Artikel von unseren Mitgliedern

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten die öffentlich gewordenen Referentenentwürfe des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (ehem. „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG))“ bereit.

Über mehrere voneinander unabhängige Quellen wurden uns verschiedene Bearbeitungsstände des RefE NIS2UmsuCG zugespielt, so dass wir diese hier für den demokratischen Diskurs veröffentlichen.

Dem BMI ist durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien bedauerlicherweise untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses grundlegende Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI zumindest das Diskussionspapier veröffentlicht und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die uns zugespielt werden.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Manuel Atug, Gründer und Sprecher der AG KRITIS zum aktuellsten Erwurf:
Die wesentlichen Kritiken der AG KRITIS aus der Schriftlichen Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 02.10.2024 haben leider unveränderte Gültigkeit.

Timeline der NIS2UmsuCG Versionen:

02.06.2025 Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (209 Seiten)

26.05.2025 Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (213 Seiten)

02.12.2024 NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – Gesamtübersicht Formulierungshilfe) (221 Seiten)

02.12.2024 NIS2UmsuCG (Formulierungshilfe der Bundesregierung) (3 Seiten)

29.11.2024 NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – Gesamtübersicht Formulierungshilfe) (221 Seiten)

29.11.2024 NIS2UmsuCG (Formulierungshilfe der Bundesregierung) (3 Seiten)

25.11.2024 NIS2UmsuCG (Anwendung auf Bundesverwaltung) (2 Seiten)

02.10.2024 NIS2UmsuCG (Bundestagssentwurf) (210 Seiten)

16.08.2024 NIS2UmsuCG (Bundesratsentwurf) (225 Seiten)

22.07.2024 NIS2UmsuCG (verabschiedeter Regierungsentwurf) (208 Seiten)

19.07.2024 NIS2UmsuCG (212 Seiten)

24.06.2024 NIS2UmsuCG (200 Seiten)

24.06.2024 Vergleichsfassung zum Bearbeitungsstand 07.05.2024 10:19 (223 Seiten)

03.06.2024 Foliensatz des BMI (Referentenentwurf für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) (19 Seiten)

07.05.2024 NIS2UmsuCG (189 Seiten)

22.12.2023 NIS2UmsuCG (164 Seiten)

27.09.2023 Diskussionspapier des BMI (Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland) (58 Seiten)

03.07.2023 NIS2UmsuCG (146 Seiten)

03.04.2023 NIS2UmsuCG (243 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu NIS2UmsuCG Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu KRITIS Dachgesetz Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

CVE in der Krise – Europas Weckruf für digitale Unabhängigkeit

Damit Schwachstellen und Sicherheitslücken geschlossen werden können, ist es zuallererst wichtig, diese eindeutig benennen zu können. Cybersecurity-Expert*innen nutzen dafür die CVE-Datenbank, welche von US-amerikanischen Behörden betrieben wird.

Am Beispiel der von MITRE betriebenen CVE-Datenbank (Common Vulnerabilities and Exposures, https://cve.mitre.org/), deren staatliche Finanzierung durch die USA kurzfristig gefährdet war, wird deutlich, warum echte europäische Lösungen für digitale Souveränität unerlässlich sind. Es stellt sich die Frage, ob wir die Informationssicherheit unserer kritischen Infrastrukturen vom Goodwill der USA oder anderer autokratischer Staaten abhängig machen wollen. Unabhängigkeit von staatlicher Einflussnahme ist essenziell, denn nur dann werden auch solche Schwachstellen enummeriert werden, die von staatlichen Behörden für offensive Cyberoperationen ausgenutzt werden. Als Negativbeispiele für unvollständige oder zensierte nationale Schwachstellendatenbanken gelten die chinesische CNNVD und die russische BDU.

Kurzfristig ist die Finanzierung der CVE-Datenbank für die nächsten elf Monate gesichert. Dabei wurde jedoch offensichtlich, wie viele Tools, Unternehmen und Behörden alternativlos von dieser einen staatlich kontrollierten Datenbank abhängig sind. Jetzt bietet sich die Chance für eine souveräne europäische Lösung: Die ENISA veröffentlichte innerhalb weniger Stunden eine Beta-Version ihrer European Union Vulnerability Database (EUVD). Derzeit verweist diese allerdings noch häufig auf CISA und NIST.

