Transcript

Einführung und Vorstellung des Themas NIS2

Torsten:
[0:36] Ja, hallo und herzlich willkommen zur 151. Ausgabe des e-Government-Podcasts.
Ich bin Torsten Frenzel und ich habe heute ein Thema, wo ich gedacht habe, da kann ich mir nur einen einladen, der sich damit auskennt.
Hongkase, ich grüße dich.

Manuel:
[0:51] Moin, moin.

Torsten:
[0:53] Also, ich habe mir den Manuel Artuk wieder eingeladen, weil es geht um Kritis.
Und heute geht es ganz speziell um NIS2.
Und als ich den Manuel getroffen habe, war da erstmal die Hände und Kopf zusammengeschlagen.
Gott das will, wie viele Stunden musst du aufnehmen?
Aber wir haben nicht die Zeit und deswegen gehen wir gleich mal in medias res.
Honka, ich freue mich, dass du da bist. Ich glaube, ich stelle dich nicht vor, weil eigentlich müssten die alle schon kennen. Du bist ja schon quasi Stammgast.
Dann legen wir doch mal los. NIST 2. Das geistert überall durch die Gegend und vielleicht kannst du mal kurz sagen, was ist denn das?

Manuel:
[1:29] Also die NIST 2 ist eine europäische Direktive und diese gibt einen Rahmen für betreiberkritische Infrastrukturen A fest, den wir im IT-Sicherheitsgesetz schon haben, aber erweitert das nochmal und europäisiert es nochmal genauer und legt auch Cybersecurity-Mindeststandards innerhalb der EU fest.
Und diese Anforderungen, Pflichten, die da definiert werden, werden bis Oktober 2024 von allen EU-Staaten in lokale Gesetzgebung überführt werden müssen und in nationale Cyber Security sozusagen reguliert.
Und aktuell haben wir ca. 2000 Kritisbetreiberinnen in Deutschland.
Und mit der EU-NES2 werden es ca. 4700 Kritisbetreiberinnen und 29.000, Unternehmen, die in irgendeiner Form Cybersecurity in Deutschland machen müssen, weil die EU-NES2 nicht nur Kritis betrifft, sondern auch sogenannte wichtige und besonders wichtige Unternehmen.

Torsten:
[2:35] Zählen bei Unternehmen auch die Verwaltungen dazu? Sind die jetzt auch Kritis?

Manuel:
[2:39] Teilweise.

Torsten:
[2:41] Teilweise? Lohnt es sich, da reinzugehen, oder explodiert es dann gleich?
Was heißt denn teilweise?

Manuel:
[2:48] Ja, also es ist so, dass Teile von Verwaltung eben mitadressiert wurden, aber eben auch viele Ausnahmeregelungen und Abgrenzungen sind, wo man dann Teile wieder rausgezogen hat.
Wir haben ja in Deutschland schon immer das Problem, dass wir den Sektor Staat und Verwaltung zwar haben, noch sagen, was ist das eigentlich laut BBK, also Rettungsdienste, juristische Komponenten, legislative Komponenten und so.
Es gibt weder Anforderungen noch irgendwelche Prüfungen, noch irgendwelche Mängellisten, Zertifizierung, whatever.
Und in großen Teilen ist das auch so beibehalten worden.

Torsten:
[3:27] Das heißt, wir haben weiterhin die normale öffentliche Verwaltung ist nicht kritisch.
Das heißt, wenn irgendeine Verwaltung ausfällt, dann fällt sie dann aus.

Manuel:
[3:35] Also mit sehr hoher Wahrscheinlichkeit wird Kommunen und Landkreise nicht Gegenstand dessen werden, weil das haben wir schon auch in der, also es wäre einfach, einfach nur ein Gesetz in der EU zu machen.
Wir haben ja parallel noch zwei andere, DORA für den Finanzbereich und die Das ist die CRITIS-DACH-Gesetzgebung, die in Deutschland kommt.
Und da sind eigentlich auch sehr, sehr viele Teile der Verwaltung außen vor geklammert.
Und Kommunen und Landkreise kommen eigentlich nicht vor. Und alles, was auf Landes-, Bundeslandebene gemacht werden müsste, wie zum Beispiel der Sektor Medien und Kultur, der landeshoheitlich reguliert werden muss, im CRITIS-DACH-Gesetz hat man es explizit reingeschrieben.
Das müssen übrigens die Bundesländer selber machen. Aber die können das ja gerne auf Basis dessen, wie der Staat hier so resilienzdefiniert machen.
Und so ähnlich ist es bei der NES 2 auch, dass da viel ausgeklammert ist und relativiert wurde.

Torsten:
[4:34] Das ist schade. Also Cyber-Katastrophenfall wird es weiter nicht geben, wenn einer eintritt.

Manuel:
[4:39] Ja doch, aber es wird halt einfach nicht... Also da wird niemand für ein Gesetz verstoßen und tatsächlich irgendwie sagen, dass es grob fahrlässig oder nicht gemäß der gesetzlichen Vorgabe, weil die meisten halt einfach nichts tun müssen weiterhin, wenn sie Staat und Verwaltung sind.

Torsten:
[4:57] Das ist sehr schade.

Manuel:
[4:59] So kann man das freundlich auch nennen.

Torsten:
[5:03] Aber du weißt doch, ich bin der Freundliche hier in der Runde.

Manuel:
[5:08] Ja, ich sage jetzt lieber nichts, das kann gegen mich...
Ich versuche ja stets nett zu sein, aber irgendwann wird es auch schwierig, wenn die Gesetze echt gruselig sind und auch einfach nicht besser werden.
Ah gut, damit müssen wir ja leben.

Torsten:
[5:21] Aber kannst du vielleicht nochmal ein bisschen näher drauf eingehen, wer jetzt NIST 2 umsetzen muss?

Betreiberkritische Anlagen sind ein Teil davon

Manuel:
[5:31] Ja, also das wird kompliziert. Es gibt in der NIST 2, also erstmal das, was jedem so nahe liegt, klar, betreiberkritische Anlagen, die sind natürlich da beinhaltet.
Aber es gibt natürlich auch kritische Anlagen, nicht kritische Infrastruktur.
Früher, also aktuell, im IT-Sicherheitsgesetz heißt es ja, betreiberkritischer Infrastrukturen, jahrzeites betreiberkritischer Anlagen.

Kritische Infrastrukturen: Sektoren und Unterscheidungen

[6:00] Und da hat man die üblichen verdächtigen Sektoren genommen, also Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen.
Wasser hat man aufgedröselt in Trinkwasser und Abwasser. Vorher war das einfach beides Wasser. So unterscheidet man das.
Ernährung, Informationstechnik und Telekommunikation.
Letztes Jahr kam noch Siedlungsabfallentsorgung dazu. Und jetzt hat man noch den Weltraum hinzugefügt.
Das ist erstmal das, was die ursprünglich kritischen Infrastrukturen waren und jetzt betreiberkritische Anlagen, auch Sektor Weltraum.
Dann gibt es die wichtigen Einrichtungen und die besonders wichtigen Einrichtungen.
Und jetzt wird es ein bisschen kompliziert, denn die unterscheidet man ja auch nochmal je nach Unternehmensgröße.

[6:54] Das heißt, wir haben besonders wichtige Einrichtungen aus diesen Sektoren Energie, Transport, Verkehr, Finanzversicherungswesen und so weiter, die als Großunternehmen definiert sind.
Die können also besonders wichtig sein, aber sind noch nicht kritisch.
Es gibt qualifizierte Vertrauensdienstleister, Top-Level-Domain-Registrare und DNS-Dienstleister, die sind unabhängig von ihrer Größe besonders wichtig.
Es gibt Anbieter öffentlicher TK-Netze und TK-Dienste. Das sind dann sogenannte mittlere Unternehmen, die da Relevanz haben.
Die betreiberkritische Anlagen als Kritisbetreiber sind unabhängig von der Unternehmensgröße, wenn sie einer Verordnung entsprechen, die es allerdings weder im Gesetz noch nachträglich als anhängende Verordnung schon gibt und veröffentlicht wurde.
Aber man munkelt schon, man wird sich sehr nah an dieser 500.000-Grenze und den üblichen Verordnungen von der aktuellen IT-Sicherheitsgesetz-Definition halten.

