Kritische Infrastruktur: Prüfer aus dem Revier schlägt Alarm

Die neue EU-Richtlinie NIS-2 regelt die IT-Sicherheit von 18 kritischen Sektoren wie Energie, Verkehr, Telekommunikation, Banken und Krankenhäusern. © Getty Images/iStockphoto | Blue Planet Studio

Ruhrgebiet. Wenn die neue EU-Richtlinie in Kraft tritt, werden 30.000 statt 2000 Firmen auf IT-Sicherheit kontrolliert. Wo sollen die Prüfer herkommen?

Eine neue EU-Richtlinie soll die Versorgung mit Energie und Trinkwasser, die Banken und die Krankenhäuser sicherer machen, vor allem, was Hacker-Angriffe angeht. Doch es könnte zunächst zu einer Überdehnung des Prüfsystems führen – also zu weniger Sicherheit. Zumindest befürchtet dies ein selbstständiger Prüfer aus dem Ruhrgebiet, der seit Jahren „Kritische Infrastruktur“ (Kritis) unter die Lupe nimmt. Rund 1150 Unternehmen mit 2000 Anlagen zählen heute dazu. Durch die neuen Auflagen steigt sie Zahl der Firmen auf etwa 30.000 an.

„So wird das Prüfvolumen massiv aufgebläht“, sagt der Experte. „Wer soll das alles prüfen? Und welche Art Prüfer soll das sein? Wir haben ja nicht auf einmal viele Leute mehr. Also, ich bin ausgebucht.“

Tatsächlich ist die NIS-2-Richtlinie schon vor zwei Jahren vom EU-Parlament beschlossen worden, und eigentlich sollten die Mitgliedsstaaten sie bis zu diesem Oktober in ihr eigenes Recht übernehmen. Während Belgien, Ungarn und ein paar andere schon fast so weit sind, rechnen die Fachleute damit, dass sie in Deutschland im März in Kraft tritt. Dennoch steht noch nicht genau fest, welche Kriterien nun genau zur Anwendung kommen, so dass auch die genaue Zahl der betroffenen Unternehmen noch nicht feststeht. Klar ist nur: Es werden viele. Und diskutiert wurde bislang überhaupt nicht über neue Prüferstellen beim zuständigen Bundesamt für Sicherheit in der Informationstechnik.

Die Bonner Behörde gibt sich dennoch gelassen: „Die Zahl der rund 2000 Anlagen, die der kritischen Infrastruktur zugerechnet werden, bleibt gleich“, erklärt der für Cybersicherheit in der Wirtschaft zuständige Abteilungsleiter Timo Hauschild. „Neu hinzu kommen allerdings zwei Kategorien, die wichtigen und die besonders wichtigen Einrichtungen. Wir werden also beim BSI mit sehr viel mehr Unternehmen zu tun haben, die Anforderungen zu erfüllen haben und bei denen wir als Aufsichtsbehörde Rechte haben, Dinge zu fordern.“

Für die etwa 2000 Kritis-Anlagen gehen die BSI-Prüfungen zwar so weiter wie bisher, allerdings müssen sie nach den aktuellen Plänen ihre eigenen Nachweise nur noch alle drei statt zwei Jahre vorlegen. Diese erfordern eine externe Prüfung. So wird auf dem Markt zwar etwas Prüfkapazität frei für die rund 28.000 hinzugekommenen Unternehmen – aber der Sicherheit dient es nicht, wenn in einer sich immer schneller entwickelnden IT-Welt die Prüfzeiträume ausgeweitet werden.

Die nun als wichtig und besonders wichtig eingestuften Firmen sollen dem BSI Selbstauskünfte schicken. Diese will die Aufsichtsbehörde innerhalb von ein bis zwei Jahren nach Inkrafttreten des Gesetzes anfordern. Das BSI kann zudem externe Prüfungen anordnen und kann sie auch selbst prüfen, muss aber nicht. Und praktisch ist das aus Kapazitätsgründen auch kaum möglich. „Man muss Pflichten und Rechte unterscheiden“, sagt Timo Hauschild. „Wir werden wir uns schon aus Ressourcengründen auf Einzelfälle beschränken. Auch heute prüfen wir bei kritischen Infrastrukturen nur in Ausnahmefällen selbst.“

Genau das hat der Bundesrechnungshof schon bemängelt. Nur rund drei Prozent der Kritis-Betreiber hatte das BSI in einem Jahr intensiv geprüft. Viel zu wenig, finden die Rechnungsprüfer. Sie kritisieren, dass die Mittel schon jetzt nicht ausreichen und im kommenden Haushaltsjahr sogar sinken werden. Wie der Fachdienst „Tagesspiegel Background“ berichtet, schätzt der Bundesrechnungshof, dass allein für die Durchführung der NIS-2-Richtlinie rund 476 zusätzliche Stellen nötig. Kurz: Wenn die Richtlinie in Kraft tritt, wird woanders gespart werden müssen. Mehr Sicherheit sieht anders aus.