Trotz berechtigter Kritik ermöglicht das CVE-System eine einheitliche Identifikation und Katalogisierung von Schwachstellen. Noch ist unklar, wie eine unabhängige und standardisierte Vergabe von Identifikationsnummern in Zukunft koordiniert werden kann, sollte es mehrere parallele Systeme zur Schwachstellenkatalogisierung geben. Ideal wäre eine unabhängige Struktur mit gesicherter Finanzierung.

Grundsätzlich lassen sich mehrere Modelle unterscheiden:

  1. Unkoordinierte Schwachstellen-Identifikation
    Keine Standardisierung von IDs, keine zentrale Datenbank. Wie bei der Benennung von Malware oder APT-Gruppen würden dann zahlreiche unterschiedliche IDs für dieselbe Schwachstelle existieren.
  2. Zentrale Schwachstellen-Identifikation
    Eine global gültige, zentrale Registry zur Verwaltung von Ids und der Vergabe von Rechten, wer IDs beantragen darf. Voraussetzung: Unabhängigkeit von staatlichen Stellen und langfristige Finanzierung.
  3. Community-basierte Schwachstellen-Identifikation
    Ein öffentliches Repository, in dem jede*r Informationen und IDs beitragen kann – ähnlich wie bei Wikipedia. Frühere Versuche sind jedoch alle gescheitert, wie z. B. DWF (Distributed Weakness Filing), GSD (Global Security Database), OSVDB (Open Source Vulnerability Database).
  4. Dezentrale Schwachstellen-Identifikation
    Ein globaler Standard definiert Format und Algorithmus zur eigenständigen ID-Erstellung. Das Erfassen und Veröffentlichen bleibt dezentral den Beitragenden überlassen.

Aufgrund schlechter Erfahrungen bei der Malware-Identifikation ist vom unkoordinierten Modell dringend abzuraten. Eine eindeutige Identifikation von Sicherheitsproblemen – ob Malware, Schwachstelle oder Exploit – erleichtert den Informationsaustausch erheblich und ist gerade für die schnelle Kommunikation bei Vorfällen im KRITIS Bereich wertvoll.

Das zentrale Modell entspricht im Wesentlichen dem CVE-System, sollte aber durch eine transparente Finanzierung und Unabhängigkeit von staatlichem oder kommerziellem Einfluss weiterentwickelt werden. Die von ENISA betriebene EUVD könnte in diese Richtung gehen – auch hier bleibt die Frage der staatlichen Unabhängigkeit offen, scheint aber noch gestaltbar.

Ein Community-Modell bietet viele Vorteile und funktioniert bei anderen Wissensplattformen gut. Allerdings erfordert die Pflege tagesaktueller Schwachstelleninformationen erheblichen Aufwand, der kaum auf ehrenamtlicher oder spendenfinanzierter Basis tragbar ist. Zudem beruhen viele Geschäftsmodelle im Bereich Cybersicherheit auf der kommerziellen Nutzung dieser öffentlich verfügbarer Daten. Diese Tatsache hemmt freiwilliges Engagement, wie die gescheiterten Versuche zeigen.

Ein globaler Standard zur einheitlichen aber dezentralen Vergabe von Schwachstellen-IDs – idealerweise auch für Malware und APTs – erscheint als beste Lösung. Universally Unique Identifiers (UUIDs) nach RFC 9562, die auch zeitstempelbasierte IDs ermöglichen, bieten einen geeigneten Ansatz. Durch die Beschränkung auf die reine ID-Koordination ließe sich der Verwaltungsaufwand minimieren. Viele Zusatzinformationen in CVE- und NVD-Datenbanken sind ohnehin oft unzureichend verifiziert und in der Praxis wenig hilfreich. Der Fokus sollte auf Werkzeugen liegen, die Schwachstellen eindeutig identifizieren und praxisnahe Anleitungen zu Patches und Updates liefern, statt komplizierte Scores und Dashboards bereitzustellen.