Torsten:
[7:58] 500.000 Einwohner, oder?

Manuel:
[8:00] Ja, immer gerechnet auf 500.000 Menschen, die man versorgt, genau.
Und auch besonders wichtig ist Zentralregierung, also Bundesministerien und Bundeskanzleramt.
Da hat man immer ein bisschen Staat und Verwaltung drin, unabhängig von der Größe.
Die Größe unterscheidet man als, wie gesagt, unabhängig von der Größe, sowas wie Kritis Betreiber, aber es gibt diese Unterscheidung Großunternehmen und mittlere Unternehmen.
Mittlere Unternehmen sind zwischen 50 und 249 Mitarbeiter und unter 50 Millionen Euro Umsatz oder Bilanz unter 43 Millionen Euro.
Ein Großunternehmen hat über 250 Mitarbeiter oder über 50 Millionen Euro Umsatz und über 43 Millionen Euro Bilanz.
Das ist erstmal die grobe Unterscheidung, unabhängig von der Größe, mittleres Unternehmen, Großunternehmen, Kritis, Betrieb und besonders wichtige Einrichtungen.

Wichtige Einrichtungen: Kommunen und Unternehmen nach Größe klassifiziert

[9:03] Jetzt haben wir ja noch die wichtigen Einrichtungen.

Torsten:
[9:07] Warte mal kurz, jetzt höre ich gerade ganz viele Aufatmer bei den Hörerinnen und Hörern, weil die meisten Kommunen und kommunalen Gesellschaften haben weniger als 250 Mitarbeiter.
Und, wenn ich mir gerade die Wasser- und Energieversorger überhaupt anschaue, die teilweise viel weniger als 500.000 Personen betreffen.

Manuel:
[9:31] Naja, wie gesagt, mittlere Unternehmen sind 50 bis 249 Mitarbeiter und die kommen dann jetzt zum Tragen bei Anbietern öffentlicher TK-Netze und TK-Dienste als besonders wichtiges Unternehmen.
Sie kommen aber auch zum Tragen bei den wichtigen Unternehmen, denn alle wichtigen Unternehmen aus den Bereichen Energie, Gesundheitswesen, Trinkwasser, Abwasser, IT und TK und so weiter sind als mittlere Unternehmen klassifiziert als wichtiges Unternehmen.
Also insofern müssen die trotzdem Sicherheitsmaßnahmen umsetzen.
Auch als wichtige Unternehmen sind definiert große Unternehmen oder diese mittlere Unternehmen im Bereich Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Dann haben wir unabhängig von der Größe als wichtiges Unternehmen die Vertrauensdienste, Hersteller von Rüstungsgütern und VS-IT, also Verschlusssache-IT für Geheimschutz betreute Unternehmen und Betreiber von Betriebsbereich oberer Klassen.
Diese sogenannten Ex-UBI-3, das sind diejenigen, die aus der Störfallverordnung kommen. Also alles, was in die Ecke Störfallverordnung, Chemie, gefährliche Stoffe sind.
Also Gefahrenstoffe und Chemie.
Die alle gelten dann als wichtige Unternehmen.

Torsten:
[11:01] Das ist ja schon mal da kann man also neben erst mal überlegen wo man überhaupt rein gehört.

Manuel:
[11:06] Da kann man research betreiben wohin man gehört und was man eigentlich ist und warum weil das sind gar nicht mehr so trivial das also.
Sehr im endeffekt gar nicht so viel unterschied aber durch diese vermengung und und das kreuz und quer miteinander wird es halt ein unübersichtliches. Wimmelbild.

Torsten:
[11:26] Das klingt danach als ob da ein paar Lobbyverbände versucht haben, nicht ganz so hohe Auflagen reinschreiben zu lassen.

Manuel:
[11:35] Ja gut, ich meine wir haben ja beispielsweise im IT-SIG schon gehabt, Rüstungsgüter oder Gefahrgutstoffe sind damals oder jetzt aktuell gewesen Unternehmen im besonderen öffentlichen Interesse.
Die sind ja nicht kritisch, die sind auch nicht irgendwas anderes, die sind halt, naja, so irgendwie besonders, aber naja, die hatten ja keine hohen Anforderungen.
Das haben die da schon rein lobbyiert. Anscheinend haben sie in der EU weitergemacht und haben dafür gesorgt, dass sie weiterhin wichtig sind, aber nicht besonders wichtig oder Kritisbetreiber oder was auch immer.
Also insofern ist an der Stelle vieles so kompliziert vermutlich geworden, weil es ein paar Extrawürste gibt, die man optimiert hat.

Torsten:
[12:21] Naja, keiner will Vorfälle ans BSI proaktiv melden müssen.

Manuel:
[12:25] Ja, natürlich nicht. Kostet Geld, ne? Muss man sich dann drum kümmern und eventuell könnte man doch haften.

Torsten:
[12:31] Genau, ich glaube eher, dass man sich dann drum kümmern muss, als dass es sich Geld kostet.
Ja, soll ich die Büchse der Pandora jetzt schon mal aufmachen?
Was steht drin in NIST 2? Oh Gott.

Einleitung und positive Aspekte der neuen Regelungen

Manuel:
[12:46] Lass mich mal ganz lang Luft holen und dann sind vier Stunden um, aber ich habe nur gehatet und geflamed. Nein. Also es ist wirklich...
Sehr viel drin ist es, man muss fairerweise sagen, es sind auch einige positive Aspekte deutlich reingekommen.
Wir haben zum Beispiel Pflichten von diesen Betreibern und Einrichtungen da reinkassiert bekommen, dass man eben sagt, Betreiber einer kritischen Anlage müssen Maßnahmen fürs Risikomanagement ergreifen.
Aber besonders wichtige Einrichtungen und wichtige Einrichtungen als Unternehmen müssen das auch tun.
Sie müssen sich alle registrieren beim ESI, damit gemeldet ist, wer fällt da eigentlich in welche Kategorie.
Sie haben alle drei Meldepflichten für entsprechende Vorfälle.
Da gibt es auch unterschiedliche Geschmacksrichtungen, aber Sie müssen auch Nachweise erbringen, zumindest die besonders wichtigen Einrichtungen und die betreiberkritischen Anlagen.
Und Sie müssen auch eine Governance in den Leitungsorganen gewährleisten.
Das ist dann auch schon für die wichtigen Einrichtungen verantwortlich.
Also werden schon einige in die Pflicht genommen zu sagen, du bist hier irgendwie was mehr als nur ganz neutral. Und dann kommen da schon ein paar Baustellen auf die zu.

Torsten:
[14:04] Und für die Nachweise müssen die Zertifizierungen machen? Also sowas wie BSI-Zertifizierung oder ähnliches? Oder reicht das, wenn die ein Formular ausfüllen und sagen, ja, mach ich, mach ich, mach ich?

Manuel:
[14:13] Nee, also die Nachweise sind in der Regel so, wie es eben auch aktuell ist, dass man Kritisprüfer oder dann NES2-Prüferinnen hat, die sagen, die machen eben ein Dokument und vor Ort eine Interviewbegehung und schauen nach, ob sie diese gesetzlichen Auflagen einhalten.
Das ist also keine Zertifizierung, sondern eine Prüfung, ob sie das Gesetz einhalten.
Man kann das mit einer Prüfung und Zertifizierung unterstützen, dass man sagt, keine Ahnung, Ich habe BSI-IT Grundschutz oder ISO 27001 Zertifizierung für diesen Geltungsbereich.
Das ist das Wichtige. Also ich decke genau das, was die NES2 fordert, hier in meinem Zertifizierungs-Geltungsbereich ab.
Und ich habe die Risiken und Maßnahmen so adressiert, wie es beispielsweise diese Maßnahmen im Risikomanagement adressieren und fordern.
Dann kann ich sagen, okay, diese Zertifizierung unterstützt, dass ich den Prüfern, die diesen kannst normalerweise. Weißt du was zu den Prüfern?

Zuständigkeit für IT-Sicherheitsprüfungen bei Unternehmen

Torsten:
[15:39] Wo die herkommen, wer die sind, ob die freie Wirtschaft, die man sich da bestellen kann oder ob das BSI die schickt?

