Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (KritisV)

Es liegt ein Referentenentwurf des Bundesministeriums des Inneren vom 13.01.2016 vor, mit dem im Rahmen einer Rechtsverordnung Kritische Infrastrukturen nach dem BSI-Gesetz definiert werden sollen. Das Dokument trägt den Titel „Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ ( – BSI-).

In der Einleitung des Referentenentwurfes wird darauf verwiesen, dass Betreiber Kritischer Infrastrukturen nicht nur besondere Pflichten, sondern gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch besondere Rechte haben. Insbesondere sollen Kritische Infrastrukturen eine privilegierte Beratung und Information durch das BSI erhalten.

Die Definition der Kritischen Infrastrukturen soll in drei Schritten erfolgen. Im ersten Schritt wird für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikationstechnik sowie Ernährung bestimmt, welche Dienstleistungen aufgrund ihrer Bedeutung als kritisch anzusehen sind. In dem Referentenentwurf wird auf die Ergebnisse von Studien verwiesen, die das BSI beauftragt hat.

Hier offenbart sich eine Schwäche der Verordnung, da die entsprechenden Studien weder zitiert noch näher bezeichnet werden. Insoweit kann eine kritische Auseinandersetzung mit den Einzelheiten zur Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz nur begrenzt erfolgen.

In einem zweiten Schritt sollen dann Kategorien von Anlagen identifiziert werden, die für die Erbringung der kritischen Dienstleistungen erforderlich sind. Hier wird ebenfalls in dem Referentenwurf auf Studien des BSI und Erörterungen mit Experten und Vertretern der betroffenen Ressource sowie der einzelnen Branchen verwiesen. Auch diese Informationslage des BSI, die zu der entsprechenden Einstufung als Kritische Infrastruktur führt, bleibt geheimnisvoll und nicht nachvollziehbar.

In einem dritten Schritt sollen dann ausgehend von den identifizierten Anlagekategorien konkrete Anlagen oder Teile davon bestimmt werden, die aus gesamtgesellschaftlicher Sicht einen bedeutenden Versorgungsgrad aufweisen. Die Rechtsverordnung verweist deutlich darauf, dass die Betrachtung aus Bundessicht erfolgt und bewusst mit Schwellenwerten gearbeitet werden soll.

In der Einleitung zur Verordnung werden Angaben aus der Gesetzesbegründung des IT-Sicherheitsgesetzes wiederholt. Angeblich sollen maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr und betriebener Anlage notwendig sein. Auch werden nach Auffassung des Verordnungsgebers nur Bearbeitungskosten von 660,00 € pro Meldung entstehen.

Bereits im Vorfeld zur BSI-kritis-Verordnung war in den Diskussionen zum IT-Sicherheitsgesetz deutlich geworden, dass diese Schätzungen auf fehlerhaften Annahmen beruhen. Die Schätzung von maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr und betriebener Anlage beruhen auf dem gesetzlichen Entwurf ohne Bußgeldvorschriften. Nachdem im IT-Sicherheitsgesetz erhebliche Bußgeldvorschriften mit aufgenommen worden sind, ist zu erwarten, dass betroffene Unternehmen bereits aus Vorsicht und zur Vermeidung von Bußgeldern und Compliance-Verstößen eher zu viel als zu wenig melden werden.

Nach wie vor geht die Bundesregierung von maximal 2.000 Betreibern aus, die als Kritische Infrastruktur eingestuft werden. Für die Sektoren Energie, IKT, Ernährung und Wasser sollen es 650 Anlagen sein. Allerdings liegen für den Bereich Informationstechnik und Telekommunikation keine Zahlen vor, sodass zu den 650 Anlagen die Betreiber und Anlagen noch hinzuzurechnen sind.

Als unrealistisch kann der Wert von insgesamt 3.000.000,00 € als Erfüllungsaufwand für die Kritischen Infrastrukturen angesehen werden. Hier hat das Bundesministerium des Inneren offensichtlich nicht im Blick, welche Auswirkungen die heftigen Bußgeldandrohungen im IT-Sicherheitsgesetz haben werden.

