Recht / IT-Sicherheitsgesetz
Die Rechtsverordnung zum IT-Sicherheitsgesetz spezifiziert messbare Kriterien und legt Schwellenwerte fest, über die sich der Grad der Versorgung einer bestimmten Region oder Bevölkerungsgruppe mit einer bestimmten Leistung ermitteln lässt. Wer diese Schwelle erreicht, betreibt eine kritische Infrastruktur im Sinne des Gesetzes, ist zur Einhaltung aktueller IT-Sicherheitsstandards verpflichtet und unterliegt Meldepflichten gegenüber dem BSI.
Ende Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: ITSicherheitsgesetz – IT-SiG) in Kraft getreten. Es spezifiziert Rechte und Pflichten für Betreiber kritischer Infrastrukturen (KRITIS) und Zuständigkeiten einiger Behörden, die damit im Zusammenhang stehen. Wesentliche Ziele des Gesetzes sind, sich systematisch einer veränderten Bedrohungslage entgegenzustellen und ein hinreichendes und gleichwertiges Schutzniveau für Anlagen zu erreichen, die für die Versorgung der Bevölkerung mit bestimmten Ressourcen oder Dienstleistungen als kritisch angesehen werden.
Noch während das IT-SiG selbst im Entwurf war, wurden hierzu so genannte Sektorstudien veröffentlicht. Auf der KRITIS-Website sind Publikationen für die Branchen/ Sektoren Energie, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Transport, Verkehr und Logistik sowie Ernährung und Wasser abrufbar [1].
Art und Anzahl der Einrichtungen und Anlagen, die im Sinne des IT-SiG als kritische Infrastruktur eingestuft werden, sollen laut Artikel 1, § 10 des IT-SiG durch Rechtsverordnung bestimmt werden. Anfang Februar 2016 hat das Bundesministerium des Innern (BMI) den Entwurf einer Verordnung zur Bestimmung solcher kritischen Infrastrukturen für die Sektoren Energie, Informations- und Kommunikationstechnik, Ernährung und Wasser vorgelegt [2]. In einem weiteren Schritt wird dies für auch noch für die verbleibenden Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr erfolgen.
Die BSI-Kritisverordnung (BSI-KritisV) definiert Methoden zur qualitativen und quantitativen Identifizierung kritischer Infrastrukturen. So will man feststellen, was besondere Bedeutung für die Versorgung der Bevölkerung hat und wie viele Bürger von einem Betreiber beziehungsweise einer Anlage versorgt werden. Sind jeweils 500 000 oder mehr Bürger von einer Versorgungsleistung abhängig, gilt die dazugehörige Anlage als kritische Infrastruktur. Lässt sich die Anzahl der durch eine Anlage versorgten Personen nicht direkt erheben, wird der Versorgungsgrad näherungsweise bestimmt.
Die im Entwurf hierfür vorgestellte Methodik beruht auf drei systematischen Verfahrensschritten:
Der Entwurf sieht vor, dass alle Festlegungen vier Jahre nach dem Inkrafttreten der Verordnung zu evaluieren sind. Die BSI-KritisV soll unmittelbar nach ihrer Verkündung in Kraft treten, die Anhänge enthalten darüber hinaus sektorspezifische Grundsätze und Fristen. Wichtige Übergangsfristen hat bereits das IT-SiG festgeschrieben (siehe Kasten). Die folgenden Abschnitte geben Einblicke in die konkreten Definitionen der einzelnen Sektoren.
Kritische Dienstleistungen sind die Versorgung mit
Die Berechnungsformel geht vom Gesamtverbrauch der Bevölkerung und einem Durchschnittsverbrauch pro Person aus, um den Bedarf für die Versorgung von 500 000 Personen zu ermitteln. Ziel ist die im gesamten Verteilungsgebiet fortdauernd gesicherte Versorgung mit Energie.
Als Kategorien von Anlagen sind beispielsweise genannt: Erzeugungsanlagen, Messstellen, Leitungsnetze, Raffinerien, Öllager, Heizkraftwerke und das Tankstellennetz. Beispielsweise gehört eine Anlage zur Stromerzeugung ab einer installierten Leistung von 420 Megawatt zur kritischen Infrastruktur – bei Tankstellennetzen liegt der Schwellenwert bei einer jährlichen Kraftstoffverteilung von 355 Mio. Liter.
Kritische Dienstleistungen sind
Die Berechnungsformel geht vom Gesamtverbrauch der Bevölkerung und einem Durchschnittsverbrauch pro Person aus, um den Bedarf für die Versorgung von 500 000 Personen zu ermitteln. Ziel ist die im gesamten Verteilungsgebiet fortdauernd gesicherte Versorgung mit Trinkwasser von einwandfreier Beschaffenheit (genusstauglich, keine Krankheitserreger, keine gesundheitsschädlichen Stoffe), in ausreichender Menge und mit ausreichendem Druck.
Im Hinblick auf die Abwasserbeseitigung ist das Ziel, Schmutzwasser und Niederschlagswasser abzuleiten und gemäß den enthaltenen Schad- und Nährstoffen zu behandeln, sodass eine Infiltration in Gewässer oder das Grundwasser zugelassen werden kann.
Als Kategorien von Anlagen sind beispielsweise genannt: Gewinnungsanlagen, Wasserwerk, Leitwarten, Kanalisation, Kläranlagen. Beispielhafte KRITIS-Schwellenwerte sind 500 000 angeschlossene Einwohner bei der Siedlungsentwässerung (Kanalisation) oder bei Gewinnungs- und Aufbereitungsanlagen eine Trinkwassermenge von 21,9 Mio. Kubikmetern pro Jahr.
Kritische Dienstleistungen sind die Versorgung mit
Die Berechnungsformel geht von einem Durchschnittsverbrauch pro Person aller Produktgruppen und nichtalkoholischen Getränken aus, um den Bedarf für die Versorgung von 500 000 Personen zu ermitteln.
Ziel ist es, im gesamten Verteilungsgebiet eine hinreichende Ernährung mit qualitativ zuträglichen Lebensmitteln gewährleisten zu können, um erhebliche Gesundheitsschäden und Störungen der öffentlichen Sicherheit und Ordnung zu vermeiden.
Als Kategorien von Anlagen sind beispielsweise genannt: Anlagen zur Produktion von Agrarerzeugnissen (landwirtschaftliche Betriebe, Fischerei), Anlagen zur Lagerung und Distribution von Lebensmitteln, Anlagen zur Bestellung und zum Verkauf von Lebensmitteln und Rohstoffen. In der Lebensmittelproduktion und -verarbeitung liegen die jährlichen KRITIS-Schwellenwerte bei 334 000 Tonnen Speisen oder 274,5 Mio. Liter Getränken.
Kritische Dienstleistungen sind
Die Berechnungsformel ist je nach kritischer Dienstleistung festgelegt und geht von Transportvolumen, verbrauchten Megawatt in einem Rechenzentrum beziehungsweise der Anzahl von Systemen, Domains und/oder Zertifikaten aus.
Ziel ist, den Betriebsumfang der jeweiligen Anlagenkategorien zu gewährleisten, denen eine besondere Bedeutung für das Funktionieren des Gemeinwesens zugeschrieben wird. Diese Dienstleistungen gelten als kritisch, weil bei ihrem Ausfall oder ihrer Beeinträchtigung von erheblichen Versorgungsengpässen oder einer Gefährdung bedeutender Rechtsgüter wie Leib, Leben, körperlicher Unversehrtheit oder dem Eigentum einer Vielzahl von Personen auszugehen ist.
Als Kategorien von Anlagen sind beispielsweise genannt: öffentliches Telefonnetz, DNS-Resolver, IP-Registrierungs-Datenbank, Rechenzentrum (z. B. für Housing von Servern, Storage etc.), Content-Delivery-Netzwerke (z. B. für Mediendateien) und Trust-Center. Beispielhafte KRITISSchwellenwerte sind für DNS-Server 250 000 Domains, für die der Server autoritativ ist oder die aus der Zone delegiert werden, bei einer Serverfarm 25 000 laufende Instanzen (im Jahresdurchschnitt), 75 Petabyte ausgeliefertes Datenvolumen pro Jahr bei einem Content-Delivery-Network oder 10 000 TLS-Zertifikate eines Trust-Centers.