Beiträge

Schriftliche Stellungnahme für Anhörung im Schleswig-Holsteinischen Landtag zum Thema Cybersicherheit

Der Wirtschafts- und Digitalisierungsausschuss des Schleswig-Holsteinischen
Landtags führt eine Anhörung zum „Bericht über die Cybersicherheit unserer Infrastruktur“, Bericht der Landesregierung, Drucksache 20/1584 durch und hat unter anderem die AG KRITIS um schriftliche Stellungnahme gebeten.

Der zur Diskussion stehende Bericht ist unter Drucksache 20/1584 und die Beratung des Landtags darüber im Plenarprotokoll einsehbar.

Unsere Stellungnahme findet sich hier zum Download, alle Stellungnahmen sind als Umdruck beim Landtag Schleswig-Holstein zu finden.

Anhörung zu 27. Sitzung des Ausschusses für Inneres, Sicherheit und Ordnung am 11.12.2023 im Abgeordnetenhaus von Berlin

Am 11. Dezember 2023 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung des Ausschusses für Inneres, Sicherheit und Ordnung im Abgeordnetenhauus von Berlin als Sachverständiger zum Thema „Schutz vor Cyberangriffen: Stand und Entwicklungen“ geladen. Die mündliche Stellungnahme im Ausschuss veröffentlichen wir hier.

„Wie steht es um die gesamte Sicherheit oder die Sicht der Sicherheit in Berlin? – Kurz und knapp: Gruselig und desolat wie in allen Bundesländern und auch auf der Bundesebene, weil alle von Befugnissen, Tätern oder Palantir und KI und Quellen-TKÜ reden, statt von Resilienz und Basissicherheitsmaßnahmen. Ich komme immer wieder auf diese zwei Punkte, weil das die wirkliche Abwehr von Angriffen ist, und dann verpuffen die wirkungslos.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Stellungnahme zu KRITIS in der Enquetekommission „Krisen- und Notfallmanagement“ im Landtag NRW

Am 01. März 2024 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung der Enquetekommission „Krisen- und Notfallmanagement“ – durch die Lehren der Vergangenheit die Zukunft sicher gestalten zum Themenkomplex „KRITIS“ als Sachverständiger geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

„Machen ist wie dran denken, nur krasser.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Kommentar zum Referentenentwurf des KRITIS-Dachgesetz (KRITIS-DachG)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023:

Der geleakte Entwurf des KRITIS-Dachgesetz (KRITIS-DachG) wirkt auf den ersten Blick überschaubar, aber bei genauerem Hinsehen ist er sehr unabgestimmt und unvollständig und es gibt viel zu viele Ausnahmen und sehr späte Fristen, die erst in vielen Jahren initial greifen oder wirken werden. Zu viele Punkte sind leider ein Stillstand oder gar Rückschritt und halten bestehende Gefahren und Risiken über Jahre weiterhin offen.

Manuel Atug dazu: „Schade, mit den vielen Ausnahmen und Verantwortungsdiffusion wird das keine ganzheitliche Resilienz für Deutschland werden. Mit den späten Fristen wird da auch vor 2028 nicht wirklich viel wirken, daher passiert auf der aktuellen Basis erst mal 5 Jahre lang wenig bis gar nichts. Haben wir so viel Zeit und können wir so entspannt sein?“

Johannes Rundfeldt dazu: „Der vorliegende Entwurf, der direkt nach den Anschlägen auf Nordstream 2 angekündigt wurde, entpuppt sich, wie bereits befürchtet, als politischer Opportunismus. Das KRITIS-Dachgesetz wird den hochtrabenden Versprechungen des BMI nicht gerecht und ist unvollständig.“

Analyse und Kommentierung der AG KRITIS zum Entwurf des KRITIS-DachG

Einleitung

Ein Dachgesetz soll, so sagt schon der Name, das gesamte Thema vollständig abdecken und einen verbindlichen regulatorischen Rahmen bilden. Die Ministerin hatte dazu erklärt: „Wir werden die besonders zu schützenden Bereiche definieren, Risiken und Bedrohungslagen besser erkennen und verpflichtende Schutzstandards festlegen.“ Da durch die bevorstehende Umsetzung der NIS2 Direktive und der DORA Richtlinie in den kommenden Monaten doch noch einiges an Änderungen zu erwarten sind, definiert das KRITIS-DachG entgegen der Behauptungen das Thema höchstens vorläufig.