Ohne eine gute, unabhängige Lösung zur Schwachstellen-Katalogisierung drohen kritischen Infrastrukturen:

  • Verzögerte Einschätzung und Behebung von Softwarefehlern
  • Ausfall von Sicherheitswerkzeugen wie Scannern, Verteidigungssystemen und Dashboards
  • Fehlende gemeinsame Sprache für den weltweiten Austausch von Bedrohungsinformationen

Vorerst bleibt das MITRE-CVE-Programm bestehen – doch niemand weiß, wie lange noch. Jetzt ist der richtige Zeitpunkt für eine globale Lösung, die nicht von Nationalstaaten abhängig ist.

Die AG KRITIS fordert daher die deutsche Bundesregierung auf, sich auf der europäischen Ebene für den Aufbau einer wirklich unabhängigen Schwachstellendatenbank unter Führung der ENISA einzusetzen. Wer 100 Milliarden Euro für „KI-Gigafactorys“ ausgeben will, der kann nicht behaupten, die etwa 20-30 Mio € im Jahr, die für den Betrieb der CVE-Datenbank benötigt werden, nicht zu haben.

Egal wie sich die europäische Digitalwirtschaft entwickelt und welche mehr- oder weniger innovativen Vorhaben von SpitzenpolitikerInnen im nächsten Hype-Zyklus präsentiert werden – Auf dem Boden der Tatsachen braucht es auch weiterhin ein Fundament aus größtmöglicher IT-Sicherheit.

Wir Europäer haben nun die Chance, die Kritikpunkte die es am CVE-System gibt, durch Schaffung eines besseren Systems auszuräumen und genau dies fordern wir.

Referenzen:

Zu CNNVD und BDU: https://www.darkreading.com/cyberattacks-data-breaches/russian-national-vulnerability-database-operation-raises-suspicions
CVE Kritik: https://lwn.net/Articles/679315/
DWF: https://seclists.org/oss-sec/2016/q1/560
GSD: https://cloudsecurityalliance.org/blog/2022/02/22/why-we-created-the-global-security-database
GSD: https://github.com/CloudSecurityAlliance/gsd-database
OSVDB: https://en.wikipedia.org/w/index.php?title=Open_Source_Vulnerability_Database&oldid=1247288031
OSVDB: https://web.archive.org/web/20191124210140/https://www.networkworld.com/article/3053613/open-source-vulnerabilities-database-shuts-down.html
OSVDB Lizenzfrage: https://www.theregister.com/2014/05/08/whats_copyright_mcafee_mcslurps_vuln_database/
Virus Namensschema: https://bontchev.nlcv.bas.bg/papers/naming.html
Malware Bennungsprobleme: https://www.gdatasoftware.com/blog/2019/08/35146-taming-the-mess-of-av-detection-names
RFC 9562: Universally Unique IDentifiers (UUIDs) https://www.rfc-editor.org/rfc/rfc9562

Picture by Antony-22 – Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=60094941

Vielen Dank an unsere Mitglieder Lioba und random für das Anfertigen dieses Artikels

Version 1.2 des CHW-Konzept veröffentlicht!

Wir geben die Veröffentlichung einer neuen Version 1.2 des CHW-Konzepts bekannt.

Diese Überarbeitung zielt in erster Linie darauf ab, den Lesefluss zu verbessern und Inhalte auf den neuesten Stand zu bringen. Hierfür wurden die Dokumentenstruktur und die Überschriften angepasst, um eine noch klarere Gliederung zu gewährleisten. Veraltete Informationen und Beispiele sind entfernt worden, während zentrale Aussagen präziser formuliert wurden.

Ein wesentlicher Schwerpunkt lag auf der Betrachtung möglicher Notfall-Szenarien. Dazu wurden für einzelne Szenarien und Sektoren sowohl die Ausstattung als auch die vielfältigen Einsatzmöglichkeiten eines CHW analysiert und in einem eigenen Abschnitt zusammengefasst. Diese Neuerungen sollen einen praxisnahen Überblick bieten. Für uns sind dies auch erste Schritte in Richtung konkreter Empfehlungen zur Ausrüstung und Einsatzaufgaben eines zukünftigen Cyberhilfswerks

Version 1.2 steht auf seiner eigenen Seite ab sofort zur Verfügung. Vielen Dank an unsere Mitglieder die bei dieser Aktualisierung mitgewirkt haben. Unser Engagement passiert in unserer Freizeit und im Ehrenamt.

