Kooperationen beim Schutz Kritischer Infrastrukturen
Übersicht über KRITIS-Kooperationen
Kritische Infrastrukturanlagen befinden sich „physisch“ in Kommunen und unterliegen vielfach der kommunalen Aufsicht. Gleichzeitig aber erstrecken sich Infrastruktursysteme über administrative Grenzen und die Bereitstellung kritischer Dienstleistungen ist von einem ebenenübergreifenden Geflecht fachgesetzlicher Regelungen durchzogen. Neben der horizontalen Kooperation ist daher auch die vertikale Zusammenarbeit zwischen Behörden von Bund, Ländern und Kommunen essentiell. Nur im Zusammenwirken können Behörden auf allen Ebenen die Rahmenbedingungen für eine resiliente Bereitstellung kritischer Dienstleistungen gestalten.
UP KRITIS
Die Initiative zur Zusammenarbeit von Wirtschaft und Staat zum Schutz Kritischer Infrastrukturen in Deutschland (kurz: UP KRITIS) ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.
Die partnerschaftliche Zusammenarbeit von staatlichen Stellen und vorwiegend privatwirtschaftlichen Betreibern genießt beim Schutz Kritischer Infrastrukturen einen hohen Stellenwert. Institutioneller Ausdruck dessen ist insbesondere der UP KRITIS. Die Zusammenarbeit zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen im UP KRITIS hat zum einen die Form eines strukturierten Informationsaustauschs über Cyber-Sicherheitsvorfälle, Auffälligkeiten und die aktuelle IT-Bedrohungslage (operativ-taktische Zusammenarbeit). Zum anderen werden branchenspezifische und branchenübergreifende Fragestellungen in Branchen- und Themenarbeitskreisen bearbeitet (strategisch-konzeptionelle Zusammenarbeit).
AG KOST KRITIS
Für den Schutz Kritischer Infrastrukturen sind verschiedenste Akteure aus Staat und Wirtschaft zuständig. Aufgrund der großen Heterogenität bei den mitwirkenden Behörden und KRITIS-Betreibern besteht ein hoher Koordinierungsbedarf zwischen allen Beteiligten. Dies betrifft auch die Zusammenarbeit staatlicher Stellen auf unterschiedlichen Ebenen.
So ist seit 2012 eine Bund-Länder Arbeitsgruppe für den Schutz Kritischer Infrastrukturen etabliert, in der ein offener Austausch über die Grenzen administrativer Ebenen hinweg stattfindet: Die Koordinierungsstelle für den Schutz Kritischer Infrastrukturen in Bund und Ländern (kurz: AG KOST KRITIS). Die Abkürzung „KOST“ steht hier für „Koordinierungsstellen“. Die AG KOST KRITIS fungiert als kommunikative KRITIS-Plattform zwischen Bund und Länder. Sie unterstützt ein ebenenübergreifendes koordiniertes Vorgehen unter Berücksichtigung der jeweiligen Zuständigkeiten. In ihr werden Erfahrungen gebündelt und ausgetauscht.
Ziele
In der AG KOST KRITIS soll das gemeinsame Verständnis hinsichtlich der Aufgaben beim Schutz KRITIS gestärkt und Kompetenzen bei der Bearbeitung übergreifender Aufgaben gebündelt werden. Unter Beibehaltung der jeweiligen Zuständigkeiten wird ein zwischen Bund und Ländern abgestimmtes Vorgehen innerhalb des Politikfeldes KRITIS ermöglicht.
Der gegenseitige kontinuierliche Informationsaustausch über laufende Aktivitäten und die gegenseitige Unterstützung bei der Planung und Durchführung von Veranstaltungen, Projekten und weiteren Maßnahmen ist ein fester Bestandteil der AG KOST KRITIS.
Organisation
In der AG KOST KRITIS sind Mitarbeitende des Bundesministeriums des Innern und für Heimat (kurz: BMI) sowie des Geschäftsbereichs sowie aus allen Ländern vertreten. Sie ist das Bund-Länder-Gremium im Bereich Schutz KRITIS in Deutschland. Seit 2020 ist die AG KOST KRITIS näher an die Gremienstruktur der Innenressorts herangerückt.
D-A-CH
In der 2008 begründeten Kooperation im „D-A-CH-Format“ tauschen sich Vertreter aus Deutschland (D), Österreich (A) und der Schweiz (CH) über den Schutz Kritischer Infrastrukturen aus.
