Beiträge

Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen

Schon vor dem kriegerischen Angriff durch Russland auf die Ukraine, waren offensive Cyberoperationen und Cyberabwehrmaßnahmen im Zuge der Gefahrenabwehr im Cyberraum – wie z. B. der Hackback – immer wieder in den Medien präsent.

Politikerinnen forderten und fordern wiederholt das gezielte Zurückhalten von Schwachstellen und offensive Cyberfähigkeiten. So soll der deutsche Staat noch besser in der Lage sein, andere Staaten auszuspähen – (auch Aufklärung genannt), seien es Freunde oder Feinde. Mit dem Krieg in der Ukraine ist die Forderung nach generellen offensiven Cyberfähigkeiten bzw. militärischen Cyberoperationen (vormals Computer-Netzwerkoperationen, CNO) und zugehöriger Kapazitäten lauter geworden. Auch, weil die Befürchtung im Raum stand, dass kritische Infrastrukturen in Deutschland durch Cyberangriffe in Gefahr sein werden.

Heute wissen wir bereits, dass Bomben, Raketen und Kalaschnikows sehr viel effektiver kritische Infrastrukturen in der Ukraine zerstört haben, als Cyberangriffe das jemals könnten. Nichtsdestotrotz sind kritische Infrastrukturen durchaus vermehrt Cyberangriffen ausgesetzt. Nicht nur in der Ukraine, sondern weltweit. Und damit eben auch in Deutschland.

Welche Auswirkungen hätte denn das euphemistisch als „staatliches Schwachstellenmanagement zur Gefahrenabwehr“ bezeichnete Zurückhalten von Sicherheitslücken für Hackbacks auf unsere Versorgungssicherheit?

Ziel eines Hackbacks ist die Befähigung, einen lang anhaltenden Ausfall einer kritischen Infrastruktur durch cyber-physische Schäden zu bewirken und die Versorgungsleistung im Idealfall sogar überregionalen ausfallen zu lassen. Wirtschaftliche Schäden sind in diesen Szenarien eher sekundär. Verwendet würde das Eindringen in fremde IT-Systeme und IT-Umgebungen zur strategischen Aufklärung, als auch im Bündnisverteidigungsfall zum Zweck der Wirkung durch offensive Cyberoperationen.

Nun stellt sich die Frage, wieso konkret die Durchführung von offensiven Angriffen und damit einhergehend das Zurückhalten von Sicherheitslücken – umgangssprachlich als Hackback bekannt – eine sehr schlechte Idee für das Wohlergehen der eigenen Bevölkerung ist.

Man stelle sich folgendes Szenario vor: Wenige ausgewählte Personen mit entsprechender Expertise aus Militär, Innenministerium, Sicherheitsbehörden und Nachrichtendiensten sowie weitere Expertinnen für Informationssicherheit treffen sich in geheimer „staatliches Schwachstellenmanagement-Runde“ und entscheiden, welche Schwachstellen geheim gehalten und damit gegenüber der Öffentlichkeit und vor allem dem betroffenen Software- oder Hardware-Hersteller zurückgehalten werden sollen.

In diesem Szenario gibt es zwei eindeutige Schwachstellen: Erstens die Frage nach der Auswahl der Eingeweihten. Und zweitens die Auswahl der spezifischen Schwachstellen. Ganz zu schweigen von der Auswirkung auf die Versorgungssicherheit für die Zivilbevölkerung, deren Versorgung dann aufgrund unzureichender Risikoanalysen und Kollateralschäden nicht mehr gewährleistet werden kann. Doch dazu später mehr.

Zunächst ist es ein Thema, wer Teil eines solchen Gremiums sein soll. Insgesamt dürfen nicht zu viele Personen eingeweiht sein, sonst sind die Schwachstellen schnell öffentlich, weil sie durchsickern und dadurch öffentlich werden. Die Qualifikation der ausgewählten Expertinnen ist ein weiterer zentraler Punkt. Es gibt im BSI-Gesetz und der zugehörigen BSI-Kritisverordnung acht Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Siedlungsabfallentsorgung) in über 40 Branchen sowie zwei weitere nicht regulierte Sektoren (Medien und Kultur, Staat und Verwaltung), die sogenannte kritische Dienstleistungen wie Strom und Wasser erbringen.