Manuel:
[15:47] Also es wird wie beim IT-Sicherheitsgesetz laufen, das heißt die Wirtschaft wird prüfende Stellen benennen können, die beim BSI in irgendeiner Form gemeldet und zugelassen sind.
Und dann dürfen die mit ihren Prüfteams arbeiten.
Sie müssen eben als Unternehmen sozusagen nachweisen, dass sie diese Kompetenzen haben.
Das Prüfteam muss bestimmte Kompetenzen nachweisen, dass sie die Befähigung haben, diese Dinge zu prüfen und die Anforderungen des BSI einhalten.
Und dann können die diese Prüfung durchführen. So ist es bei Kritis im Aktuellen.
Und so wird es hier auch laufen. Das BSI kann selber gewisse Dinge prüfen, Man kann sogar die Kosten teilweise den Unternehmen in Rechnung stellen, aber nicht die Nachweiserbringung, sondern andere Prüfschritte, wenn irgendwas nicht ganz koscher ist oder so.
Man kann dafür sogar Externe beauftragen und sagen, wir schicken jetzt Dritte bei euch rein, weil irgendwas ist da nicht so ganz okay. Und die Kosten zahlst du übrigens. A.

Torsten:
[16:45] Du hast vorhin gesagt, dass ab Oktober 23 das schon in Kraft tritt in Deutschland. B.

Manuel:
[16:51] 24. A. Ach, 24.

Torsten:
[16:52] Okay.

Manuel:
[16:52] B. Die haben noch ein ganzes Jahr Zeit, da können sich alle noch entspannt hinlegen.

Torsten:
[16:56] Das ist eine Ausnahme heute noch vier Wochen, also es ist ein bisschen...

Manuel:
[17:00] Nee, aber da ist tatsächlich guter Hinweis. Also das Gesetz selber, die EU hat festgelegt, diese Direktive muss in lokale Gesetzgebung überführt sein.
Und alle Unternehmen, die das betrifft, müssen das bis ab Oktober 24 einhalten.
Das heißt, es gibt nicht ab Oktober 24 eine Übergangsfrist, wo man dann so anfängt oder so, sondern ab Oktober 24 sind ca.
29.000 Unternehmen und 4.700 KritisbetreiberInnen konform zu dieser Gesetzgebung.
Wir haben aktuell einen Referentenentwurf und noch bei weitem nicht Klarstellung zu allen Themen.
Das heißt, wann auch immer das Bundesinnenministerium das Gesetz rausbringt nächstes Jahr, Ab rausbringen bis Oktober 24 ist die Umsetzungszeit, die die Unternehmen und Kritisbetreiber haben, um konform zu diesen ganzen Anforderungen zu sein.
Wird knapp, ne?

Torsten:
[17:57] Ja, vor allen Dingen 29.000 Prüfungen. Dann kann man eigentlich nur sagen, jetzt schnell eine Firma gründen.

Manuel:
[18:03] Die Prüfungen werden nicht direkt ab Oktober 24 relevant, weil man muss sich erst registrieren und so weiter. Da gibt es so Fristen, die man einhalten muss und so.
Aber es werden ja dann sozusagen zu den Stichtagen viele Tausend gleichzeitig verbindlich.
Das wird lustig. Und die müssen ja alle vorher ihr Informationssicherheitsmanagementsystem Das System mit Business Continuity Management, das ganze Risikomanagement, die Schulungen, die Governance in den Leitungsorganen umsetzen, das ist ordentlich.
Und es gibt schon einige, die jetzt angefangen haben, auf Basis des Referentenentwurfs zu sagen, okay, ich weiß ja ungefähr, was erwartet wird.
Da wird sich ja nicht bahnbrechend viel ändern. Und versuchen durchzusteigen und zu sagen, ich gebe Gas, damit ich da irgendwie pünktlich fertig werde.
Und sichere mir jetzt schon interne wie externe Ressourcen, weil die gehen gerade weg.
Wie geschnitten Brot.

Torsten:
[18:55] Ja, jetzt wollte ich gerade fragen, ob so viele Änderungen zum Referentenentwurf zu erwarten sind. Wahrscheinlich wie immer nur ein paar Wortlaute.

Manuel:
[19:04] Ja, lass es mich so formulieren. Beim IT-Sicherheitsgesetz I und auch beim IT-Sicherheitsgesetz II hatten die Sachverständigen, Klammer auf, ich war ja einer beim IT-SIG II, oder Linus Neumann vom CCC war ja auch da dabei und so.
Wir hatten ja sehr viel Feedback, Ich höre auch viele Verbesserungen und Änderungsvorschläge.
Die Verbände selber hatten auch ohne Ende Vorschläge, aber es ist halt alles im Wesentlichen ignoriert worden.
Und ein abgestimmter Referentenentwurf, der auf den Ressort-Ebenen schon abgestimmt ist, und ungefähr auf dem Stand sind wir an den meisten Stellen, und man hat sich nicht sehr viel von der EU-NIS-Richtlinie wegbewegt.
Der wird halt auch nicht viel, also ich erwarte wieder mal, mal, dass nicht viel geändert wird.
Und jetzt hat man ja vor ein paar Tagen das BND-Gesetz den Referentenentwurf bereitgestellt und gesagt, übrigens ihr habt 24 Stunden und 13 Minuten Antwort zu liefern. Das sind halt nur 90 Seiten.
Also das läuft ja alles irgendwie so, dass man keine ernsthafte Beteiligung haben will, sondern nur eine Anhörung. Man hört an und dann ist gut.
Das erwarte ich eigentlich auch bei der NS2 leider.

Torsten:
[20:16] Ja gut, für 90 Seiten 24 Stunden, das geht schon.

Herausforderungen bei der Einbindung der Zivilgesellschaft

Manuel:
[20:22] Zum lesen, zum kommentieren, Stellungnahme erstellen, abstimmen mit allen Verbandsmitgliedern oder als NGO oder so wie die AG Kritis als unabhängiger Interessensverbund macht man ehrenamtlich in der Freizeit kurz die Abstimmung, das Dokument, liefert alles aus, läuft, kann man machen.

Torsten:
[20:40] Ich verstehe schon die Kritik.

Manuel:
[20:42] Also ich wollte es halt einfach nochmal überspitzen.
Die Erwartung der letzten Jahre und auch die Realität der letzten Jahre zeigt, dass wir da nicht allzu viel Hoffnung haben dürfen, dass die Zivilgesellschaft, dass die NGOs oder selbst die Verbände hier wahnsinnig angehört werden.
Dass viele Verbände wurden bisher noch gar nicht angehört oder unter verschlossener Tür wurden, mit dem einen oder anderen mal ein bisschen gesprochen.
Aber man hat sich sehr nah an der EU-Vorgabe gehalten und das wirkt nicht so, als würde man da noch wahnsinnig viel ändern oder wirklich in einen öffentlichen Diskurs steigen. Der findet ja aktuell auch nicht statt.
BMI redet einfach nicht drüber.

Torsten:
[21:23] Aber ist der EU-Vorschlag oder die EU-Richtlinie so, dass man sie eigentlich ganz gut übernehmen könnte?
Oder wird hier von deutscher Seite wieder viel verschlimmbessert?

Manuel:
[21:36] Ich gebe dir ein Beispiel, wie man das insgesamt auch in der EU verschlimmbessert hat. Jetzt hat man gesagt, naja, wir machen juristische Begriffsbestimmungen, damit auch klar ist, was Sache ist.
Und dann sagt man nicht, wenn du einen Vorfall hast, musst du folgendes tun, sondern begriffsbestimmt juristisch hat man den Beinahe-Vorfall, die Cyber-Bedrohung, die erhebliche Cyber-Bedrohung, den Sicherheitsvorfall und den erheblichen Sicherheitsvorfall.
Und dann noch Schadprogramme und so weiter. Jetzt habe ich fünf verschiedene Geschmackssorten von einem potenziellen oder echten Vorfall und einer Kritikalitätsstufe plus Schadprogramme, die auch nochmal explizit definiert wurden.
Jetzt kann ich also erstmal, wenn Vorfall ist, genau überlegen, welche Art von Vorfall ist das? Und abgeleitet daraus, welche Art von Meldungen und was für Handlungen muss ich eigentlich daraus ableiten?
Ja, man kann auch erst wissenschaftlichen Research machen, bevor man mit der Incident Response anfängt.
Das ist, ich weiß nicht ob, also es ist gut, dass man das Ganze begriffsbestimmt und juristisch eindeutig macht, damit diese Lamentiererei aufhört, Aber wenn man es halt so breit auseinanderfächert, kannste machen, ist dann aber auch kacke.