Die Arbeitstreffen finden im zwei- bis dreijährigen Abstand statt. Ziel der Zusammenarbeit ist es, Unterschiede und Gemeinsamkeiten beim Schutz Kritischer Infrastrukturen auszuloten, Methoden und Projekte vorzustellen sowie sich über gelungene praxisorientierte Maßnahmen, aber auch über Herausforderungen auszutauschen und auf diese Weise voneinander zu lernen.
Grundsätzlich kommen Vertreter der koordinierenden Stellen zusammen, für Deutschland insbesondere aus dem BMI, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (kurz: BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI). Für Österreich nehmen das Bundesministerium für Inneres, das Bundeskanzleramt und das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung teil, für die Schweiz das Bundesamt für Bevölkerungsschutz. Zusätzlich ergänzen themenspezifisch weitere fachlich betroffene Ämter und Ministerien die Runde.
Inzwischen haben vier jeweils zweitägige Arbeitstreffen stattgefunden. Dabei wurden nationale Programme, aktuelle Projekte und Arbeitsstände vorgestellt. Es wurden methodische Ansätze der einzelnen Staaten miteinander verglichen und hinsichtlich ihrer Übertragbarkeit diskutiert. Des Weiteren wurden Vorgehensweisen bei der Identifizierung Kritischer Infrastrukturen und die Themen Risikoanalyse, Krisenkommunikation und Resilienzindikatoren behandelt.
EU-Kooperationen
Aktivitäten der Europäischen Union (kurz: EU) zum Schutz Kritischer Infrastrukturen
Kritische Infrastrukturen sind länderübergreifend vernetzt - ihr Schutz ist daher eine nationale wie auch internationale Aufgabe.
Viele Kritische Infrastrukturen werden weit über die nationalen Grenzen hinaus betrieben. Nationale Strom- und Gasnetze sind mit anderen europäischen Staaten vernetzt, Informations- und Kommunikationsnetze überziehen den gesamten Globus. Die Digitalisierung vieler Prozessen macht grenzüberschreitenden Verknüpfungen zum Alltag der Arbeit der Kritischen Infrastrukturen. Der Schutz Kritischer Infrastrukturen erfordert daher eine intensive internationale Zusammenarbeit, die sich insbesondere im europäischen Raum zunehmend in institutionellen und gesetzlichen Verpflichtungen wiederspiegelt.
Als wichtige Ergänzungen für nationale Strategien der Resilienz Kritischer Infrastrukturen sind multilaterale Konferenzen und internationale Zusammenarbeiten zu nennen: Beispielsweise das zwischenstaatliche Expertentreffen "Critical Infrastructure Resilience" mit Vertretern aus der EU, USA, Canada in den Jahren 2020 und 2021, die "United Nations Economic Commission for Europe (kurz: UNECE)"-Konferenz “10th meeting of the Community of Users on Safe, Secure and Resilient Societies" im März 2018 sowie der Workshop "System thinking for critical infrastructure resilience and security" der "Organisation for Economic Co-operation and Development" (kurz: OECD) und des "Joint Research Centre" (kurz: JRC).
Die im September 2018 stattgefundene Konferenz der OECD hatte die Bedeutung eines neuen Rahmens für die Zusammenarbeit von Staat und Privatakteuren. Ziel war eine verbesserte Resilienz gegenüber stärkeren Interdependenzen zwischen Infrastrukturen sowie andere Bedrohungen durch Klimawandel, Cyberattacken und weitere technologische Risiken zu fordern.
Parallel findet sich das Thema „Schutz Kritischer Informationsinfrastrukturen“ sowie der Begriff „Resilienz" in Zusammenhang mit dem Thema Kritische Infrastruktur in zahlreichen wegweisenden Veröffentlichungen der EU wieder, so z. B. in einer Ratsentschließung zum Thema Netz- und Informationssicherheit aus dem Dezember 2009, in der Digitalen Agenda für Europa aus dem Mai 2010 sowie in der EU-Strategie für eine Sicherheitsunionaus dem Juli 2020.Leitgeidanke dieser Strategie ist ,dass Innere und äußere Sicherheit eine Voraussetzung für die persönliche Sicherheit, den Wohlstand und das Wohlergehen der Bürgerinnen und Bürger ist und die Resilienz der kritische Infrastruktur einen wichtigen Baustein. Der Umgang mit kritische Infrastruktur ist inzwischen auch ein wichtiger Bestandteil der Arbeitsprogramme europäischer Organisationen oder Institutionen wie der European Network and Information Security Agency oder des Joint Research Center.
