Auf rund 270 Betreiber kritischer Infrastrukturen (Kritis) kommen erhöhte Anforderungen im Bereich IT-Sicherheit zu. Dies sieht ein Referentenentwurf zur Reform der Kritis-Verordnung aus dem Bundesinnenministerium (BMI) vor, der heise online vorliegt. Für diese Betriebe gälten bei einem Beschluss der Initiative spezielle Melde- und Zertifizierungspflichten. Zudem müssten sie Mindeststandards einhalten und etwa IT-Sicherheitskonzepte vorlegen sowie pflegen.

Vor allem Stromerzeuger betroffen

Bisher sind von der Verordnung rund 1600 Betreiber erfasst. Mit der Novelle würden es rund 1870, schätzt das BMI. Davon seien allein 150 im Bereich Stromerzeugung tätig, 34 verantworteten ein "intelligentes Verkehrssystem". Sieben Rechenzentren dürften zudem dazukommen sowie drei Betreiber von Internetknoten wie dem De-Cix. Dies bleibe im Rahmen der Erwartungen des gerade ebenfalls überarbeiteten IT-Sicherheitsgesetzes, sodass keine zusätzliche Kostenberechnung nötig sei.

Zum Schutz der Funktionsfähigkeit kritischer Infrastrukturen sieht das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor, dass die Betreiber ihre IT-Systeme durch angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik absichern und erhebliche Störungen der Behörde melden müssen. Welche Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen als Kritis im Sinne des Gesetzes gelten, legt die Bundesregierung mit der Verordnung fest.

Als Kriterien zieht die Exekutive dafür Schwellenwerte wie die Funktion eines Betriebs oder einer Technologie im Produktionsprozess heran. Auch Kennzahlen wie Umsatz oder Produktionsumfang spielen eine Rolle. Hier will das BMI mit dem Entwurf an vielen Stellschrauben drehen.

Gefahr eines Stromausfall deutlich größer

Deutlich nach unten verschieben soll sich vor allem der Schwellenwert bei Stromerzeugern. Das Innenressort will sie künftig bereits mit einer Maximalkapazität beziehungsweise Leistung von 36 Megawatt (MW) als Kritis einstufen, während die Grenze bisher bei 420 MW liegt. Es begründet dies mit einer Evaluierung der bestehenden Vorschriften. Dabei sei herausgekommen, "dass im Bereich der Stromversorgung bislang einige Erzeugungsanlagen, die zur Aufrechterhaltung eines stabilen Netzbetriebs beitragen" und so "wichtige Elemente für die Stabilität des Stromversorgungssystems sind", bisher "nicht ausreichend berücksichtigt wurden".

In diesem Bereich könne es bereits bei einem kurzfristigen Ungleichgewicht zwischen Erzeugung und Verbrauch zu einer Störung der Versorgung kommen, führt das BMI aus. Dann drohten "Frequenzabweichungen, die – sofern keine passenden Gegenmaßnahmen ergriffen werden - durch das Auslösen von Schutzsystemen auch zum Herunterfahren von Kraftwerken und einem länger anhaltenden Stromausfall führen können". Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) bezeichnete das Vorhaben gegenüber dem "Tagesspiegel" als "unverhältnismäßig und wenig gewinnbringend für die operative IT-Sicherheit". Die deutsche Energieversorgung sei schon streng reguliert und zähle zu den sichersten weltweit.

Erstmals sollen auch "Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind" in die Definition "kritischer Anlagen" einbezogen werden. Damit dürften Entwickler von IT sowie Hersteller von Produktionsanlagen mit integrierten Systemen stärker in die Verantwortung für die Security genommen werden.

Neue Definitionen vorgesehen

Im Bereich Informations- und Kommunikationstechnologien soll der Schwellenwert für die vereinbarte Leistung von Rechenzentren zudem von fünf auf 3,5 Megawatt sinken. Neu definiert werden Begriffe wie "Serverfarmen" als "zwei oder mehrere physische oder virtuelle Computer, die im IT-Netzwerk Dienste bereitstellen". Damit will das Ministerium klarstellen, dass diese Anlagen "tatsächlich für die Nutzung durch Dritte vorgesehen sind".

Als Internetknoten (IXP) soll "eine von den angeschlossenen autonomen Systemen (AS) unabhängige Netzeinrichtung" gelten, die die Zusammenschaltung von mehr als zwei unabhängiger AS ermöglicht. Für sie gilt ebenfalls ein niedrigerer Schwellenwert von 100 angeschlossenen selbstständigen Systemen im Jahresdurchschnitt. Es handle sich dabei oft um Anlagen, "die für das Funktionieren des Internets von zentraler Bedeutung sind".

Eingeschlossen werden dem Entwurf nach ab gewissen Nutzungszahlen im Bereich des öffentlich zugänglichen Internets auch "DNS-Resolver" in Form einer Anlage oder eines Systems im Zugangsnetz eines Providers "zur Beantwortung von Anfragen zur Namensauflösung, die bei Unkenntnis der Antwort die Anfragen an übergeordnete DNS-Instanzen weiterreichen. Dazu kommen Top-Level-Domain-Registrierungsstellen, "autoritative DNS-Server", Content-Delivery-Netzwerke sowie Anlagen für Vertrauensdienste, die in Netzwerken die jeweilige Identität des Kommunikationspartners bescheinigen.

BVG-Lücke geschlossen

Nach der Huawei-Regel im IT-Sicherheitsgesetz 2.0 will das BMI in die Verordnung eine BVG-Klausel einfügen: Der bisherige Schwellenwert für kritische Infrastrukturen im Verkehrssektor lag bei "125 Millionen Fahrgästen" pro Jahr. Jetzt sollen es 125 Millionen "unternehmensbezogene Fahrgastfahrten" werden. Die Berliner Verkehrsbetriebe (BVG) hatten zuvor argumentiert, dass bei ihren über einer Milliarde geleisteten Fahrten nur rund 30 Millionen verschiedene natürliche Personen befördert worden seien und sie daher nicht unter die Auflagen fielen. Im entsprechenden Streit mit dem BSI hat das Unternehmen inzwischen eingelenkt.

Im Verkehrssektor allgemein sollen fortan auch Prozesse zur Disposition von Personal und des Wartungsbetriebs erfasst werden. Diese seien von essenzieller Bedeutung und oft zeitkritisch, sodass ein Einsatz von IT-Systemen erforderlich sei, heißt es dazu. Gerade in der Corona-Pandemie habe sich in diesen Bereich "wiederholt die hohe Bedeutung der Beschäftigten und somit der funktionierenden Personaldisposition gezeigt".

Im Gesundheitssektor definiert das BMI mit dem Laborinformationsverbund eine neue Kategorie von Kritis-Betreibern. Damit zielt es auf einen Zusammenschluss von Anlagen oder Systemen, die IT-Dienstleistungen für Diagnose und Therapiekontrolle in der Humanmedizin für mehr als ein Labor zur Verfügung stellen". Der Schwellenwert liegt bei insgesamt 1,5 Millionen Aufträgen pro Jahr.

Verbände können zu dem Papier nun zunächst Stellung bis zum 17. Mai Stellung nehmen. Zuvor hatte das Ministerium die Interessensvertreter beim IT-Sicherheitsgesetz auf die Zinne gebracht, da es ihnen neue Entwürfe teils mit Bitte um Kommentierung binnen 24 Stunden schickte. Für den 26. Mai ist dann eine interne Verbandsanhörung per Videokonferenz geplant. Sollten andere Ressorts keinen Widerspruch einlegen, könnte die Verordnung im Anschluss prinzipiell am Tag nach ihrer Verkündung in Kraft treten.

(mho)