Beiträge

Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021

/in /von

Am 26. April 2021 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (KritisV) veröffentlicht. Insgesamt werden durch die darin enthaltenen Änderungen über alle KRITIS Sektoren hinweg ca. 270 zusätzliche KRITIS Betreiber erwartet, was eine umfangreiche Ausweitung der registrierten KRITIS Betreiber darstellt. Adressiert werden dadurch im Wesentlichen die folgenden Sektoren:

  • Energie: ~170 (insbesondere Stromerzeugung)
  • IT und TK: ~10 (insbesondere IXP & Rechenzentren)
  • Finanz- und Versicherungswesen: ~20 (insbesondere Wertpapier- & Derivathandel)
  • Transport und Verkehr: ~70 (insbesondere intelligente Verkehrssystem)

Evaluierung? Weiterhin unvollständig, halbherzig, intransparent und nicht öffentlich!

Angeblich hat inzwischen eine Evaluierung der KritisV stattgefunden, deren Erkenntnisse in dem Entwurf Berücksichtigung finden. Allerdings gibt es keinerlei Informationen zu Umfang, Methodik und Ergebnissen dieser Evaluierung, ganz zu schweigen von einem Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden. Nur eine Veröffentlichung der KritisV Evaluierungen schafft die notwendige Transparenz, um eine objektive Beurteilung der KritisV zu gewährleisten.

So wurden offensichtliche Fragestellungen, wie Auswirkungen durch sektorübergreifende KRITIS Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen, nicht analysiert. Im Ergebnis werden z.B. Ver- und Entsorgungsbetriebe von Städten wie Bielefeld, Bonn, Münster, Karlsruhe, Mannheim, Augsburg, Wiesbaden, Braunschweig oder Aachen mit ihrer Einwohneranzahl weiterhin nicht zu kritischen Infrastrukturen gezählt.

Es wirkt eher, als habe das BMI das Feedback der Aufsichtsbehörden und des BSI eingesammelt und in ein Update einfließen lassen. Von einer Evaluierung ist weiterhin weit und breit keine Spur.

Allgemeine Änderungen

Unter Anlagen werden jetzt auch explizit „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Diese waren allerdings bereits zuvor relevant und wurden nur der Vollständigkeit halber ergänzt.

Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Denn eine Störung oder der Ausfall einer Anlage zieht mit hoher Wahrscheinlichkeit alle anderen Anlagen mit, so dass diese auch wie eine große Anlage zu sehen sind.

Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.

Details in den Sektoren

Sektor Energie

  • Stromerzeugungsanlagen sind im Schwellenwert von 420 MW auf 36 MW reduziert worden, somit werden weitere kleinere Anlagen aufgenommen. Mit dieser signifikanten Änderung des Schwellwerts wird einer Empfehlung der Bundesnetzagentur gefolgt.
  • Schwellwerte für zentrale Anlagen und Systeme für den Stromhandel wurden von 200 TWh/Jahr auf 3.700 TWh/Jahr angehoben. Dabei sind gleichzeitig aber Einschränkungen auf den „physischen kurzfristigen Spothandel im deutschen Markt“ entfallen. Laut Referentenentwurf wurden in diesem Bereich bisher keine KRITIS-Betreiber verzeichnet. Somit besteht hier wohl das Bestreben, weitere KRITIS-Betreiber zu erfassen.
  • Messstellen wurden als Kategorie ersatzlos gestrichen, da sie sich laut Evaluierung als nicht erforderlich herausgestellt haben. Eine weitere Begründung ist nicht ersichtlich.

Sektor Wasser

  • Stauanlagen wurden hinzugefügt.

Sektor Ernährung

  • Fuhrpark-, Hof- und Flottenmanagementsysteme wurden hinzugefügt.
  • ERP-, Warenwirtschaft und Lagerveraltungssysteme sowie EDI- Dispositionssysteme, Lieferanten- und Kundenstammdatensysteme finden beispielhafte Erwähnung als Konkretisierung.
  • Alkopops sind jetzt KRITIS, da Getränke mit einem Alkoholgehalt von bis zu 1,2 Volumenprozent in die Definition fallen.