Was ist KRITIS im Staat? – Forderungen zum Sektor Staat und Verwaltung

Wir fordern die Bundesregierung und alle Landesregierungen auf, für den Sektor „Staat und Verwaltung“ verbindliche und harmonisierte Regelungen für kritische Infrastrukturen im Sektor Staat und Verwaltung zu schaffen, welche auch bis auf die Ebene der kommunalen Verwaltungen gelten. Hier sollten sich die Landes- und Bundesregierung an den Regelungen in der BSI-Kritisverordnung orientieren. Des Weiteren müssen sie Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen.

Bedauerlicherweise ist es weiterhin so, dass es KRITIS-Regelungen zwar für Unternehmen gibt, jedoch nicht im Sektor „Staat und Verwaltung“. Rein staatlich betriebene Infrastrukturen gelten daher bisher nicht als KRITIS.

BetreiberInnen kritischer Anlagen aus den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, und solche, die für diese Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen, sollten Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen müssen.

Selbstverständlich steht die AG KRITIS als unabhängige Interessengemeinschaft hierfür auf Wunsch beratend zur Verfügung.

Gesetzliche Regelungen zur technischen und organisatiorischen Umsetzung des Stand der Technik, die vom Staat für privatwirtschaftliche KRITIS-BetreiberInnen als zumutbar, verhältnismäßig und angemessen angesehen werden, sollten den Mindeststandard für den Staat selbst darstellen. Die dringend zu schaffenden Vorgaben im Sektor „Staat und Verwaltung“ sollten über den Mindeststandard hinaus gehen, denn bei privaten BetreiberInnen kann der Staat die Einhaltung der Gesetze mittels Sanktionen erzwingen – bei Behörden ist das so nicht möglich.

So kann, auch im Fall einer mangelhaften Umsetzung, ohne Sanktionsmöglichkeiten der erreichte Stand über dem Standard liegen, der bei privatwirtschaftlichen BetreiberInnen per Sanktionierung erzwungen werden kann. Dies muss das Mindestziel sein.

Der Aufbau eines ISMS (lnformationssicherheitsmanagementsystem, bspw. nach BSI IT-Grundschutz oder ISO 27001) , sowie der Aufbau eines BCM (Business Continuity Management, bspw. nach BSI Standard 200-4 oder ISO 22301) sind für privatwirtschaftliche KRITIS-BetreiberInnen gesetzlich verpflichtend. Dies sollte gleichermaßen auch für kritische Dienstleistungen gelten, die durch staatliche Akteure erbracht werden.

Aus unserer Sicht ist es unerträglich, dass der Staat gegenüber der Wirtschaft es für zumutbar und verhältnismäßig hält, diese zur Umsetzung des Stand der Technik zu verpflichten, ein vergleichbares Sicherheitsniveau zum Nachteil der BürgerInnen in der eigenen Infrastruktur jedoch nicht durchsetzt. Dies ist aufgrund fehlender rechtlicher Bindung staatlicher Akteure an die geltenden KRITIS-Regularien der Fall. Darüber hinaus sehen wir im föderalen System aktuell keinen Willen, nicht gesetzeskonformes Verhalten staatlicher Akteure bei bereits bestehenden Regulierungen (beispielsweise im Kontext Datenschutz) im erforderlichen Maße zu sanktionieren.

Aufgrund der hervorgehobenen Position der kritischen Dienstleistungen im Sektor Staat und Verwaltung und der zumeist gegebenen Unmöglichkeit einer Ersatzversorgung, halten wir eine wissenschaftliche Betrachtung und Analyse von Kaskadeneffekten für unumgänglich, deren Ergebnis eine Anpassung der Sektoren, Schwellwerte, Anlagen- und Anlagenkategorien auf Basis der tatsächlich erbringbaren Ersatzversorgungsleistung sein sollte.