Anzumerken ist, dass es derzeit ca. 2.200 KRITIS-Betreiberinnen in acht KRITIS-Sektoren gibt, da diese mehr als 500.000 Personen versorgen. Alle Betreiberinnen aus diesen acht Sektoren, die weniger als 500.000 Personen versorgen oder den anderen beiden Sektoren angehören, sind hier nicht erfasst. Es gibt in Deutschland alleine über 10.000 Kommunen mit zugehörigem Notfall- und Rettungswesen als kritischer Dienstleistung, die von wichtiger Bedeutung für das staatliche Gemeinwesen ist, die hier keine Berücksichtigung finden. Daher betrifft eine vollständige Risikobetrachtung eine erheblich größere Anzahl von kritischen Infrastrukturen, als es offiziell und gesetzlich definierte KRITS-Betreiberinnen gibt.

Nun fällt es schwer, sich vorzustellen, dass es Personen gibt, die in allen zehn Sektoren vollständig über den Einsatz der betroffenen IT-Komponenten bei jeder(!) KRITIS-Betreiberin in diesen Sektoren und den zugehörigen ca. 40 unterschiedlichen Branchen informiert sind. Wenn es um 0days oder Schwachstellen in KRITIS geht, die kaum bekannt sind, ist ein erhebliches Wissen über IT und OT sowie den Industriesteueranlagen und Industrieautomatisierungen in den Produktionsumgebungen in den einzelnen Sektoren gefragt.

KRITIS-Betreiberinnen aus dem gleichen Sektor verwenden durchaus unterschiedliche Technologien und IT- oder OT-Komponenten. Das führt zu Problemen mit der Informationsbeschaffung. Eine vermeintliche Lösung wäre es, sich durch geheim gehaltene Abfragen einen Überblick zu verschaffen, welche KRITIS-Betreiberin welche IT- und OT-Komponenten verwendet. Sehr wahrscheinlich wäre eine solche Liste (quasi die immer aktuelle Assetmanagement-Liste) nicht aktuell und eine solche Umfrage bliebe auch nicht lange geheim.

Weiterhin ist die Auswahl der Sicherheitslücken relevant. Ziel wäre es ja, Schwachstellen zu identifizieren, die einen lang anhaltenden und überregionalen cyber-physischen Schaden und damit einen umfassenden Versorgungsausfall für die Zivilbevölkerung zu bewirken. Das wären dann naheliegender Weise eine Sicherheitslücken z. B. in einem Schaltrelais innerhalb einer Industriesteueranlage.

Es gibt weltweit nur sehr wenige Hersteller von solchen IT- und OT-Komponenten in Industriesteueranlagen. Damit ist die Wahrscheinlichkeit, dass deutsche kritische Infrastrukturen genau die gleichen IT- und OT-Komponenten mit den zurückgehaltenen Schwachstellen verwenden, sehr hoch. Dadurch sind auch deutsche kritische Infrastrukturen von den zurückgehaltenen Schwachstellen und offensiven Cyberabwehrmaßnahmen wie einem Hackback bedroht.

Nehmen wir an, das oben beschriebene Gremium existiert und führt die Risikoanalyse nebst Implikationen und Wahrscheinlichkeiten zu Ausnutzung der betroffenen Komponenten und möglichen Kollateralschäden aufgrund des Einsatzes oder der Zurückhaltung bzw. Geheimhaltung solchen Schwachstellen durch. Diese Analyse kann nur für alle gesetzlich bekannten KRITS-Betreiberinnen, also gemäß BSI-Kritisverordnung durchgeführt werden.

Es wird dann in geheimer Weise bei den ca. 2.000 potentiell betroffenen KRITIS-Betreiberinnen in Deutschland bewertet, ob sie anfällige Komponenten mit den vorhandenen Sicherheitslücken in ihrer Produktionsumgebung einsetzen. Gehen wir vereinfacht davon uns, dass die Umfrage gelingt und geheim bleibt. Man beschließt nun, solche Schwachstellen in der entsprechenden Industriesteueranlage auszunutzen und offensive Cyber-Operationen zu wirken, beispielsweise mittels eines Hackbacks.

KRITIS-Betreiberinnen, welche diese IT- und OT-Komponenten nicht einsetzen, scheinen dadurch sicher. Sofern nicht bei der Abfrage übersehen wurde, dass sie doch diese Komponenten einsetzen. Für die oben erwähnten mehreren tausend weiteren KRITIS-Betreiberinnen, die nicht nach BSI-Kritisverordnung bekannt sind, entsteht nun das gravierendes Risiko, dass die Versorgung der Zivilbevölkerung – im Extremfall sogar großflächig – ausfallen kann.

Stadtwerke in Städten wie Paderborn, Augsburg oder Bonn mit einer Einwohnerzahl um die 200.000 -250.000 Personen sind bereits betroffen, es sei denn sie versorgen noch ca. 300.000 Personen im Umland mit.

Die Befähigung zu offensive Cyber-Operationen als auch zum Hackback führt folglich zu einer Bedrohung der eigenen (kritischen) Infrastrukturen, verbunden mit dem Risiko möglicher Versorgungsausfälle in Deutschland. Besonders bei Betreiberinnen von kritischen Infrastrukturen, die nicht formal gesetzlich erfasst wurden und bei denen, die unterhalb der Schwellenwerte der BSI-Kritisverordnung agieren.

Die Risikoeinschätzung kann daher nur sehr unvollständig und damit absolut unzureichend vorgenommen werden oder involviert so umfassend viele Personen, dass die für einen Cyberangriff zur Gefahrenabwehr mittels z. B. Hackback erforderlichen Cyber-Wirkmittel nicht mehr geheim bleiben würden.

Zudem können Cyberangriffe nur auf eine Technologie zielen, aber nicht auf ein spezifisches Ziel wie ein Land oder eine Organisation. Ein Hackback kann potentiell jede Nutzung derselben Technologie weltweit treffen, auch wenn das nicht beabsichtigt ist.

Wer verantwortet den durch einen solchen Kollateralschaden möglichen Ausfall kritischer Infrastrukturen und die dadurch entstehende Gefährdung für Leib und Leben in der eigenen Zivilbevölkerung?

Unser Mitglied @HonkHase hat das Thema Hackback in diesem Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ ebenfalls dargelegt.

Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ von März 2022.

Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021

Am 26. April 2021 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (KritisV) veröffentlicht. Insgesamt werden durch die darin enthaltenen Änderungen über alle KRITIS Sektoren hinweg ca. 270 zusätzliche KRITIS Betreiber erwartet, was eine umfangreiche Ausweitung der registrierten KRITIS Betreiber darstellt. Adressiert werden dadurch im Wesentlichen die folgenden Sektoren:

  • Energie: ~170 (insbesondere Stromerzeugung)
  • IT und TK: ~10 (insbesondere IXP & Rechenzentren)
  • Finanz- und Versicherungswesen: ~20 (insbesondere Wertpapier- & Derivathandel)
  • Transport und Verkehr: ~70 (insbesondere intelligente Verkehrssystem)

Evaluierung? Weiterhin unvollständig, halbherzig, intransparent und nicht öffentlich!

Angeblich hat inzwischen eine Evaluierung der KritisV stattgefunden, deren Erkenntnisse in dem Entwurf Berücksichtigung finden. Allerdings gibt es keinerlei Informationen zu Umfang, Methodik und Ergebnissen dieser Evaluierung, ganz zu schweigen von einem Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden. Nur eine Veröffentlichung der KritisV Evaluierungen schafft die notwendige Transparenz, um eine objektive Beurteilung der KritisV zu gewährleisten.

So wurden offensichtliche Fragestellungen, wie Auswirkungen durch sektorübergreifende KRITIS Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen, nicht analysiert. Im Ergebnis werden z.B. Ver- und Entsorgungsbetriebe von Städten wie Bielefeld, Bonn, Münster, Karlsruhe, Mannheim, Augsburg, Wiesbaden, Braunschweig oder Aachen mit ihrer Einwohneranzahl weiterhin nicht zu kritischen Infrastrukturen gezählt.

Es wirkt eher, als habe das BMI das Feedback der Aufsichtsbehörden und des BSI eingesammelt und in ein Update einfließen lassen. Von einer Evaluierung ist weiterhin weit und breit keine Spur.

Allgemeine Änderungen

Unter Anlagen werden jetzt auch explizit „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Diese waren allerdings bereits zuvor relevant und wurden nur der Vollständigkeit halber ergänzt.

Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Denn eine Störung oder der Ausfall einer Anlage zieht mit hoher Wahrscheinlichkeit alle anderen Anlagen mit, so dass diese auch wie eine große Anlage zu sehen sind.

Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.

Details in den Sektoren

Sektor Energie

  • Stromerzeugungsanlagen sind im Schwellenwert von 420 MW auf 36 MW reduziert worden, somit werden weitere kleinere Anlagen aufgenommen. Mit dieser signifikanten Änderung des Schwellwerts wird einer Empfehlung der Bundesnetzagentur gefolgt.
  • Schwellwerte für zentrale Anlagen und Systeme für den Stromhandel wurden von 200 TWh/Jahr auf 3.700 TWh/Jahr angehoben. Dabei sind gleichzeitig aber Einschränkungen auf den „physischen kurzfristigen Spothandel im deutschen Markt“ entfallen. Laut Referentenentwurf wurden in diesem Bereich bisher keine KRITIS-Betreiber verzeichnet. Somit besteht hier wohl das Bestreben, weitere KRITIS-Betreiber zu erfassen.
  • Messstellen wurden als Kategorie ersatzlos gestrichen, da sie sich laut Evaluierung als nicht erforderlich herausgestellt haben. Eine weitere Begründung ist nicht ersichtlich.

Sektor Wasser

  • Stauanlagen wurden hinzugefügt.

Sektor Ernährung

  • Fuhrpark-, Hof- und Flottenmanagementsysteme wurden hinzugefügt.
  • ERP-, Warenwirtschaft und Lagerveraltungssysteme sowie EDI- Dispositionssysteme, Lieferanten- und Kundenstammdatensysteme finden beispielhafte Erwähnung als Konkretisierung.
  • Alkopops sind jetzt KRITIS, da Getränke mit einem Alkoholgehalt von bis zu 1,2 Volumenprozent in die Definition fallen.

Sektor IT und TK

  • Registrierungsstellen für Top-Level-Domains fallen jetzt explizit in die Definition, obwohl DNS-Server bereits in die Anlagenkategorie „DNS-Server“ fallen.
  • Der Schwellenwert für Internet Exchange Points (IXP) wurde von 300 auf 100 angeschlossene autonome Systeme herabgesetzt und die Beschreibung konkretisiert.
  • Der Schwellwert von Housing-Rechenzentren wurde von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung reduziert.

Sektor Gesundheit

  • Wareneingang, Lagerung und Warenausgang finden beispielhafte Erwähnung als Konkretisierung.
  • Im Laborinformationsverbund finden die Steuerung des Probentransports, die Kommunikation zum Auftragseingang und zur Befundübermittlung sowie der Betrieb eines Laborinformationssystems beispielhafte Erwähnung als Konkretisierung. Hier scheinen die Praxiserfahrungen der Pandemie-Situation eingeflossen zu sein.

Sektor Finanz- und Versicherungswesen

  • Lastschriften oder Zahlungsaufträge finden beispielhafte Erwähnung als Konkretisierung.
  • Das Erzeugen und Weiterleiten von Aufträgen zum Handel von Wertpapieren und Derivaten an einen Handelsplatz, der Handelsplatz selbst und sonstige Depotführungssysteme sind neu hinzugefügt worden.
  • „Ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsbezogenen Transferleistungen nach SGB II“ wurde hinzugefügt.

Sektor Transport und Verkehr

  • Es wurden die Flugsicherung und Luftverkehrskontrolle und das Flughafenleitungsorgan hinzugefügt.
  • Bei der Leitzentrale der Eisenbahn findet die Disposition von Personal und die Disposition des Wartungsbetriebs Erwähnung.
  • In der Seeschifffahrt findet die Disposition des Schiffsraums und die Leitzentrale der Binnenschifffahrt (nur Güterverkehr) als Konkretisierung Erwähnung. Neu hinzugekommen sind Umschlaganlagen in See- und Binnenhäfen, Hafenleitungsorgane (nur Güterverkehr) sowie Anlagen oder Systeme zur Abwicklung, Koordination, Steuerung und Verwaltung des übergreifenden Hafenbetriebs.
  • In Verkehrssteuerungs- und Leitsystemen finden Bundesautobahnen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und Informationssicherheit im Straßenbau Erwähnung.
  • Im kommunalen Straßenverkehr wurden Intelligente Verkehrssysteme hinzugefügt. Ebenfalls hinzu kommen Leitzentralen des ÖSPV, Anlagen oder Systeme zur Erbringung operativer Logistikleistungen und IT-Systeme zur Logistiksteuerung oder -verwaltung. Eine weitere Änderung wurde mutmaßlich durch die Berliner Verkehrsbetriebe (BVG) verursacht und ändert die Bemessungsgröße im ÖPNV von „Anzahl Fahrgäste/Jahr“ zu „Anzahl unternehmensbezogener Fahrgastfahren/Jahr“.
  • Auch neu hinzugekommen sind Bodenstationen eines europäischen Satellitennavigationssystems.
  • Es wurde konkretisiert, dass es sich um den deutschen Teil des Kernnetzes bei Schienennetzen und Stellwerken der Eisenbahn handelt.

Fazit

Wir begrüßen, dass einige Schwellenwerte herabgesetzt wurden und dadurch weitere Betreiber unter die BSI-Kritisverordnung fallen und durchaus einen großen Beitrag zur Versorgungssicherheit in Deutschland leisten. Zudem dürften die Konkretisierungen und ergänzenden Beispiele in den jeweiligen Sektoren insbesondere für die Betreiber eine Hilfe sein, wenn es um die Identifikation ihrer kritischen Anlagen und Dienstleistungen für die Versorgung Deutschlands geht.

Auf der anderen Seite ist das pauschale Festhalten an dem Regelschwellenwert von 500.000 Personen für uns weiterhin unverständlich, da somit weiterhin nicht einmal viele der deutschen Großstädte Berücksichtigung finden, z. B. im Bereich der Wasserversorgung. Wir fordern daher weiterhin, die Schwellenwerte öffentlich zu diskutieren und wissenschaftlich zu evaluieren. Dabei sind auch sektorübergreifende Kaskedeneffekte zu berücksichtigen.

Hier findet ihr die politischen Forderungen der AG KRITIS.

Blog der Republik – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Anlässlich eines Artikels vom Tagesspiegel zu wesentlichen IT Sicherheitsmängeln bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog der Republik einen Beitrag über den Sachstand in der Wasserwirtschaft gebracht. Darin sind auch unsere Evaluierungsforderungen und Teile eines Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio mit eingeflossen.

Auch die AG KRITIS, eine aus 40 IT-/Sicherheits-ExpertInnen bestehende verbandsfreie Arbeitsgruppe, erhebt starke Kritik an der Rahmensetzung durch die Bundesregierung. Die Experten schreiben „Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben. Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.“

Lebensraum Wasser – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Aufgrund eines Artikels vom Tagesspiegel wegen wesentlicher IT Sicherheitsmängel bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog Lebensraum Wasser einen Beitrag über die Wasserwirtschaft veröffentlicht. Darin wurden unsere Evaluierungsforderungen und Teile des Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio berücksichtigt.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Unsere Mitglieder einfachnurmark und TheC haben diese Einschätzung aus Sicht der AG KRITIS vorgenommen.

Die Bevölkerung erhält über Versorgungsunternehmen kritischen Dienstleistungen wie z. B. Energie, Wasser oder Gesundheitsversorgung.

Überschreiten diese Versorgungsunternehmen den in der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (KritisV) vorgegebenen Regelschwellenwert von aktuell 500.000 versorgten Personen, sind sie Betreiber einer kritischen Infrastruktur (KRITIS) im Sinne des BSI-Gesetzes (BSIG). Dadurch werden sie zur Umsetzung und Einhaltung von im BSIG geforderten Maßnahmen zum Schutz Ihrer Produktionsumgebungen verpflichtet.

Der Berliner Tagesspiegel berichtete erneut über unzureichend geschützte Wasserbetriebe:

Dabei wirft der Tagesspiegel auch die Frage auf, ob die Schwellenwerte noch zeitgemäß sind oder einer Evaluierung bedürfen. Auf diese Fragestellung gehen wir hier näher ein.

Nehmen wir beispielsweise die Größe von Städten in Deutschland als Maßstab, überschreiten in Deutschland nur 14 von 81 Großstädten den Schwellenwert von 500.000 Einwohnern. Dies sind bei insgesamt mehr als 2.000 Städten lediglich ca. 20% aller Einwohner. Der Überwiegende Anteil aller Bürger wird also von Unternehmen versorgt, die nicht verpflichtet sind, ihre Systeme und IT-Infrastruktur entsprechend der Anforderungen für KRITIS-Betreiber abzusichern.

Evaluierung längst überfällig

Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben.

Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Statt also die gesetzlich vorgeschriebene Evaluierungen vorzunehmen und damit einhergehend auch eine Berücksichtigung von Kaskadeneffekten zu analysieren, drückt das BMI lieber eine zweite Version des IT-Sicherheitsgesetzes durch, ohne die erste Version evaluiert zu haben.

Auch Mario Brandenburg MdB, der technologiepolitische Sprecher der Fraktion der Freien Demokraten im Deutschen Bundestag veröffentlichte ein entsprechendes Statement dazu.

Die AG KRITIS fordert daher das BMI auf, die gesetzlich vorgegebene Evaluierung der KritisV umgehend – und damit vor allem noch vor Verabschiedung des IT-Sicherheitsgesetz 2.0 – vorzunehmen, um den Gesetzesbruch abzustellen. Damit einhergehend ist die offensichtlich benötigte Senkung der Schwellwerte in Bezug auf effektiven Bevölkerungsschutz zu realisieren. Nur so kann die Versorgungssicherheit der Bürger in Deutschland gewährleistet werden. Selbstverständlich fordern wir auch, dass das BMI die Evaluierung unter Einbeziehung der in diesem Bereich aktiven Interessensvertretungen aus Wirtschaft und Zivilgesellschaft durchführt und das Ergebnis im Sinne einer lebendigen Demokratie veröffentlicht.