Anlagen als ausschlaggebendes Kriterium

In § 1 Ziff. 1 der BSI-KritisV wird auf Anlagen verwiesen. Dabei orientiert sich der Anlagenbegriff an immissionsschutzrechtlichen Begriffswelten. Anlagen ist ein Sammelbegriff sowohl für ortsfeste als auch für ortsveränderliche Einrichtungen. Die weiteren Begriffsbestimmungen sind übersichtlich. Definiert wird, dass ein Betreiber eine natürliche und juristische Person ist, die den bestimmenden Einfluss auf die Anlage ausübt. Die Eigentümerstellung ist nicht relevant. Kritische Dienstleistungen sind Dienstleistungen zur Versorgung der Allgemeinheit, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Abweichend vom Gesetzestext wird darüber hinaus auch „vergleichbare Folgen“ wie Versorgungsengpässe oder Gefährdung der öffentlichen Sicherheit verwiesen. Abschließend wird noch definiert, was die BSI-KritisV unter „Versorgungsgrad“ und dem „branchenspezifischen Schwellenwert“ versteht.

In den §§ 2 bis 5 werden dann für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation zum einen die Kategorien benannt, die im Rahmen der Verordnung näher zu betrachten sind, zum anderen wird auf einen jeweils branchenspezifischen Schwellenwert in den nachfolgenden Anlagen verwiesen. Erst bei Überschreiten diesen Schwellenwertes wird eine Anlage zur Kritischen Infrastruktur.

Bei der Stromversorgung wird nicht nur auf die Erzeugung und Gewinnung von Strom abgestellt, sondern auch auf die Belieferung der Kunden. Im Bereich der Wasserversorgung steht die Trinkwasserversorgung mit der Gewinnung, Aufbereitung und Verteilung von Trinkwasser im Mittelpunkt. Auch die Abwasserbeseitigung wird näher betrachtet.

Im Bereich Ernährung können Kritische Infrastrukturen im Bereich der Lebensmittelproduktion und Lebensmittelverarbeitung entstehen. Auch der Lebensmittelhandel kann in Abhängigkeit von den branchenspezifischen Schwellenwerten eine Kritische Infrastruktur sein.

Im Sektor Informationstechnik und Telekommunikation wird die Sprach- und Datenübertragung sowie die Datenspeicherung und Datenverarbeitung näher betrachtet. Bei der Datenspeicherung und –verarbeitung begrenzt die Betrachtung Kritischer Infrastrukturen allerdings auf die Bereiche Housing, IT-Hosting und Vertrauensdienste.

Gemäß § 6 BSI-KritisV soll innerhalb von vier Jahren nach Inkrafttreten der Rechtsverordnung diese evaluiert werden. Insbesondere die Frage der branchenspezifischen Schwellenwerte soll dann noch einmal geprüft werden.

Gemäß § 7 BSI-KritisV tritt die Verordnung einen Tag nach der Verkündigung in Kraft.

Schwellenwert 500.000 versorgte Personen

Die gesamte BSI-Kritis-Verordnung geht bei ihren Betrachtungen davon aus, dass eine Kritische Infrastruktur erst entsteht, wenn mehr als 500.000 Personen betroffen sind. Diese Zahl überrascht und ist nach unserer Einschätzung durchaus sehr kritisch zu hinterfragen. In den nachfolgenden Begründungen der Verordnung wird zwar teilweise versucht, die Zahl von 500.000 versorgten Personen zu argumentieren. Die Argumentation ist aber äußerst dünn.

Generell muss der Betreiber selbst prüfen, ob er eine Anlage betreibt, die die jeweils in der Verordnung im Anhang 1 festgelegten Schwellenwerte überschreitet. Es werden sehr konkrete Schwellenwerte für verschiedene Anlagen genannt. Beispielsweise wird bei einer Ölförderanlage darauf abgestellt, ob in einem Jahr mehr als 4,4 Mio. Tonnen Rohöl gefördert werden. Tankstellennetze können ebenfalls eine Kritische Infrastruktur sein, wenn die verteilte Menge Kraftstoff pro Jahr 335.000 Tonnen überragt. Umgerechnet sind dies mehr als 335 Mio. Liter, die ein Tankstellennetz verteilen soll. Interessant ist, dass hier bei einer Anlagekategorie von einem „Tankstellennetz“ gesprochen wird. Hier stellt sich die Frage, ob damit dann nicht mehr die einzelne Tankstelle, sondern ein Gesamtunternehmen mit einer Vielzahl von Tankstellen zu betrachten ist.

