Ich gebe offen zu, dass ich derzeit kaum mit den Beamten im Bundesinnenministerium (BMI) aber auch anderen Ministerien tauschen möchte. Selbst Experten beginnen langsam den Überblick über die ganzen laufenden Gesetzesvorhaben, Strategien, Pläne und Agenden zu verlieren und die Anzahl der Überstunden, die die damit betrauten Beamten ansammeln, dürfte nicht gering sein.
Und dies ist ja auch mehr als verständlich angesichts von so unterschiedlichen wie gleichsam bedrohlichen Vorfällen wie Pipeline-Sprengungen, Sabotageakten bei der Deutschen Bahn und natürlich den vielfältigen Cybersecurity-Vorfällen in der Privatwirtschaft wie auch bei Kommunen auf der einen Seite und umzusetzenden Vorgaben durch die Europäischen Union auf der anderen Seite.
Und doch wünscht man sich manchmal etwas mehr Durchatmen bei der Erstellung neuer Papiere. Nicht Tempo und Quantität statt Qualität. Aber auch nicht Qualität statt Tempo, sondern einen intelligenten ganzheitlichen Ansatz unter Nutzung und Einbindung aller Betroffener.
Wo die Fragezeichen bleiben
Vor ziemlich genau einem Jahr schrieb ich an dieser Stelle über die damaligen Pläne auf EU-Ebene zum Schutz Kritischer Infrastrukturen NIS-2. Nun ist eben dieses Werk beschlossen und muss in deutsches Recht überführt werden. Parallel entstand auf EU-Ebene eine Direktive zum physischen Schutz Kritischer Infrastrukturen, die sogenannte Critical Entities Resilience Directive (CER).
Beides definitiv sinnvoll und wichtig. Beides sollte schnell und umfassend angegangen werden. Die gute Nachricht ist, dass es wirklich schnell angegangen wird. Doch wenn aus schnell überstürzt unkoordiniert und nicht integriert wird, dann droht das nächste halbgare und unzureichende Gesetz.
Schon im Koalitionsvertrag war angekündigt worden, dass es ein sogenanntes Kritis-Dachgesetz geben soll, das sich zentral (aber nicht ausschließlich) um die Umsetzung der CER-Richtlinie kümmern soll. Durch die sicherheitspolitischen Entwicklungen des Jahres 2022 und der bereits genannten Vorfälle entstand hier nun eine zeitliche Dynamik, die dazu führte, dass das Gesetz schon diesen Sommer verabschiedet werden soll. Parteiübergreifend wurde dies begrüßt, der Sicherheitsexperte der Grünen, Konstantin von Notz warnte aber schon „Nicht zuletzt vor dem Hintergrund der Zusage des Bundesinnenministeriums, die Verbände umfassend an der Gesetzgebung beteiligen zu wollen, haben wir große Fragezeichen."
Und hier entwickeln sich in der Tat Fragezeichen. Denn von der angekündigten Beteiligung von Verbänden – also den Betroffenen – ist bisher nichts zu spüren. Beim IT-Sicherheitsgesetz 2.0 beschränkte sich diese schlussendlich auf wenige Tage, in der die Verbände kommentieren konnten.
Auf der Suche nach Cybersicherheit
Und die Fragezeichen werden immer mehr, wenn man sich die bisher bekannten Inhalte ansieht. Im ersten geleakten Entwurf tauchte das Thema Cybersecurity gar nicht auf, in der Kabinettsvorlage war dies zumindest zugefügt worden. Das Papier an sich ist aber maximal abstrakt, so dass es auch Experten schwerfiel, konkrete Kritik zu äußern, einfach weil es an konkreten Vorschlägen arg mangelte. Aber was zu erkennen war, ließ viele nicht optimistisch nach vorne schauen.
Nicht nur, dass manches bereits wieder unter Finanzierungsvorbehalt gestellt wurde, so wird mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) auch eine weitere Meldestelle ins Spiel gebracht. Sollte ein Dach-Gesetz nicht gerade das Ziel haben, Dinge unter einem Dach zu bündeln? Nun sollen Meldungen, wenn sie denn Cybersicherheitsvorfälle sind, ans BSI, andere aber ans BBK gemeldet werden. Was dafür aber definitiv nicht vorbereitet ist, also auch nicht eine schnelle und kostengünstige Lösung wäre.
