NIS-2 kommt näher: Staatlich weggecybert oder komplett abgesichert?

Nach der Ankündigung des Bundeskanzlers, die Vertrauensfrage zu stellen, liegen viele Gesetzesvorhaben auf Eis. Im Fall der EU-Richtlinie NIS 2 besteht jedoch weiterhin fraktionsübergreifend große Einigkeit, dass die nationale Umsetzung dringend erforderlich ist. Im Tagesspiegel Background sicherte Daniela Kluckert – ehemalige Staatssekretärin im BMDV – trotz der veränderten Lage eine konstruktive Zusammenarbeit der FDP zu.

Der hohe Anspruch der europäischen NIS-2 Richtlinie, die in der deutschen Umsetzung "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)" – kurz NIS2UmsuCG – heißt, hat sich schon vor der Anhörung am 4. November 2024 in einem Prüfbericht des Bundesrechnungshofes als "Flickenteppich" dargestellt. Der Bundesrat hatte dazu trotzdem nichts anzumerken und hat den Gesetzesentwurf wortlos in 1 Minute und 1 Sekunde durchgewunken. Viele Stellen signalisieren, den Entwurf durchzubringen.

Manuel Atug

Manuel Atug ist Principal bei der HiSolutions AG mit den Schwerpunkten Informationssicherheit und kritische Infrastrukturen. Er gehört außerdem zu den Beratern des BSI für KRITIS und § 8a BSIG.

Sowohl die Anhörung als auch die eingereichten Stellungnahmen lohnen sich, wenn man einen Überblick über den desolaten Zustand der Cybersicherheit in Deutschland erhalten möchte. Aber Vorsicht, das macht keine gute Laune. Auch die Sachverständigen waren sich unisono einig. Aber eher darin, dass Deutschland durch diese Gesetzgebung völlig unzureichend agiert oder abgesichert wird. Einig war man sich darüber hinaus auch, dass das Gesetz zügig kommen sollte, damit wir überhaupt mal einen Schritt weiterkommen. Zumindest die, die dabei sein durften. Von einigen Sachverständigen wurde angemerkt, dass die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Louisa Specht-Riemenschneider, gar nicht erst zu der Anhörung eingeladen wurde. Kritik, auch von dieser Seite, ist offenbar unerwünscht.

Weitere Nebenkriegsschauplätze wie das sogenannte Schwachstellenmanagement, also die Schwachstellen zu verwalten, anstatt diese zu schließen, wurden angesprochen. Dieses stammt aus dem Koalitionsvertrag, wurde sogar in der "Arbeitsgruppe BSI" debattiert und sollte auch noch in das Gesetz mit rein, aber eine Lösung steht derzeit immer noch aus. Es wird also hinter den Kulissen weiter um unsere Cybersicherheit gezockt. Und wenn wir Pech haben, wird das Ganze dann erst im letzten Moment integriert und dann schnell abgesegnet.

Vor allem wurden von den Sachverständigen die umfassenden Ausnahmeregelungen für staatliche Verwaltungen und Bereiche auf allen Ebenen beanstandet. Diese Kritik kommt eigentlich aus allen Ecken des Landes, verhallt aber weiterhin erfolglos bei der Bundesregierung und dem Bundesinnenministerium. Auch die unabhängige AG KRITIS hat das in ihrer Stellungnahme ausführlich dargelegt:

Damit unterliegt die Verwaltung insbesondere des Bundes wieder zahlreichen Sonderregelungen und die Verwaltungen auf kommunaler und Bundeslandebene werden vollständig außen vor gelassen und überhaupt nicht adressiert. Dies ist im Hinblick auf die vielen und teilweise sehr weitreichenden Cybersicherheitsvorfälle wie Landkreis Anhalt-Bitterfeld oder SIT.NRW (über 100 Kommunen waren monatelang betroffen und faktisch handlungsunfähig!) nicht mehr nachvollziehbar. Offensichtlich soll der Jahrzehnte gepflegte Investitionsstau weiterhin aufrecht gehalten werden.

Böse Zungen haben schon verlauten lassen, dass es sich nicht um einen Investitionsstau handelt, denn dazu hätten Investitionen überhaupt erst mal stattfinden müssen.

Ausnahmen als Regelfall

In § 37 Ausnahmebescheid wird ein Großteil der Funktionsfähigkeit eines souveränen Staates gleich ganz ausgeklammert. Das Bundesinnenministerium, das Bundeskanzleramt, das Bundesjustizministerium, das Verteidigungsministerium, das Bundesfinanzministerium und die Innenministerien der Bundesländer können besonders wichtige Einrichtungen oder wichtige Einrichtungen ganz oder teilweise von diesem Gesetz ausnehmen.

Auch alle Einrichtungen, die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen können dadurch von den Risikomanagementmaßnahmen nach § 30 und den Meldepflichten nach § 32 befreit werden.

Und auch alle Einrichtungen, die ausschließlich für Behörden, die Aufgaben in relevanten Bereichen erfüllen, tätig sind oder Dienste erbringen, können von den Risikomanagementmaßnahmen nach § 30 und den Meldepflichten nach § 32 befreit werden.

In bewährter Tradition (IT-SiG 1.0 und IT-SiG 2.0) sollen also weiterhin große Teile des Sektors Staat und Verwaltung (einschließlich aller ca. 11.500 Kommunen und ca. 300 Landkreise) außen vor gehalten werden, wenn es um Cybersicherheit geht.

Physische (Un-)Sicherheit

Das Kritis-Dachgesetz (KritisDG) zum physischen Schutz der kritischen Infrastrukturen geht in den aktuellen Gesetzesentwürfen konsequent mit und ist darüber hinaus nicht gut auf den Gesetzesentwurf des NIS2UmsuCG harmonisiert worden. So wird im KritisDG § 22 Ausnahmebescheid aktuell so ziemlich alles ausgeklammert, was sich ausklammern lässt:

"Betreiber kritischer Anlagen, die

1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten tätig sind oder
2. für Behörden, die Aufgaben in den in Nummer 1 genannten Bereichen erfüllen, tätig sind,

können für diese Tätigkeiten von den Verpflichtungen [...] befreit werden."

Übrigens sind nach KritisDG derzeit als "Einrichtungen der Bundesverwaltung" lediglich "das Bundeskanzleramt, die Bundesministerien und die Beauftragte der Bundesregierung für Kultur und Medien" definiert. Muss dann ja auch reichen.

Die angedachte Gesetzgebung zur physischen Sicherheit von kritischen Infrastrukturen benötigt daher ebenfalls umfassende Überarbeitung.

Aber zurück zum NIS2UmsuCG. Wir halten fest, dass wir nach derzeitiger Entwurfsfassung offenbar nur die durch die EU erzwungenen Cybersicherheitsmaßnahmen für Deutschland minimalistisch umsetzen (1:1 Umsetzung) und vermeiden jedwede weitere Möglichkeit der Cyberresilienz oder Cybersicherheitsstärkung.

Generell ist auch die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weiterhin Streitthema. So wird das BSI nach und nach zerrieben an den Interessenkonflikten. Zum einen steht im Koalitionsvertrag, dass das BSI unabhängiger werden soll. Zum anderen möchte das BMI sich in diesem Punkt offenbar nicht bewegen und Macht abgeben. Der CISO Bund könnte im BSI platziert werden. Idealerweise ist dieser aber auch vom Bundesministerium des Innern und für Heimat (BMI) unabhängig und wäre daher beispielsweise besser im Bundeskanzleramt als Stabsstelle zu verankern. Allerdings ist das derzeit irrelevant. Denn dieses Amt ist im aktuellen Gesetzesentwurf weder mit angemessenen Aufgaben noch mit angemessenen Befugnissen ausgestattet. Eine Kontrollinstanz mit Möglichkeiten, tatsächlich zu wirken, gibt es daher derzeit eher nicht.

Die "Geschäftsleitungen" der Bundesverwaltung werden übrigens durch Verschachtelung der Gesetze von den mit der NIS2-Regulierung eingeführten Billigungs-, Überwachungs- und Schulungspflicht von ihrer Verantwortung befreit. Sie erhalten zwar Pflichten, aber es werden keine Haftungsregelungen vorgesehen. Ohne drohende negative Konsequenzen ist der Handlungsdruck bei den agierenden Personen allerdings begrenzt.

Das passt zu den Regelungen, dass das BSI keine ausreichenden Durchsetzungsbefugnisse gegenüber den Stellen des Bundes haben soll. Das BSI darf zwar grundsätzlich auch hier Audits und Prüfungen durchführen und daraus Maßnahmen und Anweisungen ableiten. Aber das hängt von der tatsächlichen vorgenommenen Prüf- bzw. Kontrolldichte ab. Schon jetzt ist absehbar, dass das BSI keine ausreichenden Ressourcen für alle Aufsichtsaufgaben erhalten wird. Daher müssten regelmäßige Kontrollen dieser Einrichtungen nicht nur zu den Befugnissen des BSI gehören, sondern zu den Pflichtaufgaben. Darüber hinaus sollte das BSI sowohl gegenüber der Bevölkerung als auch gegenüber dem Parlament Klarheit darüber verschaffen, indem es regelmäßig darüber unterrichtet. Aber auch diese Maßnahmen für den Schutz der Stellen des Bundes sind nicht vorgesehen.

Es fehlen mit dem NIS2UmsuCG weiterhin klare, bundeseinheitliche Regelungen für öffentliche IT-Dienstleister auf allen Ebenen. Auf der Bundesebene, der Bundeslandebene und der kommunalen Ebene. Denn Cyberangriffe und Datenpakete machen keine Ebenenunterscheidung im Cyberraum und auch nicht vor Zuständigkeitsgrenzen halt. Das Cyber-Wimmelbild der Verantwortungsdiffusion lässt hier grüßen und wächst und gedeiht weiterhin. Das Grundgesetz sieht den Bund klar in der Pflicht, einheitliche Lebens- und Sicherheitsstandards für öffentliche Dienstleistungen der Daseinsvorsorge zu gewährleisten. Eine Unterscheidung nach Zuständigkeiten, Ebenen oder Schwellenwerten würde daher Bürgerinnen in unterschiedliche Versorgungsklassen einordnen, was in deutlichem Widerspruch zu Gleichheitsgebot und Daseinsvorsorge steht.

Insofern reiht sich NIS2UmsuCG leider erst einmal in die desolate Cybersicherheitsagenda und auch in die nicht strategische Cybersicherheitsstrategie für Deutschland ein. Die dringend benötigte Zeitenwende befindet sich auf dem digitalen Kompetenzniveau auf Höhe eines Faxgeräts.

(mack)