Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Kommentar zum NIS2- und Kritis-Debakel: Gehe zurĂĽck auf Los

Deutschland vergeigt die rechtzeitige Umsetzung der NIS2-Richtlinie – und versagt so beim Schutz kritischer Infrastrukturen in Zeiten hybrider Bedrohungen.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Mast einer Ăśberlandstromleitung mit stilisiertem Hintergrund und den sichtbaren Worten "Cyber Attack".

(Bild: Daniel AJ Sokolov / Bearbeitung heise online)

Lesezeit: 5 Min.
iX Magazin
Von
  • Manuel Atug
Inhaltsverzeichnis

Cybersicherheit und der Schutz von Kritischen Infrastrukturen (KRITIS) wie Kraftwerken, Krankenhäusern oder der Bahn sind ein ruhmloses Thema. Wenn man damit beschäftigt ist, muss das Hasenfell sehr, sehr dick sein. So etwa, wenn man lesen muss, dass die NIS2-Umsetzung und das Kritis-Dachgesetz in Deutschland gescheitert und auf unbestimmte Zeit nach der Bundestagswahl verschoben sind.

Manuel Atug

Manuel Atug ist Principal bei der HiSolutions AG mit den Schwerpunkten Informationssicherheit und kritische Infrastrukturen. Er gehört außerdem zu den Beratern des BSI für KRITIS und § 8a BSIG.

Gute Absichten ...

Dabei fing es so gut an. Die EU erkannte, dass global vernetzte Prozesse und "die zunehmende Digitalisierung aller Lebens- und daher Wirtschaftsbereiche zu einer höheren Anfälligkeit" führt und dass IT in kritischen Infrastrukturen und über diesen Tellerrand hinaus sogar in weiteren relevanten Unternehmen der Wirtschaft wesentlich ist. Es sollte also nicht weniger als eine "hohes gemeinsames Cybersicherheitsniveau" in der EU geben. Die NIS2-Richtlinie der EU wurde geschaffen und alle Mitgliedsstaaten mussten sie bis Oktober 2024 umsetzen.

Nun ist die Bedrohung durch Cyberangriffe keineswegs neu, aber manche Erkenntnis muss eben ausführlich reifen. Oder so hart durch organisierte Kriminelle, Geheimdienste und andere staatliche Akteure erzwungen werden, dass ein Verschließen der Augen vor der Realität nicht mehr wirkt.

Als wäre die Einsicht nicht Anlass genug zur Freude, gab es sogar die Erkenntnis, dass "sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren" weitere Maßnahmen erfordern. Kritische Infrastrukturen müssen daher zusätzlich zu den Cybersicherheitsvorgaben der NIS2-Richtlinie auch physische Schutzmaßnahmen einführen. Konsequenz: Die EU-CER-Richtlinie, die ebenfalls in allen Mitgliedsstaaten bis Oktober 2024 umgesetzt werden musste.

Sie fordert, dass kritische Infrastrukturen sich gegen naturbedingte, technische oder menschlich verursachte Risiken, also Extremereignisse durch Unfälle, Naturgefahren und gesundheitliche Notlagen, aber auch hybride Bedrohungen einschließlich terroristischer Straftaten aufstellen müssen. Denn die EU hat – im Gegensatz zu beispielsweise Trump – realisiert, dass ein erhöhtes physisches Risiko besteht "im Zusammenhang mit Naturkatastrophen und dem Klimawandel, der die Häufigkeit und das Ausmaß von Wetterextremen erhöht".

Okay, damals war ich platt und musste mich erst mal setzen. So viel Gutes für eine nachhaltige Versorgung der Bevölkerung auf einmal? Wo ist der Haken?

... und wie sie versanden

Die deutsche Politik, die Ressortabstimmungen und die Umsetzung in der Verwaltung sind der Haken. Daher wird daraus erst mal nichts. Alles vergeigt, da eine Einigung über mehrere Jahre nicht möglich war. Und jetzt sind NIS2-Umsetzung und Kritis-Dachgesetz erst mal gescheitert. Nach der Bundestagswahl muss es einen komplett neuen Anlauf zur Umsetzung geben.

Aber warum gescheitert? Sind die EU-Vorgaben zu streng, zu umfangreich, unklar oder umstritten?

Nein. Die Anforderungen sind klar geregelt und wurden in den beiden Gesetzesentwürfen im Wesentlichen übernommen. Natürlich hat man in Deutschland wieder Ausnahmeregelungen definiert, weil das zulässig war. So wurden alle KRITIS, die in so nebensächlichen Bereichen wie nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder für diese Behörden als Dienstleister agieren, komplett ausgenommen. Aber wir wollen nicht kleinlich sein.

Die wesentlichen Streitpunkte am Ende waren einige wenige, die mit der Sicherheit von kritischen Infrastrukturen nicht viel zu tun haben – außer, dass sie diese eher gefährden als schützen.

Mal wieder die Vorratsdatenspeicherung

So wollte die CDU gerne die Vorratsdatenspeicherung (VDS) drin haben. Warum? Weil sie eben wie immer gefordert werden muss. Aber die VDS findet jetzt ihren Heimatplatz im Sicherheitspaket, wo Massenüberwachung durch VDS, Gesichtserkennung und Bewegungsanalysen mittels KI und die Nutzung aller Daten, auf die Strafverfolgungsbehörden Zugriff haben, etabliert werden soll. Auch wenn das die Verfassung und der AI Act so nicht zulassen.

Die Bundes-CISO sollte eigentlich im Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Präsidentin Claudia Plattner aufgehängt sein, worüber sich die Zivilgesellschaft sehr gefreut hätte. Aber diese Macht wollte man lieber in das Bundesministerium des Innern und für Heimat (BMI) schieben. Mordor muss nun mal stabil bleiben.

Die Ampel wollte im Koalitionsvertrag das BSI noch "unabhängiger aufstellen" und "Schwachstellen immer schnellstmöglich schließen". Aber ein unabhängieres BSI würde die Macht des BMI ebenfalls reduzieren. Und statt der ursprünglich vorgesehenen Schließung von Schwachstellen fordert das DMI jetzt ein Schwachstellenmanagement – also Schwachstellen verwalten, statt sie zu schließen. Alle Behörden sollen Schwachstellen an das BSI zur Schließung melden, mit Ausnahme von Strafverfolgungsbehörden und Geheimdiensten – die sollen Schwachstellen bis zu ihrer Behebung ausnutzen dürfen. Das hilft unserer kritischen Infrastruktur natürlich ungemein, weil wir dann die Bösen da draußen in diesem Internetz, die uns ancybern, einfach wegcybern können.

Alles in allem ein trauriges Lagebild, was Deutschland in der Cybersicherheit und in der physischen Sicherheit von KRITIS abgibt. Die neue Regierung wird aufgrund der formalen Prozesse beide Gesetze frühestens im Herbst 2025 verabschieden können. Bis dahin wird fröhlich weitergecybert.

Online-Konferenz: NIS2 – was jetzt zu tun ist

Am 3. April erklären Manuel Atug und andere renommierte IT-Recht- und Sicherheitsfachleute, welche Unternehmen von NIS2 betroffen sind, was genau NIS2 und das deutsche NIS2-Umsetzungsgesetz fordern und welche Maßnahmen mit welchen Fristen umzusetzen sind. Berichte aus der Praxis zeigen, welche Fallstricke bei der Betroffenheitsprüfung und der Umsetzung im Unternehmen lauern. Dabei ist viel Raum für die Fragen der Teilnehmenden.

Weitere Informationen und Anmeldung unter: https://nis2.heise.de

(odi)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten