IT-Sicherheitsgesetz: Nur wenige KRITIS-Betreiber sind registriert

Auf der Konferenz PITS 2016 wies der Leiter des Referats „Kritische-IT-Infrastrukturen; Sichere Informationstechnik“ im BMI, Herr Andreas Reisen, darauf hin, dass derzeit nur 10 % der als Kritische Infrastrukturen eingestuften Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet sind. In seinem Referat wies er darauf hin, dass von 730 als kritische Infrastrukturen eingestuften Einrichtungen aus den Sektoren ITK, Energie, Wasser und Ernährung nur 73 Registrierungen eingegangen sind.

Es verbleiben den betroffenen Infrastrukturbetreibern noch einige Tage Zeit, sich registrieren zu lassen. Die Frist läuft zum 03.11.2016 ab.

Herr Reisen macht im Auftrage des BMI deutlich, dass das BSI nicht gleich mit Bußgeldern reagieren wird. Es soll ein kooperativer Ansatz mit den kritischen Infrastrukturen (KRITIS) verfolgt werden. Das BSI und auch das BMI gehen offensichtlich davon aus, dass kurz vor Ablauf der Frist noch entsprechende Registrierungen eingehen.

Kritische Infrastrukturen müssen dann ab 2016 alle zwei Jahre ein Sicherheitskonzept vorlegen und umsetzen. Aktuell versucht das BSI aktiv auf die jeweiligen Branchenverbände zuzugehen, um Branchenstandards zu definieren und Benchmarks festzulegen. So soll die Überprüfung und Auditierung von IT-Sicherheitsmaßnahmen erleichtert werden.

Insgesamt scheint damit die Rechtsdurchsetzung der Maßnahmen nach dem IT-Sicherheitsgesetz noch nicht so recht voranzugehen. Es bleibt sicherlich spannend, ob der vom BMI verfolgte kooperative Ansatz letztendlich erfolgreich sein wird.

Unabhängig davon ist nach wie vor nicht nachzuvollziehen, aus welchem Grund in der KRITIS-Verordnung die Schwellenwerte so hoch angesetzt sind, dass nur wenige Unternehmen aus dem Bereich Energie, Wasser, Ernährung und ITK den Regelungen unterfallen. In der KRITIS-VO wird davon ausgegangen, dass erst ab einem Schwellenwert von 500.000 betroffenen Menschen von einer kritischen Infrastruktur auszugehen ist. Dies bedeutet, dass beispielsweise nur wenige Großstädte, wenn diese von Störungen kritischer Infrastrukturen betroffen sind, letztendlich geschützt sind. Von der Versorgung in der Fläche mag an dieser Stelle nicht weiter geredet werden.

Nach unserer Einschätzung ist das IT-Sicherheitsgesetz mit den jetzt festgelegten Schwellenwerten viel zu hoch angesetzt. Die Argumentation in der Begründung für die KRITIS-VO erscheint nicht schlüssig und entspricht auch nicht den Realitäten. Auch der Ausfall kleinerer Wasserwerke oder Energieversorger kann schon zu erheblichen Versorgungsengpässen führen. Insbesondere kann nicht davon ausgegangen werden, dass Störungen jeweils nur an einer Stelle der Bundesrepublik auftreten. Dies ist nach unserer Auffassung die Lücke in der Argumentation für die bisher festgelegten Schwellenwerte. Es mag zwar sein, dass in dem einen oder anderen Bereich im Rahmen des Katastrophenschutzes ein gewisser Vorrat an Katastrophenhilfen vorhanden ist. Bei Ausfällen kritischer Infrastrukturen an verschiedenen „Ecken“ der Bundesrepublik Deutschland kann aber nicht davon ausgegangen werden, dass die entsprechenden Kapazitäten flächendeckend und uneingeschränkt zur Verfügung stehen. Deshalb fordern wir an dieser Stelle dringend eine Überprüfung und Überdenkung er hohen Schwellenwerte und der Betroffenheitsgrenze von 500.000 Menschen.

 

 

 
2 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 52 votes, average: 5,00 out of 5 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*