Aktuelle Grundlage der Aktivitäten auf der EU-Ebene ist das Europäische Programm zum Schutz der Kritischen Infrastrukturen. Im Rahmen dieses Programms finden verstärkte Aktivitäten zum Schutz Kritischer Infrastrukturen statt. Basis dieser Aktivitäten ist der "Critical information infrastructures protection" (kurz: CIIP)-Aktionsplan, der im Rahmen einer Mitteilung der Kommission mit dem Titel „Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität“ am 30. März 2009 veröffentlicht wurde.
Im Rahmen des CIIP-Aktionsplans finden verschiedene Aktivitäten statt, an denen sich Deutschland aktiv beteiligt:
- ein intensiver Informationsaustausch der Mitgliedsstaaten im Rahmen des „European Forum for Member States“,
- eine beginnende Kooperation zwischen Behörden der EU-Mitgliedsstaaten, die sich um den Schutz von Kritischen Informationsinfrastrukturen kümmern, und privatwirtschaftlichen Unternehmen, die Kritische Informationsinfrastrukturen betreiben oder unterstützen, im Rahmen der „European Public-Private Partnership for Resilience“,
- die Erarbeitung von „Prinzipien und Leitlinien für die Resilienz (Widerstandsfähigkeit) und Stabilität des Internets“,
- die Erarbeitung von Kriterien, um relevante Komponenten, Funktionen oder Einheiten der Europäischen Kritischen Informationsinfrastrukturen zu identifizieren,
- europaweite Übungen zum Schutz der Kritischen Informationsinfrastrukturen.
In den Jahren 2007 und 2008 wurde im Rahmen des Europäisches Programms zum Schutz Kritischer Infrastrukturen (kurz: EPSKI) die EPSKI-Richtlinie erarbeitet mit dem Ziel, den Schutz so genannter "Europäischer Kritischer Infrastrukturen" zu verbessern. "Europäisch kritisch" bedeutet dabei, dass ein Ausfall dieser Infrastruktur mindestens zwei EU-Mitgliedsstaaten empfindlich betreffen würde.
Als Wegweiser für die Umsetzung der so genannten "Ermittlung und Ausweisung europäischer kritischer Infrastrukturen"-Richtlinie (kurz: EKI-Richtlinie) hat die Kommission gemeinsam mit den Mitgliedsstaaten einen unverbindlichen Leitfaden erarbeitet.
Darüber hinaus beteiligt sich Deutschland an CIIP-bezogenen Projekten wie zum Beispiel der Meridian Conference oder dem European SCADA and Control Systems Information Exchange (E-SCSIE). Letzteres Gremium befasst sich auf europäischer Ebene mit den Herausforderungen des Schutzes von Prozesssteuerungs- und -leitsystemen (SCADA-Systemen), einer Aufgabe, die das BSI seit Jahren verfolgt und deren Bedeutung und allgemeine Wahrnehmung seit den Stuxnet-Angriffen im Jahr 2010 drastisch gestiegen ist.
Deutschland unterstützt bei allen internationalen Aktivitäten aktiv den international anerkannten Ansatz, bewährte Empfehlungen aus der Praxis zusammenzustellen und zu verbreiten. So wurde im Jahre 2008 auf Initiative Deutschlands in der High-Tech-Crime Subgroup der G8 ein Dokument mit dem Titel "Best Practices for Improving CIIP in Collaboration of Governmental Bodies with Operators of Critical Information Infrastructures" erstellt und verabschiedet.
NIS-Plattform
Bestandteil der Europäischen Cybersicherheitsstrategie ist eine sogenannte "Nicht-interventionelle Studie"-Plattform (kurz: NIS-Plattform). Dabei handelt es sich um ein EU-weites Forum, in dem sich der öffentliche und private Sektor zu verschiedenen Themen der Netz- und Informationssicherheit austauscht. Unter anderem wird dort über folgende Themen beraten:
- Anreize für ein angemessenes Risikomanagement und die Einführung von Sicherheitsnormen und -lösungen (Mindeststandards),
- Reduzierung der Haftung bei Umsetzung eines angemessenen IT-Sicherheitsniveaus,
- Informationsaustausch zu Gefährdungen und Schwachstellen,
- freiwillige, EU-weite Zertifizierungsregelungen.