Beiträge

Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021

Am 26. April 2021 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (KritisV) veröffentlicht. Insgesamt werden durch die darin enthaltenen Änderungen über alle KRITIS Sektoren hinweg ca. 270 zusätzliche KRITIS Betreiber erwartet, was eine umfangreiche Ausweitung der registrierten KRITIS Betreiber darstellt. Adressiert werden dadurch im Wesentlichen die folgenden Sektoren:

  • Energie: ~170 (insbesondere Stromerzeugung)
  • IT und TK: ~10 (insbesondere IXP & Rechenzentren)
  • Finanz- und Versicherungswesen: ~20 (insbesondere Wertpapier- & Derivathandel)
  • Transport und Verkehr: ~70 (insbesondere intelligente Verkehrssystem)

Evaluierung? Weiterhin unvollständig, halbherzig, intransparent und nicht öffentlich!

Angeblich hat inzwischen eine Evaluierung der KritisV stattgefunden, deren Erkenntnisse in dem Entwurf Berücksichtigung finden. Allerdings gibt es keinerlei Informationen zu Umfang, Methodik und Ergebnissen dieser Evaluierung, ganz zu schweigen von einem Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden. Nur eine Veröffentlichung der KritisV Evaluierungen schafft die notwendige Transparenz, um eine objektive Beurteilung der KritisV zu gewährleisten.

So wurden offensichtliche Fragestellungen, wie Auswirkungen durch sektorübergreifende KRITIS Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen, nicht analysiert. Im Ergebnis werden z.B. Ver- und Entsorgungsbetriebe von Städten wie Bielefeld, Bonn, Münster, Karlsruhe, Mannheim, Augsburg, Wiesbaden, Braunschweig oder Aachen mit ihrer Einwohneranzahl weiterhin nicht zu kritischen Infrastrukturen gezählt.

Es wirkt eher, als habe das BMI das Feedback der Aufsichtsbehörden und des BSI eingesammelt und in ein Update einfließen lassen. Von einer Evaluierung ist weiterhin weit und breit keine Spur.

Allgemeine Änderungen

Unter Anlagen werden jetzt auch explizit „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Diese waren allerdings bereits zuvor relevant und wurden nur der Vollständigkeit halber ergänzt.

Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Denn eine Störung oder der Ausfall einer Anlage zieht mit hoher Wahrscheinlichkeit alle anderen Anlagen mit, so dass diese auch wie eine große Anlage zu sehen sind.

Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.

Details in den Sektoren

Sektor Energie

  • Stromerzeugungsanlagen sind im Schwellenwert von 420 MW auf 36 MW reduziert worden, somit werden weitere kleinere Anlagen aufgenommen. Mit dieser signifikanten Änderung des Schwellwerts wird einer Empfehlung der Bundesnetzagentur gefolgt.
  • Schwellwerte für zentrale Anlagen und Systeme für den Stromhandel wurden von 200 TWh/Jahr auf 3.700 TWh/Jahr angehoben. Dabei sind gleichzeitig aber Einschränkungen auf den „physischen kurzfristigen Spothandel im deutschen Markt“ entfallen. Laut Referentenentwurf wurden in diesem Bereich bisher keine KRITIS-Betreiber verzeichnet. Somit besteht hier wohl das Bestreben, weitere KRITIS-Betreiber zu erfassen.
  • Messstellen wurden als Kategorie ersatzlos gestrichen, da sie sich laut Evaluierung als nicht erforderlich herausgestellt haben. Eine weitere Begründung ist nicht ersichtlich.

Sektor Wasser

  • Stauanlagen wurden hinzugefügt.

Sektor Ernährung

  • Fuhrpark-, Hof- und Flottenmanagementsysteme wurden hinzugefügt.
  • ERP-, Warenwirtschaft und Lagerveraltungssysteme sowie EDI- Dispositionssysteme, Lieferanten- und Kundenstammdatensysteme finden beispielhafte Erwähnung als Konkretisierung.
  • Alkopops sind jetzt KRITIS, da Getränke mit einem Alkoholgehalt von bis zu 1,2 Volumenprozent in die Definition fallen.

