Kommentar: Schallende Ohrfeige für desolate NIS-2-Umsetzung
Für die Umsetzung der EU-IT-Securityrichtlinie NIS2 haben Bundesregierung und Innenministerium eine Klatsche kassiert. Mehr als berechtigt, findet Manuel Atug.
(Bild: file404/Shutterstock.com)
- Manuel Atug
"Die Bundesregierung und das Bundesinnenministerium sind stets bemüht, die EU-NIS2-Richtlinie im Rahmen der ihnen gegebenen Möglichkeiten umzusetzen." So könnte das vom Bundesrechnungshof (BRH) ausgestellte Arbeitszeugnis für die Bundesregierung und insbesondere auch das Bundesinnenministerium (BMI) lauten. Das lernunwillige und bockige Verhalten des Ministeriums wird an allen Ecken und Enden zu Recht bemängelt.
Denn das BMI und auch die Bundesregierung hören kaum zu und wollen kaum Verbesserungsvorschläge annehmen. Der BRH hat glücklicherweise aber nicht locker gelassen und nach mehreren weitestgehend ignorierten Stellungnahmen mit ungefähr 42 Hinweisen an das BMI schließlich Mitte September 2024 die Prüfergebnisse eskaliert. In seinem Bericht an den Haushaltsausschuss und den Innenausschuss des Bundestags stellt der BRH klar, dass der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) weder angemessene Cybersicherheit schafft noch einen sinnvollen Umgang mit Steuergeldern erwarten lässt.
"Ein Flickenteppich", der alle gefährdet
Dass das BMI bei seiner Kabinettsvorlage des Entwurfs auch gegen die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) verstößt, ist noch der kleinste Punkt in der Mängelliste des BRH. Das BMI hätte demnach auf die abweichende Meinung und die Kritikpunkte des BRH hinweisen müssen, erwähnt sie aber mit keinem Wort.
Der schlechte Stil in den Formalien findet sich dann auch in dem, was das NIS2UmsuCG inhaltlich leisten soll. Der BRH ist dabei nicht um klare Worte verlegen, die glatt aus dem Maschinenraum der AG KRITIS stammen könnten. So laufe die Bundesregierung Gefahr, "ihr Ziel zu verfehlen, die Informations- und Cybersicherheit zu verbessern." Bereits bekannte Defizite würden nicht aufgegriffen und zentrale Punkte für die Cybersicherheit auch nach mehrfachen Ressortabstimmungen nicht adressiert. Und da wichtige Regelungen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein sollen, drohe das Gesetz, ein "Flickenteppich" zu werden, der alle Beteiligten gefährdet. So bleibe das NIS2UmsuCG weit hinter den selbst gesteckten Zielen zurück.
Am 5. November erklären renommierte IT-Recht- und Sicherheitsfachleute, welche Unternehmen von NIS2 betroffen sind, was genau NIS2 und das deutsche NIS2-Umsetzungsgesetz fordern und welche Maßnahmen mit welchen Fristen umzusetzen sind. Weitere Themen sind das Zusammenspiel von NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz, die Auswirkungen der Richtlinie auf die Incident Response sowie die Bedeutung von NIS2 für Zulieferer und Dienstleister. Dabei ist viel Raum für die Fragen der Teilnehmenden.
Weitere Informationen und Anmeldung unter: https://nis2.heise.de
Schonbehandlung für die Bundesverwaltung
Falls Sie da gerade ein saftiges Klatschen vernommen haben: Das war die schallende und offenbar dringend benötigte Ohrfeige. Gehen wir ein wenig in die Details.
Eigentlich wäre ja laut einem Kabinettsbeschluss von 2017 der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz Pflicht für die Bundesverwaltung. Nur wurde dies leider nie gesetzlich verbindlich formuliert. Und so musste die Bundesregierung verblüfft feststellen, dass sich trotz Kabinettsbeschluss das IT-Sicherheitsniveau der Bundesbehörden in den letzten Jahren nicht sonderlich gehoben hat.
Anstatt allerdings nun den IT-Grundschutz für alle Bundesbehörden gesetzlich verpflichtend vorzugeben, beschränkt der aktuelle Referentenentwurf der NIS2-Umsetzung die Pflicht nur auf Bundesministerien und das Bundeskanzleramt. Der BRH stellt dazu fest – und ich zitiere genüsslich: "In einer vernetzten Bundesverwaltung ist dies weder sachgerecht noch im Vergleich zu den strikten gesetzlichen Verpflichtungen der Wirtschaftsunternehmen angemessen."
