Kernaufgaben
Digitale Souveränität bei kritischen Infrastrukturen (KRITIS)
Infrastrukturen von großer Bedeutung wie Stromnetze und Wasserversorgung müssen besonders gut gegen digitale Angriffe geschützt sein. Hintertüren in Hardware und digitalen Zertifikatsketten bereiten dabei Probleme.
Die Corona-Hamsterkäufe führten drastisch vor Augen, welche Auswirkungen schon ein Mangel trivialer Produkte wie Toilettenpapier hat. Ein tage- oder gar wochenlanger Ausfall der Strom- oder Wasserversorgung sowie von Daten- und Telefonnetzen wäre katastrophal. Derart kritische Infrastrukturen (KRITIS) brauchen besonderen Schutz, bei dem auch digitale Souveränität eine Rolle spielt. Der Gesetzgeber verlangt von KRITIS-Betreibern den Nachweis „angemessener Vorkehrungen“ gegen „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“. Das sind keine theoretischen Bedrohungen, sondern derlei Angriffe finden immer wieder statt und manche bleiben lange unerkannt. Die Täter sind keine Amateur-Hacker, sondern mächtige Geheimdienste, Militärs oder Terroristen.
Zurzeit denkt das Innenministerium über schärfere Forderungen im kommenden IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) nach. Demnach müssten essenzielle KRITIS-Komponenten vor ihrem Einsatz nach Richtlinien zertifiziert werden, die Bundesnetzagentur, Bundesdatenschutzbeauftragter und Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeben. Die jeweiligen Zulieferer müssen Garantieerklärungen über ihre Vertrauenswürdigkeit vorlegen. Der Cybersicherheits-Experte Prof. Daniel Loebenberger von der OTH Amberg-Weiden sieht die KRITIS-Regulierung grundsätzlich auf einem guten Weg. Er warnt jedoch vor einem Flickenteppich unterschiedlicher Regelungen etwa in verschiedenen Bundesländern sowie durch Selbstverpflichtungen privater KRITIS-Betreiber.