KRITIS oder nicht KRITIS? Ein Blick auf die Regulierung im Bereich Cybersicherheit

Ausfälle rücken kritische Infrastruktur ins Blickfeld und zeigen die Notwendigkeit für eine effektive KRITIS-Regulierung. Die Betreiber haben damit aber zu kämpfen. Für sie ist es nicht leicht, den Überblick zu behalten und die zahlreichen Auflagen zu erfüllen.


Zahlreiche Ausfälle lenkten in letzter Zeit die Aufmerksamkeit auf kritische Infrastruktur (KRITIS). Der massenhafte Ausfall von Zahlungsterminals im Einzelhandel sorgte kürzlich bei etlichen Kunden für Probleme. In vielen Geschäften war über mehrere Tage hinweg eine Kartenzahlung nicht möglich. Die Bundesbank sah darin „einen gravierenden Vorfall“ und betonte, dass ein gleichzeitiger Ausfall vieler Zahlungsterminals das Vertrauen in die Kartenzahlung beschädigen könne. Das hebt die Relevanz dieser Komponenten für die Versorgung der Bevölkerung hervor.

Doch POS-Terminals, wie der Fachbegriff für diese Geräte lautet, zählen nicht zur kritischen Infrastruktur. Anders deren Hersteller und die Backend-Systeme, mit denen sich die Terminals verbinden, um eine Zahlung abzuwickeln, wenn sie denn den vorgegebenen Schwellenwert an jährlichen Transaktionen in Höhe von 21,5 Millionen Euro erreichen. Schließlich spielt der Ausfall eines Zahlungsterminals normalerweise keine große Rolle, wenn diese Geräte jedoch massenhaft ausfallen, sieht das anders aus. Dieses Beispiel verdeutlicht gewisse Unschärfen in der KRITIS-Regulierung.

 

Schwellenwerte sorgen für Kritik

Dabei wollte der Gesetzgeber mit der im letzten Jahr infolge des neuen IT-Sicherheitsgesetzes überarbeiteten KRITIS-Verordnung nachschärfen und Probleme beseitigen. Sie trat zum Jahresanfang in Kraft und erweitert auch den Kreis der betroffenen Sektoren, beispielsweise um den Sektor Entsorgung. Außerdem sieht sie einige Verschärfungen vor, die mit strengeren Auflagen einhergehen und für alte und neue KRITIS-Betreiber einen erheblichen Mehraufwand bedeuten können. Mit der Neufassung dürften nach einer Schätzung des zuständigen Bundesministeriums rund 252 zusätzliche KRITIS-Betreiber hinzukommen. Aus den zuvor bundesweit rund 1.600 Unternehmen werden mit der Novelle etwa 1900. Ob ein Unternehmen betroffen ist oder nicht, muss es selbst erkennen, eine entsprechende Mitteilung ergeht nicht.

Maßgeblich dafür sind die Relevanz des Unternehmens für die öffentliche Daseinsfürsorge sowie Schwellenwerte, die mit der Novellierung vielfach herabgesetzt wurden. Vereinfacht gesagt, sollen die Schwellenwerte dazu dienen, die großen, besonders versorgungsrelevanten Betreiber von den kleineren, eher lokal agierenden Unternehmen zu unterscheiden. Dafür werden etwa das Transportvolumen oder die Produktionsmenge herangezogen. Beispielsweise hängt bei Stromerzeugern dieser Wert von der gelieferten Megawatt-Leistung ab und bei Krankenhäusern von der Anzahl der jährlichen stationären Behandlungsfälle. Doch die Festlegung dieser Schwellenwerte sorgt immer wieder für Kritik, wie beispielsweise im Interview mit dem Vorstandschef des Bundesverbandes für den Schutz kritischer Infrastrukturen (BSKI), Holger Berens deutlich wird.

Autor: Uwe Sievers