Offener Brief der OSBA – Forderung nach mehr Open Source in Staat und Verwaltung

Die Open Source Business Alliance (OSBA) hat einen offenen Brief an alle Bundestagsabgeordneten gerichtet, den auch die AG KRITIS unterzeichnet hat. Die AG KRITIS fordert die Einstufung der öffenlichen Verwaltung als kritische Infrastruktur im Sektor „Staat und Verwaltung“. Da sich die AG KRITIS auch für einen stärkeren Einsatz von Open Source Software im KRITIS-Bereich einsetzt, sehen wir große Überschneidungen zwischen dem offenen Brief und unserer Vorstellung wie sich die öffentliche Verwaltung strategisch entwickeln sollte.

Im offenen Brief bemängelt die OSBA die Tatsache, dass, obwohl die Bundesregierung in ihrem Koalitionsvertrag und der Digitalstrategie festgelegt hat, die digitale Souveränität zu stärken und Open Source Software zu fördern, der tatsächliche Anteil an Open Source Ausgaben bei Bundesprojekten seit 2021 trotzdem nur bei etwa 0,5 Prozent läge. Trotz einiger Leuchtturmprojekte zeige dies, wie stark die politischen Ziele und die Praxis auseinanderklaffen.

Die OSBA schlägt vor, ab einem zu bestimmenden Zeitpunkt nur noch quelloffene, frei nutzbare, anpassbare und überprüfbare Software aus staatlicher Hand zu entwickeln („Public Money, Public Code“) oder zu beschaffen. Ein solches „Zieldatum“ würde – ähnlich wie beim Kohleausstieg oder Verbrennerverbot – Verwaltung und Industrie Planungssicherheit geben und den ernsthaften Willen zu einer echten Open-Source-Transformation zeigen.

Die Forderungen der OSBA und die Forderungen der AG KRITIS bestätigen übereinstimmend die Notwendigkeit, digitale Souveränität durch Open Source in der staatlichen Verwaltung zu fördern.
Wir sind davon überzeugt, dass eine konsequente Abkehr von proprietären Systemen sowohl unsere Resilienz, als auch unsere digitale Souveränität steigern würde.

Der offene Brief der OSBA ist hier in voller Länge veröffentlicht:

Artikel: heise.de – Bundesrat schiebt Ausschussempfehlungen zu NIS2 wortlos durch​

Manuel ‚HonkHase‘ Atug erklärt bei heise.de, was es mit den aktuellen Ausschussempfehlungen zu NIS2 auf sich hat.

Mit der Formulierung „durch vergleichbare landesrechtliche Vorschriften“ müssten verschiedene Gebietskörperschaften der Bundesländer zukünftig das BSI-Gesetz als Maßstab nehmen, selbst wenn es gegebenenfalls über die in der EU geforderten NIS2-Mindestmaßnahmen hinaus geht. Damit das nicht passiert, soll diese Formulierung auf „die NIS-2-Richtlinie umsetzende landesrechtliche Vorschriften“ geändert werden. Sonst müsste man in den 16 Bundesländern zu viele und vor allem bundeseinheitliche Cybersicherheitsmaßnahmen umsetzen.

Auch im Entwurf des KRITIS-Dachgesetzes sind – wie im NIS2-Entwurf – die Schwellenwerte grundsätzlich zu hinterfragen, aufgrund der besonderen Stellung der Daseinsvorsorge im Gesundheitsbereich. Die Sinnhaftigkeit der alleinig entscheidenden Schwellenwerte solle daher vor diesem Hintergrund erneut geprüft werden. Die AG KRITIS sieht diesen Punkt seit vielen Jahren bei fast allen KRITIS-Sektoren und -Branchen ebenfalls so und würde es begrüßen, wenn das endlich entsprechend der tatsächlichen Lagesituation angepasst werden würde.

Da Krankenhäuser nach § 108 SGB V erst nach einer Übergangsfrist von fünf Jahren Nachweise vorlegen müssen, wurde eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. Erste Nachweise kommen damit erst frühestens 2030.

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier:

Artikel: heise.de – Kommentar: Schallende Ohrfeige für desolate NIS-2-Umsetzung

Manuel ‚HonkHase‘ Atug hat einen Kommentar bei heise.de über die Eskalation des Bundesrechnungshofes zum mangelhaften Umsetzungsstand der NIS2 Richtlinie veröffentlicht.

„Die Bundesregierung und das Bundesinnenministerium sind stets bemüht, die EU-NIS2-Richtlinie im Rahmen der ihnen gegebenen Möglichkeiten umzusetzen.“ So könnte das vom Bundesrechnungshof (BRH) ausgestellte Arbeitszeugnis für die Bundesregierung und insbesondere auch das Bundesinnenministerium (BMI) lauten. Das lernunwillige und bockige Verhalten des Ministeriums wird an allen Ecken und Enden zu Recht bemängelt.