Sektor IT und TK

  • Registrierungsstellen für Top-Level-Domains fallen jetzt explizit in die Definition, obwohl DNS-Server bereits in die Anlagenkategorie „DNS-Server“ fallen.
  • Der Schwellenwert für Internet Exchange Points (IXP) wurde von 300 auf 100 angeschlossene autonome Systeme herabgesetzt und die Beschreibung konkretisiert.
  • Der Schwellwert von Housing-Rechenzentren wurde von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung reduziert.

Sektor Gesundheit

  • Wareneingang, Lagerung und Warenausgang finden beispielhafte Erwähnung als Konkretisierung.
  • Im Laborinformationsverbund finden die Steuerung des Probentransports, die Kommunikation zum Auftragseingang und zur Befundübermittlung sowie der Betrieb eines Laborinformationssystems beispielhafte Erwähnung als Konkretisierung. Hier scheinen die Praxiserfahrungen der Pandemie-Situation eingeflossen zu sein.

Sektor Finanz- und Versicherungswesen

  • Lastschriften oder Zahlungsaufträge finden beispielhafte Erwähnung als Konkretisierung.
  • Das Erzeugen und Weiterleiten von Aufträgen zum Handel von Wertpapieren und Derivaten an einen Handelsplatz, der Handelsplatz selbst und sonstige Depotführungssysteme sind neu hinzugefügt worden.
  • „Ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsbezogenen Transferleistungen nach SGB II“ wurde hinzugefügt.

Sektor Transport und Verkehr

  • Es wurden die Flugsicherung und Luftverkehrskontrolle und das Flughafenleitungsorgan hinzugefügt.
  • Bei der Leitzentrale der Eisenbahn findet die Disposition von Personal und die Disposition des Wartungsbetriebs Erwähnung.
  • In der Seeschifffahrt findet die Disposition des Schiffsraums und die Leitzentrale der Binnenschifffahrt (nur Güterverkehr) als Konkretisierung Erwähnung. Neu hinzugekommen sind Umschlaganlagen in See- und Binnenhäfen, Hafenleitungsorgane (nur Güterverkehr) sowie Anlagen oder Systeme zur Abwicklung, Koordination, Steuerung und Verwaltung des übergreifenden Hafenbetriebs.
  • In Verkehrssteuerungs- und Leitsystemen finden Bundesautobahnen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und Informationssicherheit im Straßenbau Erwähnung.
  • Im kommunalen Straßenverkehr wurden Intelligente Verkehrssysteme hinzugefügt. Ebenfalls hinzu kommen Leitzentralen des ÖSPV, Anlagen oder Systeme zur Erbringung operativer Logistikleistungen und IT-Systeme zur Logistiksteuerung oder -verwaltung. Eine weitere Änderung wurde mutmaßlich durch die Berliner Verkehrsbetriebe (BVG) verursacht und ändert die Bemessungsgröße im ÖPNV von „Anzahl Fahrgäste/Jahr“ zu „Anzahl unternehmensbezogener Fahrgastfahren/Jahr“.
  • Auch neu hinzugekommen sind Bodenstationen eines europäischen Satellitennavigationssystems.
  • Es wurde konkretisiert, dass es sich um den deutschen Teil des Kernnetzes bei Schienennetzen und Stellwerken der Eisenbahn handelt.

Fazit

Wir begrüßen, dass einige Schwellenwerte herabgesetzt wurden und dadurch weitere Betreiber unter die BSI-Kritisverordnung fallen und durchaus einen großen Beitrag zur Versorgungssicherheit in Deutschland leisten. Zudem dürften die Konkretisierungen und ergänzenden Beispiele in den jeweiligen Sektoren insbesondere für die Betreiber eine Hilfe sein, wenn es um die Identifikation ihrer kritischen Anlagen und Dienstleistungen für die Versorgung Deutschlands geht.

