Sind wir Kritis?

Etliche IT-Sicherheitsexperten auf dem Kongress "IT Defense 2022" der Cirosec AG waren dann doch überrascht. Der Experte Dr. Christoph Wegener machte sie darauf aufmerksam, dass auch ihre Firma vom Gesetzgeber als "kritische Infrastruktur" angesehen werden kann, wenn bestimmte Voraussetzungen erfüllt sind. Die betroffenen Firmen müssen seit 2015 besonders hohen Anforderungen genügen, da sie für die Grundversorgung der Bevölkerung als unverzichtbar gelten. Insbesondere haben sie ihre IT-Sicherheitsstandards dem BSI nachzuweisen. Dass Gas- und Stromlieferanten zu dieser Gruppe zählen, leuchtet unmittelbar ein. Aber auch wer zu viele Brote verkauft oder zu viele Ascheneimer leert  zählt auch zu dieser Gruppe. Alles gute Gründe, sich die im Internet veröffentlichten Verordnungen und Empfehlungen des BSI einmal näher anzuschauen.

Die Kritis-Gesetze sind noch nicht bei jedem und überall wirklich angekommen. Doch sie haben inzwischen eine lange Geschichte. Die USA begannen ab 1996 über ihre kritische Infrastruktur nachzudenken. Mit einer Behörde. Deutschland begnügte sich mit einem kleinen Arbeitsstab. Doch 2015 wurde das erste IT-Sicherheitsgesetz verabschiedet (ITSiG), 2021 das zweite (ITSiG-2.0) 2016/2017 und 2022 folgten die BSI-Kritisverordnungen. Das Bundesamt für Sicherheit in der Informationstechnik nimmt eine zentrale Stellung in dem Gesetzgebungswerk ein, denn die Betroffenen sind dem BSI gegenüber zum Nachweis der korrekten Umsetzung verpflichtet.  Betroffen sind Unternehmen aus den Bereichen Energieversorgung, Transport und Verkehr, Telekommunikation, Informationstechnik, Gesundheit, Wasser und Ernährung. Alles Bereiche, die spontan einleuchten. Dass allerdings auch das Finanz- und Versicherungswesen sowie die Siedlungsabfallentsorgung unter das Gesetz fallen, mag überraschen. Ebenso die Tatsache, dass ausgerechnet Polizei und Militär nicht zur kritischen Infrastruktur zählen, dafür aber Online-Suchmaschinen. 

Als Artikelgesetz ändern die Kritis-Gesetze zahlreiche andere Gesetze, haben also weitreichende Folgen. Aber nicht alle Unternehmen aus den genannten Bereichen unterliegen den Kritis-Anforderungen, sondern nur diejenigen mit einer herausragenden Bedeutung. Wer diese systemrelevanten Anbieter sind, steht aber nicht im Gesetz, sondern wird über gesonderte Verordnungen bestimmt. Hier werden Schwellenwerte definiert. Wer sie überschreitet, muss ab dem 1. April des Folgejahres, nachdem er die Schwelle überschreitet, den Vorgaben des Gesetzes folgen. Nicht alle diese Verordnungen sind bereits fertig. Wie viele Mülleimer man leeren muss, um den ITSiG-Gesetzen zu unterliegen, weiß zur Zeit niemand.  „Für die Siedlungsabfallentsorgung gibt es aktuell noch keine Schwellenwerte. Die dafür notwendigen Regelungen werden gerade in den entsprechenden Gremien erarbeitet." erläutert Dr. Christoph Wegener. Bei Lebensmitteln ist man schon weiter. „Für die Produktion von Lebensmitteln (außer von Getränken) gilt der Schwellenwert von aktuell 434 500 Tonnen pro Jahr", so Dr. Christoph Wegener. Der Bäcker um die Ecke ist also nicht Kritis. Getränkehersteller gehören ab 350 Millionen Litern zur kritischen Infrastruktur. Wer als Versicherer mehr als  500.000 Schadensfälle pro Jahr bearbeitet gehört aber zum Kreis der wichtigen Unternehmen, denen das BSI auf die Finger schaut.

Auf seiner Internetseite hat das BSI die aktuellen Werte aufgelistet. Grundlage für die Schwellenwerte ist die Bedeutung und der durchschnittliche Bedarf. Die beratenden Gremien legen dies fest. Für die Stromversorgung gelten 500.000 Nutzer als Schwelle. Bei einem Durchschnittsverbrauch von 1 815 kWh pro versorgter Person in Deutschland ergeben sich  3 700 GWh Jahr (entspricht 3,7 TWh)  als Schwellenwert für systemrelevante Stromverteilnetze. Wer darüber liegt, ist kritische Infrastruktur.

Doch es gibt Ausnahmen. Es gilt der Schwellenwert Null, wenn eine Anlage Schwarzstartfähigkeit besitzt. Dies sind Anlagen, die nach einem Stromausfall in der Lage sind, das Versorgungsnetz langsam wieder in den Normalbetrieb zu versetzen. Diese Anlagen benötigen kein bereits existierendes Stromnetz, um einspeisen zu können. Auch zählt zur kritischen Infrastruktur, wer mehr 4,4 Millionen Tonnen Rohöl pro Jahr transportiert oder 620.000 Tonnen Heizöl beziehungsweise 420.000 Tonnen Kraftstoff für PKW und LKW umschlägt. Gleiches gilt für Anbieter von Fernwärme, die 250.000 Haushalte mit Wärme versorgen oder die ein Heizkraftwerk mit mehr als 2.300 GWh ausgeleiteter Wärmeenergie pro Jahr betreibt.

Vor allem im Bereich des Internets dürften Betreiber von IP-Übertragungsnetzen und Rechenzentren  nicht unbedingt erwarten, zur Kritis zu zählen. Das tun sie aber, wie ein Blick in die Dokumentation des BSI belegt.  DNS-Resolver unterliegen ab 100.000 Vertragspartnern dem Regelwerk, Top-Level-Domain-Name-Registry und Autoritativer DNS-Server ab jeweils 250.000 Domains.

Wer betroffen ist, oder glaubt er könnte es sein, dem bleibt der Blick ins Gesetz und vor allem die für ihn geltenden Schwellenwerte nicht erspart. Das BSI hat sie im Internet veröffentlicht. Es handelt sich um einen komplexen, mit zahlreichen Einschränkungen und Spezialregelungen versehenen Text verfasst in bestem Beamtendeutsch. Ob wirklich alle Unternehmen ohne externe Expertise dieses Regelwerk durchschauen, bleibt abzuwarten. Was die betroffenen Firmen zu leisten haben, hat die Behörde in einer 41 Seiten langen Tabelle zusammengefasst. Sie steht unter „Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen" im Internet. Untertitel: Hinweise zur Umsetzung der Kriterien des § 8a Absatz 1 BSIG für die Beurteilung.

Wie die Betroffenen auf das Gesetzeswerk reagieren wird die Zukunft zeigen. Vor allem Betriebe, die gerade unter oder über den Schwellenwerten stehen, könnten auf den Gedanken kommen, ihre Kundenkontakte einzuschränken, um dem beträchtlichen Aufwand zu entgehen. Wer den Schwellenwert überschreitet, unterliegt ab dem 1. April des Folgejahres den Regeln der  Kritis-Gesetze. Das Unternehmen muss externe Gutachter beauftragen, die als „prüfende Stelle" fungieren. In regelmäßigen Abständen hat ein Prüfteam das Unternehmen auf IT-Schwachstellen zu durchleuchten. Das BSI erwartet alle 2 Jahre die entsprechenden Nachweise sowie eine kompetente Kontaktstelle, die dem BSI gegenüber auskunftsfähig ist.  Hinzu kommen jährliche Penetrationstests sowie Auskünfte über sicherheitsrelevante Betriebsstörungen, Produktionsausfälle etc.

Seit der Novelle von 2021 gelten verschärfte Bußgeldandrohungen. Wer Mängel nicht beseitigt, zahlt bis zu zwei Millionen Euro. Eine weitere Neuerung betrifft all jene, die von Kritis bislang nicht betroffen waren. Wer Waffen und Munition herstellt oder bedeutende Mengen Giftstoffe entsorgt oder generell für das Gemeinwesen aufgrund der hohen inländischen Wertschöpfung wichtig ist, gilt jetzt als „UBI", als  „Unternehmen im besonderen öffentlichen Interesse". Umgangssprachlich auch Kritis-light genannt. Diese Unternehmen müssen sich selbst dem BSI gegenüber erklären und für sie gelten abgemilderte Vorschriften zum Schutz ihrer IT-Infrastruktur. Aktuell fehlen für die meisten Bereiche noch die nötigen Rechtsverordnungen. Erst danach können die betreffenden Unternehmen richtig mit der Arbeit beginnen. Rüstungsfirmen sollten schon jetzt beginnen, denn hier liegen die Verordnungen bereits vor. Ab dem 1.Mai 2023 müssen sie den Anforderungen genügen. Wo die Industrie so schnell all die hochqualifizierten Experten hernehmen soll, die nun nötig sind, darüber schweigt das Gesetz und auch Dr. Wegener wusste bei seinem Vortrag keine Antwort darauf.  

Bernd Schöne, freier Mitarbeiter PROTECTOR