Schönen guten Tag. Ich bin vom Bundesamt für Sicherheit in der Informationstechnik. Also damit schon mal Gold richtig hier bei diesem Panel, weil es fängt ja schon mal an mit Sicherheit. Wir sind für alles zuständig, was Informationssicherheit betrifft.

Wir kümmern uns um alle möglichen Aspekte davon und zwar für Staat, Wirtschaft und Gesellschaft. Wir sind mal gegründet worden für den Schutz des Staates und mittlerweile sind wir aber ganz stark auch aktiv beim Schutz der Wirtschaft. Und was wir da definitiv immer sagen können, ist, Cybersicherheit in der Digitalisierung ist die notwendige Grundlage,

um auch überhaupt zu einer Digitalisierung zu kommen, so wie wir sie hier meinen. Es ist absolut unverzichtbare Voraussetzung, um Digitalisierung, dies und jenes 4.0 oder was auch immer, wie auch immer Sie es bezeichnen wollen, in die Wirklichkeit umzusetzen.

Auf der anderen Seite muss man auch ganz klar sagen, Cybersicherheit wird gerne schon mal so als Hemmschuh gesehen, weil das ist natürlich mal wieder ein zusätzlicher Faktor, über den Sie nachdenken müssen, bevor Sie Systeme ins Leben rufen. Aber wir Deutsche sind ganz besonders sicherheitsaffin. Viele der potenziellen Nutzer legen da höchsten Wert darauf, dass neue

Systeme auch eine angemessene Menge an Sicherheit und Datenschutz mit sich bringen. Also Digitalisierung bedeutet für uns mehr Möglichkeiten, die wir wirklich umsetzen sollten, auf die wir nicht verzichten können. Aber natürlich auch immer ein gewisses Potenzial, wo wir uns darum kümmern müssen,

wie können wir hier potenzielle Gefahrenrisiken in Chancen umgestalten, sodass wir damit auch arbeiten können. Mein Fachgebiet sind kritische Infrastrukturen. Kritische Infrastrukturen sind natürlich nur ein Ausschnitt der Digitalisierung.

Kritische Infrastrukturen sind all die Institutionen, wenn da was nicht funktioniert, was wir als Bürger richtig fies merken würden. Wir haben hier, um kritische Infrastrukturen angemessen zu schützen, haben wir seit 2015 ein Gesetz, das sogenannte IT-Sicherheitsgesetz, was in zwei Schichten auch dann mit einer Verordnung untermalt wurde.

Wir kümmern uns hier um die Bereiche Energie, Gesundheit, IT und TK. Damit kommen auch unsere Rechenzentrum oder Hosting- und Housinganbieter mit ins Spiel. Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung und natürlich auch um Staat und Verwaltung. Medien und Kultur und Staat und Verwaltung sind auf diesen Folien immer so ein bisschen ausgekraut,

weil nicht unmittelbar unter das Sicherheitsgesetz fallen, weil es hier schon eigene Verordnungen und Vorgaben für gibt, beziehungsweise für Medien und Kultur schlicht und ergreifend Ländersache auch ist. Bei ein paar Punkten, je nachdem aus welchem Sektor sie kommen, sind sie manchmal erstaunt, welche anderen Sektoren hier mit dabei sind.

Viele waren am Anfang erstaunt, dass wir drauf getrogen haben, dass IT und TK hier dabei ist. Noch nicht überall hat sich die Erkenntnis durchgesetzt, dass all diese Bereiche nicht mehr funktionieren, wenn IT und TK nicht angemessen laufen.

Wir sind vielleicht manchmal erstaunt, wenn man dann so sieht, dass Wasser da dabei ist oder Ernährung oder wenn Sie da in Details reinschauen. Also was uns auch selber immer wieder erstaunt, wenn Sie sich anschauen, was heißt hier eigentlich Ernährung? Ernährung heißt, wenn ich mir da die registrierten Betreiber anschaue, da ist ganz viel, da ist fast jeder größere Limonaden- und Softdrinkhersteller dabei.

Gesunde Nahrung suchen Sie da häufig vergeblich, weil gesunde Nahrung, wie vieles, was wir in Deutschland haben, auch hier im KNU-Hand ist. Also kleine und mittelständische Betriebe, die die normale gesunde Nahrung produzieren, also beispielsweise Dosennahrung, jetzt nicht das Hypergesundeste,

aber halt so andere Möglichkeiten, also hier vielen Erbsenproduzenten beispielsweise. Coca-Cola fällt mit unter diese ganzen Geschichten drunter, großer Softdrinkhersteller, was Sie hier nicht finden, ist zum Beispiel Bonduell, weil immer noch zu kleinteilig. Unser Schwellenwert, immer für alle Hinterköpfe, ist, kritische Infrastrukturen fallen dann unter dieses Gesetz

drunter, wenn mehr als 500.000 Bundesbürger von der Erbringung dieser Leistungen abhängig sind, beziehungsweise wenn da was schiefgeht, dass mehr als 500.000 Bundesbürger leiden. Und da sieht man eben ein gewisses Manko auch da drin. Wir haben in Deutschland einen großen mittelständischen Bereich, der ist hier noch nicht mit dabei.

Wir haben, nach diesem Sicherheitsgesetz haben wir, sieht jetzt ein bisschen erschreckend aus, wenn man hier so diese Übersicht an Punkten sieht. Man kann es auch relativ kurz sagen, es gibt so mehr oder weniger vier, fünf grundlegende Regelungen, die sich aus dem Sicherheitsgesetz ergeben.

Zunächst einmal müssen sich Betreiber bei uns registrieren, damit wir überhaupt wissen, wer ist ein Betreiber einer kritischen Infrastruktur und da entsprechend uns anschauen können, wie sicher sind die denn. Dann müssen Betreiber kritischer Infrastrukturen Sicherheit nach dem Stand der Technik umsetzen. Es gibt riesen Diskussionen hier auch wunderbar in der GI, was ist

eigentlich Stand der Technik, für welchen Bereich, kann man super darüber diskutieren. Das müssen Sie uns nachweisen, dass Sie diese Maßnahmen entsprechend umgesetzt haben. Sie können auch entsprechend dafür auch Beratung beim BSI mit einfordern. Sie müssen Kontaktstellen benennen, um natürlich ansprechbar zu sein und ein Punkt, der im Vorfeld zu großen Diskussionen geführt hat.

Sie müssen erhebliche Störungen an das BSI melden. Warum? Damit wir andere warnen können, wenn wir hier systemische Probleme sehen, seien es Hackerangriffe, seien es Schwachstellen, die ausgenutzt werden in der IT, seien es vielleicht auch einfach, was wir auch schon hatten, schlicht und ergreifend Hardwarefehler, die

auf einmal auftreten und ganz viele betreiberähnliche Plattformen mit betreffen, dass wir entsprechend warnen können. All das 2015 verabschiedet worden, mittlerweile in allen Bereichen in Kraft getreten und natürlich, wie das so ist, immer mit den entsprechenden,

ja es ist nicht immer alles, es fällt nicht alles direkt halt so vom Himmel, wie man sich das wünscht an ein paar Stellen, es ist ein bisschen aufwändiger gewesen an ein paar Stellen, es ist anders gekommen, als man sich das vorher mal vorgestellt hat. Registrierungen klingt so einfach, ist eine komplexe Geschichte, also wir gehen hier an die

großen Institutionen, die großen Institutionen sind aber natürlich international verteilt agierende Institutionen, wo es nicht immer ganz so einfach ist, einfach nur auch rauszubekommen, wer ist eigentlich organisatorisch im Unternehmen zuständig, wer muss alles unterschreiben, wie wird das in die Strukturen eingebettet. Dann geht es natürlich um diese Geschichte mit den Meldungen, wunderbare Gesetzestexte will ich gar nicht darauf eingehen.

Wir haben am Anfang Prognosen bekommen, zwischen bei uns passiert nie was, hier muss nicht gemeldet werden, wir brauchen keine Meldestellen beim BSI, weil da wird nichts passieren, wir sind super sicher aufgestellt, bis hin zu Verbänden, die uns prognostiziert haben, dass wir pro Monat 1000 oder 10.000 Sicherheitsmeldungen bekommen und darunter völlig dann zusammenbrechen würden.

Wir hatten aber im Vorfeld ja auch schon Erfahrungen, also jetzt ist mit dem Gesetz eine Meldepflicht für einen bestimmten Bereich eingeführt worden, vorher gab es freiwillige Meldungen aus diesen Bereichen und wir hatten auch schon Meldepflichten in anderen Bereichen.

Die Zahlen, die Sie hier sehen, entsprechen unseren Erwartungen, es geht um die Meldung wirklich sicherheitsrelevanter, schwerwiegender Vorfälle, damit brauchen Sie jetzt hier keine Hyperzahlen zu erwarten, sondern Sie sehen hier relativ überschaubare Zahlen. Also so etwas wie 39 Meldungen im Bereich Energie, die sind durchaus schwerwiegend und die finden Sie dann natürlich auch entsprechend in

den Medien wieder, also gerade im Bereich Energie konnten Sie ja da entsprechend in der letzten Zeit einiges an Berichten auch sehen. Und das sind aber auch Mengen, die wir gut handeln können. Hier das erste, was wir gelernt haben, die deutsche Industrie, die deutschen

Unternehmen sind so gut aufgestellt, wie wir das im Vorfeld auch prognostiziert haben. Das erste, was man halt Schlussfolgern kann, wenn wir das sehen, mit den Meldungen und auch im Umgang mit den Meldungen, ist natürlich nicht nur eine einfache Meldung, wir diskutieren ja mit den Institutionen, was ist schiefgegangen, was können wir machen, wie können wir das auch beim nächsten Mal verhindern und wir sehen dementsprechend,

wie sind die Institutionen aufgestellt und die Institutionen in Deutschland, gerade die großen, sind hier auch gut aufgestellt. Sicherheitsvorfalle wird es trotzdem immer geben, wir müssen uns hier entsprechend vorwappnen, wir können uns vor den Angriffen schützen, aber wir können sie nie hundertprozentig verhindern, aber wir müssen dann auch so aufgestellt sein,

dass wir bei Vorfällen auch dann vernünftig reagieren können und da stehen wir als Deutschland gut da. Das Gesetz bietet dann so verschiedene Möglichkeiten, uns nachzuweisen in einem größeren Detail tiefer, also wir müssen nicht nur aus den Meldungen lernen, wie ist es denn um die Unternehmen bestellt, sondern

es geht darum, dass uns die Unternehmen aufzeigen, dass sie alle Sicherheitsmaßnahmen nach Stand der Technik umgesetzt haben. Ein Mittel, um dahin zu kommen, sind die sogenannten branchen-spezifischen Sicherheitsstandards, will ich gar nicht weiter darauf eingehen, das ist immer nur so Gesetzestext, falls hier jemand mal hätte Fragen haben sollen zum

Gesetzestext, der Punkt, der derzeit sehr intensiv diskutiert wird, weil zum ersten Mai eben in die Praxis umgesetzt sind halt die Führung der Nachweise, die Prüfungen nach dem sogenannten Paragraph 8a BSI-Gesetz, wie uns Betreiber kritisch

Infrastrukturen nachweisen, dass sie den Stand der Technik im puncto Sicherheit erreicht haben, ist ihnen im Grundsatz freigestellt, weil hier haben auch wir direkt gesagt, wir versuchen das mit dem maximalen Synergieeffekten hinzubekommen, es gibt ohne Ende Regularien in den verschiedenen Bereichen der kritischen Infrastrukturen, die ohnehin Prüfungen

erfordern und wir versuchen in jedem Bereich angemessene Verfahren zu finden, um möglichst einfach sich auf die vorhandenen Prüfungen dranhängen zu können und uns dann eben auch das nachzuweisen, was wir wissen müssen, um nach diesem Gesetz halt dann glücklich sein zu können. Und es geht eben, dieses Gesetz müssen wir auch immer wieder sagen, es geht hier nicht mit

diesem Gesetz darum, dass wir neue Regularien ins Leben gerufen haben, sondern es geht darum, die Informationssicherheit in diesen Bereichen zu steigern. Und das ist das, an was wir arbeiten und nicht daran, einfach schlicht und ergreifend hier zu schauen, wie ist der Erfüllungsgrad

in bestimmten Bereichen und zu schauen, müssen wir hier Nachforderungen in puncto, also natürlich gibt es hier auch irgendwelche Strafgebühren im Gesetz, die stehen für uns nicht im Vordergrund, für uns steht das Ziel hinter dem Gesetz im Vordergrund, nämlich die Erreichung hoher Sicherheitsstandards. Man kann dann diese Sicherheitsumsetzung, kann man nachweisen, eben über diese branchen-spezifischen Sicherheitsstandards,

deren Umsetzung, hierfür haben wir diverses an Hilfestellungen, die man machen kann, aber im Grundsatz die Methodik, wie sie Prüfungen durchführen, ist eben auch freigestellt, soweit das, was dabei rauskommt, für uns dann verwendbar ist, um zu sagen, okay, hier ist tatsächlich der Stand der Technik der Informationssicherheit erreicht. Natürlich haben wir da Checklisten, mit denen man arbeiten kann und

alles Mögliche eben an Hilfestellungen. Wenn sie dies getan haben, sichten wir das Ganze und könnten dann, falls es nicht ausreichend ist, auch die Beseitigung von Mängeln verlangen, selbstverständlich, so. Als Punkt ist das

aber bisher noch nicht aufgetreten, in größerem Stil, in kleineren Punkten geben wir da natürlich etwas weiter. Was ist das, was wir mittlerweile da gelernt haben? Was wir gesehen haben, ist, Gesetze produzieren auch natürlich die entsprechenden Arbeitsplätze. Auf der einen Seite schön, weil das heißt für die Arbeitsplätze,

für diejenigen, die sie innehaben, dass der Bedarf hier entsprechend gestiegen ist, auf der anderen Seite halt für die Betreiber nicht immer optimal, weil dadurch natürlich auch entsprechend Ressourcen investiert werden müssen. Was wir hier in diesem Bereich sehen, es müssen Nachweise erbracht werden. Nachweise werden durch

Prüfer erbracht, die bestimmte Qualifikationen haben müssen. Der Bedarf an Prüfern in der Informationssicherheit ist derzeit extrem hoch. Die sind derzeit sehr gut ausgelastet, auch, muss man auch dazu sagen, auch wegen der DSGVO und den Prüfungen, die in diesem Bereich gemacht werden müssen. Prüfer

haben meistens mehrere Standbeine. Prüfer insgesamt sind derzeit sehr gut nachgefragt. Prüfer, Auditoren, Revisoren, egal wie sie es nennen. Das, was wir an Nachweisen reinbekommen haben, ist von der Qualität und Umfang sehr, sehr unterschiedlich. Da sind wir derzeit noch am Schauen, an welchen Stellen wir mehr Informationen brauchen,

an welcher Stelle wir da mehr Vorgaben oder Empfehlungen machen, um die Vereinheitlichung da zu erleichtern. Was wir in den Zwischenphasen immer tun, ist alles, was wir gelernt haben, in entsprechende FAQs auf den Webseiten unterzubringen. Und wir sind ständig dran, alles, was wir haben, weiter

zu optimieren, insbesondere auch das, was wir aus den Meldungen gelernt haben, indem wir da halt den entsprechenden Warn- und Informationsdienst, der auf den Informationen aus den Sicherheitsmeldungen basiert, weiter optimieren. Ganz, ganz wichtiger Punkt. Was sehen wir nämlich immer wieder? Wir haben mit dem Sicherheitsgesetz nicht das einzige

Gesetz auf der Welt. Es gibt jede Menge Gesetze, die mittlerweile die Betreiber treffen. Wir können sie wahrscheinlich hier so aus ihrem Leben auch bestätigen und wir müssen eben hier auch schauen, wie können wir das so machen, dass wir auf der einen Seite, wir als ausführendes Organ hier zur Umsetzung des Sicherheitsgesetzes beitragen.

Auf der anderen Seite eben keine Doppelarbeit, nicht zu Doppelarbeiten führen und möglichst Überschneidungsfreiheit hier klären können. Das haben wir in einigen Bereichen. Ich hatte hier als Beispiel mal die EIDAS-Verordnung mit drauf. Betrifft relativ wenig Betreiber, ist aber eine Riesendiskussion gewesen, um hier die Schnittstellen wirklich zu optimieren. Das ist so

ein typisches Beispiel, wo verschiedene Gesetze aus anderen Bereichen Schnittstellen haben, die gar nicht so einfach weg zu diskutieren sind. Bei allen Fragen haben wir hier so ein Kritisbüro. Und wie gesagt, Sicherheitsgesetz nicht das einzige Gesetz, auch nicht das einzige in diesem Bereich Informationssicherheit. DSGVO habe ich gerade schon mal fallen gelassen.

Mit dem Sicherheitsgesetz waren wir in Deutschland Vorreiter in diesem Bereich zum Schutz der kritischen Infrastrukturen. Damit waren wir sehr weit vorne. Auf europäischer Ebene gibt es die sogenannte NIS-Richtlinie, die Richtlinie zum Schutz von Network and Information

Systems, die in dieselbe Zielrichtung geht und wo halt große Teile des deutschen Sicherheitsgesetzes auch mit eingeflossen sind. Aber natürlich, wie das immer so ist, wenn hier mehr mitdiskutieren, sind ein paar Punkte dann doch anders gekommen.