Ein Regelungszweck des KRITIS-Dachgesetzes soll die klare Identifizierung von Kritischen Infrastrukturen sein. Hierfür ist der Vorschlag der AG KRITIS, sich von der bisherigen Systematik der Schwellwerte zu verabschieden: Aus Sicht der Bevölkerung ist entscheidend, dass eine Versorgung mit den kritischen Dienstleistungen stattfindet (bspw. Trinkwasserversorgung, Stromversorgung, stationäre medizinische Versorgung, Kraftstoff- und Heizölversorgung, Sprach- und Datenübertragung, Bargeldversorgung, Siedlungsabfallentsorgung, usw., vgl. BSI-Kritisverordnung).

Dabei ist unerheblich, wie viele andere Menschen durch die gleiche physische Infrastruktur noch versorgt werden. Insbesondere für die Bereitstellung von leitungs- oder netzgebundenen Diensten können also grundsätzlich keine Schwellwerte gelten, wenn diese eine monopolistische Stellung bspw. durch Betrieb der Leitungs- oder Netzinfrastruktur genießen. Vor diesem Hintergrund muss dann bewertet und entschieden werden, ob bei Ausfall der Infrastruktur in einer Krise eine Ersatzversorgung sicher erbracht werden kann. Ist dies nicht möglich, muss die betrachtete Anlage zur Erbringung der kritischen Dienstleistung als KRITIS gelten.

Auch für den Sektor Staat und Verwaltung kann die Frage der Anzahl der Menschen, die Dienstleistungen in einer Verwaltungseinheit (Kommune, Land, Bund) nutzen, nicht dafür entscheidend sein, ob diese Dienstleistung als kritische Infrastruktur zu gelten hat. Von wesentlich höherer Bedeutung ist die Fragestellung, ob die Aufrechterhaltung dieser Dienstleistung als Daseinsvorsorge für den Erhalt der menschlichen Gesundheit, für den Schutz menschlichen Lebens oder auch für die wirtschaftliche Existenz kurz- und mittelfristig Relevanz hat. So ist die Auszahlung von Sozialleistungen oder der Betrieb von gesundheitlichen Dienstleistungen von höherer Relevanz als beispielsweise die Anmeldung eines Kraftfahrzeuges. Insbesondere auf Ebene der Kommunen hilft Standardisierung und interkommunale Zusammenarbeit, den Druck zur Erbringung kritischer Dienstleistungen von einzelnen Verwaltungen zu nehmen.

Photo by Miguel Á. Padriñán

Politische Forderungen an Katastrophenschutz sowie Behörden und Organisationen mit Sicherheitsaufgaben

Der Datenabfluss in der Einsatzkräfte-Alarmierung von Rettungsleitstellen dauert auch 2 Jahre nach unserer Veröffentlichung immer noch an.

Alleine im Sommer 2024 konnten wieder in 9 Rettungsleitstellen-Bereichen die personenbezogene Daten von Hilfesuchenden und die damit verbundenen Einsatz-Informationen einfach über das Internet mitgelesen werden.

Wir haben dies zum Anlass genommen, noch einmal konkrete Forderungen an die politisch Verantwortlichen in Bund, Ländern und Kommunen zu formulieren.

Für den Bereich Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie den Katastrophenschutz sind diese unten aufgeführt. Die Übersicht unserer Forderungen für alle Sektoren findet sich hier.