Bewertung von Sicherheitsrisiken, Bedrohungen und Vorfällen § 3 Abs 2

Das BBK soll zukünftig von BSI und der BnetzA u.a. Infos zu IT-Sicherheitsrisiken, -bedrohungen, -vorfällen erhalten. Derzeit ist jedoch für die sinnvolle Auswertung und Bewertung dieser Daten im BBK kein fachlich kompetentes Personal vorhanden – im BSI jedoch schon. Einen Personalaufwuchs beim BBK würden wir begrüßen, ob es aber sinnvoll ist, diese Daten dann zweimal, sowohl im BSI als auch im BBK zu bewerten erscheint vor dem Hintergrund des Fachkräftemangels im IT-Bereich wenig sinnvoll. Falls das BMI trotzdem nur einen Grund sucht, dem BBK ein erhebliches Aufstocken der Belegschaft zu ermöglichen, würden wir empfehlen dieses im Zuge des „Neustart im Bevölkerungsschutz“ des BMI zu tun, der bisher leider eher einen Stillstand aufrecht hält. § 3 Abs 2

Neudefinition der Sektoren – § 2 Abs 12b, § 4 Abs 1

Das KRITIS Dachgesetz definiert die Sektoren der kritischen Anlagen neu. Im KRITIS Dachgesetz ist die öffentliche Verwaltung erstmalig aufgenommen, nachdem diese bisher im BSIG nicht vorhanden war. Gleichzeitig wird der Sektor „Wasser“ aufgeteilt in zwei Sektoren: „Trinkwasser“ und „Abwasser“. „Weltraum“ kommt als neuer Sektor hinzu. Auch im NIS2-Umsetzungsgesetz wird der Sektor „Weltraum“ aufgenommen – der Sektor „öffentliche Verwaltung“ ist jedoch nicht Teil der kritischen Anlagen. Der Sektor „Medien und Kultur“, unter den auch die Katastrophenschutzinformationssysteme der öffentlich-rechtlichen Medien fallen würden, ist weiterhin nicht definiert. Bemerkenswert ist außerdem, dass die Sektoren „Wissenschaft und Forschung“ und „Chemie“ fehlen. Diese sind nur unter der neuen Kategorie „wichtige Einrichtungen“ zu finden, nicht aber unter „kritische Anlagen“. § 2 Abs 12b, § 4 Abs 1

Leider bleiben die neuen Kategorien der „wichtigen Einrichtungen“ und der „besonders wichtigen Einrichtungen“ für das KRITIS Dachgesetz irrelevant, da diese Kategorien dort gar nicht reguliert werden. (Begründung Teil B §2 zu Nr. 10)

Im Endeffekt betrifft das KRITIS Dachgesetz also nur eine Teilmenge der kritischen Infrastruktur, die sich zudem von der Teilmenge kritischer Infrastruktur im NIS2-Umsetzungsgesetz unterscheidet.

Branchenspezifische Resilienzstandards – § 6 Abs 2

Betreiber von KRITIS können branchenspezifische Resilienzstandards (BSRS) erstellen, vergleichbar der branchenspezifischen Sicherheitsstandards (B3S in BSI-Gesetz § 8a Abs 2). Grundsätzlich ist dies eine gute Idee, allerdings wird es, genau wie bei den branchenspezifischen Sicherheitsstandards wieder viele Jahre dauern, bis diese neuen Resilienzstandards entwickelt und umgesetzt worden sind. § 6 Abs 2

