Beiträge

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier:

Unabhängigkeit des BSI – Umsetzungsvorschläge der „Stiftung Neue Verantwortung“

Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik der „Stiftung Neue Verantwortung“, hat heute das Papier „Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik“ veröffentlicht, in dem er die Probleme eines BSI als untergeordnete Behörde des Bundesministeriums des Inneren, für Bau und Heimat (BMI) beleuchtet und konkrete Lösungsvorschläge aufzeigt. Die AG KRITIS fordert seit ihrer Gründung ein unabhängiges BSI

Die fehlende Unabhängigkeit schwächt das Vertrauen der beteiligten Parteien, den Betreibern kritischer Infrastrukturen und der Bürger*innen in das BSI, da es durch die Fachaufsicht des BMI an dessen Weisungen gebunden ist. Das BMI hat jedoch auch die Fachaufsicht über das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei. Die Aufgaben dieser Behörden stehen in einem Zielkonflikt mit dem Auftrag des BSI, für Sicherheit in der Informationstechnik zu sorgen. Zur Erfüllung der Aufgaben der genannten Behörden, haben diese ein Interesse daran, auf IT-Systeme zugreifen zu können, Überwachungsmaßnahmen durchzuführen und für diesen Zweck IT-Sicherheitslücken auszunutzen. Das BMI ist rechtlich in der Lage, das Schließen von Schwachstellen, die dem BSI als „nationale Cybersicherheitsbehörde“ gemeldet werden, durch eine Weisung zu unterbinden und die Schwachstelle ebendiesen Strafverfolgungsbehörden zur Nutzung zu übergeben. Wie Dr. Sven Herpig schreibt, könnte die Folge davon sein, dass „[…]der Informationsfluss [von IT-Sicherheitsforscher*innen an das BSI] abnehmen oder sogar versiegen [würde]. “

In der Kurzanalyse gibt die „Stiftung Neue Verantwortung“ konkrete Beispiele für konkrete Möglichkeiten der Reorganisierung des BSI: Neben einem Ressortwechsel in ein anderes Bundesministerium oder der Reduzierung der Aufsichtsfunktion auf die ausschließliche Rechtsaufsicht werden auch Möglichkeiten aufgezeigt, die eine noch weitergehende Unabhängigkeit des BSI beschreiben; u.a. der Einstufung des BSI als oberste Bundesbehörde oder der Installation des BSI als Informationssicherheitsbeauftragter des Bundes. Das Beleuchten der Vor- und Nachteile der verschiedenen Formen übersteigt den Umfang dieses Artikels, wir verweisen hier auf den lesenswerten Aufsatz von Dr. Sven Herpig.

Vielen Dank an Dr. Sven Herpig von der „Stiftung Neue Verantwortung“ für diese detaillierte Analyse.

Verantwortungsdiffusion und Zuständigkeitschaos der staatlichen Cybersicherheitsarchitektur

 

Auch aus unserer Sicht eine spannende Frage, also haben wir dazu einen kleinen Thread geposted.

Wir befinden uns immer noch in einer Situation, wo sich die einzelnen Institutionen im Wesentlichen durch #Koexistenz statt #Kooperation auszeichnen. 1/6 
Software, Hardware und Know-How wird individuell beschafft und sorgt für eine suboptimale Nutzung – leider auch nicht zum Schutz unserer Kritischen Infrastrukturen. 2/6 
Das #NCAZ, das im #Krisenfall die Reaktion der #Behörden koordinieren soll, hat unklare geregelte Zuständigkeiten, da die Entscheidung, wer zuständig ist, von korrekter #Attribution ausgeht. 3/6 
Ein unabhängiges @BSI_Bund könnte hier übergreifende Prozesse schaffen, so könnte das #BSI als zentraler und defensiver Ankerpunkt die wesentliche koordinierende Rolle als Drehscheibe einnehmen und die Verantwortungsdiffusion zu großen Teilen auflösen. 4/6 
Solange sich einzelne #Behörden nicht austauschen und nur mäßig funktionierende gemeinsame Lagezentren vorhanden sind, die einen trägen Informationsaustausch pflegen, bezeichnen wir das als „chaotisch“. 5/6 
Andere Länder sind hier bereits weiter. Wir fordern – rein defensive – gemeinsame Lagezentren von #Staat#Wirtschaft und #Forschung6/6