Schweizer Lochkäse als Vorbild?
Vielmehr gibt es im NIS2UmsuCG gleich mehrere Regelungen, die es ermöglichen, ganze Einrichtungen des Bundes oder Teile dessen von den Schutzvorgaben auszunehmen. Das Auswärtige Amt steht sogar gleich als explizite Ausnahme drin. Leute mit Langzeitgedächtnis könnten sich da am Kopf kratzen: Waren die nicht vor einigen Jahren bereits Ziel eines erfolgreichen Cyberangriffs? Aber macht ja nichts, also weiter so.
Und warum braucht es so viele Ausnahmen? Das können Ihnen weder ich noch der BRH erklären. Letzterer verweist auf eigene Prüfungserkenntnisse sowie auf die des BSI zur IT-Sicherheit von Rechenzentren der Bundesverwaltung, welche die Defizite "nachdrücklich" bestätigen. Wie die Bundesregierung mit diesem Schweizer Lochkäse an Ausnahmeregelungen dann das Sicherheitsniveau in der Bundesverwaltung flächendeckend steigern möchte, bleibt nicht nur für den BRH: "unklar".
Zugegeben: Es wäre auch schwer, da Argumente zu finden. Denn einerseits müssen bereits kleine und mittlere Unternehmen ab 50 Angestellten die NIS2UmsuCG-Vorgaben zur Cybersicherheit umsetzen. Und andererseits müssen nachgeordnete Bundesbehörden mit teilweise mehreren Tausend Beschäftigten wie die Zollverwaltung genau gar nichts umsetzen. Und während Betreiber kritischer Infrastrukturen zukünftig dem BSI alle drei Jahre Nachweise zur Cybersicherheit vorlegen müssen, ist auch hier für Bundesbehörden nichts Vergleichbares vorgesehen.
Ein Bundes-CISO, der nichts muss und darf
Dass die im Entwurf vorgesehene Stelle der Koordinatorin beziehungsweise des Koordinators für Informationssicherheit – in der Wirtschaft auch bekannt als CISO – etwas bessert, ist auch nicht zu erwarten. Denn es geht lediglich um die Einrichtung der Position. Die Aufgaben und Befugnisse werden gar nicht erst geregelt. Wie jemand auf diesem Posten dann ressortübergreifend wirksam werden soll, darüber rätselt nicht nur der BRH.
Das BMI verweist als Begründung darauf, dass die Bundesregierung bereits dran ist, ein Konzept für den CISO Bund vorzulegen. Nur leider ist es ihr nicht gelungen, sich binnen fünf Monaten auf ein solches gemeinsames Konzept zu einigen, kontert der BRH. Der Bedrohungslage in der Bundesverwaltung werde das schlicht "nicht gerecht". Touché.
Man muss sich dabei klarmachen: Es geht hier nicht nur darum, dass sich eine Amtsstube mal Ransomware einfängt und überschaubarer finanzieller Schaden entsteht. Wir reden über die gesamte öffentliche Verwaltung und damit über die Sicherheit aller Bürgerinnen und Bürger und ihr Vertrauen in den Staat.
Cyber-Hilfswerk to the rescue
Die Aufrechterhaltung staatlicher Funktionen insbesondere in Krisensituationen sehen nicht nur die tapferen Streiter des BRHs als gefährdet an. In vielen Kommunen und Landkreisen gab es ja schon umfangreiche und lang andauernde Ausfälle zentraler IT-Dienste. Die erheblichen konzeptionellen und technischen Defizite bei der Sicherheit der IT-Infrastrukturen in den Bundesbehörden, auf die der BRH verweist, lassen nichts Gutes erahnen.
Die Bundesverwaltung muss also die bestehenden Mängel dringend beseitigen. Und eine NIS2-Umsetzung, die den Namen verdient, sollte das unbedingt voranbringen. Aber wenn das ausbleibt? Dann ist, wie BRH und BSI sagen, gar nicht mehr die Frage, ob es zu einem großflächigen Ausfall kommt. Sondern nur noch, wann dies geschieht und wie umfangreich all diese Cybergroßschadenslagen ausfallen werden.
Aber vielleicht ist bis dahin ja das Cyber-Hilfswerk im THW etabliert. Dann können ehrenamtliche Digitalhelferinnen und Digitalhelfer zum Einsatz kommen und Hilfestellung bieten, wenn die Bitwerte reihenweise umkippen.
(axk)