  1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.
    1. Wir fordern zur Härtung des BOS-Digitalfunk-Zugangsnetzes von jedem Bundesland den Betrieb eigenbeherrschter Übertragungsleitungen, die nach Gesichtspunkten der Ausfallsicherheit verlegt und nicht vom billigsten Anbieter angemietet werden.
    2. In jedem Bundesland müssen stationäre Netzersatzanlagen mit mindestens 72 Stunden Überbrückungszeit an allen BOS-Digitalfunk-Basisstationen verbaut werden. Die aktuelle unterbrechungsfreie Batterieversorgung mit nur wenigen Stunden Überbrückungszeit ist nicht ausreichend.
    3. In jedem Bundesland müssen proportional zur Fläche und Bevölkerung ausreichend viele – jedoch mindestens drei – Satelliten-angebundene mobile Basisstationen (Sat-mBS) zur Verfügung stehen, welche ausgefallene stationäre BOS-Digitalfunk-Basisstationen kurzfristig ersetzen können.
      Zur Einordnung: Beim Hochwasser im Ahrtal 2021 waren ca. 60 stationäre BOS-Digitalfunk-Basisstationen über mehrere Tage ausgefallen. Es kamen dort alle zehn bundesweit existenten Sat-mBS zum Einsatz. Dies war nicht ausreichend.
    4. Wir fordern mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk. Denn mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
  2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, psychosoziale Notfallversorgung) muss zwingend verschlüsselt vorgenommen werden.
    1. Sollte die zeitnahe kommunale Finanzierung von verschlüsselungsfähigen Endgeräten nicht möglich sein, dann hat das Bundesland zwingend in Vorleistung zu treten. Denn die Alarmierungsnetze liegen in 14 der 16 Bundesländer aktuell in kommunaler Trägerschaft.
    2. Die kommunal betriebenen Alarmierungs-Netze müssen gegen langanhaltende Stromausfälle von bis zu 72 Stunden gehärtet werden. Ebenso ist der eigenbeherrschte Betrieb der Übertragungsleitung gegenüber der Anmietung kommerzieller Übertragungs-Netze vorzuziehen. Bei den Alarmierungs-Netzen muss ein vergleichbares Resilienz-Niveau wie beim BOS-Digitalfunknetz erreicht werden.
    3. Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden. Wenn immer möglich, ist eine Zwei-Faktor-Authentisierung (MFA) anzustreben. Sicherheits-Updates müssen zeitnah eingespielt werden. Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
    4. Die Verantwortung für den Betrieb der Alarmierungseinrichtungen muss mittelfristig von den Kommunen auf das Bundesland übergehen. Dies muss in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben werden.
    5. Eine generelle Harmonisierung der 16 Landesgesetze für Brand- und Katastrophenschutz ist anzustreben.
    6. Die Innenministerien der Bundesländer müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Rettungsleitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.
  3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.
    1. Der Betrieb und die Beschaffung von Warnmitteln zur Warnung der Bevölkerung müssen explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen. Beispielsweise ist auch die Anbindung von Stadtinformationssystemen an das Modulare Warnsystem (MoWaS) äußerst heterogen.
    2. Wir fordern die verpflichtende Teilnahme aller Kommunen am bundesweiten Warntag. Aktuell erfolgt die Teilnahme am bundesweiten Warntag auf freiwilliger Basis.
  4. Wir fordern die Errichtung eines Kommunal-CERT in allen Bundesländern. Entweder als Aufgabe des Landes-CERT oder als eigene Struktur. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie etwa Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden. Insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. In den meisten Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Das Titelbild wurde von Karl Gruber angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 4.0 Lizenz.

Schriftliche Stellungnahme zum Referentenentwurf der C5-Äquivalenz-Verordnung

Das Referat 512 – Cybersicherheit und Interoperabilität vom Bundesministerium für Gesundheit (BMG) hat die AG KRITIS um Stellungnahme zum Referentenentwurf der C5-Äquivalenzverordnung (Verordnung nach § 393 Absatz 4 Satz 4 des Fünften Buches Sozialgesetzbuch) gebeten.

Im Gesundheitswesen werden besonders schützenswerte Daten verarbeitet. Um den dafür angemessenen Schutz auch beim Einsatz cloudbasierter Informationssysteme sicherzustellen, in denen Gesundheits- oder Sozialdaten verarbeitet werden, wurde durch das Digital-Gesetz der § 393 des Fünften Buches Sozialgesetzbuch (SGB V) neu eingeführt. Damit wurde ein verpflichtend einzuhaltender Mindeststandard eingeführt: der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue)“. Durch die Anforderung einer C5 Zertifizierung der informationstechnischen Systeme soll die Resilienz der Einrichtungen im Gesundheitswesen gesteigert werden.

Aus unserer Sicht ist nicht nachvollziehbar, dass ein C5-Testat ausschließlich durch Wirtschaftsprüfer erstellt werden darf und dass nicht auf das bewährte Verfahren der Erteilung von Zertifikaten zurückgegriffen wird.

Mit der Äquivalenzverordnung soll Rechtssicherheit bezüglich eines vergleichbaren Sicherheitsniveaus hergestellt werden. Dies ist zu begrüßen.

Unsere Stellungnahme ging dem BMG fristgemäß am 23.01.2025 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt.