Aber da wir hier als Deutschland Vorreiter waren, konnten wir eben auch dafür sorgen, dass das, was wir als Gesetz verabschiedet haben, zur Grundlage dieser europäischen Vorgabe geworden ist, was schon mal eine ganze Menge von Doppelarbeiten reduziert hat. Nichtsdestotrotz kommt es dann natürlich immer wieder zu kleineren Abweichungen.

Man sieht das hier zum Beispiel, wenn man sich anschaut, dass die Bereiche, die betrachtet werden, ein bisschen von dem abweichen, was das deutsche Sicherheitsgesetz betrachtet. Für uns der ein Unterschied, beispielsweise der wesentliche Unterschied, der über die NIS -Richtlinie für uns noch mit dazugekommen ist im Bereich dieser Betreiber wesentlicher Dienstleistungen.

Kritisbetreiber könnte man sagen, aber nach NIS-Richtlinie eben halt einige Bereiche außerhalb unseres Kritisbegriffs hier in diesem Bereich der digitalen Infrastrukturen. Da kommen hier dazu diese DNS-Provider, IXPs, Top-Level-Domain-Registratoren kommen hier mit dazu

und da liegen einem ähnlichen Regime wie nach dem Sicherheitsgesetz, aber es gibt hier eben kleinere Abweichungen. Das ist auch wieder kleinere Abweichungen, heißt natürlich, wir sitzen hier auf europäischer Ebene derzeit

permanent zusammen, um zu versuchen, für die Betreiber hier alle Formen von Doppelarbeiten wieder zu minimieren. Natürlich auch für uns, weil hier sehen Sie auch solche Punkte drauf, wie Abstimmungen zwischen den verschiedenen europäischen Institutionen.

Also überall in Europa gibt es jetzt diese Begriffe kritischer Infrastrukturen oder Betreiber wesentlicher Dienstleistungen und wenn es hier Sicherheitsmeldungen gibt, die beispielsweise ein Kritisbetreiber in den Niederlanden abgibt, ist für uns natürlich eine wesentliche Frage, wie stellen wir sicher, dass das halt in Europa auch die anderen, die hier Stakeholder in diesem Bereich sind, darüber halt informiert werden.

Und das klingt immer erstmal ganz einfach und ist dann in der Praxis eine relativ komplizierte Sache, weil der Austausch über sicherheitsrelevante Informationen ist ein ganz großes Ding, wo es immer um Vertrauen geht und Vertrauen, ich kann hier viel elektronisch abbilden, aber Vertrauen kann ich ganz schlecht elektronisch abbilden.

Natürlich kann ich das unterstützen durch entsprechende Verschlüsselungen, durch kryptografische Maßnahmen, aber ich muss hier ganz viel wirklich auf der persönlichen Ebene abbilden und das macht das natürlich

mit dem großen Netz von Stakeholdern in diesem Bereich, macht es das unter Umständen schwierig. Auch die Abstimmung darüber, was muss sich weitergeben an Informationen. Kein Kritisbetreiber wird gerne zu viele Details über einen Sicherheitsvorfall weitergeben, wenn er nicht weiß, wohin diese Informationen überall diffundieren.

Und durch diese Abstimmung in den anderen Netzwerken müssen wir dann natürlich auch immer genau schauen, wie viel Informationen über welche Bereiche geben wir dann dabei automatisiert weiter, nur auf Nachfrage weiter oder auf gar keinen Fall weiter. Das erzeugt derzeit eine große Diskussion eben darüber, wie kann ich da hier zu

Vereinfachungen führen, aber wie gesagt, wir sind dran auf europäischer Ebene, kann ich sagen, wir sind hier wirklich sehr gut unterwegs, nichtsdestotrotz hier laufen gerade eine ganze Menge Abstimmungsarbeiten. So viel von mir. Definitiv, was ich hier kurz zusammengefasst sagen kann, das Sicherheitsniveau bei Kritisbetreibern ist gut, es steigt

auch weiter. Wir unterstützen Betreiber, wo immer wir können, durch Warnungen, durch Informationen und durch alles, was wir anbieten können. Und wir machen eine ganze Menge zur Kooperation auf der internationalen Ebene und derzeit natürlich vordringlich

auf der EU-Ebene, wo aber wie gesagt zugegebenermaßen noch eine ganze Menge Abstimmungen laufen, weil das manchmal nicht so einfach ist, wie wir es gerne hätten. So viel von mir erstmal. Besten Dank.