Arbeitsgruppe Kritische Infrastrukturen

Arbeitsgruppe Kritische Infrastrukturen
(AG KRITIS)
Gründung2018
GründerManuel ‚HonkHase‘ Atug, Johannes ‚ijon‘ Rundfeldt, Andreas ‘zet‘ Zeisiger
SitzHanau
ZweckErhöhung der Versorgungssicherheit der Bevölkerung
Schwerpunktnachhaltige Verbesserung der IT-Sicherheit in Deutschland
PersonenManuel Atug, Johannes Rundfeldt, Thomas Blinn (Sprecher)
Mitglieder44 (2023)
Websiteag.kritis.info

Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) ist eine Gruppe von Fachleuten, die sich die Verbesserung der IT-Sicherheit und Resilienz von Kritischen Infrastrukturen (KRITIS) gemäß § 2 (10) BSI-Gesetz zum Ziel gesetzt hat. Die AG KRITIS wurde 2018 im Nachgang zum 34. Chaos Communication Congress des CCC im Rahmen eines Arbeitstreffens gegründet und sieht sich selbst als unabhängig von Unternehmen und Wirtschaftsverbänden.

Geschichte

Der Grundgedanke der Gründung der AG KRITIS im Jahr 2018 war, dass die Ressourcen der Bundesrepublik Deutschland zur Reaktion auf Großschadenslagen durch Cyber-Vorfälle im Bereich der Kritischen Infrastrukturen nicht ausreichen, um die Auswirkung der dadurch verursachten Krisen und Katastrophen zu bewältigen. In nachfolgenden Workshops wurde diese Problematik eingehend diskutiert und das Profil der Arbeitsgruppe geschärft. 2019 wurde schließlich die Loslösung vom CCC beschlossen, um größtmögliche Unabhängigkeit und Neutralität zu erreichen. Bei einem Behördenworkshop[1] am 2. Oktober 2019 in Bonn wurde erstmals die Idee eines Cyber-Hilfswerks vorgestellt und mit Teilnehmern von BBK, BSI und CCC diskutiert. Das hieraus resultierende Konzept wurde anschließend im Rahmen der Konferenz DefensiveCon[2] am 7. Februar 2020 in Berlin vorgestellt[3] und erhielt ein breites Presseecho[4][5][6].

Mitglieder der AG KRITIS werden regelmäßig als Sachverständige interviewt oder zitiert, z. B. zu Sicherheitslücken[7][8][9], dem IT-Sicherheitsgesetz 2.0[10][11][12] oder sonstigen Themen rund um Kritische Infrastrukturen und Digitalisierung[13][14][15]. Im Rahmen der Entwicklung der neuen Cybersicherheitsstrategie 2021 für Deutschland hat das BMI im September 2020 eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt[16], zu der auch die AG KRITIS eingeladen wurde.

Seit November 2020 ist die AG KRITIS im Online-Kompendium Cybersicherheit in Deutschland[17] des BMI als relevanter Akteur der deutschen Cybersicherheitslandschaft aufgeführt.

Am 1. März 2021 wurde Manuel 'HonkHase' Atug, einer der Gründer und Sprecher der AG KRITIS, als Sachverständiger im Rahmen der Anhörung in den Bundestags-Ausschuss für Inneres und Heimat zum Entwurf der Novelle des IT-Sicherheitsgesetzes[18] geladen.[19] Aus Anlass der Sabotage am Zugfunk im Oktober 2022 verwies er darauf, dass die Gefahrenlage bei Telekommunikation, Schiffsverkehr, Banken und Versicherungen ähnlich sei. „Wir haben die ganze Bandbreite“, sagte er. „Allerdings fehlt das Verständnis für Sicherheit auf allen Ebenen.“[20]

