Shorts: NIS-2 aktuell mit HonkHase

Volker: Hallo, moin moin und herzlich willkommen zur Sicherheitslücke Shorts.

Volker: Wir haben den aktuellen Entwurf der NIS-2-Richtlinie bzw.

Volker: Des Änderungsantrags der Regierungsfraktionen mal zum Anlass genommen.

Volker: Der ist vom 10.11. diesen Jahres.

Volker: Einen kleinen Shorts für ein paar Minuten zu produzieren, um einfach mal zu

Volker: sehen, was sich daran im Wesentlichen geändert hat.

Volker: Naja, und wen haben wir natürlich als Gast und als Interviewpartner?

Volker: Nichts weniger oder niemand weniger als Manuel Honkhase-Atug.

Volker: Hallo Manuel, sei gegrüßt. Hallo Honkhase.

HonkHase: Hi.

Volker: Ja, vielen Dank erstmal, dass du dich so bereit erklärt hast,

Volker: kurzfristig und ich sag mal echt zu später Stunde.

Volker: Wenn wir hier noch ein paar Technikprobleme beseitigen, dann sind wir kurz vor

Volker: Mitternacht. Nein, hat ja ganz gut geklappt.

Volker: Ja, herzlichen Dank, dass du dich hier am Sonntag zur Verfügung gestellt hast,

Volker: noch spätabends ein kleines Interview zu geben.

Volker: Du, dann lass uns gleich mal einsteigen.

Volker: Erstmal ganz generelle Ziellinie. Würdest du sagen, der ist jetzt so über die

Volker: Ziellinie getragen oder ist das eher beim Marathon, naja, so die erste Runde

Volker: des Halbmarathons und der schwierige Akt steht uns noch bevor?

HonkHase: Also ich glaube, die Fassung ist schon recht final und die sollte jetzt auch

HonkHase: verabschiedet werden können.

HonkHase: Es könnte theoretisch noch einen Widerspruch geben, aber der ist relativ unwahrscheinlich.

HonkHase: Und insofern wird das Ganze jetzt im Wesentlichen so, wie es jetzt geschrieben

HonkHase: ist, durch die Ziellinie getragen.

HonkHase: Damit wäre der erste Schritt für eine Erhöhung der Cybersicherheit getan.

HonkHase: Zum Glück mit den letzten Änderungen, da kommen wir gleich zu.

HonkHase: Aber zufrieden bin ich zumindest noch nicht.

Volker: Ja, wenn du mal so den Zufriedenheitsgrad auf einer normalen Skala,

Volker: keine Ahnung, 0 bis 10, 10 ist maximal irgendwie darstellen würdest.

Volker: Ich meine, wir müssen ja auch immer gucken.

Volker: Man kann ja einerseits optimieren und optimieren und noch mehr optimieren und

Volker: noch mehr optimieren und dann brauchen wir irgendwie 200 Jahre.

Volker: Oder wir sagen, wir sind ja sowieso schon irgendwie ein Jahr drüber.

Volker: Dann ist ja auch einfach mal gut, dass wir jetzt fertig sind.

Volker: Wo würdest du jetzt so dann Zufriedenheitsgrad unter der Prämisse einordnen?

HonkHase: Mein persönlicher und der von der AG Kritis ist eher so bei zwei.

HonkHase: Wir sind sehr unzufrieden mit der Version. Aber insgesamt mit dem ganzen Elend,

HonkHase: was man jetzt über die Jahre der Verhandlungen und Diskussionen gesehen hat,

HonkHase: ist ja nicht so, dass wir nur ein Jahr Delay haben.

HonkHase: Wir sind ja jetzt schon seit vielen Jahren am Diskutieren und da alle einfach

HonkHase: partout kein Interesse haben, Geld zu investieren und ordentliche Sicherheit

HonkHase: zu machen und auch sinnvolle Regeln zu definieren,

HonkHase: die eben nicht optimiert, optimiert, optimiert werden, sondern einfach gangbar

HonkHase: und benutzbar sind und unaufgeregt Cybersicherheit realisiert werden kann.

HonkHase: Wenn man das alles ausklammert, dann kann man dem Ganzen auch eine 6 bis 7 geben.

Volker: Ja, ich sag mal, da hat sich ja schon ein bisschen was getan,

Volker: zum Beispiel, dass ja ganz unerwartet, okay, Ironie-Modus aus,

Volker: dann doch die Bundesbehörden und Ministerien jetzt doch zur kritischen Infrastruktur

Volker: zählen und sich auch diesem vollen Prozedere unterwerfen müssen.

Volker: Das war ja mal anders, oder?

HonkHase: Also die Behörden, die Bundesbehörden gehören nicht zur kritischen Infrastruktur,

HonkHase: sondern müssen Cybersicherheit machen. Das ist ein wichtiger Unterschied.

HonkHase: Aber den Status hatten wir vorher schon. Das heißt, wir haben immerhin geschafft,

HonkHase: in den Verhandlungen den aufrechtzuerhalten.

HonkHase: Denn bevor die ganze Diskussion mit NIST-2 anfing, nehmen wir die raus oder

HonkHase: nicht raus, stehen die ja jetzt schon drin und sollen den Grundschutz einhalten

HonkHase: und die Mindestsicherheitsstandards realisieren.

HonkHase: Insofern hat man den Status Quo, der seit neun bis zehn Jahren schon im Gesetz

HonkHase: steht und ignoriert wird weitestgehend, halt geschafft aufrechtzuhalten.

HonkHase: Das muss man schon in diesen zehn Jahren Historie so einsortieren.

HonkHase: Das ist kein Erfolg, das ist eigentlich ein Armutszeugnis.

Volker: Okay. Wie stehst du, was für signifikante Änderungen gibt es noch,

Volker: mal abgesehen davon, dass der Änderungsantrag 23 Seiten lang ist?

Volker: Also wir müssen ja nicht alle durchgehen, aber wo würdest du sagen,

Volker: hat es gewonnen und wo hat es verloren?

HonkHase: Im Vergleich zu den letzten Versionen hat ja gewonnen, dass immerhin die Bundesbehörden

HonkHase: doch drin geblieben sind und nicht rausgenommen wurden, weil das war eine Zeit lang herausgenommen.

HonkHase: Damit hätte man ja wirklich die Sicherheitsmaßstäbe deutlich reduziert.

HonkHase: Man hat jetzt immerhin sie drin gelassen. Das ist ein Erfolg im Vergleich zu den letzten Versionen.

HonkHase: Man hat den CISO-Bund geregelt und jetzt beim BSI verankert.

HonkHase: Es wird also eine zweite Vizepräsidentstelle im BSI geben und da wird sie so rund aufgehangen.

HonkHase: Das ist auch schon mal ein Erfolg, wenn auch die ganzen Regelungen doch,

HonkHase: also das Ganze heißt Koordinator und nicht Security Officer in dem Sinne und

HonkHase: der hat dann auch nur eine koordinierende Funktion.

HonkHase: Also möglichst wenig Budget, möglichst wenig Verantwortung und Rechtsdurchsetzung

HonkHase: und dann kann man den dekorativ auf diesen Posten setzen im Wesentlichen.

HonkHase: Aber das ist schon ein Fortschritt, dass wir überhaupt mal ein Bundes-Ziso erhalten.

HonkHase: Und ansonsten haben wir leider aber auch einen Punkt drin gelassen,

HonkHase: der rein injektet wurde in den letzten ein oder zwei Fassungen,

HonkHase: dass man eine Ausnahmeregelung für sogenannte vernachlässigbare Geschäftstätigkeiten eingepackt hat.

HonkHase: Das ist echt Bürokratie, super kompliziert und schlecht zu erklären oder zu

HonkHase: beraten, aber man wollte damit eine Verschlimmbesserungsvereinfachung realisieren

HonkHase: und die kommt halt jetzt.

Volker: Okay, kann ich mir jetzt gar nichts darunter vorstellen. Kannst du das mal erklären?

HonkHase: Also im § 28 Absatz 3, und unserer Meinung nach könnte man den einfach ersatzlos

HonkHase: streichen, der ist nämlich echt nicht hilfreich gefühlt,

HonkHase: hat man eben gesagt, wenn man eine Geschäftstätigkeit hat, die vernachlässigbar

HonkHase: ist als Nebentätigkeit,

HonkHase: dann braucht man dafür keine IT-Sicherheit machen.

HonkHase: Und die muss man auch nicht reinzählen in den Jahresumsatz und wie viele Mitarbeitende

HonkHase: habe ich, um zu bewerten, bin ich eine wichtige oder besonders wichtige Einrichtung.

HonkHase: Als Beispiel, wenn ich ein Immobilienkonzern und verkaufe und kaufe Immobilien,

HonkHase: dann komme ich halt unter NIS2 nicht vor.

HonkHase: Wenn ich aber als Nebentätigkeit Photovoltaikanlagen auf alle Dächer packe und

HonkHase: damit die Mindestmenge für Energie überschreite, dann habe ich eine Tätigkeit, die,

HonkHase: als wichtige oder besonders wichtige Einrichtung gilt und muss eben Cybersicherheitsmaßnahmen machen.

HonkHase: Und jetzt hat man gesagt, naja, wenn man jemand sowas nur als Nebentätigkeit

HonkHase: macht, dann können wir das ausklammern.

HonkHase: Ansonsten ist es immer relevant. Also, wenn ich Photovoltaik betreibe in einer

HonkHase: kritischen Menge, bin ich Cybersicherheitsrelevant für die EU in Deutschland.

HonkHase: Wenn ich das aber mache als Nebentätigkeit, dann bin ich es nicht.

HonkHase: Und das ist ein Spagat, der ist sehr sinnfrei.

Volker: Ich finde das insgesamt Auch relativ kritisch, weil zum Beispiel der Landwirt auf Fehmarn,

Volker: der seine sieben Hallen mit 100 kW Peak belegt hat, also schon eine relativ

Volker: große Größe, wenn man vergleicht, dass so ein Einfamilienhaus eher bei 10 oder weniger liegt,

Volker: der macht das ja nicht in seiner Haupttätigkeit.

Volker: Der hat dazu ein Gewerbe angemeldet mit einer Photovoltaik GmbH.

Volker: Also wenn er es nicht gemacht hat, dann fällt er nicht drunter.

Volker: Wenn ein Gewerbe er separat angemacht hat zur Risikoverlagerung, fällt er drunter.

Volker: Aber die 100.000 Bundesbürger oder eine Million mit Balkon-Solaranlagen,

Volker: die aus China fremd gehostet werden und fernsteuerbar sind, die fallen nicht drunter.

HonkHase: Ja, das ist richtig, aber das ist ja auch ein anderes Relationsverhältnis.

HonkHase: Wenn wir jetzt von kleinen Komponenten beim Endkonsumer reden,

HonkHase: dann müssen wir den Cyber Resilience Act adressieren und nicht DINIS II.

HonkHase: Wenn aber dieselben Mengengerüste, die auf der einen Seite gesetzlich relevant

HonkHase: sind, auf der anderen Seite auch ausgeklammert werden nach Geschmacksrichtung,

HonkHase: wenn es eine Nebentätigkeit ist, das ist nicht gleiches Maß für gleiches Szenario, sondern ungleich.

HonkHase: Und es ist sogar noch schlimmer, bei den Maschinenbauern kann man hingehen und

HonkHase: sagen, naja, die machen primär Maschinenbau und bauen Fabrikfertigungsanlagen

HonkHase: für kritische Infrastrukturen, für wichtige und besonders wichtige Einrichtungen.

HonkHase: Also wenn die als Nebentätigkeit die Maintenance der Systeme machen und Fernwartung

HonkHase: machen, dann ist die als Nebentätigkeit nicht relevant und ich kann die ausklammern.

HonkHase: Heißt, demnächst gibt es dann ganz viel Fernwartung, die weggecybert wird und

HonkHase: von anderen fern gewartet wird, weil NIST 2 nicht abgedeckt ist,

HonkHase: ja eine Nebentätigkeit, die interessiert ja nicht.

HonkHase: Also diese Komponente ist wirklich sinnlos da rein definiert worden durch die

HonkHase: LobbyistInnen und das hat die Politik anscheinend toll gefunden und übernommen.

HonkHase: Das macht es mega kompliziert, mega sinnlos.

Volker: Ist echt spannend. Müssen wir uns nochmal abseits unterhalten,

Volker: sonst können wir unsere Zuhörerinnen und Zuhörer vielleicht verlieren.

HonkHase: Ja, das wird dann auch kein Short mehr.

Volker: Ja, genau, das wird dann kein Short mehr. Und das ist nur eine Risikoverlagerung,

Volker: die wir machen, die ist jetzt auf die Netzbetreiber verlagert.

Volker: Wenn die kleinen Anlagenbetreiber nicht mehr verantwortlich sind,

Volker: ist der Netzbetreiber jetzt dafür verantwortlich, dass ein Netz stabil wird

Volker: bei Hacking-Angriffen auf die Anlagen. Aber sei es drum.

Volker: Was mir noch auffällt, da ist ja auch so ein bisschen, ich sag mal,

Volker: auch so Geheimdienstrecht, wie auch immer, so im Hintertür, durch die Hintertür reingewandert.

Volker: Also da steht zum Beispiel § 3 Absatz 1 Aufgaben des Bundesamtes, also BSI.

Volker: Und ganz unten in § 18b steht, dass auch Informationen für den Verfassungsschutz

Volker: und militärischen Abschirmdienst und so weiter,

Volker: also ich sag mal logische Dinge in einem positiv gut laufenden Staat,

Volker: aber wir müssen ja halt auch mal überlegen, was wäre denn, wenn unser Staat

Volker: gerade mal nicht so positiv wäre, sondern vielleicht mal so eine Autokratie entstehen würde.

Volker: Dann würde das BSI jetzt Gefahreninformationen nach eigener Bewertung,

Volker: da gibt es ja keine Kriterien für, mal weitergeben an andere Behörden.

Volker: Findet ihr das jetzt auch so komisch weg oder wie steht ihr zu sowas?

HonkHase: Also wir finden sowas immer sehr gefährlich und sehr schwierig,

HonkHase: aber der 18b war ja vorher schon vorhanden und hat gesagt,

HonkHase: Unterstützung vom Verfassungsschutz, vom Militärischen Abschirmdienst bei Auswertung

HonkHase: und Bewertung von Informationen oder auch wenn Beobachtungen und Bestrebungen

HonkHase: anfallen, die gegen die freiheitlich-demokratische Grundordnung sind,

HonkHase: dann muss das sozusagen auch gemacht werden, diese Unterstützung.

HonkHase: Und die ist ja in 18a schon für Polizeien und Strafverfolgungsbehörden von Bund

HonkHase: und Ländern drin und in 18c für Bundesnachrichtendienst.

HonkHase: Also das BSI muss an diesen drei Stellen kooperieren und man hat das jetzt noch mehr ausgeweitet.

HonkHase: Ja, das ist durchaus schwierig und bedenklich, aber das fand die Koalition halt auch toll.

Volker: Ja, also ich stehe da immer ein bisschen objektiver oder neutraler gegenüber

Volker: und sage, sicherlich ist eine solche Kooperation sinnvoll.

Volker: Ich finde es aber wichtig, dass man auch erwähnt, also es öffentlich publik

Volker: macht, dass ein solches NIST-2 nicht nur zur Cyberabwehr genommen wird,

Volker: sondern auch um solche Kompetenzen und Befugnisse mit zu verankern.

Volker: Und das finde ich immer schade, dass das so durch die Hintertür unter den Teppich

Volker: durch mitgeschoben wird.

HonkHase: Ja, das gab keine öffentliche Diskussion darüber oder eine Abstimmung.

HonkHase: Es gibt auch keine großartigen Erklärungen und Debatten, sondern das kam in

HonkHase: der letzten Fassung jetzt mit rein und wird mit abgedeckt.

