Beiträge

BVG-Interpretation der BSI-Kritisverordnung schlicht falsch

Die Interpretation der Berliner Verkehrsbetriebe, dass die BSI-Kritisverordnung für sie nicht gelte, ist aus unserer Sicht schlicht falsch. Wir sind der Meinung, dass die BVG zweifelsfrei die Schwellenwerte der BSI-Kritisverordnung überschreitet.

Die BVG versteht die Formulierung „Anzahl Fahrgäste/Jahr“ in der BSI-Kritisverordnung als „Individuen pro Jahr“ und behauptete gegenüber dem Tagesspiegel, dass sie „lediglich“ 30 Millionen Individuen als Fahrgäste hat. Gleichzeitig wirbt die BVG aber auf der eigenen Website laut Tagesspiegel mit über 1 Milliarde Fahrgästen pro Jahr. Die BSI-Kritisverordnung legt fest, das ein ÖPNV-Betreiber ab 125 Mio Fahrgäste pro Jahr als kritische Infrastruktur gilt.

Selbst wenn die BVG nicht unter die BSI-Kritisverordnung fallen würde, so sollte sie trotzdem – im Sinne der Versorgungssicherheit – die Mindestvorgaben für kritische Infrastrukturen erfüllen und ihre Infrastruktur regelmäßig unabhängig prüfen lassen.

Die laufende gerichtliche Überprüfung, ob die BVG unter die BSI-Kritisverordnung fällt, kann jedenfalls nicht als Grund herangezogen werden, die KRITIS-Maßnahmen nicht trotzdem zu ergreifen.

Von einem öffentlich-rechtlichen Unternehmen wie der BVG müssen wir erwarten können, dass es unmittelbar und auch ohne gesetzliche Pflicht alle zumutbaren und sinnvollen Maßnahmen umsetzt, welche die Versorgungs- und Betriebssicherheit weiter erhöhen. Alles andere wäre aus unserer Sicht fahrlässig.

Selbst wenn es nicht zu einem Ausfall des Berliner ÖPNV kommt wäre es wahrscheinlich, dass die drohenden Bußgelder am Ende über erhöhte Fahrpreise auf die Fahrgäste umgelegt werden müssten. Des Weiteren ist bereits absehbar, dass der Bußgeldrahmen sich durch das kommende IT-Sicherheitsgesetz 2.0 deutlich vervielfachen wird.

Die BVG sollte daher im Sinne der Berliner Bürger unter der Annahme handeln, dass Sie als größter Verkehrsbetrieb unter die BSI-Kritisverordnung fällt.

Das Bundesministerium des Inneren für Bau und Heimat ist parallel dazu weiterhin gesetzlich verpflichtet, die Umsetzung der BSI-Kritisverordnung zu evaluieren. Im Rahmen einer solchen Evaluierung könnte das BMI auch Einsichten in die kreativen Interpretationsweisen der BSI-Kritisverordnung berücksichtigen, um ähnliche Fälle zukünftig zu vermeiden. Wir fordern daher weiterhin, dass das BMI seinen gesetzlichen Pflichten nachkommt und die fehlenden Evaluierungen durchführt.

 

 

Unsere Forderung zur Evaluierung durch das BMI:

IT-Sicherheitsgesetz 2.0 – vierter Entwurf: Jetzt vom BMI nur noch 24h Zeit zur Kommentierung

Das BMI hat eine neue Version des IT-Sicherheitsgesetz 2.0 an die Verbände zirkuliert – diesmal von heute morgen (09.12.2020), exportiert um 10:15 Uhr. Laut mehreren Tweets soll die Frist für die Beteiligung nur noch bis morgen um 14:00 laufen – also etwas über 24h.

Vor dem Hintergrund der Montag veröffentlichten „Berlin Declaration“ des BMI, in der es heißt:

„a commitment to the vital role of public administration in digital transformation based on fundamental democratic values, ethical principles and active involvement of civil society by EU member states“

ist diese Frist ein Schlag ins Gesicht der Zivilgesellschaft. Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird. Gerade in der für die meisten Menschen stressigen Vorweihnachtszeit für die Bewertung der umfassenden Änderungen nur 24 Stunden Zeit zu lassen, zeigt allen denjenigen, die sich dienstlich oder ehrenamtlich für eine Verbesserung der IT-Sicherheit einsetzen, dass ihre Meinung, Bewertung und demokratische Teilhabe unerwünscht ist.

Die AG KRITIS stellt hierzu fest: Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!

Auch bei der Veröffentlichung des dritten Entwurfs gab es zuerst nur 2,5 Werktage Zeit für die Bewertung – nach einem Aufschrei auf Twitter hat das BMI dann kommentarlos die Frist auf 5 Werktage geändert und später von einem redaktionellen Fehler gesprochen – ob eine kommentarlose Fristverlängerung jetzt auch passieren wird, bleibt abzuwarten.

Die kurze Frist legt nahe, das trotz durchgängig kritischer Stimmen durch alle Bundesverbände und Interessensvertretungen hinweg, das IT-Sicherheitsgesetz 2.0 noch unbedingt am 16. Dezember durch das Kabinett beschlossen werden soll.

Wir konnten bestätigen, dass die in diesem Tweet verlinkte Version des IT-SiG2-RefE4 der heute morgen veröffentlichten entspricht:

Hier wird die dritte und die vierte Version des IT-Sig2.0 verglichen: https://draftable.com/compare/lupgBxkcRtAd  

Netzpolitik.org zum IT-SiG 2.0 und unserer Kommentierung

Nachdem wir unsere Stellungnahme zum #ITSIG20 veröffentlicht haben, hat Netzpolitik.org diese aufgegriffen und titelt treffend:

Innenministerium setzt zum voreiligen Endspurt an

Dabei werden nicht nur Meinungen der AG KRITIS aufgenommen, sondern auch von anderen Experten, wie Dennis-Kenji Kiper, berücksichtigt. Man kommt auch hier zum eindeutigen Ergebnis:

Fast zwei Jahre hat das Bundesinnenministerium am zweiten IT-Sicherheitsgesetz gearbeitet, nun soll es schnell gehen. Zu schnell, kritisieren IT-Sicherheitsexperten und Rechtswissenschaftler, denn es gibt noch viel Kritik. Expert:innen verlangen eine Notbremsung beim IT-Sicherheitsgesetz 2.0.

Den vollständigen Artikel findet Ihr hier:

 

Heise berichtet: IT-SIG-20 – Experten fordern „Notbremse“

 

Nachdem wir gestern unsere Stellungnahme zum #ITSIG20 veröffentlicht haben, hat Heise-Online diese aufgegriffen und wichtige Punkte noch einmal in einem längeren Beitrag dargestellt und nochmal unsere Kritik der Abkehr von evidenzbasiertem Vorgehen herausgestellt:

Darüber hinaus kritisieren die Experten, dass die im geltenden IT-Sicherheitsgesetz vorgesehene Evaluierung des Gesetzes unter Einbezug eines wissenschaftlichen Sachverständigen noch nicht passiert sei. Diese Überprüfung der Wirksamkeit der im ersten IT-Sicherheitsgesetz getroffenen Maßnahmen sei aber wichtig, „bevor eine Kompetenz- und Anforderungsausweitung mit dem neuen IT-SiG 2.0 vorgenommen wird“. Stattdessen werde „die Pflicht zur regelmäßigen Evaluierung mit diesem Entwurf vollständig entfernt“.

Den vollständigen Artikel findet Ihr hier:

 

 

Neue Version des IT-Sicherheitsgesetz 2.0 aufgetaucht!

Eine neue Version des IT-Sicherheitsgesetz ist aufgetaucht – jetzt geht es an die Analyse! Wie viele andere Organisationen machen wir das im Ehrenamt – wenn ihr also wichtige Hinweise auf Passagen für uns habt, von denen ihr denkt, dass wir uns diese genauer anschauen sollten, so freuen wir uns über einen Hinweis per E-Mail oder auf Twitter.