Am 25. Januar 2023 wurde Manuel 'HonkHase' Atug erneut als Sachverständiger im Rahmen der „Anhörung zur Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ in den Digitalausschuss des Bundestags geladen. „Atug sprach von einem Wimmelbild der Verantwortungsdiffusion. „Alle wollen mitspielen, aber niemand ist verantwortlich, wenn etwas passiert.“ Es fehle eine defensive Cybersicherheitsstrategie in Deutschland. Zudem brauche es kein Schwachstellenmanagement. Schwachstellen dürften nicht gemanagt werden, sondern müssten behoben werden, forderte Atug.“[21] Eine Stellungnahme wurde durch die AG KRITIS eingereicht und von Atug vertreten.[22]

Mitglieder und Struktur

Die AG KRITIS besteht aus 44 Fachleuten (Stand März 2023), die sich täglich mit Kritischen Infrastrukturen (KRITIS) gemäß § 2 (10) BSI-Gesetz in Verbindung mit BSI-Kritisverordnung beschäftigen, z. B. durch: Planung, Bau, Betrieb, Beratung oder Prüfung der beteiligten IT-Systeme und Anlagen. Die Mitglieder sind unter anderem in den KRITIS-Sektoren: Energie, Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Wasser sowie Staat und Verwaltung als auch Medien und Kultur dienstlich aktiv. Die Arbeitsgruppe stimmt sich zweiwöchentlich telefonisch bzw. über Videokonferenzen ab und trifft sich unregelmäßig zu Workshops. Neben zwei Leitern sind einzelne Mitglieder als offizielle Sprecher[23] der AG KRITIS benannt.

Abgrenzung

Die Bezeichnung „AG KRITIS“ wurde in der Vergangenheit auch von anderen Organisationen verwendet:

  • Interministerielle Arbeitsgruppe Kritische Infrastrukturen[24]
  • Arbeitsgruppe Kritische Infrastrukturen der Behörde für Inneres und Sport in Hamburg[25]

Veröffentlichungen

  • 26. April 2023: Stellungnahme zur Anhörung „Kommunikation und IT-Sicherheit im Falle eines Katastrophenfalles durch einheitliche Planbarkeit sicherstellen“ | PDF
  • 18. Januar 2023: Stellungnahme zur Anhörung „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ | PDF
  • 12. Januar 2023: Stellungnahme für die Enquetekommission „Krisenfeste Gesellschaft“ des Landtags von Baden-Württemberg | PDF
  • 9. November 2022: Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen (CHW-Konzept), Version 1.1 | PDF
  • 18. September 2022: Stellungnahme zur Technischen Richtlinie DE-Alert | PDF
  • 10. Januar 2022: Stellungnahme zur Entwurfsversion der Bundesnetzagentur zur TR DE-Alert | PDF
  • 18. November 2021: Stellungnahme zum Ausfall des Landesverwaltungsnetzes NRW | PDF
  • 30. Juni 2021: Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 | PDF
  • 19. Mai 2021: IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen | HTML
  • 7. Mai 2021: Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22. April 2021 | HTML
  • 26. April 2021: Bewertung der EU-NIS und EU-RCI Richtlinie | PDF
  • 01. März 2021: Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0 | HTML
  • 01. März 2021: Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag | PDF
  • 3. Dezember 2020: Notbremse für den Entwurf! – Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0 | PDF
  • 15. Dezember 2020: Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen? | PDF
  • 18. November 2020: Aufnahme im Nationalen Pakt Cybersicherheit | PDF
  • 15. Oktober 2020: Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen? | PDF
  • 21. September 2020: weggeWARNttag – Stellungnahme zum Warntag 2020 | PDF
  • 3. April 2020: Ohne Security keine Safety in Kritischen Infrastrukturen – Begriffliche Trennung und Zusammenführung | PDF
  • 7. Februar 2020: Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen (CHW-Konzept), Version 1.0 | PDF
  • 2. Februar 2020: Ergebnisprotokoll des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW) | HTML
  • 2. Oktober 2019: Vorträge im Rahmen des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW) | HTML
  • 10. Juni 2019: Artikel in der Datenschleuder | PDF

Einzelnachweise

  1. https://ag.kritis.info/wp-content/uploads/2020/02/AG-KRITIS-Ergebnisprotokoll-Behördenworkshop-20191002-v1.2_öffentlicheFinalfassung.pdf
  2. DefensiveCon2020. Abgerufen am 4. Februar 2024.
  3. Michael Wiesner: Vorstellung des CHW-Konzepts auf der DefensiveCon. In: AG KRITIS. 7. Februar 2020, abgerufen am 4. Februar 2024 (deutsch).
  4. @1@2Vorlage:Toter Link/www.zdf.de (Seite nicht mehr abrufbar, festgestellt im Februar 2024. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
  5. deutschlandfunk.de: Pläne für "Cyber-Hilfswerk" - Schnelle Einsatztruppe für IT-Katastrophen. Abgerufen am 4. Februar 2024.
  6. Patrick Beuth: Hacker wollen Cyber-Hilfswerk gründen. In: Spiegel Online. 7. Februar 2020, abgerufen am 27. Januar 2024.
  7. @1@2Vorlage:Toter Link/www.zdf.de (Seite nicht mehr abrufbar, festgestellt im Februar 2024. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
  8. Patrick Beuth: Citrix wird zu "Shitrix": Deutsche Kunden reagieren träge auf Sicherheitslücke. In: Spiegel Online. 15. Januar 2020, abgerufen am 27. Januar 2024.
  9. Max Muth: Citrix-Sicherheitslücke: Tausende Firmen betroffen. In: sueddeutsche.de. 14. Januar 2020, abgerufen am 28. Januar 2024.
  10. deutschlandfunk.de: BSI soll ausgebaut werden - Kritik am Entwurf zum IT-Sicherheitsgesetz 2.0. Abgerufen am 4. Februar 2024.
  11. Volker Briegleb: IT-Sicherheitsgesetz 2.0: Experten fordern "Notbremse". In: heise.de. 3. Dezember 2020, abgerufen am 3. Februar 2024.
  12. Elena Metz: IT-Sicherheitsgesetz: Anhaltende Kritik an Reformplänen. 8. Dezember 2020, abgerufen am 4. Februar 2024 (deutsch).
  13. @1@2Vorlage:Toter Link/www.zdf.de (Seite nicht mehr abrufbar, festgestellt im Februar 2024. Suche in Webarchiven)  Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.
  14. Dietmar Neuerer: Grüne sehen Wasserversorger nur unzureichend gegen Cyberattacken geschützt. In: handelsblatt.com. 26. September 2020, abgerufen am 31. Januar 2024.
  15. Dr. Oliver Diedr: AG KRITIS: Innenministerium verbummelt die Digitalisierung der Verwaltung. In: heise.de. 8. September 2020, abgerufen am 3. Februar 2024.
  16. Johannes Rundfeldt: Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016. In: AG KRITIS. 23. September 2020, abgerufen am 4. Februar 2024 (deutsch).
  17. Online-Kompendium Cybersicherheit in Deutschland. Abgerufen am 4. Februar 2024.
  18. Verfügbare Versionen des Gesetzentwurfes (Memento vom 1. März 2021 im Internet Archive)
  19. Deutscher Bundestag - Ausschuss für Inneres und Heimat. Abgerufen am 4. Februar 2024.
  20. tagesschau.de: "Gezielte Durchtrennung von Kommunikationsleitungen", Manuel Atug, IT-Sicherheitsberater, zur Sabotage am Zugfunk der Deutschen Bahn. Abgerufen am 4. Februar 2024.
  21. Deutscher Bundestag - Anhörung zur Cybersicherheit - Zuständigkeiten und Instrumentein... Abgerufen am 7. März 2023.
  22. Stellungnahme Manuel Atug (AG KRITIS)
  23. Wer sind wir? In: AG KRITIS. Abgerufen am 4. Februar 2024 (deutsch).
  24. Schutz kritischer Infrastrukturen. Abgerufen am 4. Februar 2024.
  25. Kritische Infrastrukturen. Abgerufen am 4. Februar 2024.