Titelbild wurde von akitada31 angefertigt und via pixabay Inhaltslizenz veröffentlicht.

Offener Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​

Die AG KRITIS unterstützt den offenen Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​.

Die jüngsten Einlassungen des Bundesministeriums zu Änderungen an der ePA, nachdem in einem Vortrag auf dem 38. Chaos Communication Congress Sicherheitslücken präsentiert wurden, erscheinen lediglich während der Testphase begrenzt tragfähig und bieten nur einen überschaubaren Sicherheitsgewinn. Es darf nicht sein, dass das Sicherheitsniveau der ePA vom Schutzgrad einzelner Arztpraxen abhängt.

Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten.

Besonders kritisch bewerten wir, dass ein „Sicherheitsgutachten“ des Fraunhofer SIT jegliche Angriffe durch Regierungsorganisationen explizit ausgeklammert hat. Ob solche Angriffe möglich sind, wurde daher nicht einmal geprüft. Dies offenbart ein alarmierendes Verständnis von Sicherheitsanforderungen und wirft zusätzliche Fragen zur Resilienz der ePA gegen gezielte Angriffe auf.

In der Stellungnahme der Gematik zum 38C3-Vortrag hieß es, auf die Daten der ePA zuzugreifen sei illegal und somit strafbar. Die IT-Sicherheit muss jedoch so robust sein, dass auch Akteure mit hoher krimineller Energie technisch effektiv daran gehindert werden, an Gesundheitsdaten zu gelangen.

Dass Angriffe von Regierungsorganisationen im Sicherheitsgutachten ausgeklammert wurden, ist nicht akzeptabel. Die Bundesregierung hat den Auftrag, Bürger auch vor fremden Geheimdiensten oder Regierungen zu schützen. In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren.

Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.

Da auch die weiteren Prüfsteine aus dem letzten offenen Brief „Vertrauen lässt sich nicht verordnen“ bislang nicht umgesetzt wurden, empfiehlt die AG KRITIS der Bundesregierung, das Projekt ePA zu stoppen, und rät den Bürgerinnen und Bürgern, der Nutzung der ePA zu widersprechen.

Foto von Chris Liverani auf Unsplash

Wahlprüfsteine zur Bundestagswahl 2025

Anlässlich der am 23.02.2025 bevorstehenden Bundestagswahl haben wir die Gelegenheit genutzt und alle im Bundestag vertretenen Parteien gebeten, unsere Wahlprüfsteine zu beantworten.

Folgender Text wurde am 22.12. an alle Parteien versendet:

Die Herausforderungen unserer Zeit rücken die Themen IT-Sicherheit, Resilienz und Krisenvorsorge in einen besonderen Fokus.
Wir haben uns, vor dem Hintergrund der knappen Zeit bis zur Wahl, auf wenige, aber spezifische, Fragen beschränkt.
Ergänzen Sie in Ihrer Antwort gerne inhaltliche Schwerpunkte, die Ihre Partei zusätzlich priorisieren möchte.

  1. Wie stehen Sie zu den Ausnahmen im Sektor „Staat und Verwaltung“ für Ministerien und Behörden auf Bundes-, Landes- und kommunaler Ebene in der Gesetzgebung zur Umsetzung der Richtlinie NIS2 sowie im KritisDG?
    Welche darüberhinausgehenden Maßnahmen wollen Sie ergreifen um die IT-Sicherheit an den genannten Stellen zu verbessern?
  2. Wie stehen Sie zu der Idee, eine Kritis-Verordnung für den Sektor Staat und Verwaltung zu erlassen?
  3. Teilen Sie die Einschätzung, dass dem Staat und seiner Verwaltung IT-Fachkräfte und IT-Fachkompetenz fehlen?
    Wie werden Sie die Personalentwicklung und Kompetenzbildung vorantreiben?
    Wie stehen Sie zu einer TVÖD-Reform, die die Gehaltsniveaus von IT-Fachkräften der marktwirtschaftlichen Realität annähert?
  4. Wie stehen Sie zur Reform des Computerstrafrechts um insb. ehrenamtlichen IT-SicherheitsforscherInnen Rechtssicherheit zu verschaffen?
    Werden Sie den vom BMJ begonnenen Reformprozess fortführen?
  5. Wie stehen Sie zur Forderung der Zivilgesellschaft nach mehr Unabhängigkeit für das BSI?
    Welche Konzepte für die Umsetzung dieses Ziels präferieren Sie?
  6. Teilen Sie die Einschätzung, dass Deutschland derzeit keine ausreichenden Bewältigungskapazitäten für Großschadenslagen, hervorgerufen durch Cybervorfälle, hat?
    Wie stehen Sie vor diesem Hintergrund zur Umsetzung des Konzepts „Cyberhilfswerk“ sowie der aktuell laufenden Machbarkeitsstudie im THW?

Die Antworten werden wir veröffentlichen. Wir haben um Antwort bis zum 15.01.2025 gebeten und werden danach die erhaltenen Antworten bereitstellen.

Foto von Mika Baumeister auf Unsplash

Stellungnahme „Hackerparagraph“ für Verbändeanhörung im Justizministerium

Nachdem die AG KRITIS auch zu den Symposien zum Reformbedarf im Computerstrafrecht eingeladen waren, hat das BMJ auch die AG KRITIS aufgefordert, zum Referentenentwurf eine Stellungnahme im Rahmen der Verbändeanhörung einzureichen.

Unser Gesamturteil lässt sich vielleicht folgendermaßen zusammenfassen: Obwohl der gewählte Ansatz im strafrechtlichen Bereich die Rechtssicherheit der IT-Sicherheitsforschenden deutlich verbessert, wurde nicht der bestmögliche Weg gewählt. Der gewählte Weg würde zwar dafür sorgen, dass IT-Sicherheitsforschende regelmäßig vor Gericht freigesprochen, oder das Verfahren eingestellt würde. Damit wäre aber die IT-SicherheitsforscherIn weiterhin dem Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware, sowie dem Aufwand des Führens eines Gerichtsprozesses ausgesetzt.

Da besonders die ehrenamtliche IT-Sicherheitsforschung unter fehlender Rechtssicherheit leidet, ist es aus unserer Sicht zumutbar, einen Weg zu wählen, der IT-Sicherheitsforschende entlastet, so dass es in der überwiegenden Anzahl der Fälle gar nicht erst zur Anklage kommt. Hier könnte man durch die Ergänzung eines Tatbestandsmerkmals im Strafgesetzbuch, dem Vorsatz zur Schädigung, die Erkundung ob es sich um ehrenamtliche IT-Sicherheitsforschung handelt, den ermittelnden Staatsanwaltschaften auferlegen. Ein eingetretener Schaden, wie z.B. die erfolgte Verschlüsselung von Festplatten, im Falle von Ransomwaregruppen (organisierter Kriminalität) macht dann diese Ermittlung wiederrum unnötig, so dass sich die Frage nach dem Vorsatz einer Schädigung des Opfers nur stellt, wenn es sich höchstwahrscheinlich um gemeinnützige und gutgläubige IT-Sicherheitsforschung handelt. Obwohl dies einen Mehraufwand darstellt, halten wir es für verhältnismäßig und geboten, diesen den Gerichten aufzuerlegen, denn die IT-Sicherheitsforschenden sollen als gesellschaftliche Gegenleistung für Ihren wichtigen Einsatz, so wenig Prozessrisiko wie möglich ausgesetzt sein.

Die Chance dringend notwendige kleinere Änderungen an anderen Gesetzen, außerhalb des Strafgesetzbuchs, wurde durch den gesetzten Rahmen, nur das Strafrecht zu reformieren, von Anfang an nicht gewährt. In unserer Stellungnahme erläutern wir weitere Fehlstellen in anderen Gesetzen, außerhalb des StGB, bei denen ähnliche Ausnahmen, wie jetzt im Referentenentwurf vorgeschlagen, notwendig wären. Beispielsweise fordern wir Ergänzungen von IT-Sicherheitsforschungsausnahmen im Bereich des Abhörverbots im §5 des TDDDG, ebenso ist es notwendig im GeschGehG eine Ausnahme für die Meldung von IT-Sicherheitslücken zu schaffen.

Unsere Stellungnahme ging dem BMJ fristgemäß am 15.12.2024 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt

Foto von Tingey Injury Law Firm auf Unsplash