 

Lebensraum Wasser – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Aufgrund eines Artikels vom Tagesspiegel wegen wesentlicher IT Sicherheitsmängel bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog Lebensraum Wasser einen Beitrag über die Wasserwirtschaft veröffentlicht. Darin wurden unsere Evaluierungsforderungen und Teile des Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio berücksichtigt.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

BASECAMP hat sich zum aktuellen Entwurf für das IT-Sicherheitsgesetz 2.0 geäußert und dabei auch mehrere unserer wesentlichen Kritikpunkte mit aufgegriffen.

Ein zweiter Kritikpunkt der AG KRITIS richtet sich gegen “die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Angriffen auf IT-Systeme”. Den Änderungsplänen zu § 109a TKG zufolge sollen Datenverluste an das Bundeskriminalamt (BKA) gemeldet werden. Diese Meldung sollte stattdessen an das NCAZ erfolgen, fordert die AG KRITIS.

Dern vollständigen Artikel bei BASECAMP findet ihr hier:

Unseren Blogpost zu diesem Thema findet ihr hier:

Kommentierung der Stiftung Neue Verantwortung des IT-SiG2

Die Stiftung Neue Verantwortung hat, ebenso wie wir, eine Kommentierung des vorgeschlagenen IT-Sicherheitsgesetz 2.0 erstellt. In dieser Kommentierung wird das von uns entworfene Konzept eines Cyberhilfswerks empfohlen. Dafür möchten wir uns bedanken!

Empfehlung: Ein Ausbau der MIRTs ist zu unterstützen, da für diese eine breite Fachexpertise – zum Beispiel für die unterschiedlichen Systeme Kritischer Infrastrukturen – bereitgehalten werden muss. Der genannte Ausbau der Teams wäre eine effiziente Investition der im Entwurf insgesamt vorgesehenen Personalressourcen. […] Zudem sollte eine Einbettung des Konzepts des Cyber-Hilfswerks in diesen Plan geprüft werden.

Der lesenswerte Volltext der Kommentierung zum IT-SiG2 ist auf der Website der Stiftung Neue Verantwortung zu finden.

 

DLF-Radio: Kritik am Entwurf zum IT-Sicherheitsgesetz 2.0

Bei Deutschlandfunk – Computer und Kommunikation hat unserer Mitglied @HonkHase über den aktuellen Entwurf zum IT-Sicherheitsgesetz 2.0.

Solche Sorgen könnten durch ein vom Ministerium unabhängiges Bundesamt für die Sicherheit in der Informationstechnik ausgeräumt werden. Diese Unabhängigkeit für das BSI ist auch von vielen Sicherheitsexperten und IT-Fachleuten gefordert worden. Im Gesetzesentwurf wurden solche Forderungen und Anregungen aber nicht berücksichtigt. Manuel Atug:

„Leider wurde aber die essentiell fachliche Unabhängigkeit des BSI nicht in Paragraph 1 BSI Gesetz vorgesehen. Beispielsweise könnte man sich da in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am Statistischen Bundesamt orientieren.“

Der vollständige Beitrag im DLF mit @HonkHase findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

Süddeutsche Zeitung – Union streitet über möglichen Freibrief für Huawei

Die Süddeutsche Zeitung berichtete über die „Lex Huawei“ mit einer Einschätzung von unserem Mitglied @ijonberlin in Bezug auf den Zertifizierungsprozess und die Vorgaben für die Garantieerklärung.

IT-Sicherheitsexperten, die sich seit Jahren mit Zertifizierungsprozessen befassen, halten die Vorgaben für die Garantieerklärung für deutlich zu weit gefasst: „Die notwendigen Zusagen und Erklärungen kann kein Anbieter seriös abgeben, da alle Anbieter, egal welcher Herkunft, Schnittstellen für Ermittlungsbehörden anbieten, die von Geheimdiensten auch für Spionage-Zwecke missbraucht werden könnten“, sagt Johannes Rundfeldt, Co-Leiter der @AG_KRITIS, einer ehrenamtlichen Initiative von Experten für Kritische Infrastruktur.

Der vollständige Artikel der Süddeutschen Zeitung findet sich hier: