Beiträge

Stellungnahme zur Technischen Richtlinie DE-Alert

Stellungnahme zur Entwurfsversion 1.1 der Bundesnetzagentur zur TR DE-Alert

Im Rahmen der Anhörung zur Technischen Richtlinie DE-Alert (TR DE-Alert) haben auch wir uns mit der neuen Entwurfsversion der Technischen Richtline (TR) DE-Alert beschäftigt und eine Stellungnahme mit konkreten Verbesserungs- und Optimierungsvorschlägen verfasst.

Diese Stellungnahme ist hier verlinkt und wurde von uns fristgemäß bei der Bundesnetzagentur eingereicht.

Wir bedanken uns herzlich bei unserem Mitglied Yves Ferrand für das Verfassen der Stellungnahme.

BMI rettet die fristgemäße Umsetzung des OZG durch schwächstmögliche Verordnung zur IT-Sicherheit

Das BMI hat nun endlich die Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (ITSiV-PV) erlassen. Diese Verordnung ist die Verordnung, die in §5 des Onlinezugangsgesetz versprochen wurde.

Am 20. September 2020 schrieben wir dazu noch:

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.
Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.
Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind? (Quelle)

Die Verordnung trat am 20.01.2022 in Kraft. Zu diesem Zeitpunkt waren 83% der Projektdauer bereits verstrichen und nur noch 345 Tage Zeit, bis die Umsetzung abgeschlossen sein muss.

Unsere früheren Befürchtungen, dass bereits entwickelte Software grundsätzlich geändert werden muss, sind nun nicht eingetreten – weil IT-Sicherheit so wenig und so schwach berücksichtigt wird, dass die halbherzige Umsetzung einiger weniger IT-Sicherheitsmaßnahmen nun effektiv auf Anfang 2024 verschoben wurde. Weiterlesen

Stellungnahme zur Entwurfsversion der Bundesnetzagentur zur TR DE-Alert

Im Rahmen der Anhörung zur Technischen Richtlinie DE-Alert (TR DE-Alert) haben auch wir uns mit der vorliegenden Entwurfsversion der Technischen Richtline (TR) DE-Alert beschäftigt und eine Stellungnahme mit konkreten Verbesserungs- und Optimierungsvorschlägen verfasst.

Diese Stellungnahme ist hier verlinkt und wurde von uns fristgemäß bei der Bundesnetzagentur eingereicht.

Wir bedanken uns herzlich bei unserem Mitglied Yves Ferrand für die umfangreiche Recherche- und Vorbereitung und bei diversen Mitgliedern für das Verfassen der Stellungnahme.

Stellungnahme zum Ausfall des Landesverwaltungsnetzes NRW

Am 18. November 2021 war Johannes Rundfeldt, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Landtag NRW zur öffentlichen Anhörung zum Antrag „Das Landesverwaltungsnetz weiterentwickeln, um der steigenden Bedeutung digitaler Verwaltungsprozesse gerecht zu bleiben“ geladen.

Neben der mündlichen Stellungnahme im Landtag haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Als Fazit kann festgehalten werden, dass es die Länder bisher versäumt haben, eine Gesetzgebung für den KRITIS-Sektor „Staat und Verwaltung“ zu erlassen. Dies ist umso mehr verwunderlich, da dies durch das IT-Sicherheitsgesetz und die BSI-Kritisverordnung schon seit Jahren für die anderen KRITIS-Sektoren gefordert wird.

Die Anhörung ist öffentlich verfügbar und kann hier abgerufen werden.

 

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.