Ob Anschläge auf Strommäste oder Drohnenangriffe: Beim neuen Kritis-Dachgesetz sieht IT-Sicherheitsexperte Manuel Atug Verbesserungsbedarf.
Sehe ich als KRITIS Futzi im Bereich Gesundheit und Blaulicht genauso.
Es ist weicher Regelkram der real nicht kontrolliert wird und der selbst wenn es Verstöße gibt keine Folgen hat.
Wofür brauchen wir es dann? Der Grundgedanke ist gut, wenn die Umsetzung aber quasi nicht stattfindet und geahndet wird, kann man sich diese Arbeitsbeschaffungsmaßnahme auch sparen.
Wir brauchen dringend vernünftige Regelungen (und in Teilen sind sie auch vernünftig). Das Problem ist die Umsetzung und Kontrolle.
Solange aber eben die Strafen minimal sind (die höchste mir bekannte lag bei 10.000€) und gleichzeitig kaum kontrolliert wird (selbst bei ultra kritischen Bereichen wie Rettungsleitstellen, Kliniken, Feuerwehren, der Bundeswehr, Stromversorgern, Telekommunikation). Da ist natürlich die Motivation lieber einen Cent und die Arbeit zu sparen hoch - wie du sagst.
Könnte man ja ganz einfach regeln: Wenn wir die Führungskräfte dafür persönlich haftbar machen und gleichzeitig umsatzorientierte Strafen einführen sowie fundierte Audits zur Pflicht machen ist das Thema in 2 Jahren erledigt.
Das Problem ist wer und wie das kontrollieren und umsetzen soll. Dafür bräuchte man kompetentes Personal mit Befugnissen. Sonst wird daraus nur ein dummer Compliance-Cargo-Cult mit Checklisten und Schlangenöl.
Es gibt dafür durchaus Möglichkeiten - andere Länder arbeiten hier mit Zertifizierungsagenturen, etc. Die Konzepte gibt es, vor COVID war auch tatsächlich eine gesellschaftliche Pflicht in Diskussion für die wichtigsten Infrastrukturen, aber dann kam Covid und es verschwand alles.
Wir kriegen es beim TÜV, bei der E-Technik Prüfung,etc. ja auch hin.
Und natürlich braucht es dabei kompetentes Personal,aber am Ende muss man ja mal anfangen.
andere Länder arbeiten hier mit Zertifizierungsagenturen, etc.
Mir wäre keine einzige Zertifizierung international bekannt, die nicht nur Compliance-Bullshit und Gewissensberuhigung wäre. Echte IT-Sicherheit würde halt ein Haufen Umdenken erfordern. Kein Microsoft mehr, kein Cisco mehr, überhaupt kein US-Unternehmen mehr. Große Investitionen in Freie Software, Support-Pflicht für Hersteller kommerzieller Software und Hardware über Jahrzehnte, usw.
Und mit Support-Pflicht meine ich nicht, Hersteller sagt 👍 also Zuschlag, sondern Zusammenarbeit mit den Herstellern (wir stellen die eine Hälfte des Entwicklerteams, ihr die Andere), Open-Source-Pflicht der erarbeiten Lösung, echte Pläne für Bankrott des Herstellers oder eines Sub-Sub-Sub-Unternehmens.
Es geht hier nicht nur un IT Sicherheit sondern um KRITIS Sicherheit an sich - da gibt’s tatsächlich Länder die weiter sind.
IT Sicherheit ist davon ja nur ein kleiner Teilbereich.
Das Kontroll- und Durchsetzungsproblem bzw. das Nicht-Stattfinden zieht sich inzwischen durch vieles in Deutschland.
Aber nein, die Politik kapiert es nicht. Und es wird wieder ein bescheuerter Papiertiger beschlossen, der nie geahndet wird. Was soll das? Warum lässt man es nicht lieber bleiben?
Atug: Erhebliche Teile der Bundesverwaltung sind vom Gesetz ausgenommen, ebenso die Landesverwaltung und die Kommunen. Dabei sind Staat und Verwaltung natürlich ein erheblicher Sektor der kritischen Infrastruktur. Der Staat selber ist nicht ausreichend gegen Sabotage, Terrorismus und Naturereignisse geschützt. Wir müssen im Falle solcher Ereignisse handlungsfähig bleiben – ein Gesetz, das den Staat nicht zur kritischen Infrastruktur zählt, ist eher eine dekorative Hülle, als ein ernstzunehmendes Gesetz. Resilienz sieht anders aus.
Das ist doch nicht deren Ernst.
Als IT-ler mit regelmäßigem Benutzerkontakt kann ich dazu nur sagen: Tja.
Diese Gesellschaft bekommt genau die IT-Infrastruktur, die sie verdient hat.
deleted by creator
