Beiträge

Bundesregierung finanziert Forschung zur Schaffung des Cyberhilfswerk im THW

Aus Regierungskreisen erfuhren wir am Freitag, dass die Ampelkoalition dem Technischen Hilfswerk (THW) den Forschungsetat verdoppelt hat. Die Ampelkoalition möchte mit weiteren 500.000 € die Erforschung der Kompetenzerweiterung des Technischen Hilfswerks im Bereich der Cyberhilfe finanzieren.

Zur Konzepterstellung für die Kompetenzerweiterung "Cyberhilfe" bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt

„Zur Konzepterstellung für die Kompetenzerweiterung „Cyberhilfe“ bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt“

Nachdem die letzte Bereinigungssitzung des Haushaltsausschusses des Deutschen Bundestages am Samstag Abend, den 21.05.2022 ohne besondere Vorkommnisse abgeschlossen wurde, gehen wir nun davon aus, dass die Bundesregierung diesen Haushalt so in der kommenden Woche verabschieden wird. Mit dieser Entscheidung geht die Bundesregierung aus unserer Sicht den ersten Schritt zu einem staatlichen Cyberhilfswerk.

Damit wird der dritte große Meilenstein auf dem Weg zu einem Cyberhilfswerk erreicht – nachdem sich schon in der letzten Legislatur zwei Fraktionen der Forderung nach einem Cyberhilfswerk angeschlossen haben und es die Forderung nach einem Cyberhilfswerk dann in den Koalitionsvertrag geschafft hat, wird nun im dritten Schritt die konkrete Forschung zur Umsetzung finanziert.

Wir begrüßen diesen Schritt der Bundesregierung ausdrücklich. Aus unserer Sicht wird damit unsere Forderung nach der Schaffung eines Cyberhilfswerks ernst genommen und konkret angegangen. Wir sind froh und dankbar, in einer Demokratie leben zu dürfen, in der Bürgerinitiativen wie die AG KRITIS Wertschätzung erleben und ernst genommen werden.

Im Hintergrund wird die Arbeit an der Konzeption eines Cyberhilfswerks auf unserer Seite fortgeführt – wir aktualisieren derzeit das Konzept, um weitere Erkenntnisse zu integrieren, die im Austausch mit Behörden, KRITIS-Betreiberinnen und Katastrophenschützerinnen gewonnen wurden.

Für das anstehende Forschungsprojekt empfehlen wir dem THW, insbesondere ehrenamtliche Beratungsleistungen in Anspruch zu nehmen. So kann nicht nur das Budget effektiv genutzt werden, sondern auch der Erfahrungsschatz von ehrenamtlich aktiven und fachkundigen Bürgerinnen von Anfang an mit einbezogen werden.

Die AG KRITIS steht mit ihrem Netzwerk weiterhin gerne bereit, ehrenamtlich zu beraten und zu unterstützen.

Hier findet ihr das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen der AG KRITIS.

 

Koalitionsvertrag: AG KRITIS erstmals vorsichtig optimistisch

Der Koalitionsvertrag der Ampel-Parteien steht. Wir haben dies zum Anlass genommen, um die digitalpolitischen Inhalte mit unseren politischen Forderungen abzugleichen.

Im Allgemeinen hat sich hier sehr viel getan und wir sehen an vielen Stellen eine Bewegung in die richtige Richtung. Obwohl es sonst nicht unsere Art ist, stellen wir fest, dass wir vorsichtig optimistisch sind. Nachfolgend nehmen wir zu einzelnen Passagen des Koalitionsvertrags Stellung und geben konkrete Verbesserungs- und Umsetzungshinweise.

Unabhängigkeit des BSI

Wir leiten einen strukturellen Umbau der IT-Sicherheitsarchitektur ein, stellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger auf und bauen es als zentrale Stelle im Bereich IT-Sicherheit aus.“ (441-442 )

Wir freuen uns darüber, dass das BSI unabhängiger werden soll. Die gewählte Formulierung ist hier jedoch sehr vage und sogar grammatikalisch fraglich; denn in unserer Wahrnehmung ist „unabhängig“ kein steigerbares Adjektiv. Entweder etwas ist unabhängig oder es ist eben abhängig.

Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI).

Dies ließe sich z.B. bewerkstelligen, in dem das BSI einem anderen Bundesministerium unterstellt wird, oder in dem die Fachaufsicht, wie beim Bundesamt für Statistik, nach wissenschaftlichen oder sachgerechten Kriterien selbst erfolgt und nur die Rechtsaufsicht beim BMI verbleibt (§ 2 (1, 3) BStatG).

Wir empfehlen der neuen Regierung daher, mindestens die Fachaufsicht über das BSI aus dem BMI zu lösen.

Angemessene Personalausstattung relevanter Behörden

 „Wir werden deshalb Planungs- und Genehmigungsverfahren modernisieren, entbürokratisieren und digitalisieren sowie die Personalkapazitäten verbessern. Indem wir Bürgerinnen und Bürger früher beteiligen, machen wir die Planungen schneller und effektiver. “ (148 – 151)

Das Verbessern der Personalkapazitäten ist dringend notwendig, insofern begrüßen wir diese Formulierung. Wir vermissen hier allerdings das aus unserer Sicht notwendige Vorhaben, Änderungen am behördlichen Laufbahnrecht und dem TVÖD vorzunehmen; denn sowohl das aktuelle Laufbahnrecht, als auch der TVÖD verhindern es, IT-Fachpersonal ein konkurrenzfähiges Gehalt zu zahlen. Im aktuellen Wettkampf um IT-Fachpersonal ist dies eine grundlegende Voraussetzung, um kompetentes Personal anstellen zu können. Es scheint in den Behörden noch nicht angekommen zu sein, dass Sie eben nicht im Umkreis von 30km um Ihre Liegenschaft um Personal konkurrieren, sondern dass Sie in direkter Konkurrenz zu US-Unternehmen stehen, die europäisches IT-Fachpersonal in Telearbeit zu sechsstelligen Jahresgehältern anstellen.

Open-Source Einsatz im KRITIS Umfeld

„Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht. Auf  Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und  Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf. “ (408-411)

 „Wir werden kritische Technologie und Infrastruktur besser schützen, Standards und Beschaffung daran ausrichten und ein europäisches Open Source- 5/6G-Konsortium initiieren. Europäische Unternehmen schützen wir besser gegen extraterritoriale Sanktionen. “ (4433 – 4436)

Die Festlegung auf Open Source ist überfällig und wurde von so gut wie jeder digitalpolitisch aktiven Organisation im letzten Jahrzehnt gefordert. Wir vermissen hier allerdings einen wirklichen Reformwillen; denn der Staat kauft viel zu oft proprietäre Software oder Nutzungsverträge zu proprietären Clouds, als dass eigene Entwicklungsaufträge vergeben werden. Wir hätten uns hier ein klareres Bekenntnis zur Abkehr von proprietärer Software von außereuropäischen Herstellern gewünscht. Auch fehlt in diesem Zusammenhang der Willen, bestehende Open Source Projekte zu fördern (Machbarkeitsstudie) oder zu nutzen (dPhönixSuite).

Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab. Nicht-vertrauenswürdige Unternehmen werden beim Ausbau kritischer Infrastrukturen nicht beteiligt.“ (446-447 )

„Das Bundespolizeigesetz novellieren wir ohne die Befugnis  zur Quellen-TKÜ und Online-Durchsuchung.“ (3661- 3662)

Auf dem Weg zu einer defensiven Cybersicherheitsstrategie ist die Ablehnung von Hackbacks ein Schritt in die richtige Richtung. Auch die Entfernung der Befugnis zur Quellen-Telekommunikationsüberwachung oder Online-Durchsuchung ist ein weiterer Schritt auf dem Weg zu einer defensiven Cybersicherheitsstrategie. Wir fragen uns allerdings, wie in diesem Zusammenhang der folgende Satz zu verstehen ist:

„Die Bundeswehr muss (…) in die Lage versetzt werden, im Verbund mit anderen Bundesbehörden im Cyber- und Informationsraum als Akteur erfolgreich zu bestehen. “ (5041- 5044)

Hier wurde aus unserer Sicht eine Gelegenheit verpasst, den offiziellen Status der „Verteidigungsarmee“, also einem rein defensiven Vorgehen (Art. 87a GG), zu betonen und diesen Status auch für den Cyberraum zu bestätigen. Vor diesem Hintergrund ist auch der „Bundeswehreinsatz im Inneren“, also z.B. die Hilfsleistung gegenüber anderen Bundesbehörden notwendigerweise zu kritisieren. Die Bundeswehr sollte in jedem Fall die allerletzte Verteidigungslinie in jeder Krise sein. Jegliche Vorsorge für den Katastrophenfall sollte eben nicht mit den Ressourcen der Bundeswehr planen und dies sollte auch im Cyber- und Informationsraum beibehalten werden.

Staatliche Verantwortung und Aufsicht sicherstellen

„Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS-Dachgesetz.“ (3504 )

In diesem Zusammenhang halten wir es für notwendig, für jeden KRITIS-Sektor eine wissenschaftliche Evaluation zu beauftragen, wie notwendige und wirksame (staatliche) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden, als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.

Auch empfehlen wir der neuen Bundesregierung, in diesem Dachgesetz dafür zu sorgen, dass die Länder endlich Ihre Verpflichtungen (Stellungnahme für Landtag NRW) erfüllen und eine Landes-KRITIS-Verordnung für den Sektor „Staat und Verwaltung“ erlassen, wie sich dies aus der föderalen Struktur in Zusammenhang mit dem IT-Sicherheitsgesetz bzw. dem BSI-Gesetz ergibt. Wir halten es für zwingend notwendig, dass diese Verordnung bundeseinheitlich gestaltet wird. IT-Sicherheit darf nicht zum Standortvorteil einzelner Bundesländer werden.

Bei der Schaffung dieses Dachgesetz bitten wir die neue Bundesregierung zudem, unsere Forderung nach gesetzlich verpflichtendem Patchmanagement sowie nach effektiver Überprüfung und wirksamen Sanktionen bei Nichteinhaltung des § 8a BSIG zu berücksichtigen.

Gründung eines Cyber-Hilfswerks (CHW)

Die Freiwilligen stärken wir durch ein Ehrenamtskonzept und in föderaler Abstimmung durch  bundesweit einheitliche Freistellungs und Versicherungsschutzregeln der Helferinnen und Helfer. DasTechnische Hilfswerk (THW) nimmt weiter eine zentrale Rolle ein und soll seine Kompetenzen in der
Cyberhilfe erweitern. Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITISDachgesetz.“ (3501 – 3505)

Wir freuen uns sehr über die Aufnahme unseres Impulses zur Schaffung eines Cyberhilfswerks. Allerdings sind wir uns nicht sicher, ob eine Ansiedlung beim THW der richtige Schritt ist. Hier muss das bestehende Konzept mit den unterschiedlichen Varianten und Möglichkeiten diskutiert werden. Es ist aus unserer Sicht klar, dass ein Cyberhilfswerk als Bindeglied zwischen dem BSI und dem THW konzeptioniert werden muss. An welcher Behörde ein CHW aufgehangen wird, sollte daher mit dem Ziel einer möglichst effektiven Aufgabenerfüllung diskutiert werden, bevor die finale Festlegung erfolgt.

Verpflichtung zur Responsible Disclosure

„Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein. “ (445-446 )

Wahrscheinlich ist mit „verantwortlichem Verfahren“ das so genannte „Responsible Disclosure“ Verfahren gemeint. Um dies zu erreichen, müssen jedoch Anpassungen an UrhG, UWG und StgB erfolgen. Konkrete Vorschläge, wie dies passieren kann, finden sich hier: sec4research.de  sowie auf Bundestagsdrucksache 19/7698, II Unterpunkt 8

„Staat wird keine Sicherheitslücken ankaufen oder offenhalten.“ (3651 – 3655)

Obwohl dies für uns grundsätzlich gut klingt, haben wir hier zwei Sorgen: Zum einen erlaubt diese Formulierung weiterhin, dass der Staat mittels der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS), Sicherheitslücken findet und selbst ausnutzt, bis diese geschlossen werden. Zum anderen wird sich die Möglichkeit offen gehalten, Dienstleistungen außereuropäischer Überwachungsdienstleister einzukaufen, die selbst auf großen Mengen bisher unveröffentlichter Sicherheitslücken sitzen und diese für ihr Geschäftsmodell geheim halten.

