Beiträge

Was ist KRITIS im Staat? – Forderungen zum Sektor Staat und Verwaltung

Wir fordern die Bundesregierung und alle Landesregierungen auf, für den Sektor „Staat und Verwaltung“ verbindliche und harmonisierte Regelungen für kritische Infrastrukturen im Sektor Staat und Verwaltung zu schaffen, welche auch bis auf die Ebene der kommunalen Verwaltungen gelten. Hier sollten sich die Landes- und Bundesregierung an den Regelungen in der BSI-Kritisverordnung orientieren. Des Weiteren müssen sie Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen.

Bedauerlicherweise ist es weiterhin so, dass es KRITIS-Regelungen zwar für Unternehmen gibt, jedoch nicht im Sektor „Staat und Verwaltung“. Rein staatlich betriebene Infrastrukturen gelten daher bisher nicht als KRITIS.

BetreiberInnen kritischer Anlagen aus den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, und solche, die für diese Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen, sollten Cybersicherheit nach NIS2 und physische Sicherheit nach Kritis-Dachgesetz umsetzen müssen.

Selbstverständlich steht die AG KRITIS als unabhängige Interessengemeinschaft hierfür auf Wunsch beratend zur Verfügung.

Gesetzliche Regelungen zur technischen und organisatiorischen Umsetzung des Stand der Technik, die vom Staat für privatwirtschaftliche KRITIS-BetreiberInnen als zumutbar, verhältnismäßig und angemessen angesehen werden, sollten den Mindeststandard für den Staat selbst darstellen. Die dringend zu schaffenden Vorgaben im Sektor „Staat und Verwaltung“ sollten über den Mindeststandard hinaus gehen, denn bei privaten BetreiberInnen kann der Staat die Einhaltung der Gesetze mittels Sanktionen erzwingen – bei Behörden ist das so nicht möglich.

So kann, auch im Fall einer mangelhaften Umsetzung, ohne Sanktionsmöglichkeiten der erreichte Stand über dem Standard liegen, der bei privatwirtschaftlichen BetreiberInnen per Sanktionierung erzwungen werden kann. Dies muss das Mindestziel sein.

Der Aufbau eines ISMS (lnformationssicherheitsmanagementsystem, bspw. nach BSI IT-Grundschutz oder ISO 27001) , sowie der Aufbau eines BCM (Business Continuity Management, bspw. nach BSI Standard 200-4 oder ISO 22301) sind für privatwirtschaftliche KRITIS-BetreiberInnen gesetzlich verpflichtend. Dies sollte gleichermaßen auch für kritische Dienstleistungen gelten, die durch staatliche Akteure erbracht werden.

Aus unserer Sicht ist es unerträglich, dass der Staat gegenüber der Wirtschaft es für zumutbar und verhältnismäßig hält, diese zur Umsetzung des Stand der Technik zu verpflichten, ein vergleichbares Sicherheitsniveau zum Nachteil der BürgerInnen in der eigenen Infrastruktur jedoch nicht durchsetzt. Dies ist aufgrund fehlender rechtlicher Bindung staatlicher Akteure an die geltenden KRITIS-Regularien der Fall. Darüber hinaus sehen wir im föderalen System aktuell keinen Willen, nicht gesetzeskonformes Verhalten staatlicher Akteure bei bereits bestehenden Regulierungen (beispielsweise im Kontext Datenschutz) im erforderlichen Maße zu sanktionieren.

Aufgrund der hervorgehobenen Position der kritischen Dienstleistungen im Sektor Staat und Verwaltung und der zumeist gegebenen Unmöglichkeit einer Ersatzversorgung, halten wir eine wissenschaftliche Betrachtung und Analyse von Kaskadeneffekten für unumgänglich, deren Ergebnis eine Anpassung der Sektoren, Schwellwerte, Anlagen- und Anlagenkategorien auf Basis der tatsächlich erbringbaren Ersatzversorgungsleistung sein sollte.

Ein Regelungszweck des KRITIS-Dachgesetzes soll die klare Identifizierung von Kritischen Infrastrukturen sein. Hierfür ist der Vorschlag der AG KRITIS, sich von der bisherigen Systematik der Schwellwerte zu verabschieden: Aus Sicht der Bevölkerung ist entscheidend, dass eine Versorgung mit den kritischen Dienstleistungen stattfindet (bspw. Trinkwasserversorgung, Stromversorgung, stationäre medizinische Versorgung, Kraftstoff- und Heizölversorgung, Sprach- und Datenübertragung, Bargeldversorgung, Siedlungsabfallentsorgung, usw., vgl. BSI-Kritisverordnung).

Dabei ist unerheblich, wie viele andere Menschen durch die gleiche physische Infrastruktur noch versorgt werden. Insbesondere für die Bereitstellung von leitungs- oder netzgebundenen Diensten können also grundsätzlich keine Schwellwerte gelten, wenn diese eine monopolistische Stellung bspw. durch Betrieb der Leitungs- oder Netzinfrastruktur genießen. Vor diesem Hintergrund muss dann bewertet und entschieden werden, ob bei Ausfall der Infrastruktur in einer Krise eine Ersatzversorgung sicher erbracht werden kann. Ist dies nicht möglich, muss die betrachtete Anlage zur Erbringung der kritischen Dienstleistung als KRITIS gelten.

Auch für den Sektor Staat und Verwaltung kann die Frage der Anzahl der Menschen, die Dienstleistungen in einer Verwaltungseinheit (Kommune, Land, Bund) nutzen, nicht dafür entscheidend sein, ob diese Dienstleistung als kritische Infrastruktur zu gelten hat. Von wesentlich höherer Bedeutung ist die Fragestellung, ob die Aufrechterhaltung dieser Dienstleistung als Daseinsvorsorge für den Erhalt der menschlichen Gesundheit, für den Schutz menschlichen Lebens oder auch für die wirtschaftliche Existenz kurz- und mittelfristig Relevanz hat. So ist die Auszahlung von Sozialleistungen oder der Betrieb von gesundheitlichen Dienstleistungen von höherer Relevanz als beispielsweise die Anmeldung eines Kraftfahrzeuges. Insbesondere auf Ebene der Kommunen hilft Standardisierung und interkommunale Zusammenarbeit, den Druck zur Erbringung kritischer Dienstleistungen von einzelnen Verwaltungen zu nehmen.

Photo by Miguel Á. Padriñán