören. Schwachstellen-Meldungen sollten – wenn überhaupt – nur anonym erfolgen.

Als AG KRITIS fordern wir deshalb:

  • Rechtliche Regelungen, die es Sicherheitsforschenden ermöglicht, die Sicherheitslücke eines Funknetzes – wie z.B. die fehlende Verschlüsselung – straffrei zu dokumentieren und als Schwachstelle verantwortungsvoll melden zu können.
    Das „Abhörverbot“ im TDDDG muss dahingehend angepasst werden.
    Das Dokumentieren von Schwachstellen in Funknetzen zum Zweck der Meldung an Sicherheitsbehörden muss straffrei sein.
  • Nach unserem Verständnis von § 6 TDDDG haben Betreiber von Mobilfunknetzen „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb des Unternehmens des Anbieters und an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen“ [Zitat § 6 TDDDG].
    Mobilfunk-Netzbetreiber sind also unserer Meinung nach verpflichtet, das unbefugte Offenbaren von Nachrichteninhalten an Dritte auszuschließen.
    Konkret bedeutet dies, Nachrichteninhalte – insbesondere jene mit personenbezogenen Daten – sind nach dem Stand der Technik zu verschlüsseln.
  • Die Aufsichtbehörden (d.h. BfDI und Bundesnetzagentur) müssen auf die konsequente Verschlüsselung personenbezogener Daten seitens der Mobilfunk-Netzbetreiber aktiv hinwirken. Die muss auch mit den gesetzlich verfügbaren Mitteln in der Praxis durchgesetzt werden.

Status Quo

Die Sicherheitslücke bei einem deutschen Mobilfunk-Netzbetreiber wurde von den Hinweisgebenden Ende 2022 an BSI und BfDI gemeldet. Sie bestand noch bis mindestens Ende 2023 weiterhin fort.

Wir hoffen, der betreffende Mobilfunk-Netzbetreiber hat die Sicherheitslücke mittlerweile geschlossen. Verifizieren konnten wir dies aufgrund der oben dargestellten Rechtslage („Abhörverbot“) aber nicht.

 

Das Dunkelfeld in der Auswertung zum Warntag 2023

Was die Umfrage zum bundesweiten Warntag 2023 nicht aussagt

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat Ende Mai 2024 die Auswertung zur Umfrage zum bundesweiten Warntag 2023 veröffentlicht.

Dieser Bericht behandelt die Erkenntnisse, die aus der Online-Umfrage der Bevölkerung zum bundesweiten Warntag 2023 gesammelt wurden. Der Fokus der Umfrage liegt also auf den Empfängern der Warnungen. Obwohl Experten dies vorausgesagt haben, freuen wir uns trotzdem über die wissenschaftliche Bestätigung, dass die Einführung von Cell Broadcast eine gute Idee war und Cell Broadcast überraschend viele BürgerInnen erreicht. Die Wichtigkeit von Cell Broadcast im Warnmittelmix wurde aus unserer Sicht am Warntag bestätigt.

Die AG KRITIS steht jedoch auch im regelmäßigen Austausch mit Katastrophenschutz-Behörden und Rettungsleitstellen im Bundesgebiet, also den Versendern der Warnungen. Deren Erfahrungen mit dem bundesweiten Warntag, ggf. regionalen Warntagen und „echten“ Warnungen der Bevölkerung werden im oben genannten Bericht des BBK leider nicht abgebildet.

Ein Beispiel aus dem Hochwasser in Südwestdeutschland im Mai 2024:
Wie schon im Juli 2021 war Rheinland-Pfalz massiv betroffen, jedoch in anderen Landesteilen. Während im Ahrtal heute flächendeckend elektronische Sirenen mit Hochleistungs-Lautsprechern in Betrieb sind und regelmäßig getestet werden, konnte im nun betroffenen Landkreis Südwestpfalz die Bevölkerung oft nur mittels mobiler Lautsprecheranlagen gewarnt werden.
Zwar läuft seit 2022 auch in dieser Region der Sirenenausbau in hochwasser-gefährdeten Gebieten und Sirenen sind teilweise bereits installiert. Sie konnten beim Hochwasser im Mai 2024 jedoch noch nicht sinnvoll zum Einsatz kommen. Der Grund dafür ist die mangelnde Koordination durch das Land.

Auch mehr als 3 Jahre nach der Flut im Ahrtal sind technische Details zur Ansteuerung der Sirenen noch offen bzw. es fehlt an landes-einheitlichen Festlegungen und Vorgaben für die Kommunen und Gemeinden, wie mit den neuen Sirenen umgegangen werden soll. Die Kommunen und Gemeinden haben keine verbindlichen Vorgaben in welchen Szenarien und Gefahrenlagen alarmiert werden soll. Da die neuen Lautsprechersirenen in der Lage sind, sowohl Warntöne, als auch Lautsprecherdurchsagen zu übermitteln benötigt es auch hier Vorgaben, welche Töne oder Durchsagen in welcher Art verwendet werden sollen. Für diese Notwendigkeit ist der technische Fortschritt verantwortlich: Die alten, analogen Sirenen haben den Klang mechanisch generiert – damit war der genaue Klang ab Werk unveränderbar und eine Vorgabe dieser Art nicht notwendig.

Es braucht genaue Festlegungen,

  • von ausformulierten Warnmitteilungen für definierte Schadenfälle (z.B. allgemeine Gefahrenlage Hochwasser, flächendeckender Stromausfall),
  • für die alleinige Verwendung eines bestimmten Sirenen-Warntons, bzw.
  • für einen Sirenen-Warnton kombiniert mit gesprochenen Warnmitteilungen (z.B. „Achtung Achtung, hier spricht ihre Feuerwehr, Gefahr, ich wiederhole, Gefahr, verlassen sie sofort dieses Gebiet, informieren sie sich über die Medien oder Warn-App, halten sie den Notruf frei„) und,
  • von Alarmierungsadressen für die Ansteuerung über das kommunale digitale Alarmierungsnetz und das BOS-Digitalfunknetz

Derzeit muss jede Verbandsgemeinde-Verwaltung (als unterste Verwaltungsebene in Rheinland-Pfalz und Betreiber der Sirenen) bei ihrer Kreisverwaltung nachfragen, die wiederum bei der Aufsichts- und Dienstleistungsdirektion (ADD) nachhakt. Diese verweisen nur auf eine zukünftige landes-einheitliche Regelung, können aber nicht konkret weiterhelfen.

Einige Kreise legen daher die technischen Details zur Sirenenalarmierung selber fest. Gut vernetzte Verbandsgemeinden übernehmen die eine oder andere Festlegung, so entsteht dann eine bunter Flickenteppich an verschiedenen Umsetzungen. Andere Kommunen nehmen ihre neu aufgebauten Sirenen aufgrund dieser Rechtsunsicherheit gar nicht erst in Betrieb und warten eine landes-einheitliche Vorgabe ab.

Unser Sprecher Manuel Atug dazu: „Katastrophenschutz ist keine kommunale Spielwiese!

Die AG KRITIS fordert im Nachgang zum bundesweiten Warntag 2023 deshalb:

  1. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.
    1. Der Betrieb und die Beschaffung von Warnmitteln zur Warnung der Bevölkerung müssen explizit in die Hände der Bundesländer gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln und technischen Vorgaben aus. Im Ergebnis gibt es nicht überall Sirenen und beispielsweise die Anbindung von Stadtinformationssystemen an das Modulare Warnsystem (MoWas) ist äußerst heterogen.
    2. Wir fordern die verpflichtende Teilnahme aller Kommunen am bundesweiten Warntag. Aktuell erfolgt die Teilnahme am bundesweiten Warntag auf freiwilliger Basis.
  2. Sirenen-Warnung muss endlich einheitlich festgelegt werden:
    1. Kurzfristig muss jedes Bundesland klare Festlegungen treffen hinsichtlich der verwendeten Sirenen-Warntöne, der über elektronische Sirenen gesprochenen Warnmitteilungen, der technischen Festlegungen wie Alarmierungsadressen und der organisatorischen Abläufe wie Standort-Genehmigungsverfahren mit der Bundesnetzagentur. Diese Festlegungen müssen den Kommunen als Betreiber der Sirenen klar kommuniziert werden.
    2. Eine bundesweite Harmonisierung der verwendeten Sirenen-Warntöne und der über elektronische Sirenen gesprochenen Warnmitteilungen ist anzustreben.
  3. Wir empfehlen einen jährlichen regionalen Warntag je Bundesland. Dieser sollte halbjährlich versetzt zum bundesweiten Warntag durchgeführt werden. Damit bestünde die Möglichkeit, umgesetzte Maßnahmen zur Warnung der Bevölkerung auch zwischen den jährlichen bundesweiten Warntagen zu validieren.
    In den Bundesländern Nordrhein-Westfalen und Bayern haben sich diese regionalen Warntage im März bereits bewährt.
  4. Ferner ist ein Landes-Förderprogramm zum Sirenen-Ausbau je Bundesland zu empfehlen. Diese können zusätzliche Mittel bereitstellen, unabhängig vom bereits ausgeschöpften bundesweiten Sirenen-Förderprogramm. Jede Kommune in jedem Bundesland sollte Sirenen zur Warnung der Bevölkerung vorhalten.

