Der Notgroschen der Nation?
Autor: Carsten Gellert (Senior Consultant #FORTSCHRITT)
- 01.02.2023 -
Wieviel Geld haben Sie aktuell in bar in Ihrem Portemonnaie? Reicht es für einen Wocheneinkauf? Einen Haarschnitt? Oder nur eine Kugel Eis? Wie verloren wären Sie, wenn deutschlandweit digitale Zahlungsmethoden ausfallen und die Banken nicht in der Lage wären, Bargeld auszuzahlen?
Einige Menschen legen für solche Situationen immer einen „Notgroschen“ unters Kopfkissen. Auf globaler und politischer Ebene funktioniert dies nur selten. Hier bedeutet es, dass diese kritischen Infrastrukturen (=KRITIS), wie in unserem Beispiel der Ausfall von Banken, durch entsprechende Maßnahmen ausreichend vor Ausfällen, Angriffen oder Beeinträchtigungen geschützt werden müssen. Welche Maßnahmen dies sein können, welche gesetzlichen Vorgaben es gibt, welche Änderungen bzw. Erweiterungen im Jahr 2023 vorgesehen sind und was überhaupt zu diesen kritischen Infrastrukturen zählt, wird in folgendem Blogbeitrag erläutert.
Was sind KRITIS?
Definition. KRITIS – kritische Infrastrukturen, sind Anlagen, Systeme, Unternehmen oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung zentraler gesellschaftlicher Funktionen wie Gesundheit, Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind. Diese sind durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Eine Übersicht gibt die folgende Grafik des BSI[1].
Abb. 1: KRITIS-Sektoren
In § 10 Absatz 1 BSIG[2] wird auf branchenspezifische Schwellenwerte verwiesen, die für die jeweiligen Bereiche in der BSI-Kritisverordnung (BSI-KritisV) definiert sind. Demnach zählt z.B. nicht jeder Energieversorger automatisch zur kritischen Infrastruktur. Ein Versorger für Fernwärme zum Beispiel wird anhand einer Vielzahl von Kriterien kategorisiert und müsste u.a. mind. 250.000 angeschlossene Haushalte versorgen, um als kritische Infrastruktur zu gelten. Weitere Beispiele wären Flughäfen ab einer jährlichen Passagierzahl von 20 Mio. Passagieren oder ein Krankenhaus ab einer jährlichen stationären Fallzahl von 30.000 Patienten.
Relevanz. Der Ausfall oder die Beeinträchtigung einer kritischen Infrastruktur hat meist nachhaltig wirkende Folgen, bei denen beispielsweise Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit, des Verkehrs bzw. der Logistik oder andere dramatische Folgen eintreten können.
Vor diesem Hintergrund liegt im Rahmen des Mindestversorgungskonzepts ein großer Fokus auf der Resilienz der jeweiligen kritischen Infrastruktur, d.h. der Fähigkeit, Krisen – idealerweise durch eigene Mittel und Ressourcen – bewältigen zu können.
Was sind die gesetzlichen Vorgaben?
Diese Bedrohungslage hat der deutsche Staat ebenfalls für den Sektor Informationstechnik und Telekommunikation erkannt und hat neben dem o.g. BSIG weiterführende Gesetzesvorgaben im IT-Sicherheitsgesetz (IT-Sig)[3] festgehalten.
Die erste Version des IT-Sicherheitsgesetzes wurde 2015 beschlossen und beinhaltet unter anderem Vorgaben zur Prävention (§ 8a) und Reaktion (§ 8b) von und auf sicherheitskritische Vorfälle.
Neben den Anforderungen an Unternehmen hat sich das BSI selbst zur Aufgabe gemacht, alle KRITIS Unternehmen zu identifizieren.
Prävention:
Der Betreiber muss angemessene Maßnahmen treffen nach:
- Aktuellem Stand der Technik
- Branchenspezifischen Standards (z.B. B3S, ISO 27001)
Die Wirksamkeit der Maßnahmen muss regelmäßig überprüft werden, u.a. durch:
- Auditierungspflicht (alle 2 Jahre)
- Nachweispflicht gegenüber dem BSI
- Bei Sicherheitsmängeln Einbindung der zuständigen Aufsichtsbehörde
Reaktion:
- Im Falle eines Vorfalles/Findings muss das BSI eine Erstellung/Verteilung von Warnungen und Lagebildern vornehmen.