Im Anhang 2 werden zum Sektor Wasser Schwellenwerte genannt. Im Bereich Abwasserbeseitigung (Kanalisation) kann eine Kritische Infrastruktur erst entstehen, wenn mehr als 500.000 Einwohner angeschlossen sind. Bei einem Wasserwerk wird auf einen Wasseraufkommen in Millionen Kubikmeter pro Jahr abgestellt. Hier liegt der Schwellenwert bei 21.900.000,00 m³.

Im Sektor Ernährung liegen die Schwellenwerte gemäß Anhang 3 bei Anlagen zur Produktion von Agrarerzeugnissen bei Speisen bei 334.000 Tonnen. Bei Getränken liegt der Schwellenwert bei 274,5 Mio. Litern. Gleiche Zahlen tauchen sowohl bei Anlagen zur Lagerung von Lebensmitteln, bei Anlagen zur Distribution von Lebensmitteln und bei Anlagen zum Verkauf von Lebensmitteln auf.

In Anhang 4 wird bei einem öffentlichen Telefonnetz auf mehr als 100.000 Teilnehmer abgestellt und insoweit der Schwellenwert festgelegt. Bei einer Serverfarm im Bereich IT-Hosting wird auf 25.000 laufende Instanzen im Jahresdurchschnitt abgestellt.

Dies nur eine beispielhafte Aufzählung verschiedener Schwellenwerte und Kategorisierungen. Im Einzelnen muss jedes Unternehmen selbst prüfen, ob die jeweiligen Schwellenwerte erreicht werden. Es bleibt bei einer Selbsteinschätzung.

Maßstäbe für die Ermittlung des Versorgungsgrades

Bei der Ermittlung des Versorgungsgrades werden verschiedene Festlegungen getroffen. Sektor- oder dienstleistungsübergreifende (Inter-) Dependenzen bleiben unberücksichtigt. Es ist für die Ermittlung des Versorgungsgrades also unbeachtlich, welche Anlagen innerhalb oder außerhalb eines Sektors vom Ausfall einer anderen Anlage betroffen sind.

Weiterhin stellt die Verordnung auf eine sogenannte „binäre Versorgungssituation“ ab. Demnach gilt eine Person als versorgt oder nicht versorgt. Qualitative Einschränkungen oder Versorgungen mit minderer Qualität sollen unberücksichtigt bleiben.

Weiterhin bleibt auch eine mögliche Substituierbarkeit einer Anlage oder Teilen einer Anlage durch andere, auch betreiberfremde Anlagen  unberücksichtigt. Bei der Ermittlung des Versorgungsgrades soll auf die unmittelbar durch die Anlage versorgte Anzahl von Personen abzustellen sein. Wenn die Anzahl der durch eine Anlage versorgten Personen nicht direkt erhoben werden kann, soll der Versorgungsgrad näherungsweise bestimmt werden.

Kritische Nachfragen: Woher stammt der Regelschwellenwert?

In der Begründung zur BSI-Kritis-Verordnung wird auf den Regelschwellenwert von 500.000 versorgten Personen verwiesen. Hier gibt es einige wenige Informationen, warum der Verordnungsgeber von diesem Wert ausgeht. Bereits bei den Ausführungen des Bundesministeriums des Inneren wird deutlich, auf welcher schwachen Basis dieser Regelschwellenwert hergeleitet wurde. es wird auf eine exemplarische Analyse von Notfallplan beziehungsweise Notfallkapazitäten aus Bundessicht verwiesen, ohne dass diese weiter belegt ist. Dann wird in der Begründung zur Verordnung auf zwei konkrete Fälle verwiesen. Im Dezember 2005 fiel im Münsterland für mehrere Tage die Stromversorgung aus. In Spitzenzeiten waren mehr als 250.000 Menschen betroffen. Das THW und andere Organisationen konnten das öffentliche Stromnetz aufrechterhalten. Hieraus leitet das Bundesministerium des Inneren ab, dass derzeit maximal 500.000 Menschen bei einem Stromausfall mit Notstrom versorgt werden können.

