29: KRITIS 1: Was und warum sie so kritisch sind

LB29: KRITIS 1: Was und warum sie so kritisch sind (mit Manuel “HonkHase” Atug)

In dieser Folge, aufgenommen während des 36C3 in Leipzig, startet Frank mit Manuel „HonkHase“ Atug eine Serie von Folgen über Kritische Infrastrukturen („KRITIS“). Die beiden beleuchten, was KRITIS sind, warum und wie sie geschützt werden müssen, wer in diesem Bereich die Vorgaben macht und überwacht und schließlich was jede(r) einzelne tun kann, um sich auf Versorgungsausfälle und -engpässe vorzubereiten. Ein Thema, das uns alle angeht!

HonkHase ist Senior Manager der HiSolutions AG (spricht hier aber privat) und langjähriges aktives Mitglied im CCC, leitet die unabhängige Arbeitsgruppe „AG KRITIS“ und arbeitet seit „drölfzehn“ Jahren im Bereich KRITIS.

00:47: Vorstellung HonkHase

04:40: Was sind Kritische Infrastrukturen?

Frank zitiert § 2 Abs. 10 BSI-Gesetz (BSIG):

„Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“

Wir sprechen ausführlich über diese Definition und darüber, dass es außerhalb des BSIG weitere Bereiche gibt, in denen KRITIS existieren, z. B.:

Um das Ganze abzurunden und einen Blick in die Zukunft zu wagen, sprechen wir über den von netzpolitik.org geleakten Entwurf der Gesetzesnovelle zum ITSiG (ITSiG 2.0), der außerdem die Sektoren Entsorgung, Rüstungsindustrie und „Infrastrukturen im besonderen öffentlichen Interesse“ (von HonkHase liebevoll „IsböfI“ genannt) einführt. Um Missverständnisse zu vermeiden, grenzen wir den UP KRITIS (Zusammenschluss von KRITIS-Betreibern) vom UP BUND ab.

Ab 14:40: sprechen wir über die in der oben genannten Definition außerdem enthaltene Gemeinwohlschwelle (also die Frage, ab wann konkret eine Anlage/Einrichtung so bedeutend für das Gemeinwohl ist, dass sie KRITIS ist), die in §§ 2 bis 8 BSI-KRITIS-Verordnung (BSI-KritisV) geregelt ist und sich wie folgt berechnet: Man geht von einem Regelschwellenwert von 500.000 betroffenen Personen aus und multipliziert diesen Wert jeweils (also pro Bemessungskriterium je Anlagenkategorie der KRITIS) mit der Zahl der durchschnittlichen Berührungspunkte der Betroffenen pro Jahr, z. B, also mit der Zahl der Geldabhebungen, die im Durchschnitt pro Person im Jahr an Geldautomaten gemacht werden.

18:50 Die Akteure

Es sind viele … richtig viele.
Manuel HonkHase Atug

Wir sprechen zunächst über die zentrale Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI), auch im fragwürdigerweise nicht unabhängigen Verhältnis zum Bundesamt des Innern, für Bau und Heimat (BMI).

Das BSI ist nach § 8b BSIG vorrangig „zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik“, aber keine Aufsichtsbehörde (die sind branchen-/sektorspezifisch festgelegt). Da das BSIG in § 14 Bußgelder allein z. B. für unterlassene Meldungen definiert, ist es also möglich, dass nicht ausreichend geschützte KRITIS mehrere Bußgelder auslösen: nach § 14 BSIG und wegen Verstoßes gegen sektorspezifische Regelungen, z. B. in den BAIT.

30:00: Wir sprechen nun über die zahllosen weiteren Akteure (und die damit einhergehende Verantwortungsdiffusion), die dankenswerterweise vom Stiftung Neue Verantwortung e. V. seit einer Weile anschaulich (und trotzdem noch schwer verständlich) visualisiert werden.

35:18: Welche Pflichten sind nach § 8a Abs. 3 BSIG definiert?

KRITIS-Betreiber treffen im Wesentlichen fünf Pflichtenkreise:

  1. IT-Sicherheitsmaßnahmen ergreifen (angemessen, branchenspezifisch; wir sprechen auch über die Rolle des Begriffs „Stand der Technik“)
  2. Ziel: Vermeidung von Versorgungsausfällen/-engpässen
  3. Nachweis der Einhaltung dieser Anforderungen alle zwei Jahre
  4. Meldung von außergewöhnlichen IT-Sicherheitsvorfällen an das BSI
  5. Berücksichtigung der BSI-Warnungen und -Lagebilder

Wir sprechen darüber, warum die Verfügbarkeit von KRITIS so wesentlich ist und was sie bei Audits und im Umgang mit KRITIS bedeutet.

„Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Frank fügt kurz an, dass § 8a BSIG ähnlich formuliert ist wie Art. 32 DSGVO (dort für personenbezogene Daten), mit dem Unterschied, dass in Art. 32 von Maßnahmen und nicht von Vorkehrungen gesprochen wird.