- Der KRITIS-Betreiber hat in diesem Fall die Meldepflicht von erheblichen Störungen/Informationsrecht
Übergeordnet hat sich das BSI sich selbst die Aufgabe und Verordnung zur Identifikation aller KRITIS Betreiber verschrieben.
Im Mai 2021 ist das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sig 2.0)[3] in Kraft getreten. Dieses konkretisiert die Anforderungen an die KRITIS-Betreiber und weitet diese aus. Des Weiteren wird hierdurch das BSI selbst gestärkt, indem es personell aufgestockt werden soll, um eine bessere Kontrolle der Einhaltung der Mindeststandards zu gewährleisten.
Sicherheit auch außerhalb der IT:
Es wurde in diesem Beitrag viel über IT-Sicherheitsgesetze, das BSI selbst, und allgemein viel über die Sicherheit in IT bzw. Informationstechnik geredet. Diese Wortwahl lässt schnell den Eindruck erwecken, dass es sich hauptsächlich um technische Maßnahmen und Probleme handelt.
Die Realität könnte jedoch nicht weiter entfernt von dieser Aussage sein. Ja, im Kern handelt es sich immer um IT-Systeme, die geschützt werden müssen. Computer sind zentrale Knotenpunkte z. B. für Stromverteilung, in Krankenhäusern, der Datensätze des Staates und zur Kommunikation. Aber in den Standards zur Sicherung dieser Systeme (z.B. BSI-Grundschutz auf Basis von ISO27001) wird viel Beachtung den nicht-technischen Themen geschenkt. So hat der BSI-Grundschutz neben anwendungsspezifischen Vorgaben auch Vorgaben für Personal, Organisation sowie Betrieb und Gebäude definiert. Die sich daraus ergebenen Maßnahmen müssen nicht immer technischer Natur sein. So ist es z.B. eine valide Lösung, ein Vier- oder Mehraugenprinzip bei der Zeichnung von Verträgen oder beim Einlass von Gästen in das Firmengebäude einzuführen. Ebenso können regelmäßige Personalschulungen oder Sicherheitszonen mit Zugangsbeschränkungen in Gebäuden sowie Background Check von Mitarbeitern oder externen Dienstleistern für zusätzliche Sicherheit sorgen.
Aktuelle Beispiele:
Um den letzten Absatz – es handelt sich bei IT Sicherheit nicht immer nur um IT Maßnahmen – zu unterstreichen, müssen wir in Deutschland aktuell gar nicht so weit in die Vergangenheit schauen. Allein durch die Omikron-Variante waren alle Betten in den Krankenhäusern belegt und die Pfleger, Krankenschwestern und Ärzte überarbeitet. Auch dies kann als (Teil-)Ausfall der kritischen Infrastruktur betrachtet werden, da es zu erheblichen Beeinträchtigungen im Gesundheitswesen kam. Aufgrund der angespannten Personalsituation konnten z. B. Operationen oft nicht wie geplant durchgeführt werden oder Patienten erhielten nicht die sonst übliche medizinische Versorgung. Die Krankenhäuser, waren in dieser Situation nicht in der Lage, diesen Zustand mit eigenen Mittel zu beheben. Neben anderen Risikofaktoren, gegen die bereits Maßnahmen für eine Resilienz aufgebaut wurden (bspw. Notstromaggregate bei Stromausfall oder Arzneiversorgung gegen Engpässe) bleibt das Personalwesen - genauer die Bereitstellung genügend qualifiziertem und geschultem Personals - ein neuralgischer Punkt im Gesundheitssektor. Um Einschränkungen und Behandlungsausfällen im Krankenhausbetrieb aufgrund personeller Engpässe entgegenzuwirken, bedarf es allerdings mehr als „nur“ gesetzliche Vorgaben. Vielmehr müssten grundlegende und umfangreiche Reformen angestoßen werden, welche die wesentlichen systemischen Schwachstellen adressieren (u.a. Attraktivität der Berufe, Arbeitszeitmodelle, Belastung, Bezahlung).
Des Weiteren ist das Unglück im Ahrtal ein Beispiel dafür, wie Warnsysteme, welche nach IT-Sig und Vorgaben aus Standards getestet und gewartet werden sollten, versagen können. Noch bis heute gibt es stellenweise Schwierigkeiten, in der betroffenen Gegend wieder eine funktionierende Infrastruktur für Verkehr, Versorgung und Sicherheit herzustellen.
Was passiert in 2023?