Der Fachkräftemangel kommt hinzu. Tatsächlich hat auch das BSI laut Bundesrechnungshof noch 17 Prozent seiner Planstellen nicht besetzen können. „IT-Sicherheitsexperten zu finden, ist immer eine Herausforderung“, weiß Jens Langguth vom TÜV Rheinland. Und die Nachfrage nach Beratungen und Prüfungen werde weiter steigen. Der Experte glaubt aber nicht, dass dies schlagartig geschehen wird, auch wenn mit Inkrafttreten von NIS-2 tausende Unternehmen einer gewissen Kontrolle unterworfen werden. „Die neuen Anforderungen, die mit NIS-2 erfüllt werden müssen, sind vielen IT-Verantwortlichen bereits ein Begriff. Ein großer Teil betroffener Unternehmen muss nicht bei null anfangen.“

Die Ausweitung des Prüfzeitraums für Kritis-Anlagen von zwei auf drei Jahre werde den Prüfermarkt zwar etwas entspannen, glaubt Manuel Atug, Sprecher der unabhängigigen Arbeitsgruppe „AG Kritis“. „Gleichzeitig wird der Beratungsbedarf bei Unternehmen steigen.“ Das BSI selbst aber habe schon heute „ein massives Defizit“ bei der Prüfung von Behörden und müsse dringend mehr Geld und Leute bekommen. Aus seiner Sicht besteht der Hauptfehler von NIS-2 darin, dass die Kommunen ausgeklammert werden, viele Ministerien, Polizei, Geheimdienste – der Staat, der die Sicherheitsregeln festlegt, macht Ausnahmen ausgerechnet für seine eigene kritische Infrastruktur.

Mehrfachregulierungen tragen dazu bei, dass der Aufwand bei Prüfungen sich erhöht, berichtet der Experte aus dem Ruhrgebiet. Mal ist das BSI zuständig, mal die Bundesnetzagentur (BNA), und mal sind es beide. Die Deutsche Akkreditierungsstelle (DaKKS) ist parallel zuständig für die internationale Norm für das Management der Informationssicherheit (ISO 27001). Mit dem anstehenden Kritis-Dachgesetz kommt auch noch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ins Spiel. Für Banken und Versicherungen gilt eine eigene Richtlinie (Dora), für Energieunternehmen zusätzlich zu NIS-2 und den Kritis-Regeln das Energiewirtschaftsgesetz, ähnliches gibt es bei Telekommunikationsbetreibern.

„Der Dokumentationsaufwand wird bei Mehrfachregulierungen massiv erhöht“, sagt der externe Prüfer. „Das ist weder für die Unternehmen noch für die Prüfer einfach. Warum wird die internationale Norm ISO 27001 nicht einfach als Standard gesetzt und branchenspezifisch ergänzt? Aber nein, jede Behörde muss das eigene Süppchen kochen. In Wahrheit bleibt die Informationssicherheit in Deutschland auf der Strecke, weil sich vier Behörden (BSI, BNA, BBK und DaKKS) nicht grün sind und Unternehmen wie Prüfer nur staunend über so viel Bürokratie zurücklassen.“

NIS-2 soll viele Schlupflöcher schließen und Meldepflichten vereinheitlichen, lobt Timo Hauschild. Doch der Bundesrechnungshof kritisierte erst Ende September die Pläne: „Wichtige Regelungen sollen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein. Die Folge wäre ein ‘Flickenteppich‘.“ Der Prüfer aus dem Ruhrgebiet bemängelt: „Der Sektor Staat und Verwaltung, der diese Regeln vorgibt, muss sich selbst nicht daran halten, sodass die Informationssicherheit in vielen Behörden mangelhaft ist.“

Einen solchen sieht der Prüfer aus dem Ruhrgebiet auch in der Struktur der Versorgungslandschaft. „Es gibt über 880 Stromnetzbetreiber in Deutschland. Das ist eine Kleinstaaterei wie im Mittelalter. Für viele kleine Netzbetreiber ist der Aufwand für die Informationssicherheit sehr hoch, dort stößt die Umsetzung an ihre Grenzen. Wir müssten deutlich mehr zentralisieren. Und standardisieren.“ Damit könnte man mehrere Fliegen mit einer Klappe schlagen: Man bräuchte in Zeiten des Fachkräftemangels weniger Personal bei Betreibern, Prüfern und Behörden. Die Energiewende würde besser vorankommen. Und die Sicherheit würde gestärkt.