Auf der anderen Seite ist das pauschale Festhalten an dem Regelschwellenwert von 500.000 Personen für uns weiterhin unverständlich, da somit weiterhin nicht einmal viele der deutschen Großstädte Berücksichtigung finden, z. B. im Bereich der Wasserversorgung. Wir fordern daher weiterhin, die Schwellenwerte öffentlich zu diskutieren und wissenschaftlich zu evaluieren. Dabei sind auch sektorübergreifende Kaskedeneffekte zu berücksichtigen.

Hier findet ihr die politischen Forderungen der AG KRITIS.

BVG-Interpretation der BSI-Kritisverordnung schlicht falsch

/in /von

Die Interpretation der Berliner Verkehrsbetriebe, dass die BSI-Kritisverordnung für sie nicht gelte, ist aus unserer Sicht schlicht falsch. Wir sind der Meinung, dass die BVG zweifelsfrei die Schwellenwerte der BSI-Kritisverordnung überschreitet.

Die BVG versteht die Formulierung „Anzahl Fahrgäste/Jahr“ in der BSI-Kritisverordnung als „Individuen pro Jahr“ und behauptete gegenüber dem Tagesspiegel, dass sie „lediglich“ 30 Millionen Individuen als Fahrgäste hat. Gleichzeitig wirbt die BVG aber auf der eigenen Website laut Tagesspiegel mit über 1 Milliarde Fahrgästen pro Jahr. Die BSI-Kritisverordnung legt fest, das ein ÖPNV-Betreiber ab 125 Mio Fahrgäste pro Jahr als kritische Infrastruktur gilt.

Selbst wenn die BVG nicht unter die BSI-Kritisverordnung fallen würde, so sollte sie trotzdem – im Sinne der Versorgungssicherheit – die Mindestvorgaben für kritische Infrastrukturen erfüllen und ihre Infrastruktur regelmäßig unabhängig prüfen lassen.

Die laufende gerichtliche Überprüfung, ob die BVG unter die BSI-Kritisverordnung fällt, kann jedenfalls nicht als Grund herangezogen werden, die KRITIS-Maßnahmen nicht trotzdem zu ergreifen.

Von einem öffentlich-rechtlichen Unternehmen wie der BVG müssen wir erwarten können, dass es unmittelbar und auch ohne gesetzliche Pflicht alle zumutbaren und sinnvollen Maßnahmen umsetzt, welche die Versorgungs- und Betriebssicherheit weiter erhöhen. Alles andere wäre aus unserer Sicht fahrlässig.

Selbst wenn es nicht zu einem Ausfall des Berliner ÖPNV kommt wäre es wahrscheinlich, dass die drohenden Bußgelder am Ende über erhöhte Fahrpreise auf die Fahrgäste umgelegt werden müssten. Des Weiteren ist bereits absehbar, dass der Bußgeldrahmen sich durch das kommende IT-Sicherheitsgesetz 2.0 deutlich vervielfachen wird.

Die BVG sollte daher im Sinne der Berliner Bürger unter der Annahme handeln, dass Sie als größter Verkehrsbetrieb unter die BSI-Kritisverordnung fällt.

Das Bundesministerium des Inneren für Bau und Heimat ist parallel dazu weiterhin gesetzlich verpflichtet, die Umsetzung der BSI-Kritisverordnung zu evaluieren. Im Rahmen einer solchen Evaluierung könnte das BMI auch Einsichten in die kreativen Interpretationsweisen der BSI-Kritisverordnung berücksichtigen, um ähnliche Fälle zukünftig zu vermeiden. Wir fordern daher weiterhin, dass das BMI seinen gesetzlichen Pflichten nachkommt und die fehlenden Evaluierungen durchführt.

 

Tagesspiegel: BVG eskaliert im Konflikt mit Bonner Bundesamt

 

Unsere Forderung zur Evaluierung durch das BMI:

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Neue Version des IT-Sicherheitsgesetz 2.0 aufgetaucht!

/in /von

Eine neue Version des IT-Sicherheitsgesetz ist aufgetaucht – jetzt geht es an die Analyse! Wie viele andere Organisationen machen wir das im Ehrenamt – wenn ihr also wichtige Hinweise auf Passagen für uns habt, von denen ihr denkt, dass wir uns diese genauer anschauen sollten, so freuen wir uns über einen Hinweis per E-Mail oder auf Twitter.

Download des dritten Referenten-Entwurfs des IT-SiG2 als PDF

 

Chaosradio Folge #263 – AG KRITIS

/in , /von

Am letzten Donnerstag des Monats sendet das Chaosradio des CCC seine monatliche Sendung. Wir wurden eingeladen, in dieser Sendung über KRITIS und das CHW zu reden. Zusammen mit dem Moderator Marcus Richter diskutieren Honkhase und Ijon die Fragen: Was sind die Ziele der AG KRITIS? Wie kann ein IT-Krisenfall aussehen? Was ist ein Cyber-Hilfswerk?

Zur Sendung Chaosradio #263

Kommentierung der Stiftung Neue Verantwortung des IT-SiG2

/in /von

Die Stiftung Neue Verantwortung hat, ebenso wie wir, eine Kommentierung des vorgeschlagenen IT-Sicherheitsgesetz 2.0 erstellt. In dieser Kommentierung wird das von uns entworfene Konzept eines Cyberhilfswerks empfohlen. Dafür möchten wir uns bedanken!

Empfehlung: Ein Ausbau der MIRTs ist zu unterstützen, da für diese eine breite Fachexpertise – zum Beispiel für die unterschiedlichen Systeme Kritischer Infrastrukturen – bereitgehalten werden muss. Der genannte Ausbau der Teams wäre eine effiziente Investition der im Entwurf insgesamt vorgesehenen Personalressourcen. […] Zudem sollte eine Einbettung des Konzepts des Cyber-Hilfswerks in diesen Plan geprüft werden.

Der lesenswerte Volltext der Kommentierung zum IT-SiG2 ist auf der Website der Stiftung Neue Verantwortung zu finden.

Kommentierung des IT-SiG2.0 der Stiftung neue Verantwortung

 

Kommentar zum neuen Referentenentwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG2)

/in /von

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von netzpolitik.org veröffentlichten neuen Entwurf des IT-SiG2 von Mai 2020:

Das neue IT-Sicherheitsgesetz 2.0 (IT-SiG2) ist definitiv eine Verbesserung zum vorherigen Entwurf von März 2019. Aber nicht alle Details sind gut, einzelne Punkte sind leider auch ein Rückschritt und werfen neue Gefahren und Risiken auf.

Die AG KRITIS begrüßt die Tatsache, dass die hochkritischen Änderungen an der Strafprozessordnung und am Strafgesetzbuch, die noch im ersten veröffentlichten Entwurf von März 2019 aufgeführt wurden, nun nicht mehr enthalten sind. Auch begrüßen wir die Tatsache, dass die Entsorgung – also Teil der Abfallwirtschaft – nun auch als kritische Infrastruktur betrachtet wird. Dies ist überfällig und sinnvoll, schließlich entstehen sehr schnell katastrophale Gesundheitsrisiken für die Bevölkerung wegen der drohenden Seuchengefahr und Gefährdungen in der Umwelt bedingt durch gefährliche Stoffe, wenn die Abfallentsorgung nicht mehr funktionieren würde.

Leider hat sich damit jedoch nicht alles zum Guten verbessert. Es gibt insbesondere auch einige Neuerungen, die in dieser Weise unsere kritischen Infrastrukturen direkt gefährden können.

Unser größter Kritikpunkt ist die hochgefährliche Datensammlung, die sich hinter der unscheinbaren Formulierung in § 9b Absatz 1 BSIG verbirgt. Dort geht es um IT (oder OT) -Komponenten in kritischen Infrastrukturen.

„Der Einsatz einer kritischen Komponente (§ 2 Absatz 13), (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben.“

Bisher müssen Hersteller solcher Komponenten mit dem BSI zusammen arbeiten, um eine Zertifizierung von Komponenten zu erreichen. Dabei kann das BMI diese Zertifizierung aus Gründen der öffentlichen Sicherheit ablehnen, auch wenn das BSI zum Schluss kommt, dass die zu zertifizierende Komponente den Kriterien entspricht.

Der neue IT-SiG2-Entwurf schafft hier allerdings eine neue Anzeigepflicht. Nicht mehr nur der Hersteller der Komponente muss mit den Behörden in Kontakt treten, sondern der Betreiber der Komponente muss deren Einsatz beim BMI melden. Auf diese Weise plant das BMI eine Liste aufzubauen, welcher KRITIS-Betreiber welche Komponenten im Einsatz hat. So eine Liste ist jedoch höchst kritisch zu bewerten, da jeder Geheimdienst und jede ausländische Macht, die Zugriff auf diese hochsensible Liste erlangt, unsere kritische Infrastruktur gefährden kann. Getreu dem Motto „Wo ein Trog ist, da sammeln sich auch Schweine“ halten wir es für überflüssig und gefährlich, so eine hochsensible Datensammlung überhaupt anzulegen. Wenn man aus sicherheitstechnischen Erwägungen trotzdem zum Schluss kommt, so eine Liste zu benötigen, so muss diese besonders vor dem Zugriff von in- und ausländischen Ermittlungsbehörden und Nachrichtendiensten geschützt werden. Nur ein unabhängiges BSI, das nicht mehr unter der Aufsicht des BMI steht, könnte so eine Liste geeignet verwalten.

Leider wurde diese essentielle fachliche Unabhängigkeit des BSI nicht im § 1 des BSIG vorgesehen. Hier wünschen wir uns eine Nachbesserung, denn ein fachlich unabhängiges BSI ist notwendig und überfällig. Obwohl es verschiedene Ansätze gibt, wie dies juristisch erreicht werden könnte, halten wir die Anpassung des § 1 BSIG für den naheliegendsten Ansatz, wenn man sowieso gerade plant, das BSIG zu ändern. Dabei kann man sich in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am statistischen Bundesamt orientieren.

Der zweite nicht weniger relevante Kritikpunkt ist die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Cyberangriffen auf IT-Systeme. Im zu ändernden § 109a TKG findet sich die Formulierung:

„(1a) Im Falle einer unrechtmäßigen Übermittlung an oder unrechtmäßigen Kenntniserlangung von Daten durch Dritte unterrichtet der Diensteanbieter unverzüglich das Bundeskriminalamt über diesen Sachverhalt, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass 1. jemand Telekommunikations- oder Datenverarbeitungssysteme ohne Erlaubnis oder Billigung des Diensteanbieters verändert, auf diese eingewirkt oder Zugangseinrichtungen zu diesen überwunden hat und 2. dies nicht fahrlässig erfolgt ist.“

Im Fall der vorsätzlichen und erfolgreichen Umgehung von Zugangseinrichtungen, der Veränderung von Daten oder der Einwirkung von Dritten auf diese ist es wohl angebracht, dies als Cyberangriff zu bezeichnen. Je nachdem, wer der Täter ist, ändert sich die Zuständigkeit für die Vorfallsbehandlung und Ermittlung.

Handelt es sich um einen Angriff eines deutschen Bürgers auf eine technische Einrichtung der Bundeswehr, wäre der MAD zuständig. Wären wir im Krieg und hätte die Bundeswehr ein Mandat, wäre in diesem Fall das KdoCIR zuständig. Wenn ein System angegriffen wird, welches nicht zur Bundeswehr gehört, sondern z.B. zu einem Telekommunikationsanbieter, dann wäre das BKA nur dann zuständig, wenn der Angriff von einem deutschen Bürger ausgeht. Geht der Angriff von einem ausländischen Bürger aus, wäre der BND zuständig. Ginge der Angriff von einer ausländischen staatlichen Macht aus, wäre der BND und unter Umständen auch das Auswärtige Amt zuständig. In manchen Sonderfällen fiele auch eine Teil-Zuständigkeit an das BfV.

Zum Zeitpunkt der initialen Detektion eines Angriffs ist der Täter und dessen Nationalität aber unbekannt. Daher kann nicht von vornherein klar sein, wer wirklich zuständig ist. Aus genau diesem Grund wurde das NCAZ geschaffen, welches die Vorfallsbehandlung zwischen den möglicherweise zuständigen Bundesbehörden koordinieren soll. Im NCAZ sitzen deswegen Vertreter aller möglicherweise zuständigen Behörden, wie z.B. dem BKA, der BPol, dem BfV, dem BND, dem MAD und dem KdoCIR.

Wir sind daher zu der Meinung gekommen, dass an dieser Stelle die Meldung an das NCAZ erfolgen soll und eben nicht an das BKA. Das NCAZ kann dann koordinieren, welche Bundesbehörde auf Basis der vorliegenden Indizien wahrscheinlich zuständig ist. Nichtsdestotrotz sind, egal welche Behörde für die Ermittlungen zuständig ist, immer auch andere Bundesbehörden einzubinden, wie z.B. das BSI, welches nötigenfalls Warnungen und Meldungen über das CERT-Bund herausgeben müsste.

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Bundesinnenminister Horst Seehofer im Juni 2019. An dieses Mantra hält man im BMI auch beim IT-SiG2 konsequent fest. Im alten Entwurf fand sich noch die Formulierung, dass die Rüstungsindustrie zur sog. „Infrastruktur in besonderem öffentlichen Interesse“ (ISBÖFI) gehören soll. Die „ISBÖFI“ ist quasi eine Art „KRITIS light“. Nicht alle KRITIS Pflichten werden auferlegt, aber manche. Im neuen IT-SiG2-Entwurf findet sich das Wort „Rüstung“ nun nicht mehr, trotzdem gehört Rüstung weiterhin zu ISBÖFI. Dies wird nun durch die verschleiernde Erwähnung des „§ 60 AWV Absatz 1 Satz 1-5“ festgelegt und auch in den Begründungen zum Gesetz weder erläutert noch aufgeklärt.

Die AG KRITIS ist der Meinung, dass Rüstung weder KRITIS ist, noch zu einer Art „KRITIS light“ gehören kann – denn die Rüstungsindustrie gehört eben nicht zu solchen Diensten, „die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte“ (KRITIS-Definition).

Selbst wenn man argumentieren würde, dass die hergestellten Rüstungsgüter nach Bestellung, Produktion und Lieferung der Bundeswehr zu Gute kommen würden und damit bei der Aufgabenerfüllung der Bundeswehr (Verteidigungsarmee) helfen sollen – selbst dann wäre die Rüstungsindustrie noch nicht KRITIS, da die Bundeswehr diese Aufgaben mit Ihren Beständen erfüllen muss und die Beschaffung neuer Waffen so lange dauert, das diese neuen Waffen wohl kaum zur Bewältigung der dann aktuellen Lage eingesetzt werden können. Eine Mitverantwortung für die öffentliche Sicherheit kann daher bei der Rüstungsindustrie nicht behauptet werden. Entsprechend gehört die Rüstungsindustrie auch nicht zu den kritischen Infrastrukturen und darf daher auch nicht der neu geschaffenen Vorstufe „ISBÖFI“ zugeordnet werden.

Unser dritter Kritikpunkt ist, dass im IT-SiG von 2015 festgelegt wurde, dass eine Evaluierung der Gesetzesänderungen spätestens vier Jahre nach Inkrafttreten vorgenommen werden soll. Unserer Kenntnis nach ist diese Evaluierung aber bisher nicht erfolgt. Konsequenterweise sieht das BMI auch keine Evaluierung des neuen IT-SiG2 vor, sondern stellt in Aussicht, die aktuell gesetzeswidrig(!) überfällige Evaluierung des IT-SiG von 2015 doch noch vorzunehmen. Dies reicht dem BMI als Begründung, warum eine Evaluierung der zweiten Version des IT-SiG nicht notwendig wäre, weil man ja Erkenntnisse aus dem Gesetzesentwurf des IT-SiG2 in die Evaluierung des IT-SiG von 2015 einfließen lassen könne.

Selbstverständlich ist das nicht ausreichend – das BMI soll, wie aus gutem Grund im Gesetz vorgesehen, erst das vorhandene IT-SiG von 2015 evaluieren und dann diese Erkenntnisse, genau wie geplant, in das IT-SiG2 einfließen lassen – aber nicht andersherum, wie es aktuell im IT-SiG2 angegeben wird.

Weiterhin findet sich im IT-Sig2 auch noch eine Passage, die uns als AG KRITIS mit Freude erfüllt. Uns zeigen diese Änderungen, dass man auch ehrenamtlich erfolgreichen und sinnvollen Lobbyismus betreiben kann.

Es scheint so, als wurden bestehende Forderungen der AG KRITIS im IT-SiG2 berücksichtigt. So soll das unserer Ansicht nach zu schwach besetzte MIRT deutlich anwachsen. Dies vergrößert die staatlichen Krisenbewältigungskapazitäten signifikant. Auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) bekommt wichtige Aufgaben und weitere Personalstellen zugeteilt, um erstmalig in die Lage versetzt zu werden, auch für IT-Katastrophen Krisenreaktionspläne auszuarbeiten. Auch lesen wir den neu geschaffenen § 5c BSIG fast schon wie die initiale rechtliche Grundlage für den Einsatz eines zu schaffenden Cyberhilfswerks – wie von uns im Februar 2020 vorgestellt – und verortet die Kompetenzen und Verantwortlichkeiten an den richtigen Stellen, nämlich dem BSI gemeinsam mit dem Partner BBK.

Hier findet Ihr unser CHW-Konzept:

Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen

Logbuch Netzpolitik 331: Kritische Infrastruktur – LNP-Spezial zu Kritischer Infrastruktur, die AG KRITIS und das Cyber-Hilfswerk

/in /von

@timpritlove hat im Podcast @me_netzpolitik mit unseren beiden Mitgliedern @HonkHase und @ijonberlin Kritischer Infrastruktur, die AG KRITIS und das Cyber-Hilfswerk besprochen.

„Im Nachgang zur DefensiveCon (Aufzeichnungen aller Vorträge), einer auf die Probleme der Sicherung von Kritischer Infrastruktur im digitalen Zeitalter fokussierten Konferenz der @AG_KRITIS, spricht @timpritlove heute mit den Leitern des Projekts, @ijonberlin und @HonkHase über ihre Themen. Dabei definieren wir zunächst den Begriff KRITIS und diskutieren, welche realen Bedrohungen kritische Infrastruktur heutzutage und künftig ausgesetzt ist und sein wird. Abschließend stellen die beiden ihre Idee eines Cyber-Hilfswerks vor, das inspiriert vom Gedanken des Technischen Hilfswerks (THW) eine zivile Organisation zur Abmilderung digitaler Katastrophenfälle postuliert.“

Den vollständigen @me_netzpolitik Podcast „LNP331 Kritische Infrastruktur“ mit @HonkHase und @ijonberlin findet ihr hier:

Podcast Logbuch Netzpolitik

LEGALBITS Podcast – KRITIS: Was das ist und warum sie so kritisch sind

/in /von

Wir waren auf dem #36c3 vom CCC bei @ra_stiegler zu Gast und haben dort eine Podcast-Serie über Kritische Infrastrukturen eingeleitet.

Warum sind Kritische Infrastrukturen so kritisch? HonkHase schildert potenzielle Kettenreaktionen und die Betroffenheit der Bevölkerung. Als Beispiel nehmen wir einen Stromausfall und sprechen auch über die Schwellenwerte für die Sicherheitsabschaltung von Umspannwerken und darüber, wie nah man in Deutschland und anderen Länder in der jüngeren Vergangenheit an großflächigen Stromausfällen war.

Den vollständigen @LegalBits Podcast Folge 29 „KRITIS: Was das ist und warum sie so kritisch sind“ mit @HonkHase findet ihr hier:

podcast auf stiegler-legal.com