Registrierung beim BBK – § 8 Abs 1,2

Schon jetzt müssen KRITIS Betreiber sich beim BSI registrieren. Unsere Befürchtungen, dass eine doppelte Registratur notwendig wird, haben sich nicht bewahrheitet – Es wird eine gemeinsame Registrierung der KRITIS Betreiber bei BBK und BSI geben, statt einer separaten neue Registrierung beim BBK. Auch die Ersatzvornahme der Registrierung bei Verweigerung selbiger ist durch die gemeinsame Registrierung elegant gelöst. Die neue Regelung ist daher vergleichbar der BSI Ersatzvornahme B3S in BSI-Gesetz § 8b Abs 3. Die dringende Empfehlung der AG KRITIS, keine doppelten und parallelen Strukturen aufzubauen wurden hier offenbar erhört. § 8 Abs 1,2

Erreichbare Kontaktstelle – § 8 Abs 3,4

Wir begrüßen ausdrücklich, dass die KRITIS Betreiber nun dem BBK eine jederzeit erreichbare Kontaktstelle benennen müssen. Hoffentlich wird das BBK stichprobenartige Kontrollen durchführen, um festzustellen, ob diese Kontaktstelle auch rund um die Uhr besetzt ist. § 8 Abs 3,4

Betreiberliste im BBK – § 8 Abs 5

Zur Pflicht, die sich aus Absatz 5 ergibt, alle 4 Jahre eine Liste der KRITIS Betreiber im BBK zu erstellen fragen wir uns, wieso das nicht aus dem gemeinsamen Registrierungsportal von BSI und BBK extrahiert werden kann. Dies dürfte Arbeit sparen. § 8 Abs 5

Sektorübergreifende Risikoanalysen und –bewertungen BBK – § 9 Abs 2

Das BBK wertet die durch die verantwortlichen Bundesministerien durchzuführenden Risikoanalysen und –bewertungen sektorübergreifend aus. Es wird also ein sektorübergreifendes Lagebild erstellt. Dies sollte öffentlich verfügbar gemacht werden. Wenn es wieder mal ein Dokument ist, das in den zuständigen Behörden vergilbt und nur in Auszügen den Betreibern zur Verfügung gestellt wird, nützt das weder KRITIS Betreibern, noch der Versorgungssicherheit der Bevölkerung. § 9 Abs 2

Sektorübergreifende Risikoanalysen und –bewertungen der Betreiber § 10 Abs 1

KRITIS Betreiber führen auf Basis der durchgeführten staatlichen Risikoanalysen und -bewertungen nach § 9 und anderer Informationsquellen initial 9 Monate nach Registrierung und dann spätestens alle 4 Jahre Risikoanalysen und -bewertungen durch. Inkl. „Wirtschafsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken berücksichtigen, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten“ sowie „Wirtschafsstabilität beeinträchtigenden, Risiken berücksichtigen, die sich aus dem Ausmaß der Abhängigkeiten anderer Sektoren von der kritischen Dienstleistung, die von der kritischen Anlage – auch in benachbarten Mitgliedstaaten und Drittstaaten – erbracht wird“. Das alles findet leider sehr spät und selten statt, aber immerhin soll was passieren. § 10 Abs 1

Begrüßenswert ist, dass endlich auch eine Analyse der Abhängigkeiten zwischen den verschiedenen Sektoren selbst, sowohl durch die zuständigen Bundesministerien als auch durch die Betreiber durchgeführt werden muss. Wir halten zwar den Turnus von 4 Jahren für zu lang, begrüßen aber den grundsätzlichen Ansatz. Insbesondere möchten wir hier anmerken, dass der Vorschlag die Abhängigkeiten der Sektoren untereinander und mögliche Szenarien, bei denen kaskadierende Ausfälle verschiedene Sektoren gleichzeitig betreffen, von uns bereits 2019 im Rahmen des IT-SiG2 gemacht wurden. Damit diese Risiken nicht nur bei der physischen Sicherheit betrachtet werden, halten wir es für notwendig, dieselben Auflagen und Analysen auch in der NIS2-Umsetzung vorzugeben.

Ausnahmen von den Risikoanalysen und -bewertungen – § 10 Abs 3

Ausgenommen von den verpflichtenden Risikoanalysen und -bewertungen sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden vollständig ausgeklammert, was weder sinnvoll noch nachvollziehbar ist. Ein Dachgesetz, das nur für sechs von elf Sektoren anwendbar ist, kann vieles sein, aber kein Dachgesetz. § 10 Abs 3

Stand der Technik – soll oder muss? § 11 Abs 1,2

KRITIS Betreiber müssen innerhalb von 10 Monaten nach Registrierung (§ 11 Abs 13) „geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz“ treffen. „Dabei soll der Stand der Technik eingehalten werden“ (nicht muss?!?). „Technische, sicherheitsbezogene und organisatorische Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung angemessen erscheint“. Dazu gibt es auch einen Anhang 1 mit mehr Details. Warum der Stand der Technik nur eingehalten werden soll, statt das verpflichtend vorzugeben erschließt sich uns nicht. Hier halten wir es für notwendig, den Stand der Technik als „Muss“-Vorschrift zu formulieren § 11 Abs 1,2

Welche Maßnahmen zählen dazu? Solche, die erforderlich sind, um:

  1. das Auftreten von Vorfällen zu verhindern,
  2. einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Anlagen zu gewährleisten,
  3. auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen,
  4. nach Vorfällen die Wiederherstellung zu gewährleisten,
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, einschließlich des Personals externer Dienstleister und
  6. das entsprechende Personal für die unter den Nummern 1 bis 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren. § 11 Abs 3

Resilienzplan § 11 Abs 6

KRITIS Betreiber müssen die durchzuführenden Maßnahmen in einem Resilienzplan darstellen. Der ist dem BBK spätestens zu einem vom BBK (mit BSI abgestimmt) bei Registrierung festgelegten Zeitpunkt und anschließend alle 2 Jahre nachzuweisen. § 11 Abs 6

KRITIS Betreiber müssen dem BBK Dokumente zur Stärkung der Resilienz zum festgelegten Zeitpunkt bereitstellen. Das BBK bestimmt dann, ob diese Maßnahmen dann vollständig oder teilweise den Verpflichtungen entsprechend gelten. Legt der KRITIS Betreiber Bescheide, Genehmigungen, Zertifizierungen oder ähnliche Nachweise zur Resilienzsteigerung von anderer zuständiger Behörde vor, gelten die darin beschriebenen Maßnahmen ohne weitere Überprüfung als erfüllt. § 11 Abs 7

BBK und zuständige Aufsichtsbehörde des Bundes können bei Verstößen gegen die Anforderungen KRITIS Betreiber anweisen, erforderliche und verhältnismäßige Maßnahmen zu ergreifen, um festgestellte Verstöße innerhalb einer angemessenen Frist zu beheben. Nach unserer Lesart des Gesetzes können hier auch Bußgelder nach § 19 verhängt werden. § 11 Abs 10

Ausgenommen davon sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden hier erneut vollständig ausgeklammert, was nicht sinnvoll ist. § 11 Abs 14

Meldepflicht für Vorfälle § 12 Abs 1,3

KRITIS Betreiber sind spätestens 10 Monate nach Registrierung verpflichtet, Vorfälle, die die Erbringung ihrer kritischen Dienstleistungen erheblich stören könnten, unverzüglich über ihre Kontaktstelle an eine gemeinsame BBK und BSI Meldestelle zu melden. Für tatdächlich stattgefundene Vorfälle muss eine erste Meldung bis spätestens 24 Stunden nach Kenntnisnahme des Vorfalls übermittelt werden, es sei denn, dies ist in operativer Hinsicht nicht möglich. Spätestens einen Monat danach muss ein ausführlicher Bericht übermittelt werden. § 12 Abs 1,3

Ausgenommen davon sind wieder KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Abermals werden hier vier wesentliche Branchen vollständig ausgeklammert. § 12 Abs 9

Verordnungsermächtigung für kritische Komponenten – § 13

Einsatz kritischer Komponenten: Die Verordnungsermächtigung wäre ein spannender Teil, der wird aber offenbar noch diskutiert. Der Paragraph ist daher noch komplett ohne Inhalt, weil derzeit noch unabgestimmt zwischen den Ressorts. § 13

In der hierzu kommenden – aber noch nicht existierenden – Rechtsverordnung können „Stichtage festgelegt und Teile der Bundesverwaltung als kritische Infrastruktur bestimmt“ werden. Dass hier wieder nur Teile der Bundesverwaltung KRITIS werden könnten und Kommunen und Bundesländerebene schon wieder nicht vorkommen zeigt, wie unvollständig das ganze durch all die vielen Ausnahmen und Abgrenzungen sein wird. § 15