Torsten:
[22:51] Das klingt für mich so, als ob es so granular ist, dass die Prozesse sehr wahrscheinlich für jedes der 29.000 Unternehmen eine eigene Prozesse geben wird.
Also erst muss man sich einordnen, wo gehört man hin?
Und dann muss man sich einordnen, was mache ich bei welchem Vorfall?
Und vorher muss ich erst mal überlegen, was ist es denn überhaupt für ein Vorfall?

Manuel:
[23:12] Das ist korrekt. Und dann muss ich auch überlegen, an wen muss ich wann was eigentlich melden und wie gehe ich damit um?
Und was machen die eigentlich damit? Ich meine, die Frage können wir ja auch aufwerfen, oder kann ich auch sagen, beispielsweise dann, wir waren ja jetzt bei Begriffsbestimmung, Paragraph 2, falls jemand nachgucken will, Paragraph 3, Aufgaben des Bundesamts, also das BSI, da steht eben unter anderem drin, das BSI halt als Aufgabe, nicht nur, sie wird die Behörde für Cybersicherheitszertifizierungen, es gibt ja noch diese Produktzertifizierung, die da außerhalb von Kritis und den Unternehmensschutz auch adressiert werden, sondern sie bekommen zum Beispiel auch die Vorgaben als Aufgabe, unterstützen der Polizeien und Strafverfolgungsbehörden, der Verfassungsschutzbehörden, des militärischen Abschirmdienst, des Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.
Die werden jetzt zum Handlanger aller Nachrichtendienste und Strafverfolgungsbehörden und Polizeien noch mehr als sie jetzt schon sind.
Das steht schon drin, dass sie natürlich bei solchen Dingen unterstützen sollen, jetzt aber aus Cybersecurity-Sicht noch mehr und noch intensiver.
Ich weiß nicht, ob das besser wird.

Diskussion um die Rolle des BSI und Schwachstellenmanagement

[24:24] Doch, weiß ich. Aber ich habe gerade Ironie. Wo wir gerade bei Ironie waren und guter Laune.

Torsten:
[24:30] Ich denke darüber nach. Also wenn das BSI jetzt quasi für alle, also quasi alle unterstützen muss, überlege ich mir gerade, ob die überhaupt noch dazu kommen, solche Sicherheitslücken, die sie finden, zu schließen.
Oder ob die nicht im Rahmen dieser Unterstützung… Schwachstellenmanagement.

Manuel:
[24:50] Ne, ne. Also du redest das Thema Schwachstellenmanagement an.
Das BMI möchte ja gerne nicht Schwachstellen schließen, sondern Schwachstellen managen und verwalten.
Deswegen gibt es ja das Schwachstellenmanagement, das ist auch in Diskussion, wird außerhalb dessen hier geführt, weil man ja eine Grundgesetzänderung für diese ganze aktive Cyberabwehr, weil man nennt es nicht mehr Hackback, ist ja verpönt, man nennt es aktive Cyberabwehr, aber all das ist ja auch noch eine Diskussion, die diese ganze Cyberunsicherheit durch offensive Maßnahmen bringt.
Aber das BSI hat ja bei diesen Aufgaben nicht nur, ich muss all diese Behörden und Nachrichtendienste, Nachverfolgungsbehörden, Nachrichtendienste unterstützen, sondern sie müssen ja auch Sammlung, Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und zur Verfügungstellung vornehmen.
Dann müssen sie Sicherheitsrisiken untersuchen bei Informationstechnik und bei Entwicklung von Sicherheitsvorkehrungen und bei der Forschung. Sie müssen...

[25:50] Kommunikationsstrukturen aufbauen zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung.
Das machen Sie dann im Verbund mit der Privatwirtschaft. Das wird bestimmt sinnvoll.
Und dann haben Sie auch noch die Aufgaben als zentrale Meldung und Anlaufstelle für Sicherheit in der Informationstechnik.
Die haben Sie ja jetzt auch schon und werden dann noch deutlicher drin ertüchtigt oder verantwortet.
Und Sie haben natürlich auch noch den Punkt, Sie müssen bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit von informationstechnischen Systemen unterstützen.
Für 29.000 plus 4.700 und vielleicht auch bei diesen ganzen Behörden.
Also das BSI wird deutlich mehr Aufgaben bekommen oder die Aufgaben werden für deutlich mehr Teilnehmerkreis erweitert. Aber in diesem Teilnehmerkreis stehen, wie gesagt, Kommunen und Landkreise nicht so wirklich drin.
Wir machen lieber Dinge für Nachrichtendienste und Strafverfolgungsbehörden ganz viel.

Torsten:
[26:46] Ja, auf allem das BSI heißt ja Bundesamt für Sicherheit in der Informationstechnik.
Ist ja für Sicherheit, nicht gegen Sicherheit. A.

Manuel:
[26:56] Naja, wenn du aber als Hausherr das BMI hast, was ja auch Nachrichtendienste und Strafverfolgungsbehörden verwaltet und verantwortet und ständig nach offensiven Maßnahmen schreit, kannst du als untergeordnete Behörde halt nur bedingt für Sicherheit agieren, wenn teilweise sogar jetzt die neue Präsidentin ja kurz vorher eine kleine Anpassung in ihrem gesetzlichen vorgesehenen Jumpseat hat als Präsidentin, weil sie eben jetzt eine politische Beamte ist und damit noch schneller und noch Stressfreiheit lassen werden kann, falls sie nicht gemäß den BMI agiert.
Das haben wir ja schon beim Schönbogen gesehen, dass der da unredlich weggechast wurde.

Rolle des BSI und unabhängigere Cybersicherheit

[27:41] Ich hoffe, das Nachspiel wird noch groß, aber bei der Frau Plattner, das hat ja nichts mit ihr zu tun.
Aber die Rolle Präsident des BSI wurde ja ganz schön drastisch abhängig gemacht und im Koalitionsvertrag steht, es soll ein unabhängigeres BSI geben.
Also, ich meine, das ist schon alles ganz schön krass im Gegensatz zu dem, was wir eigentlich definieren und das BMI macht immer das Gegenteil.
Da passen natürlich diese Dinge, wir machen jetzt noch mehr für Nachrichtendienste und Polizeien und Strafverfolgungsbehörden gut ins Bild, dass das BSI irgendwann gar nicht mehr vertrauenswürdig ist für die Zivilgesellschaft, für die ganzen Nerds und Hackerinnen, für die ganzen Verbände, für die Wirtschaft, für die Forschung, weil alle irgendwann sagen, was ist das, Handlanger von denen allen und vom BMI.
Wir vertrauen da einfach nicht mehr. Also es ist keine gute Entwicklung für die Cybersicherheit. Das ist wirklich bedrohlich.

Torsten:
[28:42] Naja, so ein Koalitionsvertrag ist ja eigentlich nur eine Willensbekundung, ob das dann umgesetzt wird oder nicht.

Manuel:
[28:47] Das entscheidet die Fäser. Achso, ah, danke. Ja gut, sie hat ja immer entschieden, ich mache das Gegenteil. Kann man machen. Und alle in der Ampel gucken zu und sagen, ja schade, dann nicht.

Torsten:
[28:58] Die ist doch gerade im Wahlkampfmodus, oder? Wie war das?

Manuel:
[29:00] Ja, genau. Ich glaube, die ist sogar heute, ist nicht heute, sogar in Wiesbaden an so einem SPD-Parteitag.
Sie hat Corona-Infektionen und ist trotzdem vor Ort?
Weil für eine Innenministerin ist das ja gerade ganz wichtig, dass die da ist. Naja, gut, Details.

Torsten:
[29:17] Ja. Aber Corona, habe ich ja gehört, soll auch auf so Draußen-Festivals stattgefunden haben.

Manuel:
[29:24] Ich hörte davon. Genau.

Torsten:
[29:30] Ich bin gerade ein bisschen sprachlos, weil ich wollte eigentlich jetzt ansprechen, was das Problematische ist an NIST 2. aber wir reden eigentlich die ganze Zeit nur über problematische Dinge.

Manuel:
[29:39] B2. Ja, das Ganze NIST 2 ist an vielen Stellen sehr, sehr problematisch.
Genau. Das ist das Problem.

Torsten:
[29:46] Ja.

Manuel:
[29:49] A1.

Torsten:
[29:49] Hast du irgendwas gehört oder irgendeine Hoffnung, dass die Verbände und Fachleute noch angehört werden?

Manuel:
[29:55] B2. Ja, die werden noch angehört, weil das ist ja gesetzlich vorgeschrieben, eine Verbändeanhörung zu machen.
Wie gesagt, die letzten Verbandsanhörungen aus Kritis und ITSIG-Sicht liefen ja eher so, naja, man hört die alle an.
Beim ITSIG 2 war ja die letzte Entwurfsfassung, Stellungnahmezeit, ich glaube 13 oder 14 Stunden. Es gab ja etliche Fassungen, die hat die AG Kritis ja auf ihrer Webseite aufgelistet.
Die haben von 100, hasse nicht gesehen, Seiten, 180 Seiten oder so, bis zu 88 Seiten oder so extreme Diskrepanz.
Es gibt keine Änderungsmarkierung, kein Highlighting, keine Diff-Fassung, keine Synopse, sondern einfach immer nur, hier ist der neue Entwurf, kannst du kommentieren oder sein lassen.
Und die ganzen Stellungnahmen, ich glaube beim ITSIG 2 waren es 24 Stellungnahmen, das ist schon echt viel. Da haben sich echt viele Verbände ausgekotzt.
Da wurden die im Wesentlichen eingesammelt und zur Kenntnis genommen.
Genauso wie gesagt, wir sechs Sachverständige wurden angehört.
Man hat zur Kenntnis genommen und gesagt, also wir als GroKo haben aber ein geiles Gesetz geschrieben und das bleibt jetzt bitte so geil, wie wir es geschrieben haben. Danke für euer Kommentar, geht mal weg.

Torsten:
[31:17] Ich glaube, in Amerika werden Gesetze inzwischen in so eine Art GitHub oder GitLab geschrieben.

Manuel:
[31:23] Also, was haben wir hier nicht.

Torsten:
[31:26] Ja, ich kann mich noch erinnern zu Zeiten von CeBIT. Die Älteren unter uns werden sich noch daran erinnern.
Da wurde schon mal vorgestellt, wie die digitale Gesetzgebung funktionieren soll. Und auch da hat man noch nicht nachgedacht, ob man so ein Repository oder Ähnliches benutzen sollte als Untergrund.
Er wollte nur die ganzen Word-Dokumente weghaben.
Du hast mich ganz schön runtergezogen jetzt.

Manuel:
[31:55] Ich bin nicht für gute Laune da, ich bin für NES2 da. Gute Laune musst du dir woanders holen.

Torsten:
[32:00] Ich muss das Cover wieder mit vielen Flammen und sowas gestalten.

Manuel:
[32:05] Also immer, wenn ich mit Kritisdach-Gesetz oder NES2 in den letzten Wochen und Monaten zu tun hatte, war mein Doppelflammwerfer und der Tank irgendwie nicht weit.
Das vereint wirklich die ganzen Hashtags zusammen. Professionell angepisst, alles anzünden und brandroden.
Immer auf einmal. Das ist schwierig, schlimm, gruselig und schmerzt.

Torsten:
[32:33] Aber dann schauen wir doch mal, hast du irgendeine Ahnung, wie das die anderen Länder umsetzen, die anderen EU-Länder? Ist das bei denen eh nicht schlimm oder gibt es welche, die einfach sagen, wir nehmen das, was die EU uns da vorschreibt und fertig?

Wenig Informationen über andere Länder und IT-Sicherheit

Manuel:
[32:52] Also tatsächlich kann ich nicht wirklich überhaupt nicht weiß, was die anderen Länder tun, weil die sind alle auch noch dran rumzuwursteln.
Und außerhalb von Deutschland habe ich jetzt noch nicht wahnsinnig viel davon mitbekommen.
Ich kann aber nicht sagen, also sagen wir mal so, auf den sozialen Medien oder mit den Kontakten, die ich so habe, aber die haben sich ja bei ITSIG auch primär auch auf Deutschland konzentriert, habe ich da nicht so wahnsinnig viel mitbekommen.
Und auch die internationalen Kritis-Betreiberinnen, die da so agieren, Jetzt auch nicht irrsinnig viel kommuniziert und aktuell kriege ich da auch nicht viel von zu hören.
Auch die Leute, die darüber viel veröffentlichen und auch durchaus auf Englisch veröffentlichen, wie der Professor Dennis Kipker, der berichtet sehr viel aus Deutschland und wie das alles aussieht oder die Transformation EU nach Deutschland, aber kaum übers Ausland.
Also ich denke, wir sind da so wie beim ITSIG 2 auch eher Vorreiter, aber...

Verbindlichkeit der EU-Direktive und Verzögerungen bei der Umsetzung

[33:57] Ob die alle da wirklich rumeiern können, weil im Oktober 24 wird es für alle verbindlich.
Also eine EU-Direktive kannst du ja nicht aus Spaß nicht umsetzen.
Aber wobei doch, ich muss korrigieren, das BMI hat natürlich auch sowas schon geschafft.
Wir hatten ja das Cell-Broadcast-Einführung in Deutschland.
Es gab eine Deadline von der EU-Vorgabe, diese EU-Alert-Services einzurichten.
Das BMI hat so lange verzögert und vertrödelt, dass wir, ich glaube, ein Jahr, anderthalb, irgendwie sowas um den Dreh-Delay hatten und einfach die Umsetzung der Direktive nicht pünktlich hinbekommen haben.
Da gibt es dann irgendwelche EU-Strafen, Ärger, Beanstandungen, whatever, da bin ich nicht so tief in den Prozessen drin.
Aber auf jeden Fall haben wir es da auch schon vergeigt und so können es andere Länder sichtlich auch hinkriegen, wenn sie das so machen sollten.

Torsten:
[34:52] Ja da muss man Strafzahlungen irgendwie pro Tag leisten. Ich kann mich noch erinnern an das Hinweisgeberschutzgesetz.
Ich weiß gar nicht, ob es inzwischen schon fertig ist oder ob wir da immer noch Strafzahlen zahlen.
Ich weiß noch, ich habe mich damit eine Zeit lang ziemlich intensiv beschäftigen müssen.

Manuel:
[35:10] Ja, aber der Punkt ist ja, ob das irgendwer von irgendeiner Behörde in irgendwo Deutschland zahlt, kann ja denjenigen, die da rumeiern und so schlechte Gesetze in Deutschland schaffen, egal sein, weil die zahlen es ja nicht aus eigener Tasche oder in eigener Haftung.

Torsten:
[35:26] Das stimmt.

Manuel:
[35:27] Also insofern ist das ja auch noch nicht mal ein Wirkmittel gegenüber den Personen, sondern nur gegenüber dem europäischen Staat, der dann der EU irgendwie Dinge zahlen muss. Aber wirksam sieht anders aus.

Torsten:
[35:42] Könnte die Finanzierung der EU auf solche Beine stellen?

Manuel:
[35:46] Ich hätte jetzt behauptet, an manchen Stellen ist das schon so.
Aber Sanktionierungen sind auch in der NES 2 tatsächlich ganz gut adressiert worden. Also Sanktionen und Bußgelder, da ist schon auch da positives Feedback.
Sehr viel gemacht worden, wenn das alles in dem Ausmaß drin stehen bleibt, wo man schon hört, gewisse Dinge sind die LobbyistInnen und Wirtschaftsverbände fleißig dran.
Das könnte ganz schön wehtun. Also wir haben beispielsweise in Paragraph 38, 60 und so weiter einiges an persönlicher Haftung von Geschäftsführern.
Also neben Bußgeldern ist unter anderem bei den Unternehmen nach NIS2.

[36:31] Eine persönliche Haftung von Geschäftsführern bei besonders wichtigen und wichtigen Einrichtungen mitadressiert worden, weil die müssen die vorgeschriebenen Risikomanagementmaßnahmen für Cybersicherheit billigen, um die Umsetzung in der Einrichtung überwachen.