Der BRH ist dabei nicht um klare Worte verlegen, die glatt aus dem Maschinenraum der AG KRITIS stammen könnten. So laufe die Bundesregierung Gefahr, „ihr Ziel zu verfehlen, die Informations- und Cybersicherheit zu verbessern.“ Bereits bekannte Defizite würden nicht aufgegriffen und zentrale Punkte für die Cybersicherheit auch nach mehrfachen Ressortabstimmungen nicht adressiert. Und da wichtige Regelungen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein sollen, drohe das Gesetz, ein „Flickenteppich“ zu werden, der alle Beteiligten gefährdet. So bleibe das NIS2UmsuCG weit hinter den selbst gesteckten Zielen zurück.

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier:

Artikel: heise.de – Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef für Cybersicherheit

Manuel ‚HonkHase‘ Atug hat einen Kommentar bei heise.de über das kommende NIS2-Gesetz und den vielen Defiziten darin veröffentlicht.

Kommunen und Landkreise bleiben auch mit der neuen Richtlinie im Cyberraum verwundbar, da das Gesetz sie nicht als relevante öffentliche Verwaltung sieht. Am Ende müsste der Bund den circa 11.500 Kommunen die Cybersicherheit bezahlen, wenn er diese einfordert. Und das will er offenbar nicht. So wurde vorab im IT-Planungsrat per Beschluss empfohlen, die Kommunen und Landkreise nicht (!) in NIS2 aufzunehmen – so sieht der Digitalisierungsgrad der öffentlichen Verwaltung also aus. Durch das massive Ausklammern der öffentlichen Verwaltung und die vielen Ausnahmen verkommt das Cybersicherheitsstärkungsgesetz eher zu einem Cybersicherheitsschwächungsgesetz. Schade, Chance wieder einmal vertan.

Auch alle Einrichtungen, die für die nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder Dienste erbringen, sind ausgenommen. Das schließt Einrichtungen zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten ein. Des Weiteren können das Bundesministerium des Innern und für Heimat, das Bundeskanzleramt, das Bundesministerium der Justiz, das Bundesministerium für Verteidigung sowie die Ministerien für Inneres und Justiz der Länder besonders wichtige oder wichtige Einrichtungen von den NIS2-Verpflichtungen befreien lassen; eine weitere Ausnahmeregelung, die der Cybersicherheit nicht förderlich ist.

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier:

Sprechfunk von Thüringer Rettungsleitstellen im Internet mitzuhören

Am 07.09.23 war unser AG KRITIS-Mitglied Thomas Blinn zu Gast in der Sendung MDR aktuell. Mitglieder der AG KRITIS hatten festgestellt, dass der Sprechfunk von 7 der 14 Rettungsleitstellen in Thüringen einfach so über Internet mitgehört werden konnte. Diese Feststellung wurde von der Sendung MDR aktuell thematisiert.

Der Beitrag ist verfügbar im MDR-Podcast „Das Beste am Morgen“.

Auch in anderen Bundesländern konnte die AG KRITIS solchen Sprechfunk live im Internet mithören. Bereits im Juli 2023 berichteten wir.

Foto von Ernstl auf Wikimedia Commons

Schriftliche Stellungnahme für den Landtag Thüringen

Wir wurden eingeladen, zu dem von der CDU-Fraktion eingebrachten Antrag 7/6817 trägt den Titel „Gewappnet für den Ernstfall? Reform des Thüringer Katastrophenschutzes endlich angehen!“ als AG KRITIS Stellung zu nehmen. Der Antrag aus der Opposition versucht mit offensiven Einzelmaßnahmen den Katastrophenschutz in Thüringen zu verbessern.

Außer acht gelassen wird dabei, dasss nur mehr Geld und mehr Ausrüstung nicht helfen, die Wirksamkeit des Katastrophenschutzes zu erhöhen: stattdessen braucht es systemische und strukturelle Veränderungen, Standardisierung und stärkere Digitalisierung, gerade in dem eher tradierten Feld des Katastrophenschutzes. Auch auf die Bereiche Ausbildung und Übung gehen wir in unserer Stellungnahme ein.

Unsere Schlußfolgerung zu dem Antrag:

Der föderale Staat stellt ein strukturelles Problem im Katastrophenschutz dar, denn Katastrophen und deren Bewältigung halten sich nicht an Landesgrenzen. Es ist dem Bürger nicht erklärbar, wenn zwischen Ländern der Katastrophenschutz unterschiedlich ausgerüstet ist, funktioniert oder reagiert.

Sowohl die Vorgehensweisen, als auch die eingesetzten Technologien und Strukturen des Katastrophenschutzes müssen so einheitlich wie irgendwie möglich aufgestellt sein, um nahtlose gegenseitige Unterstützung jederzeit gewährleisten zu können. Eine solche Harmonisierung ist daher auch innerhalb der Bundesländer dringend zu verwirklichen.

Hier muss viel Verantwortung von den Kreisen und Kommunen zurück auf das Land übertragen werden, denn Kreise und Kommune haben oft nicht die Ressourcen, dieser Verantwortung gerecht zu werden.

Download der Stellungnahme als PDF

Drucksache_7-6817_Stellungnahme_AG_KRITIS_20230825

 

Image: Landtag Thüringen

 

Beitrag zur EU-Konsultation zum Katastrophenschutzverfahren der Union

Die europäische Union hat 2013 mit der Verordnung 1313/2013/EU einen Mechanismus geschaffen, mit dem die Mitgliedsstaaten sich gegenseitig bei Katastrophenschutzthemen, sowohl vor als auch während und nach einer Katastrophe unterstützen können. Das Ziel der Maßnahmen ist ein konkreter Rechtsrahmen für grenzüberschreitende Kooperation und Zusammenarbeit im Katastrophenschutz.

Da viele Länder inzwischen die Maßnahmen umgesetzt haben, hat sich die EU Komission entschieden, eine öffentliche Konsultation durchzuführen, um den aktuellen Zwischenstand der bewirkten Effekte zu erfassen.

Wir haben die Gelegenheit der Konsultation genutzt, um auf die pan-europäische Notwendigkeit von ausreichenden Kapazitäten zur Bewältigung von Großschadenslagen hervogerufen durch Cybervorfälle hinzuweisen. Für Deutschland haben wir dafür das Konzept eines Cyberhilfswerks erarbeitet – in anderen europäischen Mitgliedsstaaten könnten solche Strukturen allerdings anders aussehen. Daher erklären wir in unserem Konsultationsbeitragt die notwendigen Prüfschritte und Forschungsfragen, um CHW-ähnliche Strukturen in anderen Ländern schaffen zu können und erklären, wie sich diese in das sogenannte Unionsverfahren eingliedern ließen.

Neben dem Fragebogen, den es auszufüllen gab, wurde auch die Möglichkeit geschaffen ein Positionspapier hochzuladen. Dieses Positionspapier veröffentlichen wir für euch hier:

Bild von Wikimedia Commons, Stephane Mignon CC-BY 2.0

Schriftliche Stellungnahme zur Anhörung „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“

Für die öffentliche Anhörung des Ausschusses für Digitales im Deutschen Bundestag am 25.01.2023 wurde unser Mitglied, Gründer und Sprecher Manuel ‚HonkHase‘ Atug als Sachverständiger  und Vertreter der AG KRITIS geladen. Der Titel der öffentlichen Anhörung ist „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“. Die Stellungnahme wurde fristgerecht am 18.01.23 dem Deutschen Bundestag zur Verfügung gestellt.

Die Frage sollte aus Sicht der AG KRITIS nicht lauten “welche Stufen der aktiven Cyberabwehr existieren?”, sondern “wo liegt die Grenze zwischen offensiver und defensiver Cyberabwehr?”

Die Stellungnahme wurde am 19.01. 2023 vom Deutschen Bundestag hier veröffentlicht

Die Stellungnahme bieten wir auch als PDF zum Download an:

Wir möchten uns herzlich bei unseren Mitgliedern bedanken, die aktiv an dieser Stellungnahme in Ihrer Freizeit mitgewirkt haben.

schriftliche Stellungnahme für die Enquetekommission „Krisenfeste Gesellschaft“ des Landtags von Baden-Württemberg

Der Landtag in Baden-Württemberg hat sich entschieden, eine Enquetekomission zum Thema „Krisenfeste Gesellschaft“ einzuberufen. Die Enquetekomission hat uns gebeten, eine Stellungnahme zu den Fragestellungen der Enquetekomission anzufertigen. Diese Stellungnahme haben wir gestern dem Landtag zur Verfügung gestellt. In der Stellungnahme empfehlen wir dem Landtag verschiedenste Maßnahmen um die Krisenresilienz aber auch die Krisenbewältigungskapazitäten auszubauen und zu verbessern.

Machen ist besser als Wollen: Besser jedes Jahr einen mittelgroßen Schritt machen, als jahrelang einen Plan machen, der dann doch nicht umgesetzt wird.

Prävention ist der Schlüssel zum Erfolg, aber leider nicht sexy. Auch das ist eine wesentliche Erkenntnis der vergangenen Jahre.

Vielen Dank an unsere Mitglieder Thomas Blinn, Martin und Vicky Sorge für die Mitwirkung an dieser Stellungnahme

Bild von pjt56 über Wikimedia, CC-BY-SA 3.0 Lizenz

AG KRITIS zu Gast beim Terra X-Podcast mit Harald Lesch

Am 02.05.22 war unser AG KRITIS-Mitglied @HonkHase zu Gast bei Harald Lesch und dem Team des ZDF Terra X-Podcast „Maschinenraum Deutschland“. In der Folge „Sind wir gewappnet für den Krieg im Netz?“ geht es um Cybercrime, Ransomware, Information Warfare, unser Konzept zum Cyberhilfswerk und um die Bildungspolitik. Die einstündige Episode gibt es ab heute in der ZDF-Mediathek, über den RSS-Feed des Terra X-Podcast und bei allen weiteren Streaming-Anbietern.