Herr Wiesner, die AG Kritis kritisiert den neuen Entwurf zum IT-Sig 2.0 hart. Was ärgert Sie besonders an dem Papier?
An dem Papier selbst kritisieren wir insbesondere, dass es keine klare Linie gibt, die tatsächlich zur Erhöhung des IT-Sicherheitsniveaus bei kritischen Infrastrukturen führt. Vielmehr scheint es sich um ein buntes „Wünsch Dir was“ einzelner Behörden zu handeln, die teilweise sachfremde Themen eingebracht haben.
Ein weiterer großer Kritikpunkt ist, dass nach der Veröffentlichung des Referentenentwurfs am 2. Dezember zunächst lediglich vier Tage Zeit für Stellungnahmen gewährt wurden. Diese Frist wurde zwar nachträglich noch um drei Tage verlängert, eine Einbindung in das Gesetzgebungsverfahren sieht jedoch anders aus. Es scheint fast so, als wolle das Bundesministerium des Innern, für Bau und Heimat (BMI) gar nicht, dass die zivilgesellschaftliche Organisationen überhaupt gehört werden. Die zahlreichen handwerklichen Fehler und technischen Unzulänglichkeiten im Entwurf zeigen jedoch deutlich, dass dies bitter nötig ist!
Wer ist überhaupt die AG Kritis?
Wir sind ein unabhängiger und ehrenamtlicher Zusammenschluss von Expertinnen und Experten, die sich täglich beruflich mit kritischen Infrastrukturen beschäftigen. Dabei sind wir vollständig unabhängig von Staat und Wirtschaft und vertreten keine Interessen von Unternehmen oder Wirtschaftsverbänden. Bei der Entstehung des IT-Sicherheitsgesetzes können wir leider, wie so viele andere zivilgesellschaftlichen Organisationen mit anerkannten Kompetenzen auf diesem Gebiet, nur über unsere Stellungnahmen Einfluss nehmen, da wir nicht aktiv im Entwicklungsprozess eingebunden werden.
Sie kritisieren unter anderem, dass grundlegende Maßnahmen, wie die verpflichtende Einführung eines Informationssicherheitsmanagements (ISMS) nicht enthalten sind. Heißt das künftig entfällt ein ISMS für KRITIS-Bereiche. Oder wie ist diese Aussage zu verstehen?
Betreiber kritischer Infrastrukturen sind verpflichtet, IT-Sicherheit nach „Stand der Technik“ umzusetzen. Nachhaltig kann dies nur mit gleichzeitiger Einführung und Betrieb eines Informationssicherheitsmanagementsystems gewährleistet werden.
Grundsätzlich geht also nichts an einem ISMS vorbei. Es steht nur nicht explizit im Gesetz, sondern lediglich in Orientierungshilfen oder den branchenspezifischen Sicherheitsstandards (B3S). Wir hätten uns gewünscht, dass konkreter darauf eingegangen wird, da ein ISMS elementarer Bestandteil eines jedes IT-Sicherheitskonzepts ist.
Kritik gibt es an anderer Stelle von der AG KRITIS auch an den Schwellenwerten, was ist hier das Problem?
Die Schwellenwerte, ab wann eine Anlage zur kritischen Infrastruktur gezählt wird, wurden 2016 in der BSI-Kritisverordnung festgelegt und müssen gemäß § 9 alle zwei Jahre evaluiert werden. Diese Frist wurde inzwischen wiederholt versäumt.
Nehmen wir zum Beispiel die Wasserversorger: Hier liegt der Schwellenwert für die Versorgung von 500.000 Personen bei 22 Millionen Kubikmeter pro Jahr. Diese Menge wird nur von einem Bruchteil der Versorger erreicht, so dass der größte Teil nicht als kritische Infrastruktur gilt und dementsprechend auch nicht reguliert wird. Anstatt also – wie gesetzlich vorgesehen – Schwellenwerte zu evaluieren, wird ein unausgereifter Gesetzesentwurf vorgestellt.
Bei der Speicherung von Protokolldaten gibt es laut AG Kritis zwei Probleme: personenbezogene Daten dürfen laut Datenschützern nicht verwendet werden, damit ist der „Datenhaufen nicht mehr verwendbar“ zum anderen würde eine riesige Menge an Logdaten entstehen, die nur mit Großcomputern bewältigt werden können. Ist es hier überhaupt realistisch, dass diese Bestimmung in die Praxis umgesetzt werden kann?
Inwiefern personenbezogene Daten nicht verwendet werden dürfen, ist ja nicht abschließend geklärt. Eher sieht es so aus, dass man diesen Passus im „vorauseilenden Gehorsam“ eingefügt hat, um nicht mit dem Datenschutz zu kollidieren. Rein praktisch ist es allerdings so, dass anonymisierte Protokolldaten für den angestrebten Zweck der Angriffserkennung und -nachverfolgung völlig ungeeignet sind. Diese Daten sollen für vier Jahre gespeichert werden, was technisch entweder extrem aufwändig oder unmöglich ist.
Wenn man davon ausgeht, dass bei großen Betreibern mehrere Gigabyte oder sogar Terabyte Logdaten pro Tag anfallen, kann man sich vorstellen, von welchen Datenmengen wir hier in vier Jahren sprechen. Zusammengefasst handelt es sich also um eine ineffektive Forderung, die enorme Kosten verursacht. Genau so sollte IT-Sicherheit nicht umgesetzt werden.
Die AG Kritis sieht auch bei den verpflichtenden Systemen zur Angriffserkennung das Thema verfehlt, könnten Sie uns genauer erläutern, wieso?
Nicht in allen Bereichen von kritischen Infrastrukturen sind Systeme zur Angriffserkennung notwendig oder zielführend. Anstatt hier dem Betreiber die Wahl zu lassen, im Rahmen eines ISMS und auf Basis einer Risikoanalyse zu entscheiden, welche Maßnahmen zur Erhöhung der Sicherheit führen, gibt man hier konkrete technische Maßnahmen vor. Auch dies führt im Zweifel wieder nur zu hohen Kosten für die Betreiber – mit fragwürdigem Sicherheitsgewinn.
Welche Auswirkungen hätte das Gesetz, wenn es so am 18. Dezember verabschiedet wird, für Kritische Infrastrukturen? Und wie groß sehen Sie die Chancen, dass das Gesetz überhaupt zu diesem Zeitpunkt verabschiedet wird?
Nicht alles am Entwurf ist schlecht. Positiv sehen wir zum Beispiel die erhöhten Bußgelder. Damit wird das Thema sicher von einigen Betreibern etwas ernster genommen und führt hoffentlich auch tatsächlich zu einer Erhöhung der IT-Sicherheit. Ähnliche Entwicklungen konnte man ja bei Einführung der Europäische Datenschutzgrundverordnung beobachten. Oder auch die Aufnahme der Siedlungsabfallentsorgung als kritische Infrastruktur.
Wobei in diesem Kontext wiederum nicht nachvollziehbar ist, wieso der Sektor „Chemie“, der ein erheblichem Schadenspotenzial besitzt, weiterhin fehlt. Sicher würde das Gesetz in dieser Form für enorme zusätzliche Kosten für eventuell unnötige IT-Sicherheitsmaßnahmen bei den Betreibern sorgen. Warum es das BMI auf einmal so eilig hat, lässt sich nur mutmaßen: Die Legislaturperiode neigt sich dem Ende zu und neben dem IT-Sicherheitsgesetz 2.0 gibt es eine Vielzahl geplanter Änderungen an anderen Gesetzen, die insbesondere Sicherheitsbehörden viele neue Befugnisse geben. Hier scheint das BMI also noch einmal Gas geben zu wollen, bevor der Vorhang fällt.
Die Fragen stellte Stephanie Gust
