Politische Forderungen

Unabhängigkeit des BSI

Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI)

  • Sicherheitsmängel in kritischer Infrastruktur müssen an das BSI gemeldet werden. Aus der Fachaufsicht des BMI über das BSI erwächst das Risiko, das Behörden wie z.B. BfV, BKA, BND und ZITIS gemeldete Sicherheitsmängeln, ausnutzen könnten. Dies ist derzeit der Fall, z.B. bei Terrorgefahr oder Verdacht auf eine Spionagetätigkeit einer fremden Macht. Wir brauchen eine Separieriung hier, so das Sicherheitsmängel an unserer kritischer Infrastruktur nicht durch andere Behörden ausgenutzt werden können.
  • Ein unabhängiges BSI  würde auch dafür sorgen, das dieses mit anderen Aufsichtsbehörden auf Augenhöhe agieren kann. , z.B. der BaFin oder der BNetzA
  • Darüber hinaus soll der Bund dafür sorgen, das die Behörden untereinander nicht in einen Personalwettbewerb treten und sich gegenseitig kein Personal oder Know-How-Träger zu anderen Behörden wie z.B. ZITIS, CODE und UniBw abwerben.

Personalausstattung relevanter Behörden

Wir fordern mehr personelle Ressourcen und fachliche Kompetenzen für BSI, BBK und THW zum Schutz von IT-Komponenten in kritischen Infrastrukturen

  • Angemessene Budgets um kompetentes Fachpersonal anwerben und langfristig halten zu können.
  • Kontinuierliche Aus- und Weiterbildungen für behördliches Personal.
  • Nachwuchsförderung ist dringend notwendig, denn mit jeder digitalisierten Anlage verschwindet über die Jahre auch das Fachwissen, wie die Anlage (z.B. im Bereich Wasser und Energie) notfalls auch ohne Computersysteme betrieben werden kann. Nicht nur durch Digitalisierung, sondern auch durch Renteneintritt der alten Hasen verschwindet solche, in der Krise unschätzbar wertvolle, Fähigkeiten.
  • Anpassung des Dienstrechts und der Vergütungsstrukturen, um Fachkräfte auch im Wettbewerb mit der Wirtschaft gewinnen zu können. Das bestehende Dienstrecht ist sehr formal und erlaubt die Verbeamtung selbst fähigster IT-Fachkräfte nur in niederen Laufbahngruppen, sofern die notwendigen formalen Laufbahnvoraussetzungen nicht erfüllt sind. Dadurch kann vielen IT-Fachkräften nur eine verhältnismäßig niedrige Besoldung angeboten werden, die am Arbeitsmarkt nicht konkurrenzfähig ist. Eine Flexibilisierung des Laufbahnrechts könnte dieses Problem entschärfen. Im Bereich der Tarifbeschäftigten muss die Möglichkeit der Zahlung konkurrenzfähiger Vergütungen ebenfalls geschaffen werden, z.B. durch Anpassung des TVöD. Die bisherige Möglichkeit, zeitlich begrenzte Zulagen zu zahlen, genügen auf Dauer nicht.

Open Source in KRITIS

Im KRITIS-Umfeld eingesetzte Software soll grundsätzlich quelloffen gestaltet sein. Dort wo dies nicht möglich ist, soll der Quellcode zumindest in treuhänderischer Verwaltung aufbewahrt werden.

  • Software für den Betrieb der Anlagen (aus den Anlagenkategorien der BSI-KritisV) von kritischen Infrastrukturen muss frei sein, oder der Quellcode in treuhänderischer Verwaltung gehalten werden, damit diese auch viele Jahre und Jahrzehnte sicher betrieben werden kann. Auch wenn der Hersteller diese Technologie nicht mehr unterstützt oder der Hersteller nicht mehr existiert. Dies folgt als Teil-Lösung für das Problem, dass (Hardware-)Komponenten (z.B. in Produktionsanlagen) nicht ohne Weiteres ausgetauscht oder aktualisiert werden können.
  • Diese Forderung ist in Anlehnung an die Initiative Public Money Public Code zu verstehen. (https://publiccode.eu/de/)
  • Für SCADA/SPS Anlagen gibt es bereits in einer Bundestags-Drucksache 17/12541, S. 97, rechte Spalte, einen überparteilichen Beschluss der Enquete Kommission für digitale Infrastruktur.

Strikt defensive Cybersicherheitsstrategie

  • Wir setzen uns ein für eine strikt defensive Cybersicherheitsstrategie [10]. Wir verurteilen den Einsatz und die Bereitstellung offensiver Wirkmittel im Cyberraum. Insbesondere kritische Infrastrukturen sind anfällig für Angriffe von Cyber-Kriminellen oder von Drittstaaten – egal ob feindlich gesinnt oder „Freunde“. Da eine zweifelsfreie Zuordnung der Herkunft eines Cyberangriffs nach dem Stand der Technik ausgeschlossen ist, muss davon ausgegangen werden, dass sowohl der Angriff als auch ein Gegenangriff immer auch zivile Infrastruktur treffen kann. Dies ist laut den Zusatzprotokollen der Genfer Konvention von 1977 [11] klar ausgeschlossen. (vgl. Art. 52 und 14 ZP II und 54 ZP I.) Auch die deutlich ältere Haager Landkriegsordnung untersagt in Art. 25, 27, und 56 Angriffe auf zivile Infrastruktur im weiteren Sinne.
  • Wir fordern daher ein internationales Abkommen, das jegliche offensive Wirkmittel im digitalen Raum als Digitalwaffen (D-Waffen) einstuft und diese im Rahmen eines Digitalwaffensperrvertrags international verbietet, ähnlich wie die vorhandenen ABC-Waffensperrverträge.
  • Weiterhin sind wir der Meinung, das Deutschland mit gutem Beispiel voran gehen muss und solche Waffen weder entwickeln noch einsetzen darf. Die geplanten Gesetzesänderungen zum Einsatz offensiver Wirkmittel im Cyberraum, an denen das BMI arbeitet, dürfen nicht durchgeführt werden.
  • Wir erkennen an, dass wir unsere (kritische) Infrastruktur bisher nicht ausreichend schützen und fordern daher, alle informationstechnischen Systeme mit dem Gedanken „Security by Design“ zu gestaltet. dies schützt proaktiv gegen erfolgreiche Angriffe aus dem Cyberraum. Alle Programmierer und Administratoren müssen konstant weiter gebildet werden, was der aktuelle Stand der Technik ist. Dies gilt nicht nur im Bereich des Betriebs sondern auch in der Entwicklung und der Gestaltung sicherer Systeme. Dazu fordern wir die Einrichtung mehrerer Lehrstühle zur IT-Sicherheitsforschung und –Lehre.

Regulierung, Aufsicht, Kontrolle

Kritische Infrastruktur sollte bestenfalls nicht unter vollständiger Kontrolle der Privatwirtschaft sein, wir erkennen aber an, das dies nicht für alle Sektoren funktioniert.

  • In jedem KRITIS-Sektor muss daher einzeln betrachtet werden, wie die notwendigen (staatlichen) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden, als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen des freien Marktes. Detaillierte Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.