[36:44] Eine Auslagerung dieser Aufgabe antritt es nicht zulässig. Wenn sie da, also du kannst das zwar auslagern, aber die Verantwortung nicht auslagern.
Du kannst das Doing nur auslagern. Und verletzen Geschäftsleiter diese Billigungs- und Überwachungspflichten, haften sie für die der Einrichtung entstandenen Schäden und die Amtshaftung bleibt davon unberührt.
Das sind allein die persönlichen Haftungsgeschichten, die aktuell drinstehen.
Da muss man gucken, wie weit die noch bleiben.
Bei den allgemeinen Tatbeständen, die in diesem Paragraph 60 definiert sind, gibt es allgemeine Bußgeldtatbestände, die dann je nach Vorgabe sind, Also beispielsweise 100.000.

[37:26] Euro bis zu 100.000 Euro Strafe für zur Wiederhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Systemen oder technische Details oder Nachweise werden nicht oder nicht rechtzeitig erbracht.
Bis 500.000 geht Hersteller von IT-Systemen haben durch das BCI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen Produkten verweigert oder Registrierung wurde nicht rechtzeitig vorgenommen oder gar nicht vorgenommen, die erforderliche Stelle nicht benannt, weil ich muss ja mich A.
Registrieren und B. eine Kontaktstelle benennen.
Ich habe Konformitätsbewertungsstellen nicht genehmigt.
Ich habe IT-Sicherheitskennzeichen ohne Freigabe verwendet.
Das ist so eine Zertifizierung, die man sich selbsttestatmäßig machen kann durch NES 2.

[38:16] Ich habe Vorgaben vorgegeben, Inhaber einer Zertifizierung zu sein, ohne dass die existiert oder europäische Cybersicherheitszertifikate behauptet oder ausgestellt oder was auch immer. Dann geht das bis halbe Million.
Und bis zwei Millionen geht beispielsweise, dass ich als TK-Anbieter durch das BSI angewiesene Maßnahmen zur Abwehr konkreter, erheblicher Gefahren nicht getroffen habe, wenn das BSI sagt, hier muss sie machen.
Oder als besonders wichtige Einrichtung durch das BSI verlangte Dokumentation, Mängelbeseitigungspläne, Nachweise nicht vorgelegt habe oder Sicherheitsmängel nicht beseitigt habe. Das sind die allgemeinen Tatbestände.

Haftung von Geschäftsführern und Bußgelder für verschiedene Verstöße

[38:59] Dann gibt es noch für die wichtigen Einrichtungen, welche die bis 100.000, eine halbe Million und sieben Millionen oder 1,4% weltweiter Jahresumsatz gehen.
Also ich will jetzt nicht alles auflisten, aber wenn man bei den wichtigen Einrichtungen auf die sieben Millionen und ein oder 1,4% Umsatz geht, Verstoß wäre, Vorkehrungen zur Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen zu haben.
Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig.
Also melden macht frei, frei von vielen Millionen Euro Strafe.

Torsten:
[39:36] Das sind persönliche Haftungen, oder? Der Geschäftsleiter oder Geschäftsführer haftet persönlich mit diesen Beträgen?

Manuel:
[39:44] Ne, die persönlichen Haftungen hatte ich ja vorhin gesagt. Die müssen diese vorgeschriebenen Risikomanagementmaßnahmen billigen und überwachen.
Und wenn die diese Billigungsüberwachungspflicht nicht machen, die für den entstandenen Schaden der Einrichtung, Amtshaftung bleibt unberührt und so. Das hier sind allgemeine Tatbestände.
Ob dann eine Einrichtung gegen ihren Geschäftsführer vorgeht, keine Ahnung.
Es gibt sogar eine Maximalstufe, die ziehe ich ein bisschen vor, dass BSI kann sogar eine Geschäftsführung von der Cybersicherheitsverantwortung entheben.
Auf Anordnung. Kann sagen, ihr seid jetzt nicht mehr zuständig für Cybersicherheit bei euch, ihr könnt das ja überhaupt nicht. Also dann ist richtig krass, Holland.
Wie das dann juristisch funktioniert? Also ich habe nicht Jura studiert und kann das auch nicht.
Ich weiß nicht, ob die dann einen Ersatz nennen dürfen oder wie das funktioniert.
Das muss man noch gucken, wie das juristisch funktioniert. Oder du musst dir dann so einen wilden Juristen hier mit reinholen, dann kann der dir das juristisch aufbreiten.

Torsten:
[40:45] Aber im Zweifel ist es doch genau das, was ich will. Ich möchte diese Haftung nicht übernehmen und sage, BSI, mach doch mal.

Manuel:
[40:55] Ja, nee, ich glaube, das zieht schon mit sich, dass man erhebliche Probleme kriegen wird. Es ist nicht so, dass die sagen, du machst jetzt mal nicht mehr Cybersicherheit, lass mal gut sein. Ich glaube, dann bist du auch nicht mehr Geschäftsführer von dem Laden oder Vorstand oder so. Du wirst dann gegangen worden sein.
Und ich glaube, dann kommen noch ein paar Ansprüche gegen dich.
Bei den Betreibern kritischer Anlagen und besonders wichtigen Einrichtungen geht diese Maximalverstoßhöhe auf bis zu 10 Millionen oder 2 Prozent Jahresumsatz.
Auch da ist es natürlich wieder, du hast Nachweise über die Erfüllung der Anforderungen nicht richtig oder nicht vollständig erbracht, Vorgehung für Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen, Nachweise über die Erfüllung der Anforderungen nicht oder nicht rechtzeitig erbracht, Du hast Meldungen nicht erfolgen lassen, nicht richtig erfolgen lassen, nicht vollständig erfolgen lassen oder nicht rechtzeitig erfolgen lassen.
Also allein diese Bußgeld- und Sanktionierung und persönliche Haftung ist schon echt fies brutal.
Aber das begrüße ich explizit und sage Danke, dass die endlich mal ganz schön viel Ärger kriegen können und sogar eine persönliche Haftung als Geschäftsführer leben müssen, um zu sagen, Cyber-Sicherheit interessiert nicht. Das ist ja oft genug so. A.

Ausnahmen für bestimmte Einrichtungen der Bundesverwaltung

Torsten:
[42:11] Das begrüße ich auch, aber eigentlich wäre das auch jetzt schon möglich, weil als Geschäftsführer muss ich in vielen Bereichen schon persönlich haften.
Aber schön, dass das hier nochmal extra geregelt ist. Wir hatten ja vorhin gesagt, dass das Thema öffentliche Verwaltung gar nicht so richtig eine Rolle spielt, außer Bundeseinrichtungen.

Manuel:
[42:33] Ja, ja, also es gibt, genau, Bundesverwaltung im Sinne von NIST 2 ist definiert unter anderem als Stellen des Bundes, Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts und öffentliche Unternehmen, die merklich im Eigentum des Bundes stehen und IT-Dienstleistungen für die Bundesverwaltung erbringen.
Gibt dann noch diverse Ausschlüsse und weiß der Fuchs, also es gibt bestimmte Einrichtungen der Bundesverwaltung, die das dann nicht umsetzen müssen, die ausgeklammert sind, explizit ausgeklammert sind, auch sowas wie Streitkräfte und militärischer Abschirmdienst.
Wir haben auch Dinge wie zum Beispiel die, warte mal, das war, glaube ich, Gematik, ich muss das mal kurz suchen.

Torsten:
[43:24] Gematik wäre schön, wenn das ausgeschlossen ist.

Manuel:
[43:27] Naja, die müssen keine Sicherheit machen, das ist vielleicht eine doofe Idee, ne?

Torsten:
[43:32] Ja.