Sektor IT und TK

  • Registrierungsstellen für Top-Level-Domains fallen jetzt explizit in die Definition, obwohl DNS-Server bereits in die Anlagenkategorie „DNS-Server“ fallen.
  • Der Schwellenwert für Internet Exchange Points (IXP) wurde von 300 auf 100 angeschlossene autonome Systeme herabgesetzt und die Beschreibung konkretisiert.
  • Der Schwellwert von Housing-Rechenzentren wurde von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung reduziert.

Sektor Gesundheit

  • Wareneingang, Lagerung und Warenausgang finden beispielhafte Erwähnung als Konkretisierung.
  • Im Laborinformationsverbund finden die Steuerung des Probentransports, die Kommunikation zum Auftragseingang und zur Befundübermittlung sowie der Betrieb eines Laborinformationssystems beispielhafte Erwähnung als Konkretisierung. Hier scheinen die Praxiserfahrungen der Pandemie-Situation eingeflossen zu sein.

Sektor Finanz- und Versicherungswesen

  • Lastschriften oder Zahlungsaufträge finden beispielhafte Erwähnung als Konkretisierung.
  • Das Erzeugen und Weiterleiten von Aufträgen zum Handel von Wertpapieren und Derivaten an einen Handelsplatz, der Handelsplatz selbst und sonstige Depotführungssysteme sind neu hinzugefügt worden.
  • „Ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsbezogenen Transferleistungen nach SGB II“ wurde hinzugefügt.

Sektor Transport und Verkehr

  • Es wurden die Flugsicherung und Luftverkehrskontrolle und das Flughafenleitungsorgan hinzugefügt.
  • Bei der Leitzentrale der Eisenbahn findet die Disposition von Personal und die Disposition des Wartungsbetriebs Erwähnung.
  • In der Seeschifffahrt findet die Disposition des Schiffsraums und die Leitzentrale der Binnenschifffahrt (nur Güterverkehr) als Konkretisierung Erwähnung. Neu hinzugekommen sind Umschlaganlagen in See- und Binnenhäfen, Hafenleitungsorgane (nur Güterverkehr) sowie Anlagen oder Systeme zur Abwicklung, Koordination, Steuerung und Verwaltung des übergreifenden Hafenbetriebs.
  • In Verkehrssteuerungs- und Leitsystemen finden Bundesautobahnen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und Informationssicherheit im Straßenbau Erwähnung.
  • Im kommunalen Straßenverkehr wurden Intelligente Verkehrssysteme hinzugefügt. Ebenfalls hinzu kommen Leitzentralen des ÖSPV, Anlagen oder Systeme zur Erbringung operativer Logistikleistungen und IT-Systeme zur Logistiksteuerung oder -verwaltung. Eine weitere Änderung wurde mutmaßlich durch die Berliner Verkehrsbetriebe (BVG) verursacht und ändert die Bemessungsgröße im ÖPNV von „Anzahl Fahrgäste/Jahr“ zu „Anzahl unternehmensbezogener Fahrgastfahren/Jahr“.
  • Auch neu hinzugekommen sind Bodenstationen eines europäischen Satellitennavigationssystems.
  • Es wurde konkretisiert, dass es sich um den deutschen Teil des Kernnetzes bei Schienennetzen und Stellwerken der Eisenbahn handelt.

Fazit

Wir begrüßen, dass einige Schwellenwerte herabgesetzt wurden und dadurch weitere Betreiber unter die BSI-Kritisverordnung fallen und durchaus einen großen Beitrag zur Versorgungssicherheit in Deutschland leisten. Zudem dürften die Konkretisierungen und ergänzenden Beispiele in den jeweiligen Sektoren insbesondere für die Betreiber eine Hilfe sein, wenn es um die Identifikation ihrer kritischen Anlagen und Dienstleistungen für die Versorgung Deutschlands geht.