Dazu kommen dann noch eventuelle Meldungen an die Polizei, und bei internationalen Vorfällen dann noch in mehreren Ländern erforderlich. Man muss eigentlich kein Experte sein, um zu erkennen, dass da Luft nach oben ist. Helfen würde aber bestimmt, Experten von Anfang an einzubeziehen und diese nicht kurz vor Toresschluss als „Feigenblatt“ kurz zum Kommentieren zu bitten. Ist das von von Notz skizzierte Szenario der Einbindung der Betroffenen also vielleicht nicht in erster Linie ein Terminrisiko als eine Chance, die Qualität zu steigern?
Chance da, Chance verpasst?
Wäre nicht gerade auch ein Dachgesetz der richtige Rahmen, um eben die Anforderungen aus NIS-2 und CER zusammen in nationales Recht zu überführen und somit in die Richtung eines übergreifenden Sicherheitsverständnisses weiterzuentwickeln? Die Chance ist da, hier wirklich einen modernen Ansatz zu wählen. Es wäre schade, wenn dies aus einem Silo-Verantwortungsdenken innerhalb der Ministerien verschenkt werden würde.
Und wenn ich mir schon ein Dachgesetz wünsche, in dem alle Bedrohungen gleichwertig und ganzheitlich betrachtet werden, dann würde ich mir immer noch wünschen, dass unter dieses Dach dann auch die bisher ausgeklammerten öffentlichen Verwaltungen auf allen föderalen Ebenen unter dieses Dach kommen. Die monatelangen Störungen wie etwa in Anhalt-Bitterfeld und Schwerin zeigen doch, dass Kommunen keine „Inseln der Glücksseligkeit“ sind, die von Angriffen nicht betroffen werden, sondern im Gegenteil, teilweise sogar leichtere Opfer sind als viele Unternehmen.
Noch einmal: Es geht definitiv nicht darum, zu bremsen. Im Gegenteil. War beim IT-Sicherheitsgesetz 1.0 vielleicht noch in manchen Kreisen der Privatwirtschaft die Motivation vorhanden, Entwicklungen auszubremsen, so hat sich dies längst geändert. Die Expertise aus der Wirtschaft kann also dabei helfen, besser und schneller zu werden, man muss es nur wollen.
Aufwachen, bitte
Ein anderes Beispiel, in dem die Unternehmen auf mehr Schutz drängen, aber bisher staatlicherseits eher ausgebremst werden, ist das Thema Sicherheitsüberprüfung. Wenn wir alle Gefahren betrachten, dann gilt dies auch für Innentäter, egal ob IT-Administratoren oder anderes Personal, das sensible Informationen über oder Zugang zu Kritischen Infrastrukturen hat. Seit Jahren wünschen sich Unternehmen hier mehr Unterstützung und Möglichkeiten, seit Jahren passiert nichts. Wäre nicht ein solches Dachgesetz der richtige Moment, auch hier voranzukommen?
Neben der inhaltlichen Ausgestaltung geht es hier auch darum, schnellstmöglich die zukünftig betroffenen Unternehmen überhaupt erst einmal aufzuwecken. Viele ahnen nämlich immer noch nichts von Ihrem Glück, überhaupt betroffen zu sein.
Dies betrifft sowohl direkt Betroffene in den Kritis-Segmenten, wo durch die Einbeziehung auch kleiner Unternehmen ab 50 Mitarbeitern es einen prognostizierten Sprung von 4.000 Unternehmen bei der aktuellen Regelung auf bis zu 45.000 geben wird. Aber dies ist dann noch nicht das Ende der Fahnenstange: Durch die (ebenfalls komplett richtige) Betrachtung der Lieferketten wird es am Ende noch viel mehr betroffene Unternehmen geben.
Hier schnellstens für Klarheit zu sorgen und die Verbände mit einzubinden, dies in der Breite bekanntzumachen, ist ein Schritt, der am Besten schon gestern begonnen worden wäre.
Aus all meinen Gesprächen – sei es mit Verbänden, Unternehmen oder Vertretern der Zivilgesellschaft wie etwa der AG Kritis – spürt man den Wunsch, mitzugestalten und zwar nicht um zu bremsen oder zu kritisieren, sondern um produktiv im Interesse aller mitzuwirken. Dieses Momentum sollte staatlicherseits genutzt und nicht als hinderlich angesehen werden. Dann schaffen wir vielleicht nicht nur ein schnelles oder ein gutes Gesetz, sondern beides.
Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand von Hisolutions. Zuletzt von Kob erschienen: Das Cyber-Bobbycar
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.