Hier ist die kritische Nachfrage erlaubt, ob es realistisch ist, nur von einem Störfall und einem Notfall auszugehen. Beispielsweise bei flächendeckenden Hackerattacken kann es durchaus sein, dass an verschiedenen Orten Stromausfälle auftreten, die Anforderungen an Notfallkapazitäten stellen. Hier erscheint uns der Schwellenwert von 500.000 betroffenen Personen und Menschen völlig ungeeignet.

In einem zweiten Beispiel wird darauf verwiesen, dass die Gefahrenabwehr einer kreisfreien Großstadt mit mehr als 1.000.000 Einwohnern zusammen mit dem Energieversorger eine Notstromplanung aufgesetzt hat. Hier soll angeblich mithilfe von Notfallkraftwerken eine Teilversorgung von circa 500.000 versorgten Personen möglich sein.

Ein wenig abenteuerlich wird die Argumentation im Falle eines weiträumigen Ausfalls der Wasserversorgung. Das Bundesministerium des Inneren verweist auf ein Notbrunnensystem. Zusammen mit den mobilen Wasseraufbereitungsanlagen, die mehrheitlich beim THW und bei der Bundeswehr sowie vereinzelt bei Hilfsorganisationen verortet sind, sollen circa 300.000 bis 400.000 Menschen gleichzeitig mit mobil aufbereitetem Trinkwasser versorgt werden können. Dies ist schon nach unserer Einschätzung eine erhebliche Spannbreite und Ungenauigkeit in der Betrachtung. Dann wird darauf verwiesen, dass es „geringe Kapazitäten“ von Hilfsorganisationen gibt, sodass maximal 500.000 Menschen mit Wasser im Notfall versorgt werden können. Hier wird nach unserer Auffassung deutlich, dass die Schätzungen völlig ungeeignet und unrealistisch sind. Nach Einschätzung man muss von einer erheblich geringeren Anzahl von versorgten Personen ausgehen. Hier lässt sich das Bundesministeriums des Inneren wohl offensichtlich nicht von den realistischen Gegebenheiten treiben, sondern ist von der einmal behaupteten Zahl von maximal 2.000 betroffenen Unternehmen angetrieben, möglichst hohe Schwellenwerte anzusetzen.

Ob diese dann im Rahmen der NIS-Richtlinie, die 2018 auf EU-Ebene Gültigkeit erlangt, noch Bestand haben kann, ist stark anzuzweifeln.

Weiterhin verweist selbst das Bundesministerium des Inneren darauf, dass der Aufbau größerer Notfallkapazitäten nicht zu finanzieren ist. Hier stellt sich die Frage, warum dann nicht von geringen Schwellenwerten ausgegangen werden soll.

Abschließend soll der Verordnungsgeber noch einmal im Wortlaut zitiert werden:

„Es ist davon auszugehen, dass diese Gründe entsprechend auch zur Limitierung der Notfallkapazitäten in ähnlicher Größenordnung in den übrigen Sektoren führen.“

Mit anderen Worten: Anhand von einem konkreten Beispiel aus Dezember 2005, einer Planung einer kreisfreien Großstadt und ihren groben Berechnungen zur Notfallversorgung im Bereich Wasser wird vom Verordnungsgeber hergeleitet, dass entsprechende Zahlen für alle anderen Sektoren auch sinnvoll sind. Der oben zitierte, eine Satz ist der einzige Hinweis des Verordnungsgebers in der BSI-kritis-Verordnung, warum für alle Sektoren von einem Regelschwellenwert von 500.000 versorgten Personen auszugehen ist.

Zusammenfassend ist also festzustellen, dass nach unserer Einschätzung der Regelschwellenwert mit 500.000 versorgten Personen viel zu hoch ist und nicht anhand einer konkreten belastbaren Datenbasis ermittelt wurde. Hier ist dem Bundesministerium des Inneren als Verordnungsgeber dringend anzuraten, seine Argumentation zu überprüfen und stabiler zu gestalten. Ansonsten ist die BSI-kritis-Verordnung leider ein Papiertiger, dass nicht geeignet ist, eine realistische Planung für Kritische Infrastrukturen und für Notfälle zu ermöglichen. Auch bei Umsetzung der NIS-Richtlinie ist vor dem geplanten Evaluierungszeitraum von vier Jahren damit zu rechnen, dass bereits Änderungen und neue Anforderungen an weitere Kritische Infrastrukturen zu stellen sind.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*