Volker: Ja, genau. So, was gibt es denn noch an richtig bösen Dingen,

Volker: die du erwähnenswert findest?

HonkHase: Ja, was gibt es, was es nicht gibt, ist beispielsweise, dass Drohnenabwehr weder

HonkHase: in diesem Gesetz noch in dem Kritis-Dach-Gesetz für physische Sicherheitserwähnung findet Stand heute.

HonkHase: Bei NS2 dürfte der Drops ja jetzt gelutscht sein. Das wird ja jetzt sehr,

HonkHase: sehr wahrscheinlich die Finalfassung, die Ende des Jahres, Anfang Januar,

HonkHase: 26 dann verabschiedet wird.

HonkHase: Aber beim Kritis-Dachgesetz gibt es das genauso wenig,

HonkHase: dass wir sagen, eine Detektion, eine Meldung, eine Abwehr von Drohnen und unbemannten

HonkHase: Luftfahrtsystemen, Landsystemen, Wassersystemen muss mindestens in allen kritischen

HonkHase: Infrastrukturen auch abgedeckt werden.

HonkHase: Und das hatten wir in unseren Stellungnahmen der AG Kritis auch eingebracht,

HonkHase: aber das wurde komplett ignoriert bis Stand heute.

HonkHase: Da würden wir uns noch wünschen, dass es dann wenigstens in das Kritis-Dachgesetz

HonkHase: einfließt, aber das sieht alles nicht danach aus.

Volker: Inwieweit fühlt ihr euch denn da überhaupt wahrgenommen? Also sind die Regierungskoalitionen

Volker: und Referenten auf eure Anregungen intensiv eingegangen oder wart ihr eine von vielen?

Volker: Also wart ihr wie, keine Ahnung, auch Bitkom und Voice, Bundesverband und eine von vielen Stimmen?

HonkHase: Also wir waren beispielsweise nicht als Sachverständige im Bundestag angerufen worden.

HonkHase: Das heißt, keine der Parteien hat sich berufen gefühlt, uns als Sachverständige

HonkHase: dazu zu ziehen. Muss man ja auch nicht.

HonkHase: Wir haben mit mehreren Parteien, auch einer aus der Regierung,

HonkHase: zu unseren Anliegen gesprochen im Vorfeld und haben die Stellungnahmen nie durchgegangen

HonkHase: oder auch die wichtigen Punkte.

HonkHase: Die wurden auch durchaus angehört an den Stellen, aber viele davon sind einfach

HonkHase: komplett ignoriert oder nicht umgesetzt werden.

HonkHase: Und selbst die ganz, ganz konkreten, wo wir gesagt haben, da gibt es eine ganz,

HonkHase: ganz schlechte Idee, beispielsweise bei den DNS-Betreiber-Regulierungen.

HonkHase: Da gibt es eine etliche Bedrohung für die zivilgesellschaftlich betriebenen Komponenten.

HonkHase: Das haben wir ausführlich dargelegt, auch in der Stellungnahme und erklärt,

HonkHase: sowas wie Freifunk oder so, diese ganzen Initiativen,

HonkHase: die fallen da jetzt unter die Regulierung, weil es eben keine Ausnahme gibt,

HonkHase: dass das zivilgesellschaftlich Betriebene vielleicht außen vor gelassen wird

HonkHase: oder wenn das nicht Gewinnerzielungsabsichten hat oder wenn es gemeinnützige Akteure sind oder so.

HonkHase: Und die haben jetzt diese Regulierung auch an der Backe und damit werden wir

HonkHase: diese freien Alternativen vermutlich irgendwann regulatorisch ausradieren,

HonkHase: wenn wir das nicht ganz schnell reparieren.

Volker: Ja, das finde ich auch eigentlich schade, denn da stellt sich dann auch die

Volker: Frage, wer ist jetzt nun eigentlich der Verantwortliche?

Volker: Sind das die Leute, die die Software erstellen? Sind das die Einzelnen,

Volker: die einen Knoten betreiben?

Volker: Denn es gibt ja jetzt keine übergeordnete Firma, die die Verantwortung für die

Volker: Freifunk-Medienlandschaft übernehmen kann.

HonkHase: Ja, aber also im Gegenzug hat man

HonkHase: ja beispielsweise gesagt, Betreiber von Root-Name-Servern sind außen vor.

HonkHase: Also da weiß man ja sehr genau, wer Root-Name-Server betreibt und die sollten

HonkHase: ja als zentrale kritische Komponente betrachtet werden.

HonkHase: Die hat man aber ausgeklammert und bei bürgerschaftlichem Engagement und gemeinholorientiertem

HonkHase: digitalen Angebot hat man gesagt, nee, also das betrachten wir jetzt auch.

HonkHase: Das Problem wurde an manchen Stellen schon verstanden und da hat man gesagt,

HonkHase: ja gut, das klingt sinnlos, das wollten wir ja eigentlich damit nicht erreichen,

HonkHase: aber es hat sich niemand die Mühe gemacht, diese erhebliche Diskrepanz daraus zu optimieren, leider.

Volker: Ja, ich würde noch gerne auf drei Sachen jetzt zum Schluss eingehen,

Volker: damit wir die Zeit nicht überstrapazieren.

Volker: Also nacheinander würde ich gerne einmal überlegen, nochmal,

Volker: wie sieht das jetzt so mit KMU aus, was bedeutet das für die?

Volker: Aber davor würde ich gerne mit dir auch einmal noch diskutieren.

Volker: Dieser Koordinator für Informationssicherheit, ist das jetzt nur eine Stellenhülse,

Volker: damit man sich gut fühlt?

Volker: Oder hat der oder die irgendeine Aufgabe, die auch ernsthaft da ist?

Volker: Und das Dritte, das stelle ich mal ganz am Anfang, es gab ja auch so ein paar

Volker: schwer verständliche Dinge.

Volker: So diese Beispielsliste mit den elf Punkten, mit den elf Bullet Points,

Volker: über was zu kritisch alles beachten ist, von sieben bis hin zu kryptografische

Volker: Verfahren, die da festgelegt werden sollten.

Volker: Gibt es diese solche sinnhaften oder sinnlosen Dinge immer noch?

HonkHase: Also es gibt noch immer im § 30, das ist ja Risikomanagement,

HonkHase: die Auflistung, aber die meisten Leute gucken ja tatsächlich nur auf diese Auflistung,

HonkHase: statt im § 30 den Absatz 1 genau zu verstehen und zu interpretieren.

HonkHase: Der wird halt gerne wegignoriert oder gesagt, naja, da steht ja nur,

HonkHase: dass man halt Risikomanagement machen soll.

HonkHase: Aber tatsächlich gibt es da ein paar sehr wichtige Aussagen drin,

HonkHase: nämlich ein Einsatz sagt, bei der Bewertung der Verhältnismäßigkeit von Maßnahmen,

HonkHase: also man soll ja verhältnismäßige Risikomanagementmaßnahmen einführen,

HonkHase: sind das Ausmaß der Risikoexposition, die Größe der Einrichtung,

HonkHase: die Umsetzungskosten und die Eintrittswahrscheinlichkeit und schwere von Sicherheitsvorfällen

HonkHase: und ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

HonkHase: Das ist die wesentliche Kernaussage, dass man Risikomanagement mit genau diesen Parametern vornimmt.

HonkHase: Und das hat weder ein KMU noch ein Großkonzern in genau dieser Bandbreite.

HonkHase: Ich kenne zumindest Stand heute keinen, der die gesellschaftlichen Auswirkungen berücksichtigt.

HonkHase: Und insofern sollte man sich das als allererstes mal verinnerlichen und sagen,

HonkHase: wie mache ich Risikomanagement, dass diese Parametrisierung mit abdeckt Und

HonkHase: dann gibt es als Beispiel ja im Absatz 2 die 10 Punkte, die sagen,

HonkHase: die Maßnahmen müssen mindestens Folgendes enthalten.

HonkHase: Das ist einfach nur eine Mindestauflistung und nicht die maximale Variante.

HonkHase: Leider lesen die meisten daraus, naja, dann muss ich genau die zehn Punkte machen

HonkHase: und dann kann ich mich wieder schlafen legen.

HonkHase: Und wenn das zehn Punkte sind, dann versuche ich ja so achteinhalb oder sieben

HonkHase: davon zu machen und schlingere mich irgendwie unten drunter oder knapp an der Grenze dran vorbei.

HonkHase: Und tatsächlich sollte man diesen Absatz 1 wirklich verstehen und sagen,

HonkHase: aha, das wollen die von mir und so muss ich es eigentlich machen.

HonkHase: Im Endeffekt hätte man § 30 Absatz 1 schreiben können und in fast 90 Prozent von S2 sich sparen.

HonkHase: Weil im Wesentlichen geht alles immer nur darum, wie mache ich dieses richtige Risikomanagement.

Volker: Ja, und ich sage mal, in zwei Jahren hätte man wahrscheinlich komplett streichen

Volker: können, weil das ist eine beispielhafte Aufzählung.

HonkHase: Ja, es ist halt eine Konkretisierung, die beispielhaft ist und das Beispielhafte

HonkHase: ignorieren die Leute leider sehr gerne. Genau, das ist blöd, ja.

Volker: Ja, genau. Dann die zweite Frage, Koordinator für Informationssicherheit beim BSI.

Volker: Ich hatte mal in einem wie immer sehr amüsanten, aber inhaltsreichen Vortrag

Volker: von Claudia Plattner gehört,

Volker: dass für sie zu dem Zeitpunkt noch relativ unklar war, wie sie dieses NIST 2

Volker: mit inhaltlichem Leben füllen sollen.

Volker: Weil selbst wenn sie die Verantwortung und den Koordinator bekämen,

Volker: sie brauchen ja eine Infrastruktur für den Koordinator, damit der auch seine

Volker: Aufgaben wahrnehmen kann und die Stellen wurden denen damals wohl erstmal noch nicht zugesagt.

HonkHase: Das ist richtig. Also generell sind denen ja sehr viele Stellen theoretisch

HonkHase: mal reingerechnet worden und praktisch dann doch wieder wegoptimiert.

HonkHase: Insofern gehen die Aufsichtsbehörden, so wie auch das BSI, sehr mager daraus.

HonkHase: Die kriegen deutlich mehr Verantwortung und Aufwand, aber nicht im gleichen

HonkHase: Verhältnis Stellen, dass sie das alles auch realisieren können.

HonkHase: Ich habe keine Ahnung, wie ein BBK, ein BSI und so weiter all diese Dinge, die das alles

HonkHase: Anforderungen, die auch für die kommen, das sind ja nicht nur Anforderungen

HonkHase: für die Wirtschaft oder für die Bundesbehörden, sondern Anforderungen an die

HonkHase: Aufsichtsbehörden und ich weiß nicht, wie die das abdecken sollen.

HonkHase: Beim Koordinator oder der Koordinatorin ist es so, da steht natürlich auch viel

HonkHase: drin, dass es nur koordinierend ist.

HonkHase: Im Benehmen mit den obersten Bundesbehörden entwickelt man Programme für die

HonkHase: Informationssicherheit des Bundes und schreibt die vor. Ja, heißt also,

HonkHase: man muss dann mal gucken, was man da eigentlich vorhat.

HonkHase: Man wartet dann den Überblick über den Stand der Informationssicherheit der Bundesverwaltung.

HonkHase: Und dann unterstützt man die Ressource bei der Umsetzung der Vorgabe dieser Gesetze.

HonkHase: Ja, wie soll der BSI-Koordinator denn da die Ressource unterstützen?

HonkHase: Außer mit dem, was man jetzt schon hat.

HonkHase: Man hat ja gewisse Abteilungen, die Behörden unterstützen.

HonkHase: Aber das heißt ja nicht, dass dann die ganze Sicherheitsumsetzung das BSI stellvertretend machen kann.

HonkHase: Und immerhin gibt es aber, muss man ja auch mal lobend erwähnen,

HonkHase: ein direktes halbjährliches Vortragsrecht vor den zuständigen Ausschüssen des Bundestags.

HonkHase: Das ist eine große Errungenschaft, dass das auch mal transparent gemacht wird.

HonkHase: Ob das dann allerdings auch öffentlich gemacht wird oder geheim gehalten wird, wollen wir mal schauen.

HonkHase: Das ist ja in der Vergangenheit sehr unter dem Teppich gehalten worden und wenn

HonkHase: der halt so wie der Bundesrechnungshof jährlich sagt,

HonkHase: ist alles schlimm und gruselig, müsst ihr dringend ändern und es passiert nichts,

HonkHase: dann haben wir genauso wie bei der RZ Unsicherheit, bei der fehlenden Sicherheitsstrategie

HonkHase: und all den anderen Dingen, die der Bundesrechnungshof beanstandet hat,

HonkHase: noch jemanden, der es beanstandet und dann können die sich eigentlich gegenseitig

HonkHase: die Berichte kopieren. und fertig.

Volker: Okay, ja.

Volker: Und dann die letzte Frage, die hat zwei Ausprägungen. Da geht es mir nochmal

Volker: darum, eben die kleinen Unternehmen.

Volker: Das eine sind die, die meinetwegen eigentlich unter sämtliche Verordnungen fallen

Volker: und unter sämtliche Größenordnungen, aber dennoch diese Ausnahmen bestand haben,

Volker: dass sie doch relevanter Teil der kritischen Infrastruktur sind,

Volker: wie zum Beispiel, keine Ahnung,

Volker: Planungsbüros für zentrale Autobahntalbrücken.

Volker: So, keine Ahnung, Ingenieurbüro, 10, 15 Leute.

Volker: Wenn die platt sind, dann sind theoretisch sehr viele Unterlagen,

Volker: sehr viel Wissen, sehr viele Grundlagen für die Wartung aus solcher Brücke einfach weg.

Volker: Deswegen fallen die ja mit da drunter. Also es ist ja eine logische Konsequenz.

Volker: Aber wie sollen die das packen?

Volker: Also das sind jetzt 10 bis 15 Bauingenieurinnen und Bauingenieure,

Volker: die da sitzen und die sollen jetzt NIST 2 machen.

HonkHase: Ja gut, also zu meinen muss man festhalten, nehmen wir beispielsweise Wasserwerke.

HonkHase: Wir haben 5500 Stück in Deutschland.

Volker: Da wollte ich gleich noch drauf.

HonkHase: 70 sind kritisch reguliert, so ungefähr.

HonkHase: Und es gibt Wasserwerke, die haben auch so um die 50, 60 Leute und versorgen

HonkHase: aber mehr als 500.000 Menschen mit Frischwassergewinnung und Abwasserentsorgung.

HonkHase: Und auch da hat man natürlich Strategien und hat gesagt, naja,

HonkHase: wir müssen das jetzt alles umsetzen, schauen wir mal, was fehlt denn eigentlich

HonkHase: noch, also Gap-Analyse gemacht und dann gesagt, okay, wie kann man die Dinge

HonkHase: umsetzen und natürlich das Problem,

HonkHase: ja okay, wir haben keine Mitarbeitenden oder nicht genug Mitarbeitenden mit den Befähigungen,

HonkHase: beispielsweise weiß ich von einem Wasserwerk ganz konkret, da war der Vorschlag

HonkHase: vor Jahren, naja, dann holt euch mal zwei Studis an Bord, die beschäftigen sich

HonkHase: intensiver damit und perspektivisch kriegen die eine Stelle.

HonkHase: Und sind dann mit drin und bauen das alles mit euch auf und dann habt ihr auch neue Ressourcen,

HonkHase: frische Gehirne aus der Uni und das kann man natürlich auch so nach und nach

HonkHase: über die Jahre aufbauen, weil was ich nicht machen kann ist,

HonkHase: ich stelle jetzt Leute ein oder ich kümmere mich jetzt mal kurz und morgen bin

HonkHase: ich konform. Das ist ja eine Entwicklung.

HonkHase: Und darüber haben die das geschafft.

HonkHase: Und wenn jetzt halt ein Planungsbüro sagt, ja, das kriege ich überhaupt nicht

HonkHase: hin oder ein KMU, dann kann ich sagen, naja, also Lohnabrechnung machen die

HonkHase: in der Regel auch nicht und die Steuereinreichung auch nicht.

HonkHase: Die holen sich halt externe Dienstleister an Bord.

HonkHase: Und ich sage dann auch immer, also jeder Mensch kann schwimmen gehen.

HonkHase: Die meisten lernen aber vorher auch zu schwimmen. Das ist tendenziell auch empfehlenswert.

HonkHase: Wenn man nicht lernt, mit Security umzugehen und oder externe Kräfte dazuzuholen

HonkHase: oder das aufzubauen perspektivisch, dann muss ich mich auch nicht wundern.

HonkHase: Und man kann völlig unaufgeregt Cybersicherheit etablieren, physische Sicherheit etablieren.

HonkHase: Man muss es halt nur wollen und nicht eine Paper Compliance herstellen und dann

HonkHase: sagen, oh, ich habe vergessen, das in die Prozesse umzusetzen und dann nicht

HonkHase: geguckt, ob die Prozesse alle vollständig sind und dann auch nicht geguckt, ob die wirken.

HonkHase: Ja gut, dann brauche ich mich auch nicht wundern, wenn das alles nicht funktioniert.

HonkHase: Also das, finde ich, ist ein bisschen sehr viel Ausrede oder Panikmache,

HonkHase: wo ich sage, wenn man sich dran setzt, geht das.

Volker: Also hier, wir müssen zwar langsam zum Ende kommen, aber hier muss ich sagen,

Volker: bin ich ein bisschen unentspannter, was sagen wir die NIST 2 Inhalte angeht,

Volker: denn es ist zwar auf der einen Seite nicht schön,

Volker: wenn so ein zentrales Ingenieurbüro, gestern war noch OpenVPN über Fritzbox,

Volker: ja und morgen ist NIST 2.

Volker: Der ursprüngliche Zustand, wir haben das alles mal irgendwie so,

Volker: dass es geht, gemacht, ist sicherlich für so ein Ding, für so ein Büro nicht schön.

Volker: Auf der anderen Seite, wo sollen die denn das Geld herkriegen,

Volker: einen externen Dienstleister und vor allem die Zeit, Geld und Zeit herkriegen,

Volker: einen externen Dienstleister zu beauftragen,

Volker: der mal eben, keine Ahnung, 50.000 bis 100.000 Euro aus einem nicht geplanten

Volker: laufenden Umsatz rausnimmt.

Volker: Ja, also finde ich schon nicht.

HonkHase: Naja, also es gibt auch Leute, die können das mit deutlich weniger Ressourcenaufwand machen.

HonkHase: Wie gesagt, man kann sich eigene Ressourcen an Bord holen und kann sich Expertise

HonkHase: von außen punktuell dazu holen.

HonkHase: So Coaching-basierter Ansatz und nicht, ich hole mir da, keine Ahnung,

HonkHase: einen der Wirtschaftsprüfer mit 50 Leuten ins Haus für ein Jahr.

HonkHase: Dann kostet das, bla, Millionen und danach habe ich nichts, weil die gehen alle wieder weg.

HonkHase: Und ich habe nicht gelernt, wie ich diese Prozesse aufrechthalte und lebe.

HonkHase: Man muss das schon Stück für Stück machen und auch überdacht machen.

HonkHase: Und ja, auch ein Fritzbox mit OpenVPN kann ich konform betreiben,

HonkHase: wenn ich dafür sorge, dass die Fritzbox permanent gepatcht ist und auch noch

HonkHase: in Maintenance ist und das OpenVPN auch vernünftig konfiguriert ist.

HonkHase: Da sehe ich auch kein Defizit.

HonkHase: Das muss man halt wollen und sich dran setzen und kümmern. Und zu sagen irgendwie,

HonkHase: ich kann mich nicht kümmern, das ist so viel.

HonkHase: Das machen die Leute ja weder beim Schwimmen noch beim Autofahren.

HonkHase: Sie machen Führerschein und sie halten sich an die Regeln.

HonkHase: Und für gewöhnlich lernen sie schwimmen, bevor sie schwimmen gehen.

HonkHase: Also ich weiß nicht, wo da immer diese Panikmagie ist, dass Cybersicherheit

HonkHase: total krass ist und alles andere kann man aber machen.

HonkHase: Man muss ja, wie gesagt, nicht alles auf einmal machen.

HonkHase: Ich esse ja auch nicht einen Elefanten am Stück, ich esse ihn scheibchenweise. So geht das.

HonkHase: Und so muss man sich auch an die Cybersicherheit setzen und sagen,

HonkHase: ich benenne jetzt erstmal jemanden als Verantwortlichen für dieses ganze Cybersicherheitszeug.

HonkHase: Der sammelt oder die sammelt mal, was mache ich hier eigentlich oder was für Defizite haben wir?

HonkHase: Wo sind vielleicht Probleme, die uns echt ins Auge kneifen könnten?

HonkHase: Und dann geht man hin und sagt, so, dann packen wir uns jetzt mal dieses Ding

HonkHase: und fangen da mal an zu überlegen, wie wir es machen.

HonkHase: Und nein, ich muss nicht immer irgendwie die große Cloud-KI,

HonkHase: hast du nicht gesehen, jahrelang Lizenzen zahlen, Abonnementfassungen nehmen.

HonkHase: Ich kann das auch in Keep it short and simple realisieren. Aber da muss man

HonkHase: halt fünf Minuten drüber nachdenken und nicht jedem Glitzerab hinterherrennen.

HonkHase: Und das funktioniert erstaunlich gut.

HonkHase: Das können auch Planungsbüros, das können auch Maschinenbauer und das können

HonkHase: auch kleine Wasserwerke und der Beweis ist durch Grittes da.

HonkHase: Die sind wirklich deutlich krasser reguliert und die betreiben das in Konform. Das geht schon.

Volker: Ja, dann, ich weiß nicht, habt ihr Ressourcen, dass wenn jetzt die ganzen KMUs

Volker: bei euch anrufen und sagen, könnt ihr uns da mal helfen und dann einen Tipp

Volker: geben, dass ihr als AG Kritis da auch freundlich,

Volker: vielleicht nicht aktiv unterstützt, aber den guten Weg der Wahl zeigt?

Volker: Oder seid ihr da eher draußen und da sagt ihr, nee, komm, lass mich damit zufrieden?

HonkHase: Also wir sind ein ehrenamtlicher Zusammenschluss, der vollkommen unabhängig

HonkHase: ist und auch keine Gelder nimmt und auch nicht die Wirtschaftskonkurrenz darstellt

HonkHase: oder die Unternehmen berät.

HonkHase: Was wir machen ist, wir denken ja strategisch, wie wir ganzheitlich die Versorgungssicherheit

HonkHase: der Bevölkerung erhöhen. Und eine Maßnahme ist eben Gesetzgebung und Stellungnahmen dazu.

HonkHase: Eine andere kann sein, mit der Politik zu reden.

HonkHase: Selten ist die Maßnahme, mit den KMUs zu reden, aber mit den Verbänden,

HonkHase: da reden wir und mit den Verbänden, da halten wir auf Vorträge und klären die

HonkHase: auf, wie beispielsweise die Fernwartung machen sollten und worauf die achten müssen.

HonkHase: Also so High Level geben wir denen schon die Hilfestellung oder erklären,

HonkHase: worauf die achten sollen.

HonkHase: Aber wir können eben nicht diese Beratungsleistung stellen oder stemmen.

HonkHase: Das ist nicht das Konzept gewesen, mit dem wir die AG Kritis aufgezogen haben.

Volker: Okay, ja, alles klar. Du, Honkase, erstmal vielen Dank, dass du uns so kurzfristig

Volker: zur Verfügung gestanden hast.

Volker: Gibt es irgendwas, wo du sagst, wir haben das noch völlig oder ich habe das

Volker: völlig vergessen zu fragen?

Volker: Weil ansonsten verweise ich einfach drauf, dass wir auch in naher Zukunft mit

Volker: dir ja nochmal so ein NIST 2 Update auch über eine Stunde oder Stunde 15 vorhaben.

HonkHase: Einen Punkt haben wir tatsächlich nicht besprochen, der auch sehr wichtig ist

HonkHase: und den ich nur kurz anreißen will.

HonkHase: Im § 37 Ausnahmebestand haben die Ministerien und vor allem das BMI die Möglichkeit,

HonkHase: die Einrichtungen in den Bereichen nationale Sicherheit,

HonkHase: öffentliche Sicherheit, Verteidigung, Strafverfolgung, einschließlich Verhütung,

HonkHase: Ermittlung, Aufdeckung und Verfolgung von Straftaten oder Dienstleister von

HonkHase: diesen aus den Risikomanagementmaßnahmen und Meldepflichten nach NIST-II-Komponenten,

HonkHase: Plätze befreien und auszunehmen.

HonkHase: Die machen das dann irgendwie anders und dann ist das gut.

HonkHase: Also auch da, die Bundesregierung hat zwar die Bundessysteme oder die Bundesverwaltung

HonkHase: wieder in den Scope getan,

HonkHase: der vorher schon drin war, aber man hat mit diesem Ausnahmeregelungsmöglichkeit

HonkHase: reingepackt und bedroht damit

HonkHase: eigentlich auch die Stabilität und Versorgungssicherheit der Bevölkerung.

HonkHase: Als auch die Funktionalität der Bundesbehörden.

Volker: Okay, ja, ich glaube, das sollten wir dann auch nochmal in unserem richtigen

Volker: Update nochmal betrachten und diskutieren.

Volker: Dann dir, lieber Honkase, vielen herzlichen Dank dafür, für dieses Interview.

Volker: Ich möchte nochmal kurz erwähnen, dass die Links zu den Dokumenten in unseren

Volker: Shownotes vorhanden sind.

Volker: Und ja, wir danken euch dafür, dass ihr uns hier bei dieser Folge nochmal zugehört habt.

Volker: Schönen Abend noch an Manuel Honkhaasa-Attug, dafür, dass er uns zur Verfügung

Volker: gestanden hat zu so später Stunde.

Volker: Und wir freuen uns auf euch in einer unserer nächsten Episoden.

Volker: Schönen Abend und tschüss.

HonkHase: Tschüss zusammen.