Ab 42:40 sprechen wir darüber, wie gut KRITIS-Betreiber regelmäßig bzgl. IT-Sicherheit aufgestellt sind („genau … nicht gut“), und HonkHase gibt einen groben Überblick über die Komplexität und die zugehörigen Ursachen dafür:

  • Die verwendeten Systeme sind uralt, Anbieter existieren teilweise nicht mehr (insolvent oder mehrfach übernommen).
  • Vernetzung von Komponenten: Man erweitert Altsysteme, die nie für eine IP-Netzwerkanbindung spezifiziert oder vorgesehen waren, mit Netzwerkschnittstellen-Adaptern und Protokoll-Konvertern, um sie zu vernetzen und über das Internet zu automatisieren bzw. per B2B-Kommunikation Businessprozesse zu optimieren. Darüber hinaus werden deren genutzte Protokolle, die ebenfalls nie für IP-Kommunikation oder Kommunikation mit vielen Teilnehmern vorgesehen waren, an Netzwerke und das Internet angebunden. Dabei tritt die IT-Sicherheit oft völlig in den Hintergrund oder war nie vorgesehen bzw. berücksichtigt.
  • Zentralisierung: Durch die fortschreitenden Zentralisierung werden immer mehr Komponenten an externen Standorten über das Internet angebunden, zentral überwacht (Monitoring) und per Fernwartung administriert und verwaltet.
  • Globalisierung
  • Veränderungen von KRITIS-Komponenten können zur Haftung der verändernden Person führen; deshalb scheuen viele Veränderungen.
  • Zertifizierungen von Komponenten führen dazu, dass man den zertifizierten Zustand ungern verlässt, weil ansonsten die Zertifizierung verloren geht.
  • Safety (Arbeitssicherheit): Ggf. nötige oder ratsame Vorschriften zur Arbeitssicherheit können dafür sorgen, dass man hiervon nicht abweichen möchte.
  • Spionage
  • Hackback” (politisch auch "aktive Cyber-Abwehr" genannt, also nachrichtendienstliche oder militärische Gegenschläge, die KRITIS lahmlegen). ZCO (mittels sogenannter “Cyber-Wirkketten”)

Diese komplexen Ursachen werden wir aus Zeitgründen in einer gesonderten Legal Bits-Folge behandeln.

53:20: Wir sprechen darüber, wie der Umgang mit dem BSI in der Praxis aussieht. HonkHase betont, dass das BSI regelmäßig als Ansprechpartner und Helfer zur Verfügung steht und Lösungen mitgestaltet.

Ab 55:20 sprechen wir über die Allianz für Cybersicherheit (ACS) des BSI.

Ab 59:12 thematisieren wir, wie die aktuell geschätzt knapp 2.000 KRITIS-Betreiber ihrer Pflicht zum Nachweis der Einhaltung ihrer Sicherheitspflichten nach § 8a Abs. 3 BSIG nachkommen (Anm. Sicherheitsaudits, Prüfungen oder Zertifizierungen) und wie das personell zu stemmen sei.

Wir sprechen auch darüber, wie BSI-Grundschutz und ISO 27001 als Basis für den Nachweis hergenommen werden können, was dabei aber berücksichtigt werden muss, weil KRITIS einen andere Prüfsicht erfordert (nämlich wie gesagt die Vermeidung von Versorgungsausfällen oder -engpässen).

69:20 Warum sind KRITIS so kritisch, und wie kann man als Bürger damit umgehen?

HonkHase schildert zunächst das Mobile Incident Response Team (MIRT) des BSI und dann die Entstehung und Aktivität der AG KRITIS, die ursprünglich im CCC entstanden ist, sich zwischenzeitlich aber emanzipiert auch vom CCC unabhängig gemacht und somit in den Dunstkreis der NGOs herausgelöst hat.

74:40: Ab hier nun tatsächlich zum Thema: Warum sind Kritische Infrastrukturen so kritisch? HonkHase schildert potenzielle Kettenreaktion und die Betroffenheit der Bevölkerung. Als Beispiel nehmen wir einen Stromausfall und sprechen auch über die Schwellenwerte für die Sicherheitsabschaltung von Umspannwerken und darüber, wie nah man in Deutschland und anderen Länder in der jüngeren Vergangenheit an großflächigen Stromausfällen waren.

88:55 Fazit

Frank äußert seine Überraschung darüber, wie kritisch KRITIS sein können, und seinen Respekt vor dem BSI.

HonkHase plädiert dafür, sich auf Versorgungsausfälle vorzubereiten bzw. sich entsprechend (z. B. über die Standorte von Trinkwasserversorgung im Notfall und die o. g. BBK-Notfall-Checkliste ) zu informieren. Lasst uns gemeinsam daran arbeiten, dass wir Ausfällen zusammen besser begegnen können!

Unser Ausblick auf weitere geplante KRITIS-Folgen zu Legal Bits:

  • Wie auditiert man KRITIS?
  • Was sind die Ursachen für schlecht geschützte KRITIS?
  • Hackback - Was wollen Militär und Geheimdienste von KRITIS?

Feedback und Wünsche zu weiteren KRITIS-Themen gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @ra_stiegler und @HonkHase oder gerne auch an @AG_KRITIS!

Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.


© Stiegler Legal