Befreiung von den KRITIS-Pflichten – § 16 Abs 1

Das BMI kann auf Vorschlag von Bundeskanzleramt, BMVG oder auf eigenes Betreiben KRITIS Betreiber von Verpflichtungen nach diesem Gesetz teilweise (einfacher Ausnahmebescheid) oder insgesamt (erweiterter Ausnahmebescheid) befreien, wenn der KRITIS Betreiber gleichwertige Vorgaben einhält. Warum sollte sowas möglich sein? Und wieso können nicht alle KRITIS Betreiber den Nachweis durch Einhaltung des Stand der Technik bringen – der wirkungsvolle Alternativen ja bereits zulässt? Diese vielen unsinnigen Ausnahmeregelungen und alternativen Vorgehensweisen verkomplizieren die Umsetzung und Einhaltung enorm. Das BMI will anscheinend ein DACH mit Löchern und einem integrierten Wimmelbild der Verantwortungsdiffusion bauen. § 16 Abs 1

KRITIS Betreiber, die

  1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten (relevante Bereiche) tätig sind oder Dienste erbringen, oder
  2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen nach Nummer 1 erfüllen, tätig sind oder Dienste erbringen,

können für diese Tätigkeiten oder Dienste von den Maßnahmen nach § 10 und § 11 und Meldepflichten nach § 12 befreit werden. Die Resilienz dieser Betreiber kritischer Anlagen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden. Es werden wieder große Teile kritischer Infrastruktur aus dem Sektor „Staat und Verwaltung“ ausgeklammert, was aufgrund dieser vielen Ausnahmeregelungen keinem ganzheitlichen Resilienzansatz entspricht. Ebenso ist völlig offen, wie eine solche Beaufsichtigung umgesetzt werden soll. § 16 Abs 2

Evaluation – § 18

Das BMI wird das Gesetz regelmäßig, spätestens nach Ablauf von fünf Jahren nach Inkrafttreten des Gesetzes auf wissenschaftlich fundierter Grundlage evaluieren. Hier macht es sich das BMI wieder einfach, denn schon die Evaluierung des IT-SiG 2.0 war nicht wissenschaftlich und eher minderqualitativ. Dort wurden primär subjektive Einschätzung zur Maßnahmengüte, Effektivität und Komplexität der Umsetzung abgefragt, jedoch keine wissenschaftliche Evaluierung der Gesamtsituation vorgenommen. Eine seltene, erst in fünf Jahren stattfindende Evaluierung wird keinen effektiven Verbesserungsprozess gewährleisten. Stattdessen sollten die Kritierien für eine fortlaufende Evaluation schon mit der Verabschiedung des Gesetzes festgelegt werden. § 18

Bußgelder – § 19

Bußgeldvorschriften sind definiert, aber die Höhe der Bußgelder für die Ordnungswidrigkeiten ist noch nicht formuliert worden. Die Abstimmung mit dem BMJV läuft wohl noch und wird mit Spannung erwartet. § 19

Das Gesetz tritt am Tag der Verkündung in Kraft. Soweit sogut, wann auch immer das sein wird. Laut EU muss das spätestens im Oktober 2024 erfolgen, aber Frau Faeser hat ja angekündigt, dass das noch dieses Jahr kommen soll, weil es eilt. Wir sind gespannt.

Inkrafttreten

Alle Maßnahmen und Vorgaben sollen voraussichtlich am 01.01.2026 in Kraft treten. Diese ungewöhnlich lange Frist wird also weitere Jahre der Verzögerungen bei der Umsetzung verursachen.

Die Bußgeldvorschriften hingegen sollen erst am 01.01.2027 in Kraft treten. Hier wird es also noch ein Jahr oben drauf als Schonfrist gegeben, weil wir offenbar wirklich viel Zeit haben, diese wichtigen Maßnahmen zu ergreifen?

Anhang 1

Anhang 1 (insbesondere zu berücksichtigende Maßnahmen nach § 11 Absatz 1):

Zu den bei einer Abwägung durch den Betreiber kritischer Anlagen zu berücksichtigenden Maßnahmen können insbesondere zählen:

  1. a) um das Auftreten von Vorfällen zu verhindern:

– Maßnahmen der Notfallvorsorge

– Maßnahmen zur Anpassung an den Klimawandel

  1. b) um einen angemessenen physischen Schutz ihrer Räumlichkeiten und Kritischen Infrastrukturen zu gewährleisten:

– Maßnahmen des Objektschutzes, u.a. das Aufstellen von Zäunen und Sperren

– Instrumente und Verfahren für die Überwachung der Umgebung

– Detektionsgeräte

– Zugangskontrollen

  1. c) um auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen:

– Risiko- und Krisenmanagementverfahren und –protokolle

– vorgegebene Abläufe im Alarmfall

  1. d) um nach Vorfällen die Wiederherstellung zu gewährleisten:

– Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Notstromversorgung)

– Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen

  1. e) um ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten:

– Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt,

– Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen

– Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen; dabei bleiben die Vorschriften der Fachgesetze hinsichtlich der Zuverlässigkeitsüberprüfungen unberührt

– Festlegung angemessener Schulungsanforderungen und Qualifikationen

  1. f) um das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen zu sensibilisieren:

– Schulungen

– Informationsmaterial

– Übungen

Zur Unterstützung der KRITIS Betreiber stellt das BBK Vorlagen und Muster zur Verfügung. Die Maßnahmen sind eine Liste von Ideen, wir befürchten nur, dass sich genau an diesen ausgerichtet wird und alles andere kaum Berücksichtigung finden wird, schade. Wir bezweifeln nicht, dass diese Vorlagen und Muster letztlich hilfreich sein werden (wie auch beim BSI), jedoch wird die Entwicklung viel Zeit beanspruchen und Zeit haben wir in Fragen KRITIS einfach nicht mehr.

Und hier findet Ihr noch den von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023.

Foto von Sam LaRussa auf Unsplash

Diese Stellungnahme wurde auch als PDF erstellt und steht hier zum Download bereit.

Stellungnahme zur Technischen Richtlinie DE-Alert

Stellungnahme zur Entwurfsversion 1.1 der Bundesnetzagentur zur TR DE-Alert

Im Rahmen der Anhörung zur Technischen Richtlinie DE-Alert (TR DE-Alert) haben auch wir uns mit der neuen Entwurfsversion der Technischen Richtline (TR) DE-Alert beschäftigt und eine Stellungnahme mit konkreten Verbesserungs- und Optimierungsvorschlägen verfasst.

Diese Stellungnahme ist hier verlinkt und wurde von uns fristgemäß bei der Bundesnetzagentur eingereicht.

Wir bedanken uns herzlich bei unserem Mitglied Yves Ferrand für das Verfassen der Stellungnahme.

Stellungnahme zum Ausfall des Landesverwaltungsnetzes NRW

Am 18. November 2021 war Johannes Rundfeldt, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Landtag NRW zur öffentlichen Anhörung zum Antrag „Das Landesverwaltungsnetz weiterentwickeln, um der steigenden Bedeutung digitaler Verwaltungsprozesse gerecht zu bleiben“ geladen.

Neben der mündlichen Stellungnahme im Landtag haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Als Fazit kann festgehalten werden, dass es die Länder bisher versäumt haben, eine Gesetzgebung für den KRITIS-Sektor „Staat und Verwaltung“ zu erlassen. Dies ist umso mehr verwunderlich, da dies durch das IT-Sicherheitsgesetz und die BSI-Kritisverordnung schon seit Jahren für die anderen KRITIS-Sektoren gefordert wird.

Die Anhörung ist öffentlich verfügbar und kann hier abgerufen werden.

Stellungnahme zu Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT im Ausschuss für Digitalisierung und Innovationen im Landtag NRW

Am 24. Juni 2021 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, als Sachverständiger im Ausschuss für Digitalisierung und Innovation im Rahmen der Anhörung zum Themenkomplex „Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT“ geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug und das Wortprotokoll sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.