Beiträge

Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 – Update vom 30.06.2021

Update vom 30.06.2021: Mit weiteren UnterzeichnerInnen geht der offene Brief in eine zweite Runde.

Die AG KRITIS hat den offenen Brief zur Cybersicherheitsstrategie für Deutschland 2021 mitunterzeichnet, um ein Zeichen für die Zivilgesellschaft und die kritischen Infrastrukturen zu setzen.

Hier findet ihr darüber hinaus die politischen Forderungen der AG KRITIS.

Fristverlängerung für die Bewertung der Cybersicherheitsstrategie 2021

Das Bundesministerium für Inneres, Bau und Heimat (BMI) lässt zur Bewertung der Cybersicherheitsstrategie 2021 lediglich eine Woche Zeit. Die Frist für die Abgabe der Kommentierungen wurde vom BMI auf den 16.06.2021 festgelegt, die Veröffentlichung der Strategie erfolgte am 09.06.2021  Aus nicht öffentlichen Quellen wurde uns zugetragen, dass eine Ressortabstimmung entweder nicht geplant oder noch nicht durchgeführt wurde.

Im Regelfall erfolgt die Beteiligung der Zivilgesellschaft erst nach der Ressortabstimmung – wir sind daher über diese frühe Einbindung der Zivilgesellschaft erstaunt, würden uns aber wünschen, dass insbesondere das BMJV im Rahmen der Ressortabstimmung die bürgerrechtsfeindlichsten Abschnitte entfernt hätte, um der Zivilgesellschaft etwas davon abzunehmen.

Vor dem Hintergrund der deutlichsten Kritik aller Wirtschaftsverbände und zivilgesellschaftlichen Initiativen an den extrem kurzen Fristen rund um das IT-Sicherheitsgesetz 2.0 und den vergleichbar kurzen Fristen bei anderen Vorhaben des BMI im Jahr 2020 und 2021 kann leider nicht von einem lernfähigen BMI gesprochen werden.

Eine bisher äußerst flüchtige Bewertung der CSS 2021 kommt zum gleichen Ergebnis – relevante wissenschaftliche Erkenntnisse zur IT-Sicherheit und Cyberstrategie verschiedener staatlicher Stellen wurden nicht berücksichtigt – auch hier drängt sich uns die Vermutung auf, dass das BMI weder wissenschaftlich-fundiert arbeitet, noch lernfähig oder lernwillig ist.

Wir werden eine detaillierte Stellungnahme bis 07. Juli 2021 einreichen – Dies entspricht vier Wochen Kommentierungsfrist. Wir halten diese vier Wochen für angemessen, da das BMI auf kleine Anfragen regelmäßig die gleiche Frist zur Beantwortung erbittet.

Mit dem Wissen, dass die Beamten im BMI für ihre Tätigkeit bezahlt werden, wir unsere Bewertungen allerdings im Ehrenamt durchführen, halten wir es für angemessen, uns für die Bewertung dieses umfassenden Dokumentes die selbe Frist zu beanspruchen, die das BMI für die Beantwortung parlamentarischer Fragen beansprucht.

Hierzu hat die AG KRITIS auch einen offenen Brief der Gesellschaft für Informatik mit unterzeichnet, der „Angemessene Fristen statt Scheinbeteiligung“ fordert.

IT-Sicherheitsgesetz 2.0 – vierter Entwurf: Jetzt vom BMI nur noch 24h Zeit zur Kommentierung

Das BMI hat eine neue Version des IT-Sicherheitsgesetz 2.0 an die Verbände zirkuliert – diesmal von heute morgen (09.12.2020), exportiert um 10:15 Uhr. Laut mehreren Tweets soll die Frist für die Beteiligung nur noch bis morgen um 14:00 laufen – also etwas über 24h.

Vor dem Hintergrund der Montag veröffentlichten „Berlin Declaration“ des BMI, in der es heißt:

„a commitment to the vital role of public administration in digital transformation based on fundamental democratic values, ethical principles and active involvement of civil society by EU member states“

ist diese Frist ein Schlag ins Gesicht der Zivilgesellschaft. Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird. Gerade in der für die meisten Menschen stressigen Vorweihnachtszeit für die Bewertung der umfassenden Änderungen nur 24 Stunden Zeit zu lassen, zeigt allen denjenigen, die sich dienstlich oder ehrenamtlich für eine Verbesserung der IT-Sicherheit einsetzen, dass ihre Meinung, Bewertung und demokratische Teilhabe unerwünscht ist.

Die AG KRITIS stellt hierzu fest: Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!

Auch bei der Veröffentlichung des dritten Entwurfs gab es zuerst nur 2,5 Werktage Zeit für die Bewertung – nach einem Aufschrei auf Twitter hat das BMI dann kommentarlos die Frist auf 5 Werktage geändert und später von einem redaktionellen Fehler gesprochen – ob eine kommentarlose Fristverlängerung jetzt auch passieren wird, bleibt abzuwarten.

Die kurze Frist legt nahe, das trotz durchgängig kritischer Stimmen durch alle Bundesverbände und Interessensvertretungen hinweg, das IT-Sicherheitsgesetz 2.0 noch unbedingt am 16. Dezember durch das Kabinett beschlossen werden soll.

Wir konnten bestätigen, dass die in diesem Tweet verlinkte Version des IT-SiG2-RefE4 der heute morgen veröffentlichten entspricht:

Hier wird die dritte und die vierte Version des IT-Sig2.0 verglichen: https://draftable.com/compare/lupgBxkcRtAd  

Aufnahme im Nationalen Pakt Cybersicherheit

Das Bundesministerium des Inneren für Bau und Heimat hatte sich vorgenommen, einen Katalog aller Akteure zu erstellen, die im Bereich der Cybersicherheit in Deutschland aktiv sind.

Bislang fehlt jedoch ein vollumfassendes Bild aller Akteure und Initiativen in Deutschland, die sich tatsächlich mit dem Thema befassen, Informationen, Hilfestellungen, Dienstleistungen und Produkte anbieten oder forschen und entwickeln. Die Weiterentwicklung der Cybersicherheit auf gesamtgesellschaftlicher Ebene erfordert eine Berücksichtigung aller Interdependenzen als Ausgangsposition, welche nur eine ganzheitliche Perspektive liefern kann

Wir freuen uns sehr darüber, dass wir in diesem offiziellen Katalog aufgenommen wurden und bieten unser Fachwissen auch weiterhin allen Interessierten Personen, Organisationen, Institutionen und Behörden in Politik, Forschung, NGOs, Zivilgesellschaft und Wirtschaft an, wenn dies einer Steigerung der Versorgungssicherheit oder (Cyber-)Resilienz unserer kritischen Infrastrukturen zugute kommt.

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier: