Cyberangriffe auf Kliniken: Kabinett billigt Eckpunkte für KRITIS-Dachgesetz

Berlin. Zum Schutz seiner Kritischen Infrastrukturen (KRITIS) in in elf Sektoren (neben Gesundheit sind dies Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Lebensmittel) setzt Deutschland auf eine stärkere Rolle des Staates. Diesen Ansatz, den Bundesinnenministerin Nancy Faeser (SPD) bereits im Juli bei der Vorstellung ihrer Cybersicherheitsagenda vertreten hatte, hat sie nun in Form des KRITIS-Dachgesetzes am Mittwochabend im Bundeskabinett absegnen lassen. Inhaltlich geht es vor allem um den Schutz der KRITIS-Bereiche vor materiellen, aber vor allem auch Cyberangriffen. Die KRITIS-Gefahrensituation soll demnach alle vier Jahre staatlicherseits einer regelmäßigen Bewertung unterzogen werden, wie aus den veröffentlichten Eckpunkten hervorgeht.

„Staatliche Risikobewertungen für die kritischen Dienstleistungen werden den Betrei-bern eine Grundlage für ihre eigenen regelmäßig vorzunehmenden spezifischen Risikobewertungen und die darauf basierenden Maßnahmen geben. Mit diesen Risikobewertungen werden die Gefahren systematisch bewusstgemacht. Dabei werden alle relevanten natürlichen und vom Menschen verursachten Risiken (All-Gefahren-Ansatz) sowie sektorenübergreifende und grenzüberschreitende Risiken berücksichtigt. Die Risikobewertungen werden regelmäßig mindestens alle vier Jahre durchgeführt und ermöglichen so einen dynamischen Lernprozess, der zu angepassten Maßnahmen und somit einer stetigen Erhöhung der Resilienz führt. Um Doppelarbeiten zu vermeiden, wird die Anerkennung bereits bestehender Arbeiten aufgrund anderweitiger Vorschriften ermöglicht. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat bereits Methoden veröffentlicht, die für derartige Risikobewertungen erarbeitet sowie erfolgreich verwendet wurden und kann die Ressorts und Betreiber hiermit unterstützen“, heißt es in dem KRITIS-Eckpunktepapier. Konkrete Maßnahmen werden indes nicht genannt – der Fokus in den Eckpunkten liegt auch fernab des Gesundheitssektors.

Acht Kernziele

In dem Eckpunktepapier werden acht Kernziele des KRITIS-Dachgesetzes benannt:

Kritische Infrastrukturen werden klar identifiziert.

Die Resilienz des Gesamtsystems der Kritischen Infrastrukturen wird durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren gestärkt.

Der Schutz Kritischer Infrastrukturen ist eine ressort- und akteursübergreifende und gesamtstaatliche Aufgabe. Die Betreiber der Kritischen Infrastrukturen – ob private Unternehmen oder öffentliche Einrichtungen – müssen ihre Funktionsfähigkeit gewährleisten. Der kooperative Ansatz wird mit dem KRITIS-Dachgesetz durch verpflichtende Schutzstandards für die physische Sicherheit ergänzt. „Damit wird den Betreibern mehr Orientierung und Handlungssicherheit gegeben“, heißt es.

Auch durch die Schaffung eines staatlichen Rahmens mit dem einzuführenden Meldewesen für Sicherheitsvorfälle und Kontrollen übernimmt der Staat eine größere Verantwortung beim Schutz Kritischer Infrastrukturen. „Das neu einzuführende Meldewesen im Bereich der physischen Sicherheit ergänzt hierbei das bereits bestehende Meldewesen im Bereich der Cybersicherheit Kritischer Infrastrukturen.Der Staat wird die Betreiber zudem weiterhin durch Analysen sowie Leitfäden, Beratung, Übungen und Schulungen unterstützen“, steht es weiter geschrieben.

Die Auswirkungen auf das Gesamtsystem aller Kritischen Infrastrukturen muss beim physischen Schutz Kritischer Infrastrukturen im Vordergrund stehen. Sektoren- und grenzübergreifende Verflechtungen und die Abhängigkeiten der Sektoren untereinander werden stärker berücksichtigt. Der Schutz von Kritischen Infrastrukturen ist neben der fachspezifischen auch eine Querschnittsaufgabe, die alle Ressorts in die Verantwortung nimmt und deren zielgerichtetes Mit- und Zusammenwirken erfordert. Gibt es Ausfälle in einem Sektor, kann dies schwere Auswirkungen auch auf andere Sektoren haben.

Die Resilienz der Kritischen Infrastrukturen insgesamt und nicht nur der Schutz einzelner Kritischer Infrastrukturen muss gestärkt werden. Die Kritischen Infrastrukturen müssen in der Lage sein, Sicherheitsvorfälle, die zu schwerwiegenden und potenziell sektoren-und grenzübergreifenden Störungen führen können, zu verhindern, sich davor zu schützen, darauf zu reagieren, und abzuwehren. Zudem müssen die Folgen eines solchen Vorfalls begrenzt, aufgefangen, bewältigt und die Wiederherstellung gewährleistet werden.

Den Verflechtungen und Abhängigkeiten von Kritischen Infrastrukturen wird auch auf administrativer Ebene Rechnung getragen. In einem neuen Ansatz wird der physische Schutz Kritischer Infrastrukturen mit dem KRITIS-Dachgesetz als eigenständiges Thema in den Blick genommen und durch eine übergreifende zuständige Behörde koordiniert. Auch grenzüberschreitende Auswirkungen werden durch eine noch engere Kooperation in einem europäischen Rahmen berücksichtigt.