Auf der anderen Seite ist das pauschale Festhalten an dem Regelschwellenwert von 500.000 Personen für uns weiterhin unverständlich, da somit weiterhin nicht einmal viele der deutschen Großstädte Berücksichtigung finden, z. B. im Bereich der Wasserversorgung. Wir fordern daher weiterhin, die Schwellenwerte öffentlich zu diskutieren und wissenschaftlich zu evaluieren. Dabei sind auch sektorübergreifende Kaskedeneffekte zu berücksichtigen.

Hier findet ihr die politischen Forderungen der AG KRITIS.

BVG-Interpretation der BSI-Kritisverordnung schlicht falsch

Die Interpretation der Berliner Verkehrsbetriebe, dass die BSI-Kritisverordnung für sie nicht gelte, ist aus unserer Sicht schlicht falsch. Wir sind der Meinung, dass die BVG zweifelsfrei die Schwellenwerte der BSI-Kritisverordnung überschreitet.

Die BVG versteht die Formulierung „Anzahl Fahrgäste/Jahr“ in der BSI-Kritisverordnung als „Individuen pro Jahr“ und behauptete gegenüber dem Tagesspiegel, dass sie „lediglich“ 30 Millionen Individuen als Fahrgäste hat. Gleichzeitig wirbt die BVG aber auf der eigenen Website laut Tagesspiegel mit über 1 Milliarde Fahrgästen pro Jahr. Die BSI-Kritisverordnung legt fest, das ein ÖPNV-Betreiber ab 125 Mio Fahrgäste pro Jahr als kritische Infrastruktur gilt.

Selbst wenn die BVG nicht unter die BSI-Kritisverordnung fallen würde, so sollte sie trotzdem – im Sinne der Versorgungssicherheit – die Mindestvorgaben für kritische Infrastrukturen erfüllen und ihre Infrastruktur regelmäßig unabhängig prüfen lassen.

Die laufende gerichtliche Überprüfung, ob die BVG unter die BSI-Kritisverordnung fällt, kann jedenfalls nicht als Grund herangezogen werden, die KRITIS-Maßnahmen nicht trotzdem zu ergreifen.

Von einem öffentlich-rechtlichen Unternehmen wie der BVG müssen wir erwarten können, dass es unmittelbar und auch ohne gesetzliche Pflicht alle zumutbaren und sinnvollen Maßnahmen umsetzt, welche die Versorgungs- und Betriebssicherheit weiter erhöhen. Alles andere wäre aus unserer Sicht fahrlässig.

Selbst wenn es nicht zu einem Ausfall des Berliner ÖPNV kommt wäre es wahrscheinlich, dass die drohenden Bußgelder am Ende über erhöhte Fahrpreise auf die Fahrgäste umgelegt werden müssten. Des Weiteren ist bereits absehbar, dass der Bußgeldrahmen sich durch das kommende IT-Sicherheitsgesetz 2.0 deutlich vervielfachen wird.

Die BVG sollte daher im Sinne der Berliner Bürger unter der Annahme handeln, dass Sie als größter Verkehrsbetrieb unter die BSI-Kritisverordnung fällt.

Das Bundesministerium des Inneren für Bau und Heimat ist parallel dazu weiterhin gesetzlich verpflichtet, die Umsetzung der BSI-Kritisverordnung zu evaluieren. Im Rahmen einer solchen Evaluierung könnte das BMI auch Einsichten in die kreativen Interpretationsweisen der BSI-Kritisverordnung berücksichtigen, um ähnliche Fälle zukünftig zu vermeiden. Wir fordern daher weiterhin, dass das BMI seinen gesetzlichen Pflichten nachkommt und die fehlenden Evaluierungen durchführt.

 

 

Unsere Forderung zur Evaluierung durch das BMI:

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier:

Blog der Republik – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Anlässlich eines Artikels vom Tagesspiegel zu wesentlichen IT Sicherheitsmängeln bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog der Republik einen Beitrag über den Sachstand in der Wasserwirtschaft gebracht. Darin sind auch unsere Evaluierungsforderungen und Teile eines Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio mit eingeflossen.

Auch die AG KRITIS, eine aus 40 IT-/Sicherheits-ExpertInnen bestehende verbandsfreie Arbeitsgruppe, erhebt starke Kritik an der Rahmensetzung durch die Bundesregierung. Die Experten schreiben „Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben. Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.“

Lebensraum Wasser – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Aufgrund eines Artikels vom Tagesspiegel wegen wesentlicher IT Sicherheitsmängel bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog Lebensraum Wasser einen Beitrag über die Wasserwirtschaft veröffentlicht. Darin wurden unsere Evaluierungsforderungen und Teile des Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio berücksichtigt.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Unsere Mitglieder einfachnurmark und TheC haben diese Einschätzung aus Sicht der AG KRITIS vorgenommen.

Die Bevölkerung erhält über Versorgungsunternehmen kritischen Dienstleistungen wie z. B. Energie, Wasser oder Gesundheitsversorgung.

Überschreiten diese Versorgungsunternehmen den in der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (KritisV) vorgegebenen Regelschwellenwert von aktuell 500.000 versorgten Personen, sind sie Betreiber einer kritischen Infrastruktur (KRITIS) im Sinne des BSI-Gesetzes (BSIG). Dadurch werden sie zur Umsetzung und Einhaltung von im BSIG geforderten Maßnahmen zum Schutz Ihrer Produktionsumgebungen verpflichtet.

Der Berliner Tagesspiegel berichtete erneut über unzureichend geschützte Wasserbetriebe:

Dabei wirft der Tagesspiegel auch die Frage auf, ob die Schwellenwerte noch zeitgemäß sind oder einer Evaluierung bedürfen. Auf diese Fragestellung gehen wir hier näher ein.

Nehmen wir beispielsweise die Größe von Städten in Deutschland als Maßstab, überschreiten in Deutschland nur 14 von 81 Großstädten den Schwellenwert von 500.000 Einwohnern. Dies sind bei insgesamt mehr als 2.000 Städten lediglich ca. 20% aller Einwohner. Der Überwiegende Anteil aller Bürger wird also von Unternehmen versorgt, die nicht verpflichtet sind, ihre Systeme und IT-Infrastruktur entsprechend der Anforderungen für KRITIS-Betreiber abzusichern.

Evaluierung längst überfällig

Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben.

Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Statt also die gesetzlich vorgeschriebene Evaluierungen vorzunehmen und damit einhergehend auch eine Berücksichtigung von Kaskadeneffekten zu analysieren, drückt das BMI lieber eine zweite Version des IT-Sicherheitsgesetzes durch, ohne die erste Version evaluiert zu haben.

Auch Mario Brandenburg MdB, der technologiepolitische Sprecher der Fraktion der Freien Demokraten im Deutschen Bundestag veröffentlichte ein entsprechendes Statement dazu.

Die AG KRITIS fordert daher das BMI auf, die gesetzlich vorgegebene Evaluierung der KritisV umgehend – und damit vor allem noch vor Verabschiedung des IT-Sicherheitsgesetz 2.0 – vorzunehmen, um den Gesetzesbruch abzustellen. Damit einhergehend ist die offensichtlich benötigte Senkung der Schwellwerte in Bezug auf effektiven Bevölkerungsschutz zu realisieren. Nur so kann die Versorgungssicherheit der Bürger in Deutschland gewährleistet werden. Selbstverständlich fordern wir auch, dass das BMI die Evaluierung unter Einbeziehung der in diesem Bereich aktiven Interessensvertretungen aus Wirtschaft und Zivilgesellschaft durchführt und das Ergebnis im Sinne einer lebendigen Demokratie veröffentlicht.