Auch vor dem Hintergrund, dass das BSI die zentrale Meldestelle für Sicherheitslücken werden soll, ist es wichtig, den oft im Ehrenamt arbeitenden IT-Sicherheitsforscherinnen aber auch den IT-Sicherheitsdienstleistern die explizite Sicherheit zu geben, dass durch sie gefundene Sicherheitslücken auch veröffentlicht werden.

Gerne stehen wir für alle Parlamente, Ministerien und Bundesämter im Ehrenamt beratend zur Verfügung, um im Sinne der Zivilgesellschaft die Versorgungssicherheit und Resilienz kritischer Infrastrukturen zu verbessern.

 

Dieser Artikel wurde erstellt von Johannes Rundfeldt und Elina Eickstädt

 

CDU RLP will die gesetzliche Grundlage für ein Cyberhilfswerk schaffen

Die CDU Rheinland-Pfalz hat in ihrem Regierungsprogram 2021-2026 die Forderung nach einem Cyberhilfswerk aufgenommen. Im Abschnitt 01.07 Vorsorgen findet sicht:

Wir wollen nach dem Modell der Kritis AG analog zum Technischen Hilfswerk (THW) den gesetzlichen Rahmen für die Arbeit eines Cyberhilfswerks (CHW) schaffen, dass bei Großschadenslagen im Bereich der kritischen IT-Sicherheit alle erforderlichen Helfer kurzfristig aus ihren „Zivilberufen“ zusammenziehen kann.

Das vollständige Regierungsprogramm ist hier zu finden:

Die AG KRITIS begrüßt diese strategische Ausrichtung sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist. Gerne beraten wir bei Interesse alle demokratischen Parteien, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

Erste Fraktion im Deutschen Bundestag fordert ein Cyberhilfswerk

Die Fraktion der freien Demokraten im Deutschen Bundestag hat auf Drucksache 19/24632 einen Antrag mit dem Titel: „Pandemie als digitalen Weckruf ernst nehmen – Umfangreiche
Digitalisierungsstrategie vorlegen“ veröffentlicht.

Dort heißt es neben wichtigen anderen Positionen zu einer defensiven Cybersicherheitsstrategie und zu der Forderung eines unabhängigen BSI unter anderem auch:

Damit auch nach einer Großschadenslage im Cyberraum die Versorgung der Bevölkerung sichergestellt werden kann, sind weiterhin die vorhandenen Bewältigungskapazitäten im BSI zu erweitern, indem ergänzende, ehrenamtliche Strukturen nach Vorbild des THW geschaffen werden.

Der vollständige Antrag ist hier zu finden:

Damit ist die Fraktion der Freien Demokraten die erste Fraktion, die unsere Forderung zur Gründung eines Cyberhilfswerks aufgenommen und zur Fraktionsposition gemacht hat. Dies freut uns sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist.

Gerne beraten wir bei Interesse alle Fraktionen im Deutschen Bundestag, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

Die Katschützer: AG Kritis

@diekatschuetzer haben in ihrem Podcast mit unserem Mitglied @HonkHase über die AG KRITIS und das Cyber-Hilfswerk gesprochen.

In dieser Folge unterhalten wir uns mit Manuel Atug über seine Arbeit in der AG Kritis, über die Arbeit die in das Konzept zum Cyberhilfswerk geflossen ist, was man mitbringen muss um in der AG Kritis mitarbeiten zu können und vieles mehr.

Den vollständigen @diekatschuetzer Podcast „AG Kritis“ mit @HonkHase findet ihr hier:

Hier findet Ihr unser CHW-Konzept:

Kommentierung der Stiftung Neue Verantwortung des IT-SiG2

Die Stiftung Neue Verantwortung hat, ebenso wie wir, eine Kommentierung des vorgeschlagenen IT-Sicherheitsgesetz 2.0 erstellt. In dieser Kommentierung wird das von uns entworfene Konzept eines Cyberhilfswerks empfohlen. Dafür möchten wir uns bedanken!

Empfehlung: Ein Ausbau der MIRTs ist zu unterstützen, da für diese eine breite Fachexpertise – zum Beispiel für die unterschiedlichen Systeme Kritischer Infrastrukturen – bereitgehalten werden muss. Der genannte Ausbau der Teams wäre eine effiziente Investition der im Entwurf insgesamt vorgesehenen Personalressourcen. […] Zudem sollte eine Einbettung des Konzepts des Cyber-Hilfswerks in diesen Plan geprüft werden.