Vielen Dank für das Foto an Mufid Majnun auf Unsplash

Schriftliche Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 24.06.2024

Mit dem vorliegenden Referentenentwurf des NIS2UmsuCG wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 und in Teilen unter Artikel 2 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.

Mit dem neuen Referentenentwurf vom 24.06.2024 werden aus unserer Sicht keine Verbesserungen zum Referentenentwurf vom 07.05.2024 erreicht und lediglich neue Defizite eingebaut.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 58 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 58 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Schriftliche Stellungnahme zum Gesetzentwurf des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 57. Sitzung am 15. März 2024 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum Gesetzentwurf des Thüringer Gesetzes über den Brandschutz, die Allgemeine Hilfe und den Katastrophenschutz (Thüringer Brand- und Katastrophenschutzgesetz – ThürBKG).

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/9658 von den drei Regierungsfraktionen DIE LINKE, der SPD und BÜNDNIS90/DIE GRÜNEN eingebracht. Auch der AG KRITIS wurde dabei Gelegenheit zu einer schriftlichen Stellungnahme gegeben.

Wir empfehlen dabei unter anderem allen Bundesländern folgende Maßnahmen gemeinsam umzusetzen:

1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.

2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, Psychosoziale Notfallversorgung) muss zwingend verschlüsselt erfolgen.

3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.

4. Wir fordern die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. Denn in einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Der Gesetzentwurf zielt vordergründig auf den Bereich des Brand- und Katastrophenschutzes im engeren Sinne ab. Um eine gesamtstaatliche und gesamtgesellschaftliche Resilienz zu erreichen, wäre ein wesentlich breiterer Ansatz erforderlich. Hierfür sei verwiesen auf das Sendai-Rahmenwerk für Katastrophenvorsorge 2015–2030, sowie dessen nationale Umsetzung durch die Resilienzstrategie des Bundes.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

Schriftliche Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 07.05.2024

Mit dem vorliegenden Referentenentwurf des NIS2UmsuCG vom 07.05.2024 wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändert. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 und in Teilen unter Artikel 2 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderliochen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.

Für den Sektor Staat und Verwaltung argumentiert die AG KRITIS:

Für den KRITIS Sektor Staat und Verwaltung gelten im Zuge des NIS2UmsuCG unzählige Sonderregelungen und Ausnahmen. Damit unterliegt die Verwaltung insbesondere des Bundes wieder zahlreichen Sonderregelungen und die Verwaltungen auf Kommunaler und Bundeslandebene werden vollständig außen vor gelassen und überhaupt nicht adressiert. Dies ist im Hinblick auf die vielen und teilweise sehr weitreichenden Cybersicherheitsvorfälle wie Landkreis Anhalt Bitterfeld oder SIT.NRW (über 100 Kommunen waren monatelang betroffen und faktisch handlungsunfähig!) nicht mehr nachvollziehbar, offensichtlich soll der Jahrzehnte gepflegte Investitionsstau weiterhin aufrecht gehalten werden. Die Kette an Cybersicherheitsversagen und Verantwortungsdiffusion kann beispielsweise unter der ehrenamtlich gepflegten Webseite https://kommunaler-notbetrieb.de eingesehen werden und erweitert sich derweil kontinuierlich.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) für zwingend erforderlich.

Es scheint, als sei keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aber aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potentiell betroffenen Einrichtungen und ihren Lieferketten als auch bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen sowie der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Schriftliche Stellungnahme für Anhörung im Schleswig-Holsteinischen Landtag zum Thema Cybersicherheit

Der Wirtschafts- und Digitalisierungsausschuss des Schleswig-Holsteinischen
Landtags führt eine Anhörung zum „Bericht über die Cybersicherheit unserer Infrastruktur“, Bericht der Landesregierung, Drucksache 20/1584 durch und hat unter anderem die AG KRITIS um schriftliche Stellungnahme gebeten.

Der zur Diskussion stehende Bericht ist unter Drucksache 20/1584 und die Beratung des Landtags darüber im Plenarprotokoll einsehbar.

Unsere Stellungnahme findet sich hier zum Download, alle Stellungnahmen sind als Umdruck beim Landtag Schleswig-Holstein zu finden.