KRITIS-Dachgesetz: Schutzvorhaben mit eklatanten Lücken
Der Entwurf des Dachgesetzes zum Schutz Kritischer Infrastrukturen liegt vor, doch viele Fragen bleiben unbeantwortet. Eine Analyse von Falk Steiner.
Wie lassen sich kritische Infrastrukturen (KRITIS) besser schützen? Für Bedrohungen auf digitalem Wege regeln das die Netzwerk- und Informationssicherheitsrichtlinie der EU, das BSI-Gesetz und die KRITIS-Verordnung. Doch nach den Anschlägen auf die Nordstream-Pipelines, den Vorkommnissen um die Glasfaser für die GSM-R-Steuerung bei der Deutschen Bahn, Klimaklebern auf Flughäfen und allgemein zunehmendem Wunsch nach Resilienz soll nun auch der Schutz jenseits der digitalen Komponenten erhöht werden. Das Bundesministerium des Innern hat deshalb seinen Referentenentwurf für das Gesetz zur Umsetzung der Richtlinie für kritische Einheiten und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) in die Ressortabstimmung gegeben. Jetzt müssen weitere Ministerien, Verbände und andere Interessenvertreter zu der Vorlage aus dem Hause Nancy Faeser Stellung nehmen. Doch der Entwurf lässt wichtige Fragen offen – und ist an vielen Punkten unklar.
2.000 Betreiber sollen Schutzmaßnahmen darlegen
Bereits im Koalitionsvertrag hatten die Ampelparteien sich auf einen besseren Schutz auch in anderen Gefahrendimensionen festgelegt. Ende Dezember hatte das BMI unter Innenministerin Nancy Faeser (SPD) dann erste Eckpunkte vorgelegt, wie der bessere physische Schutz gewährleistet werden könnte. Schon da zeichnete sich ab, dass vor allem die Wirtschaft selbst dafür Sorge tragen soll. In dem jetzt in die Ressortabstimmung gegebenen Referentenentwurf wird auf 20 Seiten Gesetzestext definiert, wie der bessere Schutz erreicht werden soll. Kern des Vorhabens ist die Verpflichtung von etwa 2.000 Betreibern Kritischer Infrastruktur zur Darlegung von Schutzmaßnahmen, wie sie im Fall von Ausfällen reagieren wollen. Das entspricht den bereits bislang unter die KRITIS-Verordnung im Cybersicherheitsrecht fallenden Menge an Unternehmen.
Mit dem KRITIS-Dachgesetz sollen kritische Einrichtungen aus den Bereichen Energie, Transport und Verkehr, Abwasser, Trinkwasser, Finanz- und Versicherungswesen, Gesundheit, Informations- und Telekommunikationstechnik, Verwaltung von Informations- und Kommunikations-Diensten (ITK) für Business-to-Business-Kunden oder Weltraum unter die Vorgaben fallen. Außerdem sollen bestimmte Arten von Logistik, Entsorgung, Produktion, Chemie, Ernährung und verarbeitendem Gewerbe, digitaler Dienste und Forschung unter das KRITIS-Dachgesetz fallen. Ein weiter Kanon, der nicht zuletzt auf den Kriterien der Richtlinie über Kritische Einrichtungen auf EU-Ebene (CER) fußt.
500.000 Versorgungseinheiten als Schwelle
Maßgeblich für das BMI ist, ob ein Anbieter die Schwelle von 500.000 Versorgungseinheiten überschreitet. Auch dies ist eine Anleihe aus der Cybersecurity-Regulierung - allerdings konnte das BMI bis zum Abend nicht erläutern, in welchem Zeitraum die 500.000 Versorgungseinheiten hier maßgeblich sein sollen. In der KRITIS-Verordnung für Cybersicherheit sind hier sektor- und anlagenspezifische, komplizierte Berechnungsformeln vorgesehen. Damit diese Betreiber dann resilienter werden, müssen sie Risikoanalysen anfertigen, die Risiken bewerten und entsprechende "Resilienzmaßnahmen" planen. Das schließt verschiedenste Maßnahmen ein, von der Notstromversorgung über Zugangsbarrieren bis zu Detektoren und Überwachungskameras.
