KRITIS-Dachgesetz – da werden noch Fragen kommen

Mit Arne Schönbohm, Professor im Fachbereich „Sicherheit in der Digitalisierung für Staat, Wirtschaft und Gesellschaft“ am Institut für Sicherheitsforschung der Hochschule Bonn-Rhein-Siegen, sprach Peter Niggl

Herr Schönbohm, in dem zur Verabschiedung anstehenden KRITIS-Dachgesetz sind die verschiedenen Bereiche der kritischen Infrastruktur im Einzelnen benannt. Die digitale Sicherheit jedoch soll alle diese Bereiche erfassen. Ist das überhaupt möglich oder ist zu befürchten, dass dessen Aufgabenstellung eher verschwommen verfasst wird?

Ich gehe davon aus, dass es für gewisse Abschnitte etwas allgemeiner gehalten sein wird. Mit der europaweiten Umsetzung der zweiten Fassung der Richtlinie zur Netzwerk- und Informationssicherheit – gemeinhin NIS2 genannt – müssen für diesen Bereich 23 Gesetze und Verordnungen geändert werden. Das greift auf alle Themen der Informationssicherheit zu. Damit hat man natürlich eine höhere Abstraktion, als man dies bei einer detail- oder spezialgesetzlichen Regelung machen muss.

Wie aber wird die Umsetzung dann aussehen? Die Sicherheitsanforderungen bei einem Lebensmittel Hersteller sind gewiss andere als bei dem Atomkraftwerk…

…welche wir ja nun nicht mehr haben. Aber das ist natürlich insgesamt ein wichtiges Thema. Es wird ja zunächst unterschieden zwischen besonders wichtigen und wichtigen Einrichtungen. Da werden verschiedene Kriterien zu einander abgewogen, wie zum Beispiel die mögliche Schadenshöhe und dergleichen mehr. Das Bundesamt für Sicherheit in der Informationstechnik hat einen ersten Katalog veröffentlicht, dem die möglicherweise vom Gesetz tangierten Unternehmen entnehmen können, ob sie betroffen sind oder nicht. Ich finde das ist eine sehr gute und wichtige Arbeit, die dort gemacht wurde.

Warum besteht ein solcher zeitlicher Druck zur Verabschiedung dieses Gesetzes?

Die Bundesrepublik Deutschland ist verpflichtet NIS2 bis zum Oktober dieses Jahres umzusetzen, im Falle, dass dies nicht geschieht, läuft sie Gefahr von der EU mit gewissen Strafzahlungen belegt zu werden. Das ist eben die Auflage, EU-Vorgaben in nationale Gesetze umzusetzen.

Liegt da nicht die Vermutung nahe, dass bei einem Gesetz, das eventuell voreilig verabschiedet wurde, ständig nachgebessert werden muss?

Das glaube ich nicht, das ist ein normaler Prozess. Es ist ja üblich, nach einer gewissen Zeit zu kontrollieren und zu überprüfen, ob und wo es Nachjustierungsbedarf gibt, ob die Vorgaben ausreichend sind oder nicht. Das ist eine Vorgehensweise die von wissenschaftlicher Seite immer wieder vorgeschlagen und auch gefordert wird.

Es heißt, dass ein Unternehmen mindestens für 500.000 Menschen relevant sein muss, damit es in den Geltungsbereich des KRITIS-Dachgesetz kommt. Muss das als absoluter Wert gesehen werden oder nur eine mehr oder minder grobe Vorgabe?

Die Werte hängen ab von dem Bereich in dem die kritische Infrastruktur tätig ist z.B. stationäre Behandlungen im Krankenhaus oder Anzahl der versorgten Einwohner. Es ist ja so, dass man den Rahmen definiert hat, der die Unternehmensbereiche umfasst, die als zur KRITIS gehörend gelten.

Ich will auf einen Teil der KRITIS eingehen, der sehr „zerstreut“ ist: Etwa 1.900 Krankenhäuser gibt es in Deutschland. Wie wird man künftig die Anwendungen der Bestimmungen des KRITIS-Dachgesetzes in diesem Bereich sicherstellen?

