Startseite > Security > Teletrust begrüßt Entwurf zur „KRITIS-Verordnung“, sieht jedoch Nachbesserungsbedarf

Sicherheitsspezialisten schlagen Änderungen an Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz vor

Teletrust begrüßt Entwurf zur „KRITIS-Verordnung“, sieht jedoch Nachbesserungsbedarf

23. Februar 2016, 9:39 Uhr | LANline/jos

Das Bundesministerium des Innern hat den Referenten-Entwurf einer ""Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz"" (KRITIS) veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (Teletrust) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Mit der „“KRITIS““-Verordnung wird Paragraf 10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung sind darin relevante Anlagekategorien definiert und mit Schwellenwerten – korrespondierend mit dem jeweiligen Versorgungsgrad – versehen.

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt Teletrust nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

1. Die Zugrundelegung der „“500.000er-Regel““ für die Schwellenwerte betrachten die Experten kritisch. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, sich technisch und organisatorisch auffangen lassen. Sind im konkreten Fall also 500.000 Haushalte betroffen, ist ein weiterer, ernster Vorfall nicht einmal teilweise abzufangen. Teletrust regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.

2. Die Benennung absoluter Zahlen für Schwellenwerte lässt nach Einschätzung der Experten eine qualitative Berücksichtigung möglicher „“Domino-Effekte““ außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt habe, könne durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigten, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher rege Teletrust an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.

3. Das für die Anlagenkategorie „“Standortkopplung““ zugrunde gelegte Datenvolumen auf der Basis des wichtigsten – und gemessen am Datendurchsatz weltweit größten Internet-Knotenpunkts (DE-CIX) – erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internet-Knotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr läuft, sei das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. Teletrust schlägt vor, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.

4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen stehen. Teletrust will klarstellen, inwieweit die IP-basierenden Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt sind.

Weitere Informationen gibt es unter www.teletrust.de.