Zum Abschluss dieses Beitrages möchten wir Ihnen gerne noch einen kleinen Ausblick auf das Jahr 2023 geben:
Um der sich ständig ändernden Gefahrenlage und dem stetigen Ausbaus europaweiter Kooperationen gerecht zu werden, veröffentlichten das Bundesinnenministerium und das BSI vor kurzem das KRITIS-Dachgesetz[4], ein übergeordnetes Gesetzt, welches die Anforderungen an die Resilienz und physische Sicherheit noch weiter konkretisiert. Dieses Gesetz soll auch bereits Teile von angekündigten EU-weiten Regulierungen wie dem RCE/CER (Directive on the resilience of critical entities) beinhalten.
Da diese und weitere EU-Richtlinien in den nächsten Jahren in das nationale Recht überführt werden müssen, stehen die Chancen gut, dass wir durch all diese Neuerungen bereits ein IT-Sicherheitsgesetz 3.0 erhalten. Es bleibt allerdings abzuwarten, ob dieser erst Ende 2022 veröffentlichte Entwurf noch in diesem Jahr Inkrafttreten wird. Zur weiteren Diskussion wurde das Eckpunkte-Dokument des Dachgesetzes zumindest schon mal im Dezember 2022 freigegeben.[5]
Des Weiteren wurden Abfallentsorgungsunternehmen und Unternehmen mit besonderem öffentlichem Interesse (UBI: z.B. Rüstungsunternehmen, Dienstleister für die Verwaltung von geheimen und streng geheimen öffentlichen und militärischen Daten) zu den kritischen Infrastrukturen hinzugefügt.[6] Die Verordnungen hierfür sowie die Schwellenwerte befinden sich seit 2022 in der Erarbeitung und sollen im Jahr 2023 in einen ersten Referentenentwurf münden. Potenziell können die Ergebnisse und rechtlichen Änderungen hiervon also auch noch 2023 in Kraft treten. Als besonders schwierig/herausfordernd gilt hier die Definition und Festlegung von Schwellenwerten der UBI, da diese häufig auch in geheimen bis streng geheimen Rahmen arbeiten.
Resilienz ist nicht nur für KRITIS-Unternehmen wichtig
Bisher in diesem Blogbeitrag hauptsächlich auf KRITIS-Unternehmen eingegangen, da deren Resilienz einen besonders hohen Stellenwert in Bezug auf die Aufrechterhaltung unseres Alltags hat.
Abschließend sollte dennoch angemerkt werden, dass Anstrengungen zur Resilienz nicht nur von KRITIS Unternehmen unternommen werden sollten. Auch kleinere und mittelständische Unternehmen profitieren von einer Resilienz im Rahmen eines systematisierten Krisenmanagements/Notfallplans.
Während KRITIS-Unternehmen potenziell ökonomisch weniger gefährdet sind, da sich einige in öffentlicher Trägerschaft befinden oder durch Steuergelder finanziert sind, kann ein mittelständisches Unternehmen wirtschaftlich hart getroffen werden. Der Umfang an zu erwartenden geschäftsstabilisierenden Maßnahmen (Staatshilfen) kann wesentlich geringer ausfallen als bei einem Großkonzern und das Unternehmen in eine ernste Schieflage versetzen. Erst vor kurzem musste beispielsweise der Fahrradhersteller Prophete nach einem Cyberangriff Insolvenz anmelden[7]. Resiliente Strukturen und Prozesse können daher von zentraler/überlebenswichtiger Bedeutung für Unternehmen sein. Und die Vorgaben für KRITIS Unternehmen können hier als Wegweiser genutzt werden.
Wo können wir helfen?
Die #FORTSCHRITT Mitarbeiter bringen jahrelange Erfahrung im IT und Cyber-Security Projektumfeld mit. Mit dieser Erfahrung können wir Sie bei der Sichtung und Umsetzung von Maßnahmen zur Sicherung Ihres Unternehmens unterstützen.
-
[2] https://www.gesetze-im-internet.de/bsi-kritisv/
[3] https://www.bsi.bund.de/DE/Das-BSI/Auftrag/auftrag_node.html
[4] https://netzpolitik.org/2022/kritis-dachgesetz-innenministerin-faeser-will-kritische-infrastruktur-physisch-besser-schuetzen/, netzpolitik.org, 28.11.2022
[5] https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2022/12/kritis-eckpunkte.html, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
[6] https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-aktuell/KRITIS-Meldungen/221212-BSI-KritisV-Siedlungsabfallentsorgung.html, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
[7] https://www.radsport-news.com/markt/marktnews_132477.htm
-