Krankenhäuser müssen, um zur KRITIS zu gehören, eine bestimmte Anzahl von Betten haben. Wenn eine Klinik diese Kriterien erfüllt, muss sie den Nachweis liefern, z.B. an das BSI, ob es die gesetzlich vorgegebenen Sicherheitsanforderungen erfüllt. Die Deutsche Krankenhausgesellschaft, der Dachverband der Klinik-Betreiber, hat einen sektorspezifischen Standard entwickelt und verabschiedet. An diesen sind die Krankenhäuser gebunden und zwingend gehalten, ihn zu implementieren. Solche Standards werden zum Beispiel mit dem BSI gemeinsam erarbeitet.

Für die kleinen Krankenhäuser gilt das allerdings nicht. Wenn zum Beispiel ein kleines Krankenhaus, mit relativ wenig Betten, ausfällt, ist die Möglichkeit gegeben, diesen Ausfall zu kompensieren.

Wäre ein Szenario denkbar, bleiben wir bei dem Beispiel der Krankenhäuser, dass eine große Betreibergesellschaft ihre einzelnen Häuser in separate Unternehmen aufteilt, um somit aus dem Geltungsbereich des KRITIS-Gesetzes herauszufallen?

Diese Gefahr sehe ich nicht. Es bliebe eine Gesellschaft, deren Tochterunternehmen eine gemeinsame Infrastruktur besitzen und untereinander vernetzt sind. Auch ein Verlegen des Hauptsitzes in ein nicht EU-Land ist keine Option, denn die Dienstleistungen müssen immer noch in Deutschland erbracht werden. Auch die anderen wirtschaftlichen Tätigkeiten – wie beispielsweise Lohn- und Gehaltsabrechnungen – werden weiterhin hier im Lande durchgeführt. Das wäre auch verwaltungstechnisch viel zu kompliziert.

Man muss eher einen ganz anderen Aspekt im Auge behalten. Es gibt beispielsweise große Universitätskliniken, die haben noch nicht einmal einen Sicherheitsbeauftragten, weil er Geld kostet oder schwer auf dem Markt zu bekommen ist. Wenn eine Klinik diese Stelle nicht eingerichtet hat, wer ist dann für die Informationssicherheit zuständig? Es muss dafür immer eine Person verantwortlich sein, kein Gremium oder etwas ähnliches. Eine Person, die auch ein bestimmtes Durchgriffsrecht hat. Wenn eine solche Stelle nicht vorhanden ist, dann ist es schon der erste sichere Indikator, dass die Informationssicherheit nicht gewährleistet ist. Wenn ein Sicherheitsbeauftragter vorhanden ist und dieser auch das notwendige Durchgriffsrecht hat, wird er darüber Rechenschaft abgeben müssen, welche Standards eingeführt werden und wie sein Sicherheitskonzept aussieht. Wenn ein solches Konzept fehlt, wird das als grob fahrlässig handelnd eingestuft.

Ein weiterer Aspekt, der meines Erachtens sehr wichtig sein wird, ist, wie setzt der Bund das Gesetz selber und wie setzen es die Länder und Kommunen um. Man muss wissen, dass Länder und Kommunen größtenteils von dem Gesetz ausgenommen sind, aber ich glaube, dass dem Bund, also dem Staat hier auch eine Vorbildfunktion zufällt. Es geht darum, nicht nur über die Sache zu sprechen, sondern Vorbild im Bereich der Informationssicherheit zu sein.

Wo wird es in der Einführung des KRITIS-Dachgesetzes knirschen und vielleicht auch dazu führen, dass der eine oder andere Unternehmer das Handtuch wirft?

Das ist eine der Gefahren die wir haben. Man muss natürlich schauen, welche Bürokratie würde durch diese Vorgaben auf Seiten der Unternehmen aufgebaut. Das gilt sicher vor allem für mittelständische Unternehmen, die einem Bereich abdecken, der für das Land kritisch ist, wo aber Verwaltungen aufgebaut werden müssen, mit Meldepflichten und sonstigen Spezifizierungen, die einfach zu viel sind für das, was man in diesem Bereich umsetzen kann. Das sind Fragen, die mit Sicherheit noch kommen werden.

Ein Punkt der alle IT-Anwender im Bereich des KRITIS Dachgesetz es rumtreiben dürfte: Wie will man den immer wieder neu erkannten Sicherheitslücken in der Software einen Riegel vorschieben?