Auch Versorgungsabkommen mit anderen Betreibern im Fall eines Ausfalls können dazu gehören. Zentraler Begriff im KRITIS-Dachgesetz ist dabei die "Wirtschaftsstabilität". In der EU-CER-Richtlinie heißt es hingegen, dass damit alle kritischen Einrichtungen geschützt werden sollen, die "für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind". Hier dürften also noch einige Diskussionen folgen, was besonders schützenswert ist. Der Grund für die Bedrohung ist für das KRITIS-Dachgesetz dabei nachrangig: ob Naturkatastrophe, Industriehavarie, Anschlag oder andere Szenarien – Betreiber sollen sich Gedanken machen müssen und Maßnahmen überlegen.
Doch bei den Konsequenzen zeigt der Entwurf, wie groß die Angst ist, der Wirtschaft damit zusätzliche Lasten aufzubürden. Denn mit dem nun geplanten Gesetz werden die Betreiber nur dazu verpflichtet, "geeignete und verhältnismäßige, technische, sicherheitsbezogene und organisatorische Maßnahmen" zu treffen. Sprich: Es darf abgewogen werden, was verhältnismäßig ist und was zu teuer oder zu umständlich ist oder gar Änderungen an Prozessen erfordern würde. Verhältnismäßig sei, wenn der Aufwand zu den Folgen angemessen sei, heißt es im Referentenentwurf des BMI. Noch gummiartiger wird die Verpflichtung dadurch, dass dabei der Stand der Technik eingehalten werden soll – nicht muss. Konsequenterweise kann das BMI derzeit auch noch keine Aufwände für die Verpflichteten berechnen – das werde zusammen mit dem Statistischen Bundesamt derzeit herausgefunden.
Ausweitung der "Chinaklausel"?
Eine Leerstelle bildet im Referentenentwurf noch der §13. Mit diesem soll eigentlich geregelt werden, welche Vorgaben für den Einsatz kritischer Komponenten bei den Betreibern kritischer Infrastrukturen gelten sollen. Bislang gibt es mit dem §9b im BSI-Gesetz eine Vorschrift, die beim geplanten Einsatz bestimmter Komponenten in Mobilfunknetzen dem Bundesinnenministerium ermöglicht, das zu untersagen – die sogenannte Chinaklausel. Denn was im Mobilfunk problematisch ist, ist in Energienetzen und anderen kritischen Infrastrukturen nicht weniger gefährlich. Doch hier wird sich erst im Zuge der Ressortabstimmung zeigen, ob und wie sehr die Bundesregierung tatsächlich bereit ist, Untersagungsmöglichkeiten einzuziehen. Dennoch ist es mit dem KRITIS-Dachgesetz unwahrscheinlich, dass bereits bestehende Verpflichtungen abgesenkt werden: Sektorspezifische Regelungen bleiben unberührt, heißt es im nun vorliegenden Entwurf. Das betrifft nicht zuletzt den Gesundheitssektor, die Energieversorger und die Finanzdienstleister.
Zusammenarbeit zwischen BBK und BSI geplant
Insgesamt versucht das Innenministerium die verschiedenen Bereiche mit dem Dachgesetz etwas enger zu verzahnen. Um einzelfallübergreifende Vorkommnisse besser zu identifizieren, soll deshalb das Meldewesen zentralisiert werden: Das Bundesamt für Bevölkerungsschutz und Katastrophenvorsorge (BBK) in Bonn soll mit dem BSI zusammenarbeiten und Meldungen für physische wie digitale Vorfälle gemeinsam entgegennehmen. Ein Schritt in die richtige Richtung, findet der Verband der Kommunalen Unternehmen (VKU): "Das deutet auf einen Paradigmenwechsel zu „ein Vorfall, eine Meldung“ hin: Wer attackiert wurde, versinkt dann nicht länger im Melde-Dschungel", sagt eine Sprecherin auf Anfrage von heise online. Im VKU sind viele der betroffenen Versorger organisiert. Außerdem, darauf ist man im BMI stolz, soll mit dem KRITIS-Dachgesetz möglichst wenig Papier produziert werden: Resilienzpläne und andere Dokumente sollen ausschließlich digital mit dem BBK geteilt werden.
