chw Archive - AG KRITIS

Quo vadis Koalitionsvertrag? – Warum wir jetzt ein Cyber-Hilswerk brauchen

21. Juli 2025/in Artikel/von AG KRITIS

Unser überarbeitetes CHW-Konzept (Version 1.2) ist da, also haben wir uns den Koalitionsvertrag zur Brust genommen und analysiert, ob und warum wir ein Cyber-Hilfwerk (CHW) in Deutschland brauchen.

Spoiler: Wir brauchen es dringender denn je!

„Jeder Satz ist Politik pur“

Mit dieser denkwürdigen Aussage startete Markus Söder in seine Vorstellung des Koalitionsvertrags zwischen CDU, CSU und SPD. Wir wollen in einer schnellen Analyse diesen Satz ernst nehmen.

Zunächst fällt auf, dass in Berlin ein neues Buzzword existiert. Alles muss „resilient“ werden oder „Resilienz“ besitzen – natürlich auch unsere Kritische Infrastruktur. Wie genau das allerdings umgesetzt werden soll, ist „Politik pur“. Vermehrt werden Lippenbekenntnisse abgeben, die ein Konzept vermissen lassen. Konkrete Bezugnahmen auf das KRITIS-Dachgesetz, die NIS2-Richtline, oder den Cyber Resilience Act werden wohldosiert eingesetzt und hier und da für Kenner als Wortbrocken hingeworfen. So will man den Unternehmen bei der Umsetzung des Cyber Resilienz Act unter die Arme greifen und nur noch „kritische Komponenten“ von vertrauenswürdigen Staaten verbauen. Außerdem soll die kritische Energieinfrastruktur, insbesondere die erneuerbaren Energien durch die Umsetzung der NIS2-Richtliche „resilient und bestmöglich geschützt werden“. Allgemein soll die IT-Sicherheit bei KRITIS verbessert, die Resilienz erhöht, und in sichere Infrastruktur der Kommunikation- und Forschungslandschaft investiert werden. Im Koalitionsvertrag wird jedoch nicht einmal angedeutet, wie die Steigerung der Resilienz genau aussehen soll. Ein wichtiger Gradmesser bleibt also, wie zügig die NIS2-Richtlinie und das KRITIS-Dachgesetz beschlossen und umgesetzt werden und wie der deutsche Staat sich selbst Resillienzmaßnahmen und Mindesstandards auferlegt.

Unsere Forderung, dass auch der Staat und die Verwaltung sich an diese Standards ohne Ausnahmen zu halten haben, ist weiterhin gültig. In diesem Zusammenhang fällt eine Textstelle auf:

„Die öffentliche IT-Sicherheit wird durch Notfallmanagement und präventive
Beratungsangebote für kleine und mittlere Unternehmen verbessert“ (Z. 2189-2190)

Falls hier angedeutet wird, dass die IT des Staates sowie die öffentliche Verwaltung endlich Standards wie ein BCM oder ISMS einhalten muss, zu denen die privaten BetreiberInnen kritischer Infrastruktur längst verpflichtet wurden, dann begrüßen wir das ausdrücklich! – Bei „Politik pur“ kann man natürlich auch träumen.

Wir jedenfalls werden die postulierte digitale Zeitenwende in Form eines neuen Ministeriums für Digitalisierung und Modernisierung kritisch begleiten. Spannend wird zudem, wie dieses neue Ministerium digitale Souveränität umsetzen will. Unser Sprecher und Gründer Manuel „Honkhase“ Atug hat hierzu ein Op-Ed zusammen mit Matthias Schulze veröffentlicht.

Ein weiteres „Schmanckerl“, um bei unserem bayrischen roten Faden zu bleiben, ist der sogenannte „Pakt für Bevölkerungsschutz“. Hier wird Resilienz groß geschrieben und tritt an gegen „jede Form hybrider und konventioneller Bedrohung“. Das Ziel der KoalitionärInnen ist es, die Fähigkeiten im Bereich Cybersicherheit und des Zivil- und Katastrophenschutzes sowie der zivilen Verteidigung zu stärken. Hier vermengt sich einiges zu einer unheilvollen Melange aus HackBack oder aktiver Cyberabwehr, Befugniszuwachs und strukturellen Veränderungen.

So soll das BSI-Gesetz novelliert an die NIS2-Richtline angepasst und zu einer „Zentralstelle für Fragen der Informations- und Cybersicherheit“ werden. Eine relativ unkonkrete Zielvorgabe, die offen und zu befürchten lässt, dass die Unabhängigkeit des BSI gegenüber dem BMI wieder abnehmen wird. Zusätzlich dazu soll eine nationale Cybersicherheitsstrategie klare Rollen- und Aufgabenverteilung fortentwickeln. Wir verweisen hier gerne auf das Cyber-Wimmelbild der Veranwortungsdiffusion. „Fortentwickeln“ sollten wir hier nichts mehr, sondern „abbauen“ und „konsolidieren“ wäre das richtige Verb gewesen. Immerhin könnte man auch optimistisch interpretieren, dass die Politik hier endlich die Probleme wahrnimmt und den Rotstift ansetzt. Allerdings trübt sich das Bild, wenn der Zivil- und Bevölkerungsschutz angesprochen wird, denn immer wieder wird auf die neuen Finanzierungsinstrumente verwiesen, die Bund und Länder jetzt zur Verfügung haben. Lichtblick ist nur, das auffällig klare Bekenntnis zur besseren Finanzierung des Digitalfunks BOS.

Das Hauptproblem, dass hier eine föderale Fragmentierung herrscht und dadurch keine einheitliche Krisenbewältigung herstellbar ist, wird nicht adressiert bzw. mit der Hoffnung der geöffneten Geldschatulle belegt. Bezeichnend ist in diesem Zusammenhang ist der Einsatz des Operationsplans Deutschland als Rechtfertigungsmittel. Wir erkennen an, dass endlich die (Gesamt-)Verteidigung nicht mehr in Silos gedacht wird und so auch der Bevölkerungs- und Katastrophenschutz in den politischen Fokus gerückt wird. Mehr als Appelle und „Wünsch dir was“ ist das aber nicht. Ein klares eindeutiges Konzept, das zumindest in der Dimension der Cyberkrisenvorsorge freiwillige Kräfte bündeln kann und im künftigen Zivil- und Katastrophenschutz zum Einsatz kommt, gibt es nicht im Koalitionsvertrag, sondern nur bei uns.

Was das Thema Bürgerrechte, Nachrichtendienste und neue Überwachungsbefugnisse angeht verweisen wir auf den CCC, Golem und Netzpolitik.org. Zusammenfassend haben die KollegInnen ein geradezu fatales Fazit für die zukünftige Lage der Bürgerrechte im digitalen Raum in Deutschland abgegeben. Allen zivilgesellschaftlichen Forderungen zum Trotz wird die Merz-Regierung – wenn diese Maßnahmen in Gesetze gegossen und umgesetzt werden – den Präventions- und Überwachungsstaat vorantreiben und Grundgesetze schleifen. In welcher Form das Verfassungsgericht oder der neue Unabhängige Kontrollrat hier eine effektive rechtsstaatliche Kontrolle sicherstellen kann, bleibt abzuwarten. Klar ist, dass eine „öffentliche IT-Sicherheit“ mit immer mehr sicherheitsbehördlichen Befugnissen in keiner Weise gewährleistet wird, wenn diese Verschlüsselung brechen, Hintertüren bekommen, Schwachstellen horten oder die Überwachungsindustrie alimentieren. Nichts davon wird die Bevölkerung vor hybriden Bedrohungen schützen. Was allerdings die Bevölkerung sicherer macht, ist eine IT-Sicherheitsforschung, die rechtssicher unterwegs ist und nicht mit staatlichen Repressionen zu rechnen hat. Hier liefert der Koalitionsvertrag einen Formelkompromiss, der gleich im Nebensatz die Rechtssicherheit der IT-Sicherheitsforschung unter dem Vorbehalt der Missbrauchsmöglichkeiten stellt. Wie das allerdings mit mehr Investition in IT-Sicherheits- und anwendungsorientierte Resilienzforschung zusammenpasst bleibt fraglich. Rechtssicherheit muss sowohl gelten für institutionelle Forschung, als auch für freie IT-Sicherheitsforschende, die aus Neugier, für das Ehrenamt und im Sinne des Gemeinwohls handeln.
Mit Blick auf die Ressortverteilung ist aber zu befürchten, dass sich hier in der kommenden Legislaturperiode nichts verändert, sondern das BMJ vom BMI zu Fragen einer rechtsicheren IT-Sicherheitsforschung weiterhin blockiert wird.

Darüber hinaus soll auch die terrestrische Rundfunkverbreitung (Radio und Fernsehsender) als KRITIS gelten, um diese besser schützen zu können. Eine Maßnahme, die wir begrüßen, allerdings ist eine rechtliche Kategorisierung als KRITIS nicht gleichzusetzen mit tatsächlicher IT-Sicherheit und Resilienz – die Umsetzung bleibt weiterhin das Problem.

„Wir beschließen zeitnah ein gutes KRITIS-Dachgesetz“ (Z.2697-2698)

Wir sind sehr froh, dass die zukünftige Koalition nicht vorhat, ein schlechtes KRITIS-Dachgesetz zu verabschieden. Dafür bieten wir gerne Schützenhilfe mit unserer Stellungnahme an. Es darf gerne abgeschrieben werden, damit es besonders zügig beschlossen werden kann. An dieser Stelle müssen wir aber auch auf unsere Forderung nach einer Harmonisierung des KRITIS-Dachgesetz und des NIS2UmsuCG verweisen. Beide Gesetzes-Entwürfe müssen dringend konsolidiert werden, damit ein einheitliches Rahmenwerk entsteht und kein Cyber-Flickenteppich. Eine Stellungsnahme zum aktuellen Entwurf des NIS2UmsuCG führt, diese Problematik weiter aus.

Was im „Pakt für Bevölkerungsschutz“ fehlt, ist endlich ein Cyber-Hilfswerk, das auch mit Blick auf hybride Bedrohungen konzipiert wurde. Unser Ansatz für ein CHW ist im Bereich des Freiwilligendienstes und des Herzensanliegens unseres Bundeskanzlers Merz, dem Ehrenamt, voll anschlussfähig. Der Freiwilligendienst als neue Wertschätzung des Ehrenamts kann helfen, die künftigen Sicherheitsherausforderungen im Rahmen einer zivilen Gesamtverteidigung zu stärken. Ein neugeschaffenes CHW verbindet Zivilschutz mit Cybersicherheit und bündelt wichtige Kompetenzen, die heute schon für die Daseinsvorsorge essentiell sind. Es ist absehbar, dass dieser Stellenwert wachsen wird und wir in Zukunft kein Chance einer Krisenbewältigung haben, wenn wir nicht alle Kräfte der Gesellschaft nutzen. Unser CHW-Konzept ist in dieser Hinsicht einzigartig, denn es schafft ehrenamtliche Strukturen und Anreize für Freiwillige, die heute im Bevölkerungsschutz nicht adressiert werden.

Es wird Zeit, dass wir jetzt beim Bevölkerungsschutz und bei der Krisenvorsorge den Turbo zünden und Deutschland ein Cyber-Hilfswerk bekommt. Wir sind bereit!

Vielen Dank an unser Mitglied Alessandro Parrino für das Verfassen dieses Artikels

Bildrechte: Martin Rulsch, Wikimedia Commons, CC BY-SA 4.0

Version 1.2 des CHW-Konzept veröffentlicht!

24. April 2025/in Artikel/von Johannes Rundfeldt

Wir geben die Veröffentlichung einer neuen Version 1.2 des CHW-Konzepts bekannt.

Diese Überarbeitung zielt in erster Linie darauf ab, den Lesefluss zu verbessern und Inhalte auf den neuesten Stand zu bringen. Hierfür wurden die Dokumentenstruktur und die Überschriften angepasst, um eine noch klarere Gliederung zu gewährleisten. Veraltete Informationen und Beispiele sind entfernt worden, während zentrale Aussagen präziser formuliert wurden.

Ein wesentlicher Schwerpunkt lag auf der Betrachtung möglicher Notfall-Szenarien. Dazu wurden für einzelne Szenarien und Sektoren sowohl die Ausstattung als auch die vielfältigen Einsatzmöglichkeiten eines CHW analysiert und in einem eigenen Abschnitt zusammengefasst. Diese Neuerungen sollen einen praxisnahen Überblick bieten. Für uns sind dies auch erste Schritte in Richtung konkreter Empfehlungen zur Ausrüstung und Einsatzaufgaben eines zukünftigen Cyberhilfswerks

Version 1.2 steht auf seiner eigenen Seite ab sofort zur Verfügung. Vielen Dank an unsere Mitglieder die bei dieser Aktualisierung mitgewirkt haben. Unser Engagement passiert in unserer Freizeit und im Ehrenamt.

CHW-Konzept

unsere Wahlprüfsteine zur Bundestagswahl 2025 – die Auswertung

18. Februar 2025/in Artikel/von Yves Ferrand

Wahlprüfsteine zur Bundestagswahl 2025

23. Dezember 2024/in Artikel/von AG KRITIS

Anlässlich der am 23.02.2025 bevorstehenden Bundestagswahl haben wir die Gelegenheit genutzt und alle im Bundestag vertretenen Parteien gebeten, unsere Wahlprüfsteine zu beantworten.

Folgender Text wurde am 22.12. an alle Parteien versendet:

Die Herausforderungen unserer Zeit rücken die Themen IT-Sicherheit, Resilienz und Krisenvorsorge in einen besonderen Fokus.
Wir haben uns, vor dem Hintergrund der knappen Zeit bis zur Wahl, auf wenige, aber spezifische, Fragen beschränkt.
Ergänzen Sie in Ihrer Antwort gerne inhaltliche Schwerpunkte, die Ihre Partei zusätzlich priorisieren möchte.

Wie stehen Sie zu den Ausnahmen im Sektor „Staat und Verwaltung“ für Ministerien und Behörden auf Bundes-, Landes- und kommunaler Ebene in der Gesetzgebung zur Umsetzung der Richtlinie NIS2 sowie im KritisDG?
Welche darüberhinausgehenden Maßnahmen wollen Sie ergreifen um die IT-Sicherheit an den genannten Stellen zu verbessern?
Wie stehen Sie zu der Idee, eine Kritis-Verordnung für den Sektor Staat und Verwaltung zu erlassen?
Teilen Sie die Einschätzung, dass dem Staat und seiner Verwaltung IT-Fachkräfte und IT-Fachkompetenz fehlen?
Wie werden Sie die Personalentwicklung und Kompetenzbildung vorantreiben?
Wie stehen Sie zu einer TVÖD-Reform, die die Gehaltsniveaus von IT-Fachkräften der marktwirtschaftlichen Realität annähert?
Wie stehen Sie zur Reform des Computerstrafrechts um insb. ehrenamtlichen IT-SicherheitsforscherInnen Rechtssicherheit zu verschaffen?
Werden Sie den vom BMJ begonnenen Reformprozess fortführen?
Wie stehen Sie zur Forderung der Zivilgesellschaft nach mehr Unabhängigkeit für das BSI?
Welche Konzepte für die Umsetzung dieses Ziels präferieren Sie?
Teilen Sie die Einschätzung, dass Deutschland derzeit keine ausreichenden Bewältigungskapazitäten für Großschadenslagen, hervorgerufen durch Cybervorfälle, hat?
Wie stehen Sie vor diesem Hintergrund zur Umsetzung des Konzepts „Cyberhilfswerk“ sowie der aktuell laufenden Machbarkeitsstudie im THW?

Die Antworten werden wir veröffentlichen. Wir haben um Antwort bis zum 15.01.2025 gebeten und werden danach die erhaltenen Antworten bereitstellen.

Foto von Mika Baumeister auf Unsplash

Artikel: heise.de – Kommentar: Schallende Ohrfeige für desolate NIS-2-Umsetzung

27. September 2024/in Externe Publikationen/von Manuel Atug

Manuel ‚HonkHase‘ Atug hat einen Kommentar bei heise.de über die Eskalation des Bundesrechnungshofes zum mangelhaften Umsetzungsstand der NIS2 Richtlinie veröffentlicht.

„Die Bundesregierung und das Bundesinnenministerium sind stets bemüht, die EU-NIS2-Richtlinie im Rahmen der ihnen gegebenen Möglichkeiten umzusetzen.“ So könnte das vom Bundesrechnungshof (BRH) ausgestellte Arbeitszeugnis für die Bundesregierung und insbesondere auch das Bundesinnenministerium (BMI) lauten. Das lernunwillige und bockige Verhalten des Ministeriums wird an allen Ecken und Enden zu Recht bemängelt.
Der BRH ist dabei nicht um klare Worte verlegen, die glatt aus dem Maschinenraum der AG KRITIS stammen könnten. So laufe die Bundesregierung Gefahr, „ihr Ziel zu verfehlen, die Informations- und Cybersicherheit zu verbessern.“ Bereits bekannte Defizite würden nicht aufgegriffen und zentrale Punkte für die Cybersicherheit auch nach mehrfachen Ressortabstimmungen nicht adressiert. Und da wichtige Regelungen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein sollen, drohe das Gesetz, ein „Flickenteppich“ zu werden, der alle Beteiligten gefährdet. So bleibe das NIS2UmsuCG weit hinter den selbst gesteckten Zielen zurück.

Zum Artikel auf heise.de

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier:

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Stellungnahme zu KRITIS in der Enquetekommission „Krisen- und Notfallmanagement“ im Landtag NRW

3. März 2024/in Anhörungen, Artikel/von Manuel Atug

Am 01. März 2024 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung der Enquetekommission „Krisen- und Notfallmanagement“ – durch die Lehren der Vergangenheit die Zukunft sicher gestalten zum Themenkomplex „KRITIS“ als Sachverständiger geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

„Machen ist wie dran denken, nur krasser.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Videorecording der gesamten Anhörung

Download unserer Stellungnahme als PDF

Tagesordnung der Anhörung

Update des Cyberhilfswerk Konzept

9. November 2022/in Artikel/von Johannes Rundfeldt

Wir veröffentlichen hier eine aktualisierte Fassung des CHW-Konzepts, das die Schaffung einer neuen Freiwilligengruppe beschreibt, welche die Bewältigungskapazitäten für Großschadenslagen, die aus Cyber-Vorfällen resultieren, ausbauen soll.

Die aktualisierte Fassung enthält neue Ausarbeitungen zu Einsatzszenarien und Einsatzrollen des Cyberhilfswerks. Außerdem enthält sie einen neuen Abschnitt über die Gewinnung von Freiwilligen Helfern und zur Frage der europäischen Dimension eines Cyberhilfswerks. Darüberhinaus wurde der Abschnitt „Rechtsform eines CHW“ umfassend neu gestaltet und mit vielen neuen Erkenntnissen ergänzt.

Die vorherige Version des CHW-Konzept wurde erstmals im Februar 2020 veröffentlicht und nun erstmals aktualisiert.

Ziel des CHW-Konzepts ist es, dem Staat eine Konzeption an die Hand zu geben, die sowohl das vorhandene Helfer-Potential in der Bevölkerung sinnvoll aktiviert als auch ein Fundament zu schaffen, auf dem eine vertrauensvolle Kooperation im Krisenfall stehen kann.

Die aktualisierte Version des CHW-Konzepts enthält mehrere neue Abschnitte, darunter:

– Die Schaffung sogenannter mobiler Interneterstversorgungsstationen (MIEVS)

– Eine deutliche Vertiefung der Diskussion über die Anbindung an das technische Hilfswerk

– weitere Szenarien im Bereich der Krankenhaus-IT, der Kommunalverwaltung und Ergänzungen zu vorhandenen Szenarien im Bereich der Stromversorgung

Das vollständige Konzept kann hier heruntergeladen werden:

Download des Konzepts zur Schaffung eines Cyberhilfswerks als PDF

Bundesregierung finanziert Forschung zur Schaffung des Cyberhilfswerk im THW

23. Mai 2022/in Artikel/von Johannes Rundfeldt

Aus Regierungskreisen erfuhren wir am Freitag, dass die Ampelkoalition dem Technischen Hilfswerk (THW) den Forschungsetat verdoppelt hat. Die Ampelkoalition möchte mit weiteren 500.000 € die Erforschung der Kompetenzerweiterung des Technischen Hilfswerks im Bereich der Cyberhilfe finanzieren.

„Zur Konzepterstellung für die Kompetenzerweiterung „Cyberhilfe“ bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt“

Nachdem die letzte Bereinigungssitzung des Haushaltsausschusses des Deutschen Bundestages am Samstag Abend, den 21.05.2022 ohne besondere Vorkommnisse abgeschlossen wurde, gehen wir nun davon aus, dass die Bundesregierung diesen Haushalt so in der kommenden Woche verabschieden wird. Mit dieser Entscheidung geht die Bundesregierung aus unserer Sicht den ersten Schritt zu einem staatlichen Cyberhilfswerk.

Damit wird der dritte große Meilenstein auf dem Weg zu einem Cyberhilfswerk erreicht – nachdem sich schon in der letzten Legislatur zwei Fraktionen der Forderung nach einem Cyberhilfswerk angeschlossen haben und es die Forderung nach einem Cyberhilfswerk dann in den Koalitionsvertrag geschafft hat, wird nun im dritten Schritt die konkrete Forschung zur Umsetzung finanziert.

Wir begrüßen diesen Schritt der Bundesregierung ausdrücklich. Aus unserer Sicht wird damit unsere Forderung nach der Schaffung eines Cyberhilfswerks ernst genommen und konkret angegangen. Wir sind froh und dankbar, in einer Demokratie leben zu dürfen, in der Bürgerinitiativen wie die AG KRITIS Wertschätzung erleben und ernst genommen werden.

Im Hintergrund wird die Arbeit an der Konzeption eines Cyberhilfswerks auf unserer Seite fortgeführt – wir aktualisieren derzeit das Konzept, um weitere Erkenntnisse zu integrieren, die im Austausch mit Behörden, KRITIS-Betreiberinnen und Katastrophenschützerinnen gewonnen wurden.

Für das anstehende Forschungsprojekt empfehlen wir dem THW, insbesondere ehrenamtliche Beratungsleistungen in Anspruch zu nehmen. So kann nicht nur das Budget effektiv genutzt werden, sondern auch der Erfahrungsschatz von ehrenamtlich aktiven und fachkundigen Bürgerinnen von Anfang an mit einbezogen werden.

Die AG KRITIS steht mit ihrem Netzwerk weiterhin gerne bereit, ehrenamtlich zu beraten und zu unterstützen.

Hier findet ihr das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen der AG KRITIS.

AG KRITIS zu Gast beim Terra X-Podcast mit Harald Lesch

20. Mai 2022/in Externe Publikationen, Podcast/von Karoline Busse

Am 02.05.22 war unser AG KRITIS-Mitglied @HonkHase zu Gast bei Harald Lesch und dem Team des ZDF Terra X-Podcast „Maschinenraum Deutschland“. In der Folge „Sind wir gewappnet für den Krieg im Netz?“ geht es um Cybercrime, Ransomware, Information Warfare, unser Konzept zum Cyberhilfswerk und um die Bildungspolitik. Die einstündige Episode gibt es ab heute in der ZDF-Mediathek, über den RSS-Feed des Terra X-Podcast und bei allen weiteren Streaming-Anbietern.

Resilience for Critical Infrastructures: A Volunteer Cyber Brigade

2. Dezember 2021/in Vorträge/von AG KRITIS

Power outages and cyber attacks represent an increasing threat to the delivery of critical services to the public. On August 25, 2021, our member MrDuck presented the AG KRITIS‘ concept of a „Cyberhilfswerk“ (cyber relief organization) as part of the monthly Cybersecurity Speaker Series talk.cybercni.fr. He provided an overview of existing capabilities to respond to and train for such an event, explained why these are insufficient and outlined a possible solution to address large scale cyber-induced disaster.

The recording is freely available here.

Information about the Speaker Series can be accessed here.

Beiträge