Die Laufzeiten von Software sind durchaus erheblich unterschiedlich. Es gibt zum Teil Software die in der Industrie über zehn Jahre im Einsatz ist, bei unseren Handys ist sie im Grunde nach zwei Jahren absolut veraltet. Entsprechend ist es natürlich notwendig, regelmäßig die aktuellsten Sicherheitsupdates aufzuspielen, um die Angriffsmöglichkeiten so gering wie möglich zu halten.

Laut einem Bericht der BSI-Präsidentin, Frau Plattner, war die Anzahl der Sicherheitslücken in den Software-Anwendungen im vergangenen Jahr um 24 Prozent gestiegen. Über 2000 neue Schwachstellen wurden identifiziert. Und wenn sie von Angreifern ausgenutzt werden können, werden sie ausgenutzt. Ich will hier nur auf einen Bericht verweisen, den ich vor kurzem gelesen habe. Hier wird beschrieben, wie chinesische Hacker mit staatlichem Rückenwind auf die Suche nach solchen Schwachstellen gehen. Die Schwachstellen müssen den staatlichen Stellen gemeldet werden, um gewisse Vorzüge zu bekommen. Ob diese Schwachstellen dann aber tatsächlich geschlossen werden oder für andere Zwecke genutzt werden, lasse ich einmal dahin gestellt.

Ist ein Cyber-Angriff auf die Unternehmenssicherheit nicht oft auch eine Frage von Innentätern?

Das kann es geben, aber man müsste im Unternehmen einen Täter mit einem tiefen IT-Verständnis finden; ich glaube deshalb, dass es einfacher ist, ein Unternehmen von außen anzugreifen. Anders verhält es sich natürlich mit Mitarbeitern, denen Fehler unterlaufen, zum Beispiel im E-Mail-Verkehr. Dort geht es in erster Linie darum, sie entsprechend zu schulen und zu sensibilisieren.

Von welcher Seite drohen nun im Cyber-Bereich die größten Gefahren?

Hier stellt sich die Frage, welche Gefahren meint man? Also, wer ist der Angreifer. Da gibt es den Innentäter, der einfach frustriert ist und seine Wut und seinen Frust am Arbeitgeber auslässt. Stichwort ist dann eigentlich: Vandalismus am Arbeitsplatz. Dann gibt es die politischen Aktivisten. Ich nenne hier als Beispiel den Hambacher Forst, der für den Energieversorger RWE geräumt wurde, und dessen Netzwerke daraufhin angegriffen wurden und die Webseite teilweise ausfiel. Dann haben wir die „interessanteren“ Gruppen. Da ist zum einen die Kriminalität – vor allem die organisierte – zu nennen, die sich oft mit einfachen Mitteln, mit entsprechenden Bausteinen, das zusammenbasteln können, was sie für ihren Angriff brauchen. Hier kommt auch die Methode des Crime-as-a-Service als kriminelle Dienstleistung ins Spiel, die man sich beispielsweise im Darknet kaufen kann. Die Motive dieser Tätergruppe ist leicht zu definieren: Schnelles Geld machen. Hier gilt, dass ein erhöhtes Sicherheitsniveau der Verteidiger die Angriffe für Kriminelle unattraktiv macht.

Dann gibt es den zweiten großen Bereich, das ist der der Terroristen oder der feindlichen Akteure. Die sind in der Regel finanziell besser ausgestattet und haben auch ein größeres Potenzial an menschlichen Ressourcen. Das sind diejenigen, für die die kritische Infrastruktur ein besonders lohnendes Ziel ist, weil damit auch Macht demonstriert werden und die Bevölkerung verunsichert werden kann.

Das Bundesinnenministerium verweist in seinen Eckpunkten für das KRITIS Dachgesetz auf Sabotageakte und nennt dabei explizit die „Gaspipelines Nord Stream“, welche „die Verwundbarkeit der kritischen Infrastrukturen sowie die damit einhergehenden gesamtgesellschaftlichen Auswirkungen“ verdeutlichen. Gerade bei „Nord Stream“ aber ist immer wieder Kritik zu hören, dass die offiziellen Stellen zu wenig Nachdruck in die Aufklärung legen würden…

…da muss ich aber den Staat in Schutz nehmen. Erst unlängst hat der Generalbundesanwalt einen Haftbefehl gegen einen mutmaßlichen Täter erlassen, der jedoch den polnischen Ermittlungsbehörden entwischt ist und sich in die Ukraine absetzen konnte. Hier reden wir aber über einen physischen Angriff.