Ein Streitpunkt der Vergangenheit wird mit dem Vorschlag für das KRITIS-Dachgesetz jedoch auf eigenwillige Art und Weise gelöst: Die Bundesländer sind in Deutschland grundsätzlich für den Katastrophenschutz zuständig. Die übertragen Teile der Zuständigkeit in der Regel auf Städte und Landkreise. Was sich am Beispiel der Flut an Ahr und Rur 2021 gezeigt hatte: dass die Koordinierung nicht so gut funktionierte, wie das eigentlich hätte sein müssen. Doch hier kann das KRITIS-Dachgesetz nichts bieten: Schon im Vorfeld hatten sich wichtige Bundesländer jede Einmischung in ihre unmittelbaren Kompetenzen verbeten. Der jetzt vorgelegte Vorschlag geht konsequent überhaupt nicht auf die Bundesländer ein, enthält ausdrücklich ein Vorhaben für eine Verordnung, für die es keine Zustimmung im Bundesrat benötigt. Dabei soll er ausdrücklich dem "All-Gefahren-Ansatz" folgen.
Eine weitere Schwachstelle des Gesetzentwurfes ist die Durchsetzung: Die CER-Richtlinie verlangt von den Mitgliedstaaten, dass die etwa "Vor-Ort-Kontrollen der kritischen Infrastruktur und der Räumlichkeiten, die die kritische Einrichtung für die Erbringung ihrer wesentlichen Dienste nutzt" einzuführen. Davon ist im KRITIS-Dachgesetz-Referentenentwurf aus dem Hause Faeser allerdings bislang nicht die Rede. Und auch die Frage, welche Strafen bei Nichtbefolgung drohen, ist vollkommen offen: Klar ist, dass es sich um Ordnungswidrigkeiten handeln soll, wenn Betreiber sich nicht an die Regeln halten. Doch wie hoch diese geahndet werden, ist noch offen – im Referentenentwurf fehlt der entsprechende Passus. Die CER-Richtlinie verlangt allerdings, dass Sanktionen "wirksam, verhältnismäßig und abschreckend sein" müssen.
Verpflichtungen erst ab 2026
Wer hofft, dass mit dem KRITIS-Dachgesetz nun schnell etwas geändert wird, dürfte enttäuscht sein. Aufgrund europarechtlicher Vorgaben muss das Gesetz zwar bis spätestens Mitte Oktober 2024 verabschiedet sein, doch die ersten Pflichten daraus sollen erst ab dem 1. Januar 2026 folgen – also in fast zweieinhalb Jahren. Ein besonderer Drahtseilakt für das federführend zuständige Bundesinnenministerium wird darin bestehen, im weiteren Verfahren kein neues Durcheinander zu schaffen. Denn parallel zum KRITIS-Dachgesetz wird auch die Umsetzung der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie kommen. Die Überarbeitung des BSI-Gesetzes und der KRITIS-Verordnung wird dort den Kreis der zum besseren Cyberschutz verpflichteten Organisationen von 2.000 – also jenen, mit denen Faesers Haus jetzt per KRITIS-Dachgesetz umfassende Resilienzpläne verordnen will – auf 15.000 bis 30.000 Stellen anwachsen. Wie das zusammenpasst, ist derzeit offen.
Für das weitere Verfahren gibt es viel zu diskutieren, sowohl mit den anderen Ressorts als auch mit dem Parlament. Der Druck auf die Innenministerin, endlich ein Gesetz vorzulegen, ist seit Monaten hoch, auch vonseiten der Ampelkoalition. Der Grünen-Innenpolitiker Konstantin von Notz kündigt auf Anfrage von heise online an: "Für uns ist es unter anderem zwingend, das bestehende Zuständigkeitswirrwarr beim Schutz unserer kritischen Infrastrukturen endlich aufzulösen, klare Verantwortlichkeiten zu schaffen und zu vermeiden, dass es durch noch mehr Akteure noch mehr Unklarheit gibt." Doch genau das scheint mit dem jetzt vorgelegten Entwurf keineswegs gewährleistet. Und auch ein zweiter Punkt, den von Notz für das weitere Verfahren einfordert, scheint zumindest noch einige Arbeit zu erfordern: Es benötige "zwingend Kohärenz mit den vorgelegten EU-Richtlinien." Der Referentenentwurf, der erst am Nachmittag überhaupt ans Parlament weitergeleitet wurde, wird absehbar noch intensiv diskutiert werden. Bis wann Nancy Faeser eine überarbeitete und ergänzte Fassung für das Kabinett vorlegen will, konnte das BMI bis zum Abend nicht mitteilen.
(mack)