Der lesenswerte Volltext der Kommentierung zum IT-SiG2 ist auf der Website der Stiftung Neue Verantwortung zu finden.

 

Kommentar zum neuen Referentenentwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG2)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von netzpolitik.org veröffentlichten neuen Entwurf des IT-SiG2 von Mai 2020:

Das neue IT-Sicherheitsgesetz 2.0 (IT-SiG2) ist definitiv eine Verbesserung zum vorherigen Entwurf von März 2019. Aber nicht alle Details sind gut, einzelne Punkte sind leider auch ein Rückschritt und werfen neue Gefahren und Risiken auf.

Die AG KRITIS begrüßt die Tatsache, dass die hochkritischen Änderungen an der Strafprozessordnung und am Strafgesetzbuch, die noch im ersten veröffentlichten Entwurf von März 2019 aufgeführt wurden, nun nicht mehr enthalten sind. Auch begrüßen wir die Tatsache, dass die Entsorgung – also Teil der Abfallwirtschaft – nun auch als kritische Infrastruktur betrachtet wird. Dies ist überfällig und sinnvoll, schließlich entstehen sehr schnell katastrophale Gesundheitsrisiken für die Bevölkerung wegen der drohenden Seuchengefahr und Gefährdungen in der Umwelt bedingt durch gefährliche Stoffe, wenn die Abfallentsorgung nicht mehr funktionieren würde.

Leider hat sich damit jedoch nicht alles zum Guten verbessert. Es gibt insbesondere auch einige Neuerungen, die in dieser Weise unsere kritischen Infrastrukturen direkt gefährden können.

Unser größter Kritikpunkt ist die hochgefährliche Datensammlung, die sich hinter der unscheinbaren Formulierung in § 9b Absatz 1 BSIG verbirgt. Dort geht es um IT (oder OT) -Komponenten in kritischen Infrastrukturen.

„Der Einsatz einer kritischen Komponente (§ 2 Absatz 13), (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben.“

Bisher müssen Hersteller solcher Komponenten mit dem BSI zusammen arbeiten, um eine Zertifizierung von Komponenten zu erreichen. Dabei kann das BMI diese Zertifizierung aus Gründen der öffentlichen Sicherheit ablehnen, auch wenn das BSI zum Schluss kommt, dass die zu zertifizierende Komponente den Kriterien entspricht.

Der neue IT-SiG2-Entwurf schafft hier allerdings eine neue Anzeigepflicht. Nicht mehr nur der Hersteller der Komponente muss mit den Behörden in Kontakt treten, sondern der Betreiber der Komponente muss deren Einsatz beim BMI melden. Auf diese Weise plant das BMI eine Liste aufzubauen, welcher KRITIS-Betreiber welche Komponenten im Einsatz hat. So eine Liste ist jedoch höchst kritisch zu bewerten, da jeder Geheimdienst und jede ausländische Macht, die Zugriff auf diese hochsensible Liste erlangt, unsere kritische Infrastruktur gefährden kann. Getreu dem Motto „Wo ein Trog ist, da sammeln sich auch Schweine“ halten wir es für überflüssig und gefährlich, so eine hochsensible Datensammlung überhaupt anzulegen. Wenn man aus sicherheitstechnischen Erwägungen trotzdem zum Schluss kommt, so eine Liste zu benötigen, so muss diese besonders vor dem Zugriff von in- und ausländischen Ermittlungsbehörden und Nachrichtendiensten geschützt werden. Nur ein unabhängiges BSI, das nicht mehr unter der Aufsicht des BMI steht, könnte so eine Liste geeignet verwalten.

Leider wurde diese essentielle fachliche Unabhängigkeit des BSI nicht im § 1 des BSIG vorgesehen. Hier wünschen wir uns eine Nachbesserung, denn ein fachlich unabhängiges BSI ist notwendig und überfällig. Obwohl es verschiedene Ansätze gibt, wie dies juristisch erreicht werden könnte, halten wir die Anpassung des § 1 BSIG für den naheliegendsten Ansatz, wenn man sowieso gerade plant, das BSIG zu ändern. Dabei kann man sich in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am statistischen Bundesamt orientieren.

Der zweite nicht weniger relevante Kritikpunkt ist die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Cyberangriffen auf IT-Systeme. Im zu ändernden § 109a TKG findet sich die Formulierung:

„(1a) Im Falle einer unrechtmäßigen Übermittlung an oder unrechtmäßigen Kenntniserlangung von Daten durch Dritte unterrichtet der Diensteanbieter unverzüglich das Bundeskriminalamt über diesen Sachverhalt, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass 1. jemand Telekommunikations- oder Datenverarbeitungssysteme ohne Erlaubnis oder Billigung des Diensteanbieters verändert, auf diese eingewirkt oder Zugangseinrichtungen zu diesen überwunden hat und 2. dies nicht fahrlässig erfolgt ist.“

Im Fall der vorsätzlichen und erfolgreichen Umgehung von Zugangseinrichtungen, der Veränderung von Daten oder der Einwirkung von Dritten auf diese ist es wohl angebracht, dies als Cyberangriff zu bezeichnen. Je nachdem, wer der Täter ist, ändert sich die Zuständigkeit für die Vorfallsbehandlung und Ermittlung.

Handelt es sich um einen Angriff eines deutschen Bürgers auf eine technische Einrichtung der Bundeswehr, wäre der MAD zuständig. Wären wir im Krieg und hätte die Bundeswehr ein Mandat, wäre in diesem Fall das KdoCIR zuständig. Wenn ein System angegriffen wird, welches nicht zur Bundeswehr gehört, sondern z.B. zu einem Telekommunikationsanbieter, dann wäre das BKA nur dann zuständig, wenn der Angriff von einem deutschen Bürger ausgeht. Geht der Angriff von einem ausländischen Bürger aus, wäre der BND zuständig. Ginge der Angriff von einer ausländischen staatlichen Macht aus, wäre der BND und unter Umständen auch das Auswärtige Amt zuständig. In manchen Sonderfällen fiele auch eine Teil-Zuständigkeit an das BfV.

Zum Zeitpunkt der initialen Detektion eines Angriffs ist der Täter und dessen Nationalität aber unbekannt. Daher kann nicht von vornherein klar sein, wer wirklich zuständig ist. Aus genau diesem Grund wurde das NCAZ geschaffen, welches die Vorfallsbehandlung zwischen den möglicherweise zuständigen Bundesbehörden koordinieren soll. Im NCAZ sitzen deswegen Vertreter aller möglicherweise zuständigen Behörden, wie z.B. dem BKA, der BPol, dem BfV, dem BND, dem MAD und dem KdoCIR.

Wir sind daher zu der Meinung gekommen, dass an dieser Stelle die Meldung an das NCAZ erfolgen soll und eben nicht an das BKA. Das NCAZ kann dann koordinieren, welche Bundesbehörde auf Basis der vorliegenden Indizien wahrscheinlich zuständig ist. Nichtsdestotrotz sind, egal welche Behörde für die Ermittlungen zuständig ist, immer auch andere Bundesbehörden einzubinden, wie z.B. das BSI, welches nötigenfalls Warnungen und Meldungen über das CERT-Bund herausgeben müsste.

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Bundesinnenminister Horst Seehofer im Juni 2019. An dieses Mantra hält man im BMI auch beim IT-SiG2 konsequent fest. Im alten Entwurf fand sich noch die Formulierung, dass die Rüstungsindustrie zur sog. „Infrastruktur in besonderem öffentlichen Interesse“ (ISBÖFI) gehören soll. Die „ISBÖFI“ ist quasi eine Art „KRITIS light“. Nicht alle KRITIS Pflichten werden auferlegt, aber manche. Im neuen IT-SiG2-Entwurf findet sich das Wort „Rüstung“ nun nicht mehr, trotzdem gehört Rüstung weiterhin zu ISBÖFI. Dies wird nun durch die verschleiernde Erwähnung des „§ 60 AWV Absatz 1 Satz 1-5“ festgelegt und auch in den Begründungen zum Gesetz weder erläutert noch aufgeklärt.