Manuel:
[43:32] Wie war das denn? äh, Ach hier, Betreiberkritikeranlagen, genau.
Paragraph 30 und 31 werden ausgenommen für Betreiberkritikeranlagen, besonders wichtige Einrichtungen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen.
Risikomanagement müssen die dann nicht tun, weil man sagt, die müssen das an anderer Stelle schon tun, aber hätte man ja auch einfach sagen können, müssen hat gemäß Paragraf so und so machen, in Gesetz so und so.
Dann Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes unter bestimmten Voraussetzungen müssen sie das auch nicht machen, weil die dann dieser Regelung Paragraf 11 Energiewirtschaftsgesetz, also ENWG unterliegen und Gesellschaft für Telematik nach fünftes Sozialgesetzbuch, Telematikinfrastruktur ist irgendwie auch nicht relevant.
Dann gibt es noch verschiedene andere Aber im Endeffekt, für diese Einrichtungen, Bundesverwaltung und so, du hast schon rausgehört, Kommunen und Landkreise kommen halt einfach nicht vor.
Die sind nicht Stellen des Bundes, sondern auch nicht Körperschaft des öffentlichen Rechts in dem Sinne oder öffentliche Unternehmen, die in Mehrheit dem Bund unterstehen oder Dienstleistungen daherbringen.

Kommunen und Landkreise nicht in Regelungen berücksichtigt

Torsten:
[44:51] Ich frage mich gerade, für den Bund ist ja für die Sicherheit des BSI zuständig.
Wenn ich als Unternehmen so einen Vorfall habe, dann muss ich das ans BSI melden.
An wen meldet denn das BSI Vorfälle an sich selbst?

Manuel:
[45:07] BSI eigene Vorfälle?

Torsten:
[45:08] Nee, das BSI ist ja für die Bundeseinrichtung zuständig. Das macht ja nicht jede Bundeseinrichtung selber, sondern das macht das BSI.
Und wenn die Vorfälle haben, müssten die es ans BSI melden.

Manuel:
[45:18] Ja, die Leute melden ans BSI ihre Vorfälle, genau. Und wenn das BSI selbst einen Vorfall hat, dann melden die sich selbst, dass sie einen Vorfall haben.
Also die Abteilung A an Meldestelle B. A.

Torsten:
[45:30] Aber letztendlich, wenn ich mir das hier anschaue, es müssen alle Risikomanagementmaßnahmen umsetzen.
Die haben alle Meldepflichten, die sie erfüllen müssen.
Die haben Registrierungspflichten, Nachweispflichten, Unterrichtungspflichten, Billigungs- und Überwachungspflichten.
Eigentlich müssen alle das Gleiche machen, oder? Sehe ich das falsch?

Manuel:
[45:53] Nicht ganz. Es gibt Besonderheiten wie zum Beispiel die Systeme zur Angriffserkennung.
Das müssen Kritis-Betreiberinnen betreiben und, wenn ich mich richtig erinnere.

Anforderungen für betreiberkritische Anlagen und Kritis-Dach-Gesetz

[46:11] Müssen das auch die besonders wichtigen? Nee, ich glaube nur die, genau, die betreiberkritischen Anlagen müssen Systeme zur Angriffserkennung betreiben und Nachweispflichten für diese Systeme zur Angriffserkennung und das Kritis-Dach-Gesetz liefern.
Kritis-Dach-Gesetz ist zwar ein anderes Gesetz, aber beides müssen die tun, das ist vorgegeben.
Also da ist mindestens schon mal ein Unterschied, dass die höhere Anforderungen haben als die anderen. Im Rahmen vom Risikomanagement müssen aber, Die Betreiber alle, und damit fallen auch die 29.000, Unternehmen rein, aus dem Risikomanagement so was machen wie Risikoanalyse und Sicherheit für Informationssysteme, Bewältigung von Sicherheitsvorfällen, wir haben ja die fünf Geschmackskategorien vorhin besprochen, Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement.
Also alle wollen Wiederherstellung, keiner will Backup, aber jetzt wird es sozusagen gesetzlich gefordert, dass sie beides tun müssen.
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen und Dienstleistersicherheit müssen Sie fordern, also Providermanagement sozusagen.
Sie müssen Sicherheit in der Entwicklung, Beschaffung und Wartung und dem Management von Schwachstellen angehen, also wann, wie, schließe ich die?
Ich habe einen ordentlichen Patch- und Change-Management-Prozess.
Sie müssen Bewertung der Effektivität von Cybersicherheit und Risikomaßnahmen vornehmen und diese Bewertung begründen. Sie müssen Schulung in Cybersicherheit und Cyberhygiene vornehmen.

[47:38] Ja, nach einer Pandemie kann man sowas ja mal reinschreiben.
Sie müssen Kryptografie und Verschlüsselung einsetzen, Pernodonalsicherheit vornehmen, Zugriffskontrollen und Anlagenmanagement vornehmen, also Assetmanagements erlaubt.
Multifaktor-Authentisierung ist unter anderem gezwungen und kontinuierliche Authentisierung, aber auch sichere Kommunikation in Sprach, Videotext und sichere Notfallkommunikation.
Also das sind unter anderem Dinge, die in Paragraf 30 für das Risikomanagement genannt sind, aber besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technisch-organisatorische Maßnahmen ergreifen, um diese Störung zu vermeiden, Auswirkungen von Sicherheitsvorfällen gering zu halten und so.
Also verhältnismäßig vor allem.

Torsten:
[48:26] Aber gerade bei dem Thema Angriffserkennung. Wenn ich heutzutage Infrastruktur betreibe, da reicht es, wenn ich eine Serverinfrastruktur habe, dann brauche ich doch eine Angriffserkennung sowieso.

Manuel:
[48:38] Nicht zwingend und nicht in dem Detail, wie das BSED in der Orientierungshilfe zur Angriffserkennung beschreiben und benennen. Da sind schon sehr viele Punkte benannt, worauf man achten muss, wenn man das hat.

Unterschied zwischen Oberflächlicher und detaillierter Umsetzung der Sicherheitsmaßnahmen

[48:51] Und du kannst das ja immer so oder so betreiben. Du kannst sagen, ich schmeiße eine Antiviren Software auf ein System und ich sage, ja, ich habe Antivirus.
Du updatest aber nie die Signaturen, du updatest nicht das System und du machst auch keine zentrale Überwachung, ob und wann welche Meldung kam.
Du hast Antivirus. Wenn da steht, du sollst eins haben, hast du eins.
Und wenn da detailliert in 100 Unterpunkten gesagt wird, wann was wie zu machen ist oder welche Prozesse du drumherum haben musst, Dann ist das deutlich mehr, du hast Antivirus.
So ähnlich ist das bei den System-zu-Angriffs-Erkennungen auch.

Torsten:
[49:21] Vielleicht ist es gar nicht so schlecht, da sparen wir uns einige Ausbildung, weil dann können wir einfach sagen, in diesem Gesetz nach was du alles zu tun hast. Musst du nicht selber ausdenken.

Manuel:
[49:28] Ja, aber ich wette oder nein, ich weiß sogar, also einige Hersteller kommen dann wieder mit, hier ist ein Tool und damit bist du gesetzlich konform.
Übrigens, dieses Tool setzt auch KI ein, also Glitzer-Hypes haben wir dann auch wieder drin.
Und dann meinen die alle, die können wieder Tools kaufen und dann müssen sie nichts tun, weil das Tool macht ja dann alles für die.
Das funktioniert halt nie, weil hier werden ja Prozesse und Tätigkeiten beschrieben und nicht, welche Tools du klicken sollst. Aber naja, wir schauen mal.

Umsetzungsfristen und Rechtsverordnungen werden diskutiert

Torsten:
[50:07] So, Umsetzungsfristen hatten wir jetzt schon.
Über Rechtsverordnungen haben wir uns auch schon lange unterhalten.

Manuel:
[50:14] Ja, wie gesagt, die gibt es noch nicht. Die Rechtsverordnung fehlt.
Darüber können wir nicht diskutieren. Was sind genau Anlagen, kritische Infrastrukturen oder die anderen detaillierten Rechtsverordnungen?
Wer ist genau, wann eine wichtige oder besonders wichtige Einrichtung?
Die Einrichtung. Wir kennen die Kategorisierungen, aber die Details fehlen noch. Schade.

Torsten:
[50:32] Also ich bin hier auf der Seite von OpenCritis und da stehen auch Auswirkungen auf weitere Gesetze.
Ziemlich am Ende und ich glaube, ich muss dann auch so langsam zum Ende kommen.
Ausführungen auf Telekommunikationsgesetz.

Sanktionierung und Geldbußen bei Telekommunikationsstörungen

Manuel:
[50:54] Es gibt zum Beispiel Vorgaben bei der Sanktionierung, wenn du eben diese Einschränkungen der Telekommunikation bei Störungen hast, du musst da gewisse Dinge sicherstellen, da wird zum Beispiel referenziert auf den TKG Paragraph 169, 6 und 7.
Aber du hast auch bei Ordnungswidrigkeiten, wenn du Einschränkungen der Telekommunikation bei Störungen hast, dass du wieder mit dieser Geldbuße von bis zu 500.000 Euro oder so drangsaliert werden kannst.
Also so ein paar Ecken sind quasi ableitbar schon, aber viele Ecken noch nicht, weil noch nicht genau im Detail klar ist, was wird das jetzt jetzt bedeuten.
Theoretisch könnte ja auch das BMI hingehen und sagen, Kommunen und Landkreise packen wir auch noch mit rein. Du darfst immer mehr machen, als die EU vorschreibt, aber praktisch sieht es nicht so aus, ne? A.

Torsten:
[51:49] Du hast ja nur drei Worte, die sie noch reinschreiben müssen. Und ein Komma. B.

Manuel:
[51:53] Ihr müsst machen. Komma. Ihr jetzt auch oder so.

Torsten:
[51:58] A. Aber es ist interessant, dass das BSI-Gesetz da betroffen ist, vollkommen klar.
BMI-Gesetz, Das BND-Gesetz hatten wir vorhin schon, das IT-Sicherheitsgesetz, das sind immer nur kleine Artikel, die da geändert werden.

Manuel:
[52:13] Ja, das IT-Sicherheitsgesetz 2, also die NIS 2 ist ja die Ablöse oder die Erweiterung, Verfeinerung oder wie auch immer. Theoretisch könnte man das in Deutschland auch IT-Sicherheitsgesetz 3.0 nennen, weil es die Weiterentwicklung von 2.0 ist.
Sehr umfassend und mit sehr viel. Unter anderem hat man die Evaluierung zum 1. Mai 25 gestrichen, weil das IT-Sicherheitsgesetz 2.0 müsste zum 1.
Mai 25 evaluiert werden, ob und was da überhaupt tut.
Da man aber schon eine Evaluierung vor einem halben Jahr oder so gemacht hat, Diese Evaluierung war freundlich formuliert Namutszeugnis.
Naja gut, hat man die Evaluierung einfach komplett gestrichen und gesagt, naja, wir haben ja jetzt eine NGS2, dann brauchen wir uns das IT-Sicherheitsgesetz auch nicht angucken.
Ist zwar die Folge davon und vieles davon ist darin weiterentwickelt und weiteradressiert, aber hey, Evaluierungen wären ja Transparenz, dafür ist das BMI jetzt in dem Ausmaß nicht bekannt.
Stellungnahmen in 13 Stunden oder 24 Stunden oder Referentenentwürfe, die liegen müssen, damit man zur Kenntnis nimmt, was Gespräch ist, ist jetzt auch nicht Transparenz, passt also ins Bild.

Torsten:
[53:22] Weißt du zufällig, ob das IT-Sicherheitsgesetz 2 dann irgendwie ausläuft?

Manuel:
[53:27] Es wird damit quasi ersetzt. Also das IT-Sicherheitsgesetz 2 wird im Prinzip ersetzt. Also das IT-Sicherheitsgesetz 2 ist ja ein Artikelgesetz.
Das hat ja im Endeffekt im BSI-Gesetz und verschiedenen anderen Gesetzeparagraphen geändert.
Und da wir jetzt hier ganz viel über BSI geredet haben, wird ganz viel im BSI-Gesetz bedingt durch die NIS2-Umsetzung verändert, womit die ganzen Dinge, die aus dem IT-Sicherheitsgesetz kamen ins BSI-Gesetz, eben jetzt noch mal erweitert, angepasst oder geändert werden.
Wir sind dann bei Feuerwarn-Bußgeldern im BSI-Gesetz, § 13 und die Sanktionen und Bußgelder sind jetzt § 60. Es ist also ein bisschen dazugekommen.

Torsten:
[54:13] Ja, schön ist auch, dass das D-E-Mail-Gesetz mit beeinflusst wird.
Zwar nur mit Verweisen, aber...

Manuel:
[54:18] Ja, D-E-Mail. Wir machen Ende-zu-Ende-Verschlüsselung.
Wir gucken nur ganz kurz zwischendurch da rein, wegen den Viren, nicht wegen den Geheimdiensten. Aber es ist dann Ende-zu-Ende-Verschlüsselung.
Aber es ist Ende-zu-Ende, also die gucken ja nur ganz kurz rein in den Viren.
Das hieß ja in kleinen kreisen früher schmunzelnder weise paragraf 9 schnittstelle schnittstelle ne zum abgreifen der kommunikation für die geheimdienste also ja.
Es wird zwar nur als verweis adressiert aber das ist auch so ein ding da kann ich gleich wieder den bunsenbrenner rausholen und alles abfackeln also so macht man keine sicherheit für für die bevölkerung und ja damit war die e-mail rohrkrepierer und es ist auch geblieben.
Verschiedene andere Dinge hier im Nest 2 werden ähnlich laufen.

Torsten:
[55:08] Ja, die E-Mail hat sich bald komplett erledigt. Also es gibt, glaube ich, nur noch einen Anbieter, der die E-Mail überhaupt betreibt.

Manuel:
[55:14] Ja, ist ähnlich wie Fax, hält man noch am Leben, aber naja.

Torsten:
[55:20] Ich bin tatsächlich mal gespannt, ob das dann im Deutschen Museum, ob da neben dem Fax, dann auch so ein D-E-Mail-Account steht oder so.

Manuel:
[55:28] Ja, am besten D-E-Mail-Mails ausgedruckt neben dem Fax.
Wie habe ich damals da ausgedruckt und hier weitergeschickt?

Torsten:
[55:40] TROZINSKI Also ich glaube, wir sollten jetzt hier Schluss machen, weil zum einen das Tool sagt mir, ich habe nur noch ein paar Minuten von meiner Speicherzeit übrig und zum anderen, ich glaube, wir könnten noch vier Stunden reden, wenn wir uns die einzelnen Artikel anschauen bzw.
Die einzelnen Paragrafen anschauen. Vielleicht machen wir das nochmal.

Manuel:
[56:00] Oh Gott.
Können wir machen, aber das wird für die Leute halt echt gruselig und schwierig.
Aber ich bin mir ja für nichts zu schade, mache ich gerne.

Torsten:
[56:13] Du hast vorhin so einen Kollegen genannt, den Dennis.
Vielleicht fangen wir den einfach mal an.

Manuel:
[56:21] Ja, also, Dennis hat, ich war mit Dennis auf einem Podium beim Deutschen Präventionstag, irgendwann im, weiß nicht, irgendwann dieses Jahr, und wir hatten da mit anderen diskutiert und wir haben halt, also er hat insbesondere festgehalten, er ist ja nur wirklich ein, eine der Cyber Security Gesetzgebungskoryphäen und nimmt alle Gesetze auseinander, kommentiert die und so.
Und er hat halt gesagt, naja, ab Oktober 24 werden wir eine so krass komplexe Cybersicherheitsregelung in Gesetzen haben, dass keiner mehr durchblickt.
So komplex war es noch nie, so richtig, richtig komplex.
Und er hat halt recht, also das ist wirklich hässlich, was da auf uns zukommt und das macht es nicht transparent und sicher.
Komplexität ist der Feind von Sicherheit, hat das BMI in der Gesetzgebung anscheinend auch nicht so ganz verstanden.

Torsten:
[57:12] Security by Obscurity.

Manuel:
[57:13] Ja, das kommt noch dazu.

Torsten:
[57:16] Gesetzgebung by Obscurity.

Manuel:
[57:19] Obskure Gesetzgebung, ja, das ist richtig. Das haben wir hier.

Torsten:
[57:23] Also Manuel, vielen, vielen Dank, dass du da warst.

Manuel:
[57:25] Gerne.

Torsten:
[57:26] Freut mich immer, mit dir aufzunehmen. Und euch, liebe Hörerinnen und Hörer, vielen Dank fürs Zuhören und bis zum nächsten Mal.

Manuel:
[57:34] Alles klar. Tschüss und danke für die Einladung.