Beiträge

Quo vadis Koalitionsvertrag? – Warum wir jetzt ein Cyber-Hilswerk brauchen

/in /von

Unser überarbeitetes CHW-Konzept (Version 1.2) ist da, also haben wir uns den Koalitionsvertrag zur Brust genommen und analysiert, ob und warum wir ein Cyber-Hilfwerk (CHW) in Deutschland brauchen.

Spoiler: Wir brauchen es dringender denn je!

„Jeder Satz ist Politik pur“

Mit dieser denkwürdigen Aussage startete Markus Söder in seine Vorstellung des Koalitionsvertrags zwischen CDU, CSU und SPD. Wir wollen in einer schnellen Analyse diesen Satz ernst nehmen.

Zunächst fällt auf, dass in Berlin ein neues Buzzword existiert. Alles muss „resilient“ werden oder „Resilienz“ besitzen – natürlich auch unsere Kritische Infrastruktur. Wie genau das allerdings umgesetzt werden soll, ist „Politik pur“. Vermehrt werden Lippenbekenntnisse abgeben, die ein Konzept vermissen lassen. Konkrete Bezugnahmen auf das KRITIS-Dachgesetz, die NIS2-Richtline, oder den Cyber Resilience Act werden wohldosiert eingesetzt und hier und da für Kenner als Wortbrocken hingeworfen. So will man den Unternehmen bei der Umsetzung des Cyber Resilienz Act unter die Arme greifen und nur noch „kritische Komponenten“ von vertrauenswürdigen Staaten verbauen. Außerdem soll die kritische Energieinfrastruktur, insbesondere die erneuerbaren Energien durch die Umsetzung der NIS2-Richtliche „resilient und bestmöglich geschützt werden“. Allgemein soll die IT-Sicherheit bei KRITIS verbessert, die Resilienz erhöht, und in sichere Infrastruktur der Kommunikation- und Forschungslandschaft investiert werden. Im Koalitionsvertrag wird jedoch nicht einmal angedeutet, wie die Steigerung der Resilienz genau aussehen soll. Ein wichtiger Gradmesser bleibt also, wie zügig die NIS2-Richtlinie und das KRITIS-Dachgesetz beschlossen und umgesetzt werden und wie der deutsche Staat sich selbst Resillienzmaßnahmen und Mindesstandards auferlegt.

Unsere Forderung, dass auch der Staat und die Verwaltung sich an diese Standards ohne Ausnahmen zu halten haben, ist weiterhin gültig. In diesem Zusammenhang fällt eine Textstelle auf:

„Die öffentliche IT-Sicherheit wird durch Notfallmanagement und präventive
Beratungsangebote für kleine und mittlere Unternehmen verbessert“ (Z. 2189-2190)

Falls hier angedeutet wird, dass die IT des Staates sowie die öffentliche Verwaltung endlich Standards wie ein BCM oder ISMS einhalten muss, zu denen die privaten BetreiberInnen kritischer Infrastruktur längst verpflichtet wurden, dann begrüßen wir das ausdrücklich! – Bei „Politik pur“ kann man natürlich auch träumen.

Wir jedenfalls werden die postulierte digitale Zeitenwende in Form eines neuen Ministeriums für Digitalisierung und Modernisierung kritisch begleiten. Spannend wird zudem, wie dieses neue Ministerium digitale Souveränität umsetzen will. Unser Sprecher und Gründer Manuel „Honkhase“ Atug hat hierzu ein Op-Ed zusammen mit Matthias Schulze veröffentlicht.

Ein weiteres „Schmanckerl“, um bei unserem bayrischen roten Faden zu bleiben, ist der sogenannte „Pakt für Bevölkerungsschutz“. Hier wird Resilienz groß geschrieben und tritt an gegen „jede Form hybrider und konventioneller Bedrohung“. Das Ziel der KoalitionärInnen ist es, die Fähigkeiten im Bereich Cybersicherheit und des Zivil- und Katastrophenschutzes sowie der zivilen Verteidigung zu stärken. Hier vermengt sich einiges zu einer unheilvollen Melange aus HackBack oder aktiver Cyberabwehr, Befugniszuwachs und strukturellen Veränderungen.

So soll das BSI-Gesetz novelliert an die NIS2-Richtline angepasst und zu einer „Zentralstelle für Fragen der Informations- und Cybersicherheit“ werden. Eine relativ unkonkrete Zielvorgabe, die offen und zu befürchten lässt, dass die Unabhängigkeit des BSI gegenüber dem BMI wieder abnehmen wird. Zusätzlich dazu soll eine nationale Cybersicherheitsstrategie klare Rollen- und Aufgabenverteilung fortentwickeln. Wir verweisen hier gerne auf das Cyber-Wimmelbild der Veranwortungsdiffusion. „Fortentwickeln“ sollten wir hier nichts mehr, sondern „abbauen“ und „konsolidieren“ wäre das richtige Verb gewesen. Immerhin könnte man auch optimistisch interpretieren, dass die Politik hier endlich die Probleme wahrnimmt und den Rotstift ansetzt. Allerdings trübt sich das Bild, wenn der Zivil- und Bevölkerungsschutz angesprochen wird, denn immer wieder wird auf die neuen Finanzierungsinstrumente verwiesen, die Bund und Länder jetzt zur Verfügung haben. Lichtblick ist nur, das auffällig klare Bekenntnis zur besseren Finanzierung des Digitalfunks BOS.

Das Hauptproblem, dass hier eine föderale Fragmentierung herrscht und dadurch keine einheitliche Krisenbewältigung herstellbar ist, wird nicht adressiert bzw. mit der Hoffnung der geöffneten Geldschatulle belegt. Bezeichnend ist in diesem Zusammenhang ist der Einsatz des Operationsplans Deutschland als Rechtfertigungsmittel. Wir erkennen an, dass endlich die (Gesamt-)Verteidigung nicht mehr in Silos gedacht wird und so auch der Bevölkerungs- und Katastrophenschutz in den politischen Fokus gerückt wird. Mehr als Appelle und „Wünsch dir was“ ist das aber nicht. Ein klares eindeutiges Konzept, das zumindest in der Dimension der Cyberkrisenvorsorge freiwillige Kräfte bündeln kann und im künftigen Zivil- und Katastrophenschutz zum Einsatz kommt, gibt es nicht im Koalitionsvertrag, sondern nur bei uns.

Was das Thema Bürgerrechte, Nachrichtendienste und neue Überwachungsbefugnisse angeht verweisen wir auf den CCCGolem und Netzpolitik.org. Zusammenfassend haben die KollegInnen ein geradezu fatales Fazit für die zukünftige Lage der Bürgerrechte im digitalen Raum in Deutschland abgegeben. Allen zivilgesellschaftlichen Forderungen zum Trotz wird die Merz-Regierung – wenn diese Maßnahmen in Gesetze gegossen und umgesetzt werden – den Präventions- und Überwachungsstaat vorantreiben und Grundgesetze schleifen. In welcher Form das Verfassungsgericht oder der neue Unabhängige Kontrollrat hier eine effektive rechtsstaatliche Kontrolle sicherstellen kann, bleibt abzuwarten. Klar ist, dass eine „öffentliche IT-Sicherheit“ mit immer mehr sicherheitsbehördlichen Befugnissen in keiner Weise gewährleistet wird, wenn diese Verschlüsselung brechen, Hintertüren bekommen, Schwachstellen horten oder die Überwachungsindustrie alimentieren. Nichts davon wird die Bevölkerung vor hybriden Bedrohungen schützen. Was allerdings die Bevölkerung sicherer macht, ist eine IT-Sicherheitsforschung, die rechtssicher unterwegs ist und nicht mit staatlichen Repressionen zu rechnen hat. Hier liefert der Koalitionsvertrag einen Formelkompromiss, der gleich im Nebensatz die Rechtssicherheit der IT-Sicherheitsforschung unter dem Vorbehalt der Missbrauchsmöglichkeiten stellt. Wie das allerdings mit mehr Investition in IT-Sicherheits- und anwendungsorientierte Resilienzforschung zusammenpasst bleibt fraglich. Rechtssicherheit muss sowohl gelten für institutionelle Forschung, als auch für freie IT-Sicherheitsforschende, die aus Neugier, für das Ehrenamt und im Sinne des Gemeinwohls handeln.
Mit Blick auf die Ressortverteilung ist aber zu befürchten, dass sich hier in der kommenden Legislaturperiode nichts verändert, sondern das BMJ vom BMI zu Fragen einer rechtsicheren IT-Sicherheitsforschung weiterhin blockiert wird.

Darüber hinaus soll auch die terrestrische Rundfunkverbreitung (Radio und Fernsehsender) als KRITIS gelten, um diese besser schützen zu können. Eine Maßnahme, die wir begrüßen, allerdings ist eine rechtliche Kategorisierung als KRITIS nicht gleichzusetzen mit tatsächlicher IT-Sicherheit und Resilienz – die Umsetzung bleibt weiterhin das Problem.

Wir beschließen zeitnah ein gutes KRITIS-Dachgesetz“ (Z.2697-2698)

Wir sind sehr froh, dass die zukünftige Koalition nicht vorhat, ein schlechtes KRITIS-Dachgesetz zu verabschieden. Dafür bieten wir gerne Schützenhilfe mit unserer Stellungnahme an. Es darf gerne abgeschrieben werden, damit es besonders zügig beschlossen werden kann. An dieser Stelle müssen wir aber auch auf unsere Forderung nach einer Harmonisierung des KRITIS-Dachgesetz und des NIS2UmsuCG verweisen. Beide Gesetzes-Entwürfe müssen dringend konsolidiert werden, damit ein einheitliches Rahmenwerk entsteht und kein Cyber-Flickenteppich. Eine Stellungsnahme zum aktuellen Entwurf des NIS2UmsuCG führt, diese Problematik weiter aus.

Was im „Pakt für Bevölkerungsschutz“ fehlt, ist endlich ein Cyber-Hilfswerk, das auch mit Blick auf hybride Bedrohungen konzipiert wurde. Unser Ansatz für ein CHW ist im Bereich des Freiwilligendienstes und des Herzensanliegens unseres Bundeskanzlers Merz, dem Ehrenamt, voll anschlussfähig. Der Freiwilligendienst als neue Wertschätzung des Ehrenamts kann helfen, die künftigen Sicherheitsherausforderungen im Rahmen einer zivilen Gesamtverteidigung zu stärken. Ein neugeschaffenes CHW verbindet Zivilschutz mit Cybersicherheit und bündelt wichtige Kompetenzen, die heute schon für die Daseinsvorsorge essentiell sind. Es ist absehbar, dass dieser Stellenwert wachsen wird und wir in Zukunft kein Chance einer Krisenbewältigung haben, wenn wir nicht alle Kräfte der Gesellschaft nutzen. Unser CHW-Konzept ist in dieser Hinsicht einzigartig, denn es schafft ehrenamtliche Strukturen und Anreize für Freiwillige, die heute im Bevölkerungsschutz nicht adressiert werden.

Es wird Zeit, dass wir jetzt beim Bevölkerungsschutz und bei der Krisenvorsorge den Turbo zünden und Deutschland ein Cyber-Hilfswerk bekommt. Wir sind bereit!

Vielen Dank an unser Mitglied Alessandro Parrino für das Verfassen dieses Artikels

Bildrechte: Martin Rulsch, Wikimedia CommonsCC BY-SA 4.0

Wahlprüfsteine zur Bundestagswahl 2025

/in /von

Anlässlich der am 23.02.2025 bevorstehenden Bundestagswahl haben wir die Gelegenheit genutzt und alle im Bundestag vertretenen Parteien gebeten, unsere Wahlprüfsteine zu beantworten.

Folgender Text wurde am 22.12. an alle Parteien versendet:

Die Herausforderungen unserer Zeit rücken die Themen IT-Sicherheit, Resilienz und Krisenvorsorge in einen besonderen Fokus.
Wir haben uns, vor dem Hintergrund der knappen Zeit bis zur Wahl, auf wenige, aber spezifische, Fragen beschränkt.
Ergänzen Sie in Ihrer Antwort gerne inhaltliche Schwerpunkte, die Ihre Partei zusätzlich priorisieren möchte.

  1. Wie stehen Sie zu den Ausnahmen im Sektor „Staat und Verwaltung“ für Ministerien und Behörden auf Bundes-, Landes- und kommunaler Ebene in der Gesetzgebung zur Umsetzung der Richtlinie NIS2 sowie im KritisDG?
    Welche darüberhinausgehenden Maßnahmen wollen Sie ergreifen um die IT-Sicherheit an den genannten Stellen zu verbessern?
  2. Wie stehen Sie zu der Idee, eine Kritis-Verordnung für den Sektor Staat und Verwaltung zu erlassen?
  3. Teilen Sie die Einschätzung, dass dem Staat und seiner Verwaltung IT-Fachkräfte und IT-Fachkompetenz fehlen?
    Wie werden Sie die Personalentwicklung und Kompetenzbildung vorantreiben?
    Wie stehen Sie zu einer TVÖD-Reform, die die Gehaltsniveaus von IT-Fachkräften der marktwirtschaftlichen Realität annähert?
  4. Wie stehen Sie zur Reform des Computerstrafrechts um insb. ehrenamtlichen IT-SicherheitsforscherInnen Rechtssicherheit zu verschaffen?
    Werden Sie den vom BMJ begonnenen Reformprozess fortführen?
  5. Wie stehen Sie zur Forderung der Zivilgesellschaft nach mehr Unabhängigkeit für das BSI?
    Welche Konzepte für die Umsetzung dieses Ziels präferieren Sie?
  6. Teilen Sie die Einschätzung, dass Deutschland derzeit keine ausreichenden Bewältigungskapazitäten für Großschadenslagen, hervorgerufen durch Cybervorfälle, hat?
    Wie stehen Sie vor diesem Hintergrund zur Umsetzung des Konzepts „Cyberhilfswerk“ sowie der aktuell laufenden Machbarkeitsstudie im THW?

Die Antworten werden wir veröffentlichen. Wir haben um Antwort bis zum 15.01.2025 gebeten und werden danach die erhaltenen Antworten bereitstellen.

Foto von Mika Baumeister auf Unsplash

Stellungnahme zum Ref-E des KritisDachgesetz

/in , /von

Am 21.12.2023 kontaktierte uns das Bundesministerium des Inneren und bat um Stellungnahme zum aktuellen Referentenentwurf der Neufassung des Kritis-Dachgesetz.

Erstmalig bekamen wir die neue Version in einem offenen Format im Änderungsmodus geschickt – dieses Vorgehen möchten wir ausdrücklich loben. Im Vergleich zu allen anderen Kommentierungen und Stellungnahmen waren wir zum ersten Mal direkt in der Lage alle Änderungen direkt zu sehen – das hat viel Zeit gespart.

Ziel der Richtlinie soll sein, „einheitliche Mindestverpflichtungen für kritische Einrichtungen festzulegen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren.“

Dazu stellen wir fest: Der vorgelegte Gesetzesentwurf enthält keine Mindestverpflichtungen. Stattdessen regelt der Gesetzesentwurf, welche Behörde die Verordnungen erlassen müssen durch die wiederum Mindestverpflichtungen vorgeben würden.

Ob also die vorgesehenen Mindestverpflichtungen zum Ziel der Erhöhung der Resilienz der kritischen Anlagen und Systeme führen würden, lässt sich anhand des vorgelegten Referentenentwurfes nicht bewerten. Konkrete Handlungsanweisungen für KRITIS-Betreiber sind nicht enthalten.

Unsere Stellungnahme steht hier zum Download bereit:

Download der Stellungnahme als PDF

Den bewerteten Referentenentwurf stellen wir hier zur Verfügung:

Download der Änderungen
Download des Ref-E als .docx

Herzlichen Dank für die Erlaubnis das Bild zu verwenden, es stammt von: C. Müller, und steht unter CC BY-SA 3.0 Lizenz – via Wikimedia Commons