Die AG KRITIS ist der Meinung, dass Rüstung weder KRITIS ist, noch zu einer Art „KRITIS light“ gehören kann – denn die Rüstungsindustrie gehört eben nicht zu solchen Diensten, „die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte“ (KRITIS-Definition).

Selbst wenn man argumentieren würde, dass die hergestellten Rüstungsgüter nach Bestellung, Produktion und Lieferung der Bundeswehr zu Gute kommen würden und damit bei der Aufgabenerfüllung der Bundeswehr (Verteidigungsarmee) helfen sollen – selbst dann wäre die Rüstungsindustrie noch nicht KRITIS, da die Bundeswehr diese Aufgaben mit Ihren Beständen erfüllen muss und die Beschaffung neuer Waffen so lange dauert, das diese neuen Waffen wohl kaum zur Bewältigung der dann aktuellen Lage eingesetzt werden können. Eine Mitverantwortung für die öffentliche Sicherheit kann daher bei der Rüstungsindustrie nicht behauptet werden. Entsprechend gehört die Rüstungsindustrie auch nicht zu den kritischen Infrastrukturen und darf daher auch nicht der neu geschaffenen Vorstufe „ISBÖFI“ zugeordnet werden.

Unser dritter Kritikpunkt ist, dass im IT-SiG von 2015 festgelegt wurde, dass eine Evaluierung der Gesetzesänderungen spätestens vier Jahre nach Inkrafttreten vorgenommen werden soll. Unserer Kenntnis nach ist diese Evaluierung aber bisher nicht erfolgt. Konsequenterweise sieht das BMI auch keine Evaluierung des neuen IT-SiG2 vor, sondern stellt in Aussicht, die aktuell gesetzeswidrig(!) überfällige Evaluierung des IT-SiG von 2015 doch noch vorzunehmen. Dies reicht dem BMI als Begründung, warum eine Evaluierung der zweiten Version des IT-SiG nicht notwendig wäre, weil man ja Erkenntnisse aus dem Gesetzesentwurf des IT-SiG2 in die Evaluierung des IT-SiG von 2015 einfließen lassen könne.

Selbstverständlich ist das nicht ausreichend – das BMI soll, wie aus gutem Grund im Gesetz vorgesehen, erst das vorhandene IT-SiG von 2015 evaluieren und dann diese Erkenntnisse, genau wie geplant, in das IT-SiG2 einfließen lassen – aber nicht andersherum, wie es aktuell im IT-SiG2 angegeben wird.

Weiterhin findet sich im IT-Sig2 auch noch eine Passage, die uns als AG KRITIS mit Freude erfüllt. Uns zeigen diese Änderungen, dass man auch ehrenamtlich erfolgreichen und sinnvollen Lobbyismus betreiben kann.

Es scheint so, als wurden bestehende Forderungen der AG KRITIS im IT-SiG2 berücksichtigt. So soll das unserer Ansicht nach zu schwach besetzte MIRT deutlich anwachsen. Dies vergrößert die staatlichen Krisenbewältigungskapazitäten signifikant. Auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) bekommt wichtige Aufgaben und weitere Personalstellen zugeteilt, um erstmalig in die Lage versetzt zu werden, auch für IT-Katastrophen Krisenreaktionspläne auszuarbeiten. Auch lesen wir den neu geschaffenen § 5c BSIG fast schon wie die initiale rechtliche Grundlage für den Einsatz eines zu schaffenden Cyberhilfswerks – wie von uns im Februar 2020 vorgestellt – und verortet die Kompetenzen und Verantwortlichkeiten an den richtigen Stellen, nämlich dem BSI gemeinsam mit dem Partner BBK.

Hier findet Ihr unser CHW-Konzept:

Golem: Sandsäcke stapeln im Internet

Das Onlinemagazin Golem hat sich mit unserem Mitglied @ijonberlin über die Fortschritte und den aktuellen Stand des CHW-Konzept erkundigt und einen Artikel dazu veröffentlicht.

Wie ein Technisches Hilfswerk für IT-Vorfälle stellen sich Aktivisten ein Cyberhilfswerk vor. Es soll eingreifen, wenn es zum Ernstfall kommt. Die Initiatoren sehen sich als Mittler zwischen Nerds und Behörden.

Artikel von Anna Biselli

Der vollständige Artikel bei Golem findet sich hier: