Ri 01/2020: System(ir)relevant?

Ri 01/2020: Navigation

Ri 01/2020: Beitrag

Call for Immediate Action

Eine Stellungnahme zum Konzept der AG KRITIS „Das Cyber-Hilfswerk“

Claudia Otto

Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) hat am 7. Februar 2020 das Konzeptpapier „Das Cyber-Hilfswerk – Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen“[1] veröffentlicht und Stellungnahmen mit der Motivation der konkreteren Weiterentwicklung des Vorhabens erbeten. Eine solche Stellungnahme möchte die Autorin nachstehend abgeben.[2] 

I. Die AG KRITIS

Die AG KRITIS ist eine im Frühjahr 2018 gegründete Zusammenkunft von mehr als 35 Fachleuten und Experten, die durch ihre Ideen und Anregungen, unabhängig von Staat und Wirtschaft sowie staatlichen und wirtschaftlichen Interessen, die Resilienz und Sicherheit kritischer Dienstleistungen im Sinne des Gemeinwohls erhöhen möchte.[3] Ihr Ziel ist es, im Kern, die Versorgungssicherheit der deutschen Bevölkerung sicherzustellen, indem die Kapazitäten des Staates zur Bewältigung von Großschadenslagen, hervorgerufen durch informations- oder operationstechnische Vorfälle im Bereich der Kritischen Infrastrukturen, verbessert werden.[4]

II. Das Konzeptpapier

1. Die Problemlage

Das Konzeptpapier der AG KRITIS fußt auf der Feststellung, dass die Ressourcen der Bundesrepublik Deutschland zur Bewältigung von Großschadenslagen auf Grund von informations- oder operationstechnischen Vorfällen im Bereich der Kritischen Infrastrukturen nicht ausreichen.[5] Demnach seien hieraus resultierende Krisen oder Katastrophen nicht oder kaum zu bewältigen.

Als die wesentlichen kritischen Faktoren werden dabei hervorgehoben:[6]

  • die voranschreitende Digitalisierung und Vernetzung, vor allem im Bereich des sog. Internet of Things (IoT),
  • die bei den verbreitet eingesetzten informationstechnischen (IT) und operativen (OT – Operational Technology) Systemen eingeplante Lebensdauer,
  • die sich infolge des zunehmenden Digitalisierungsfortschritts gegenläufig verkürzende Lebensdauer von IT- und OT-Systemen und
  • die Kurzlebigkeit von Verschlüsselungsalgorithmen,

welche die Angreifbarkeit wesentlich erhöhen und damit auch die Eintrittswahrscheinlichkeit einer großflächigen oder sogar katastrophalen Störung der lebensnotwendigen und damit Kritischen Infrastrukturen vergrößern.

Dem gegenüber, stellt die AG KRITIS fest, stehen unzureichende notwendige Erfahrungen, Vorkehrungen und Strukturen für den „digitalen Katastrophenfall“.[7] Der staatliche und nichtstaatliche, etwa durch Hilfsorganisationen, organisierte Bevölkerungs- und Katastrophenschutz ist in Deutschland noch viel zu sehr auf die „klassischen Szenarien“ ausgerichtet.[8] Den knapp 2.000 Kritischen Infrastrukturen stehen im Wesentlichen nur die geringfügig aufstockbaren 15 hauptamtlichen Mitarbeiter des BSI MIRT (Mobile Incident Response Team beim Bundesamt für Sicherheit in der Informationstechnik) gegenüber.[9] Verfügbare Kapazitäten der Bundesländer zur Abwehr von Angriffen auf die verstärkt digitalen Kritischen Infrastrukturen sind nicht öffentlich bekannt.[10] Vorfällen in der Breite, die technisch versiertes Personal schnell und einsatzbereit vor Ort benötigen, kann so kaum begegnet werden. Insbesondere der sich durch das vorangetriebene IoT, also die Vernetzung von Groß- und Kleingeräten, kontinuierlich erhöhenden Gefahrenlage[11] kann allenfalls der glückliche Zufall entgegengehalten werden.[12]

Auch wenn Deutschland bislang von flächendeckenden Ausfällen Kritischer Infrastrukturen aufgrund von sog. Cyberangriffen verschont geblieben ist, kann unter Verweis auf die sich beschleunigende Digitalisierung nicht dauerhaft von hinreichende Bewältigungskapazitäten ausgegangen werden.

2. Der Lösungsvorschlag

Die AG KRITIS schlägt daher das sog. Cyber-Hilfswerk (CHW) vor. Den Namen wählt sie nicht zufällig, sondern bewusst in Anlehnung an das Technische Hilfswerk (THW).[13] Das Technische Hilfswerk ist gemäß § 1 Abs. 1 des Gesetzes über das Technische Hilfswerk (THW-Gesetz – THWG) eine nicht rechtsfähige Bundesanstalt mit eigenem Verwaltungsunterbau im Geschäftsbereich des Bundesministeriums des Innern. Es besteht aus ehrenamtlichen Helferinnen und Helfern und hauptamtlichen Mitarbeiterinnen und Mitarbeitern.

Als seinen wesentlichen Vorteil hebt die AG KRITIS unter anderem die direkte Angliederung des THW an eine Behörde und damit den Staat hervor, welche Probleme von Haftung und Versicherung, aber auch Interessenskonflikte löst.[14] Hinzu tritt der international anerkannte Nichtkombattantenstatus des THW.[15] So differenziert das Humanitäre Völkerrecht zwischen sog. Kombattanten und Nichtkombattanten. Kombattanten sind Personen, die in einem internationalen bewaffneten Konflikt berechtigt sind, unmittelbar an Feindseligkeiten teilzunehmen.[16] Nichtkombattanten sind hierzu nicht berechtigt. Gleichzeitig dürfen sie nicht angegriffen werden; ihnen wie der Zivilbevölkerung gilt der Schutz vor militärischen Angriffen.[17] Würde dem CHW gleichermaßen Nichtkombattantenstatus zukommen, würde ein Einsatzbefehl u.a. zu nicht-defensiven Maßnahmen oder auch die Verwendung von Wissen und Mitteln des CHW bei nicht-defensiven Maßnahmen (sog. Dual Use)[18] ausgeschlossen.[19] Darunter fielen auch Maßnahmen wie die umstrittenen „Hackbacks“ und Teilnahmen an einem sog. VEP (Vulnerability Equities Process).[20]

Die AG KRITIS diskutiert daneben andere Umsetzungsmöglichkeiten. Deutlich erkennbar ist jedoch die Favorisierung des THW-Status, wobei das Modell einer THW-Fachgruppe zwecks sinnvoller Nutzung bestehender Strukturen hervorgehoben wird. Die Schaffung einer gesonderten Infrastruktur würde zu lange dauern und könnte somit sogar den zu ergreifenden, zeitkritischen notwendigen Schutzvorkehrungen im Sinne der Versorgungssicherheit der Bevölkerung entgegenwirken.

Die AG KRITIS steht im Austausch mit dem Bundesamt für Bevölkerungsschutz und Katastrophensicherheit (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).[21] Das BBK wird das Vorhaben des CHW wohlwollend begleiten, sähe sich jedoch nicht wirklich als beteiligt an.[22] 

III.  Stellungnahme

Das Konzept verdient Zustimmung (1.). Es bedarf jedoch der Klarstellung, dass die „Cyber-Hilfe“ nicht als universelle Lösung angesehen werden, sondern nur einen Baustein eines noch fehlenden wirksamen Gesamtkonzepts darstellen kann (2.). Insbesondere ist die Aufgabe der „Cyber-Hilfe“ am besten unter dem Dach des THW wahrnehmbar. Der Bundestag hat mit der Annahme des zweiten Gesetzes zur Änderung des THW-Gesetzes (Drs. 19/17291) die Voraussetzungen für eine solche Umsetzung verbessert. Jetzt gilt es, gemeinsam mit dem THW „Cybernotfall“-Kompetenzen aufzubauen (3.). Darüber hinaus müssen unverzüglich die bestehenden Schutzvorkehrungen auf ihre Wirksamkeit überprüft und gegebenenfalls korrigiert oder ergänzt werden (4.). Die Corona-Krise hat die von der AG KRITIS dargestellte Gefährdungslage noch einmal verschärft.

1. Zustimmung zum Konzept

Die AG KRITIS beschreibt sehr zutreffend eine Gefährdungslage, der zügig beigekommen werden muss. Diese Gefährdungslage wird verdeutlicht durch die aktuelle sog. Corona-Krise, welche die Gefahren steigender Vernetzung (hier insbesondere die schnelle Ausbreitung einer Schadensursache) und gleichzeitig die Abhängigkeit der Bevölkerung und Wirtschaft von weitestgehend vernetzten Kritischen Infrastrukturen und damit Vulnerabilität besonders illustriert. Ohne Strom und verfügbares Internet wäre ein Umstellen auf Home Office-Arbeit und physische Abstands- wie Kontaktverbote unmöglich und würde die von Information und Informationstechnologie abhängige Gesellschaft schnell in eine Katastrophe abrutschen. Eine Katastrophe beschreibt die Zerstörung grundlegender sozialer Strukturen.[23] Dieser Zustand ist noch nicht erreicht. Er würde jedoch schnell erreicht, wenn nun ergänzend zu den physischen Beschränkungen ein Großschadensvorfall eintritt, der aufgrund vieler Interdependenzen gesellschaftlicher Strukturen unkontrolliert verschiedene Kritische Infrastrukturen erfassen könnte. Aufgrund der von der AG KRITIS identifizierten Mangellage und Erfahrung der letzten Wochen könnte einem solchen größtanzunehmenden Schadensvorfall derzeit nicht ohne schwere Einschnitte in die verfassungsmäßige und gesellschaftliche Ordnung begegnet werden.

Die Organisation des CHW als Teil des THW erscheint schon deshalb als geeignete, erforderliche und angemessene Schutzstrategie.

2. CHW nur ein kleiner Baustein eines fehlenden Gesamtkonzepts

Bei dieser „Lösung“ ist jedoch zu berücksichtigen, dass das CHW, ganz gleich in welcher Organisationsform, nur die Symptome und Auswirkungen von (Groß-)Schadensursachen behandeln kann. Die Gefahrenursachen und damit Hauptprobleme der sich fortschreitend digitalisierenden Gesellschaft vermag es nicht zu lösen, die v.a. in der Komplexität von über lange Zeiträume hinaus gewachsenen IT-Strukturen und OT-Systemen angelegt sind und ein übergreifendes Cyber-Sicherheitskonzept benötigen.[24]

Das CHW kann daher nur als ein kleiner Baustein eines Gesamtkonzepts, welches gleichermaßen die innere und äußere Sicherheit, die Versorgungssicherheit der Bevölkerung und die Katastrophenvorsorge angeht, angesehen werden. Kritische Infrastrukturen, verbunden durch zahlreiche Interdependenzen, sind aufgrund ihrer steigenden Verwobenheit mit IT und OT eine gemeinschaftliche Aufgabe, die hoheitliche sowie pflichtbasierte und freiwillige Mitwirkung erfordert. Im Wesentlichen wurde dieser ganzheitliche Ansatz schon in der Cyber-Sicherheitsstrategie für Deutschland im Jahre 2016 formuliert.[25]

Nach vier Jahren fehlt es anscheinend noch immer an diesem Gesamtkonzept. Selbst wenn es bereits ausgearbeitet wäre, so zeigen doch die sich in 2019 gehäuften Beispiele von IT-Sicherheitsvorfällen in Justiz und öffentlicher Verwaltung,[26] dass es an seiner hinreichenden Kommunikation und/oder Implementierung fehlt. Weil unternehmenseigene Vorfälle in Verbindung mit Informationssicherheit nur bedingt bekannt werden und häufig unterhalb der Stufe zur gesetzlichen Meldepflicht (vgl. § 8b Abs. 4 BSIG für KRITIS-Betreiber und § 8c Abs. 3 BSIG für Anbieter digitaler Dienste) liegen, dürfte die Gesamtsituation wesentlich gravierender und durch die eher auf schnelle statt sichere Lösung angelegte Digitalisierung in der Corona-Krise noch einmal verschärft worden sein. Diese wird wiederum begleitet von einer erheblichen Erhöhung von Cyberangriffen in Ausnutzung der Corona-Krise.[27]

Das (C)THW allein wird der sich aggregierenden Gefährdungslage nicht viel entgegenhalten können. Das Konzeptpapier der AG KRITIS sollte daher vor allem jetzt als Anstoß mit konkreten Vorschlägen angesehen werden. Als vorrangig anzugehende Lösungs(teil)konzepte sollten daher Folgende angegangen werden:

a) Verbesserte Kommunikation

Die Corona-Krise dürfte viel Wissen produziert haben, wie Kommunikation verbessert werden kann und muss:

Als zumindest „unglücklich“ dürfte der Wettbewerb zum „Notfallkochbuch“ des BBK, der Freiwilligen Feuerwehr und des THW zu werten sein. Hier wurde auf der Website des BBK am 19. Februar 2020[28] ein Rezeptwettbewerb ausgeschrieben, bei dem Einsendungen bis zum 15. Mai 2020 an eine Gmail-Adresse erfolgen sollten.[29] Zu gewinnen gibt es eine Notfall-Kochausstattung, bestehend aus Gasherdkonstruktion und Töpfen. Schließlich sollen sich die Gerichte ohne Strom zubereiten lassen. So gut der Wettbewerb gemeint ist, so besorgniserregend ist er doch unter dem innewohnenden Hinweis auf einen baldigen dauerhaften Großschadenseintritt, der zugleich leicht mit einem Angriff unter Verwendung eines Gmail-Emailkontos ausgelöst werden könnte. Während viele Sicherheitstrainings Warnungen vor leicht erstellten Täuschungs-Mails mit Gmail-Endung enthalten, um sich vor Angriffen und Schadenslagen zu schützen, richtet das BBK einen Behördenaccount unter Nutzung von Gmail ein. Ein solches Vorgehen vermag die Wachsamkeit und gebotene Schutzhaltung gegenüber Emails mit potentiellen Schadinhalten zu senken. Von der Autorin würde eine Email von dem Absender notfallkochbuch.bbk@gmail.com als Gefahr eingestuft. Das würde im Falle eines Mitarbeiters eines Versorgungsunternehmens vielleicht nicht geschehen, so dass Schadsoftware leicht in die Systeme Kritischer Infrastrukturen gelangen könnte.

Des Weiteren ist aufgefallen, dass widersprüchliche und gar Falschinformationen, wenn auch ursprünglich gedacht zur Beruhigung der Bevölkerung und besseren Allokation von Schutzvorkehrungen, die Krisenentwicklung verschärft haben. An dieser Stelle ist insbesondere hervorzuheben, dass zunächst kommuniziert wurde, dass Kinder und vor allem junge Menschen von der Atemwegserkrankung COVID-19 nicht betroffen sein würden.[30] Auch deshalb dürften diese die Lage zunächst nicht ernst genommen haben, auf die wiederum mit gravierenden Grundrechtseinschränkungen reagiert wurde. Gleichermaßen wurde zunächst vom Tragen von Masken abgeraten,[31] später wurde dieses gar als verpflichtend empfohlen.[32] Diese widersprüchliche Krisenkommunikation, die sich in entsprechenden desorientierten und zweiflerischen Verhaltensweisen zeigt und bis hin zu Grundrechtseingriffen und Grundrechtseinschränkungen aufschaukelt, muss bestmöglich vermieden werden, um das Vertrauen in die Institutionen nicht zu untergraben und Akzeptanz für Bewältigungsmaßnahmen zu schaffen.

Wird aus den aktuellen Erkenntnissen nicht gelernt und dieses Wissen nicht umgesetzt, drohen im Falle des Ausfalls Kritischer Infrastrukturen mit heftigeren Einschnitten in das gesellschaftliche Leben heftigere Widerstände und Maßnahmen zur Brechung eben solcher.

b) Verbesserte Information, v.a. der Bevölkerung

Zwar enthält v.a. die Website des BBK viele nützliche Informationen für den Notfall, dennoch erreichen diese den Einzelnen eher durch Zufall, und sei es durch einen Hinweis-Tweet, der in der sog. Timeline eines Twitter-Nutzers auftaucht. Wer (z.B. aus Gründen der Erholung vom an Computerarbeit reichen Beruf) über keinen Heimarbeitsplatz mit Internetzugang und auch kein Tablet verfügt, dem entgehen derart wichtige Informationen. Auch die NINA-App (die Notfall-Informationsapplikation des BBK) verlangt viel vom Einzelnen: vor allem, dass er ein funktionsfähiges Smartphone besitzt. Die Informationen sind hier im Wesentlichen den aktiven Nutzern von internetfähigen Geräten vorbehalten und schließen insbesondere die hiermit nicht vertraute Bevölkerung im hohen Alter aus. Informationen für den Notfall dürfen jedoch nicht den Technik- und Internetaffinen vorbehalten sein. Es sollte darüber nachgedacht werden, die gesamte Bevölkerung auf Wegen anzusprechen, die jeden erreichen. Das wäre in jedem Fall die klassische Post.

Diese Post kann einmal als Informationspaket versandt werden und könnte beispielsweise eine der IT-Notfallkarte[33] des BSI vergleichbare Anleitung für das Verhalten im Falle eines großflächigen und dauerhaften Stromausfalls enthalten. Es gibt keinen Grund, derartige Handreichungen nur Unternehmen und nicht auch den Bürgerinnen und Bürgern an die Hand zu geben. Darüber hinaus könnten die wichtigsten Checklisten des BBK, die auf der Website zum Download bereitstehen,[34] dem Informationspaket beigefügt werden. Keine Bürgerin und kein Bürger sollte mehr auf die Frage, wen sie oder er im Großschadensfall wie erreichen kann, mit „Ich weiß es nicht“ antworten müssen. Die schwedische Regierung verteilte beispielsweise im Jahr 2018 an alle Landeshaushalte eine 20-seitige Broschüre über das Verhalten im Krisen- oder Kriegsfall.[35]

c) Verbesserte Vorbereitung der Bevölkerung

Doch Information allein genügt nicht. Die bloße Information über die drohende Katastrophe dürfte bei vielen Bürgerinnen und Bürgern zu einem Vermeidungsverhalten führen. Wer möchte sich schon in seiner Freizeit gerne mit einer Situation beschäftigen, die hoffentlich und wahrscheinlich doch nie eintritt. Die mangelnde Vorbereitung führt dann im Zeitpunkt des Eintritts des zunächst aus dem Bewusstsein verdrängten Großschadensfalls zu irrationalen Reaktionen. Die Angst nimmt überhand und droht, andere Menschen schwerer in Mitleidenschaft zu ziehen als sie es ohnehin schon sind. Wie sich in der Corona-Krise gezeigt hat, ist auch der Mangel des Wahrhabens einer Krise ein Problem, welches durch die Illusion der Nichtbetroffenheit sowie des „Weit-weg-seins“ zu mangelnder Vor- und Rücksicht führen und auf diese Weise die Schadenslage vertiefen kann.

Bund und Länder sollten daher überlegen, wie die Bevölkerung auf eine Großschadenslage besser vorbereitet werden kann. So erscheint es beispielsweise sinnvoll, Vermieter und Wohnungsverwalter allgemein und umfassend zu informieren. Diese wiederum können auf den jeweiligen Einzelfall zugeschnittene Informationsmaßnahmen gegenüber den Hausbewohnern treffen. Konkrete Informationsmaßnahmen wären beispielsweise Hausaushänge, die Anpassung der Hausordnung (z.B. über das Verhalten im Falle eines Stromausfalls) und Notstromeinrichtungen, mindestens aber Notbeleuchtung im Treppenhaus nebst Nutzungsordnung zur Vermeidung von Überbeanspruchung. Wird z.B. eine Notstromversorgung für die Treppenhausbeleuchtung eingerichtet und missbrauchen die Mieter diese für andere Zwecke als die sichere kurzzeitige Begehung des Treppenhauses, womit sie eine akut verkürzte Verfügbarkeit riskieren, nützt auch die beste Notstromversorgung nichts.

Es erscheint dabei nicht fern, den Schutz im Falle eines großen Stromausfalls weitgehend an den Brandschutz anzupassen. So wie auch die Rauchmelderpflicht in den Bauordnungen der Länder zu einer besseren Sicherheitsvorsorge beigetragen hat, könnte die Pflicht zum Vorhalten einer Notbeleuchtung in jedem Treppenhaus zum Beispiel Stürzen vorbeugen. Vorschriften über eine Sicherheitsbeleuchtung, die bei Ausfall der allgemeinen Beleuchtung selbsttätig in Betrieb geht, gibt es beispielsweise in Ziffer 6.5 der Hessischen Richtlinie über den Bau und Betrieb von Hochhäusern (Hessische-HochhausRichtlinie – H-HHR).[36] Derartige Sicherheitsvorkehrungen würden wiederum die Gesundheitsversorgung als weitere Kritische Infrastruktur entlasten. Wie oben bereits angedeutet, bestehen Interdependenzen zwischen den Kritischen Infrastrukturen, deren Wechselwirkungen im Großschadensfall nicht beigekommen werden könnte, würde jede Kritische Infrastruktur für sich allein betrachtet werden.

Ganz wesentlich zeigt sich der Zusammenhang der Notfallvorsorge mit dem Brandschutz bei dem Notfallkochbuch-Gewinnspiel des BBK (s.o.): Hier wird offenes Feuer in geschlossenen Räumen „beworben“, welches erhebliche Gefahren mit sich bringt, vor allem für Menschen, die nicht regelmäßig mit Gasherden, i.e. offenem Feuer und Gasnachfüllvorrichtungen hantieren. Die wenigsten Menschen werden einen bestmöglich gesicherten Gasherd anschaffen können und daher auf andere Feuerquellen ausweichen. Es genügt daher nicht, einfach nur Gasherde für den Stromausfall als Lösung zu benennen. Die Lösung muss den Schutz der mit dem Herd hantierenden Personen, mit ihnen im Haushalt und Haus lebenden Personen und umliegenden Einrichtungen mitumfassen. Eine Aufrechterhaltung der Stromversorgung beugt demnach nicht unwesentlich der Brandbekämpfung vor.

d) Bestehende Schutzkonzepte zusammenführen

In der Gesamtschau verfügt Deutschland über einige gute Vorsorgekonzepte für den Großschadensfall: sie sind jedoch zu wenig kommuniziert, zu wenig auf den einzelnen Bürger bzw. die einzelne Bürgerin zugeschnitten und zu wenig aufeinander abgestimmt. Sie stehen bisweilen sogar im Widerspruch zu anderen Vorsorgemaßnahmen. Dies zeigt v.a. das Beispiel der Gmail-Adresse des BBK im Hinblick auf die Vorsorge im Bereich der Cybersicherheit. Solche Widersprüche sind für ein ganzheitliches Schutzkonzept kontraproduktiv, weil sie die Eintrittswahrscheinlichkeit von Großschadenslagen sogar erhöhen können.

Das CHW-Konzept der AG KRITIS ist also ein sehr guter Anlass, die bestehenden Schutzkonzepte anzupassen und in einem Gesamtkonzept so zusammenzuführen, dass ihre jeweilige Wirksamkeit zugunsten der Versorgungssicherheit in der Bundesrepublik Deutschland sichergestellt werden kann.

e) Sensibilisierung von Entscheidungsträgern und örtlicher Verwaltung

Um die beste Katastrophenvorsorge sicherzustellen, müssen auch die örtlichen Verwaltungen und Entscheider ihre Mittel und Wege kennen sowie befolgen. Die föderale Kompetenzverteilung macht es notwendig, dass Wissen und Fachkompetenz, welche beim BBK und den Bundesministerien angesiedelt sind, bis zu den Entscheidern in den Landesämtern durchdringen.

Der föderale Aufbau kann dabei aufgrund flacher Entscheidungsebenen und regionaler Besonderheiten zu einer effektiven Krisenbewältigung beitragen. Der Kern der Krisenbewältigung ist dabei die Einbindung der Länder und Kommunen in Prävention und Planung, sowie die Übungen der Krisenkonzepte, um die regionalen Entscheidungsträger für den Großschadensfall zu rüsten.

3. Fachkompetenz des THW ausbauen

Das noch zu schaffende Gesamtkonzept sollte, entsprechend dem von der AG KRITIS vorgelegten Konzept, einen Schwerpunkt auf die Handlungs- und Wiederherstellungsfähigkeit im Falle einer Großschadenslage legen. Großschadenslagen werden kaum zu verhindern sein: Es stellt sich nicht mehr die Frage, ob der Notfall eintritt, sondern wann er eintritt. Die Corona-Krise dürfte die Eintrittswahrscheinlichkeit zusätzlich zu den im Konzeptpapier benannten Risikofaktoren[37] erhöht und den Eintrittszeitpunkt erheblich vorgezogen haben. Wie die AG KRITIS richtig anmerkt, benötigt es angesichts der Steigerung der Vorfälle durch Cyberangriffe zeitnahen Tätigwerdens.

Dem zeitnahen Ausbau „cybertechnischer“ Kompetenzen innerhalb der bestehenden THW-Struktur steht jedenfalls kein Gesetz entgegen:

a) THWG-E unterstützt die Spezialisierung des THW auf „Cyber-Hilfe“

Der zwischenzeitlich ergangene Entwurf eines Zweiten Gesetzes zur Änderung des THW-Gesetzes der Bundesregierung vom 19. Februar 2020 schafft im Wesentlichen die Bedingungen, welche die AG KRITIS in ihrem Konzeptpapier als fehlend anspricht. Im Entwurf des Zweiten Gesetzes zur Änderung des THW-Gesetzes (THWG-E) der Bundesregierung vom 19. Februar 2020 heißt es in der Problem- und Zieldarstellung:

„Der Schutz der Bevölkerung vor besonderen Gefahren, vor denen sie sich aus eigener Kraft nicht schützen kann, ist eine der wichtigsten Aufgaben des modernen Staates. Deutschland hat ein vertikal gegliedertes, subsidiäres und maßgeblich auf Ehrenamtlichkeit und Freiwilligkeit beruhendes Bevölkerungsschutzsystem aufgebaut, das je nach Größe, Bedeutung und Entwicklung eines Schadensfalls von den unteren Ebenen zu den oberen Ebenen aufwächst und das sich im Alltag ebenso wie bei größeren Schadenslagen bewährt hat. Um die Aufgabe des Bevölkerungsschutzes erfüllen zu können, müssen Mittel des Zivilschutzes stets vorgehalten werden. Zudem unterstützt der Bund im Fall von Naturkatastrophen oder anderen schweren Unglücksfällen nach Artikel 35 des Grundgesetzes (GG) die zuständigen Landesbehörden.

Neue Gefahren, die sich z. B. aus dem internationalen Terrorismus, hybriden Bedrohungen, der Verletzlichkeit kritischer Infrastrukturen und dem Klimawandel ergeben, sowie die sich verändernde Rolle Deutschlands in der Welt führen auch zu veränderten Rahmenbedingungen für den Zivil- und Katastrophenschutz. Diesem Wandel muss sich das Technische Hilfswerk (THW) stellen und seine Fähigkeiten entsprechend anpassen. Die Konzeption Zivile Verteidigung (KZV) der Bundesregierung vom 24. August 2016 sowie das daraus entwickelte THW-Rahmenkonzept vom 20. September 2016 zeigen veränderte Herausforderungen für und Anforderungen an das THW auf.“[38]

Der Einsatz des THW im Falle von durch Cyberangriffen ausgelösten Großschadenslagen – neuen Gefahren also, die von dem internationalen Terrorismus, hybriden Bedrohungen im Zusammentreffen mit der Verletzlichkeit Kritischer Infrastrukturen ausgehen können – ist davon erfasst. Dies geht bereits aus dem abstrakt gefassten § 1 Abs. 2 THWG hervor:

(2) Das Technische Hilfswerk leistet technische Hilfe:

    1. nach dem Zivilschutz- und Katastrophenhilfegesetz,
    2. im Ausland im Auftrag der Bundesregierung,
    3. bei der Bekämpfung von Katastrophen, öffentlichen Notständen und Unglücksfällen größeren Ausmaßes auf Anforderung der für die Gefahrenabwehr zuständigen Stellen sowie
    4. bei der Erfüllung öffentlicher Aufgaben im Sinne der Nummern 1 bis 3, soweit es diese durch Vereinbarung übernommen hat.

Das THWG-E enthält insbesondere die von der AG KRITIS als unzureichend bemängelten Regelungen zur Steigerung der Einsatzfähigkeit und der Verbesserung des Ausbildungsstands, wobei die bereichsspezifische Ausbildung vom THW selbst organisiert werden soll (vgl. § 1a Abs. 2 THWG-E). Darüber hinaus beteiligt sich das THW an internationalen, supranationalen und nationalen Forschungsprojekten zu Fragestellungen in den Bereichen Rettungswesen, Katastrophenschutz und Zivilschutz, § 1b THWG-E. Ohne den fachspezifischen Informationsaustausch auf allen Ebenen würde auch ein (C)THW nicht viel ausrichten können. Nicht zuletzt sieht § 2 THWG-E die entsprechende Anwendbarkeit des § 26 Bundesdatenschutzgesetzes (BDSG) vor.

Der Bundestag hat am 13. März 2020 den von der Bundesregierung eingebrachten Entwurf eines Zweiten Gesetzes zur Änderung des THW-Gesetzes mit beigefügten Maßgaben, im Übrigen unverändert angenommen.[39]

b) Next Step: Gespräche mit dem THW aufnehmen

Die AG KRITIS hat noch keine „Verhandlungen“ mit dem THW geführt.[40] Die Gespräche mit dem THW sollten als nächstes auf der Agenda für die Realisierung eines „CHW“ stehen. Sobald die Strukturen innerhalb des THW bestehen, können sich die Freiwilligen der IT- und OT-affinen Community[41] zum ehrenamtlichen Dienst im THW verpflichten. Das notwendige Wissen, die Mittel und die Personenstärke können dann gemeinsam zeitnah aufgebaut werden. Die AG KRITIS könnte hierbei ihre Ideen und Anregungen, insbesondere bei der fachspezifischen Ausbildung der Helferinnen und Helfer wirksam einbringen.

4. Call for Immediate Action

Die von der AG KRITIS in ihrem Konzeptpapier dargestellte Gefährdungslage und Eintrittswahrscheinlichkeit der Großschadenslage auf Grund von informations- und operationstechnischen Vorfällen im Bereich der Kritischen Infrastrukturen dürften durch die Corona-Krise noch einmal akut erhöht worden sein. Das Konzeptpapier sollte daher zum Anlass genommen werden, nicht nur innerhalb des THW, sondern ganzheitlich die Maßnahmen zur Versorgungssicherung auf ihre Wirksamkeit hin zu überprüfen, die bislang zum Schutz der Bevölkerung und der Sicherung der Funktionsfähigkeit des Staates vorgesehen sind. Korrekturen und Ergänzungen, die insbesondere auf aus der Corona-Krise Gelerntem beruhen, sollten zeitnah in die Wege geleitet werden.

V

V


[1]  Abrufbar unter https://ag.kritis.info/chw-konzept/ (zuletzt abgerufen am 13. April 2020).

[2]  Zu der Herr Thorsten Conrad mit seinen wertvollen Gedanken dankenswerterweise beigetragen hat.

[3]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 3 (zuletzt abgerufen am 13. April 2020).

[4]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 3 (zuletzt abgerufen am 13. April 2020).

[5]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 3 (zuletzt abgerufen am 13. April 2020).

[6]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 4 (zuletzt abgerufen am 13. April 2020).

[7]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 5 (zuletzt abgerufen am 13. April 2020).

[8]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 5 (zuletzt abgerufen am 13. April 2020).

[9]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 7 (zuletzt abgerufen am 13. April 2020).

[10]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 7 (zuletzt abgerufen am 13. April 2020).

[11]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 4 (zuletzt abgerufen am 13. April 2020).

[12]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 17 (zuletzt abgerufen am 13. April 2020).

[13]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 24 (zuletzt abgerufen am 13. April 2020).

[14]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 23 ff. (zuletzt abgerufen am 13. April 2020).

[15]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 24 (zuletzt abgerufen am 13. April 2020).

[16]  Humanitäres Völkerrecht in bewaffneten Konflikten – Handbuch -, Kapitel 3, Herausgeber: Bundesministerium der Verteidigung Abteilung Verwaltung und Recht II 3 1992.

[17]  Das Zusatzprotokoll I zu den Genfer Abkommen von 1949 (angenommen in Genf am 8. Juni 1977) behandelt Personen, die nicht unter den Kombattanten-Begriff (Art. 43 Abs. 2) fallen, als Nichtkombattanten. Gleichzeitig werden die Begriffe Nichtkombattanten und Zivilpersonen in den Genfer Konventionen an vielen Stellen synonym verwandt.

[18]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 28 (zuletzt abgerufen am 13. April 2020).

[19]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 18, 23 f. (zuletzt abgerufen am 13. April 2020).

[20]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 14 und 28 (zuletzt abgerufen am 13. April 2020).

[21]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 30 (zuletzt abgerufen am 13. April 2020).

[22]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 30 (zuletzt abgerufen am 13. April 2020).

[23]  Lorenz, „Kritische Infrastrukturen aus Sicht der Bevölkerung“, 2010, Schriftenreihe Forschungsforum Öffentliche Sicherheit, S. 17.

[24]  Spindler in Kloepfer, „Schutz kritischer Infrastrukturen“, Schriften zum Katastrophenrecht, IT und Energie, S. 85 (88).

[25]  Cyber-Sicherheitsstrategie für Deutschland, BMI, 2016, S. 22, abrufbar unter https://www.bmi.bund.de/cybersicherheitsstrategie/BMI_CyberSicherheitsStrategie.pdf (zuletzt abgerufen am 13. April 2020).

[26]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 14 ff. (zuletzt abgerufen am 13. April 2020).

[27]  Vgl. Sowa, Ri 2020, 2 ff.

[28]  Die erste Infektion in Deutschland wurde am 28. Januar 2020 berichtet, „Erster Coronavirus-Fall in Deutschland“, Tagesschau, https://www.tagesschau.de/inland/coronavirus-deutschland-erster-fall-101.html (zuletzt abgerufen am 13. April 2020).

[29] https://www.bbk.bund.de/DE/Ratgeber/Notfallkochbuch/Notfallkochbuch_node.html (zuletzt abgerufen am 13. April 2020).

[30]  Siehe insbesondere „Der vielleicht sehr lange Kater nach der Coronaparty“, 23. März 2020,

 https://www.tagesspiegel.de/wissen/die-jungen-und-covid-19-der-vielleicht-sehr-lange-kater-nach-der-coronaparty/25670378.html (zuletzt abgerufen am 13. April 2020).

[31]  „Atemmasken seien für gesunde Menschen nicht nötig, meint Prof. Oliver Witzke, Direktor der Klinik für Infektiologie der Universitätsmedizin Essen.“ sowie „Nach Angaben der WHO könne das Tragen einer Maske in Situationen, in denen dies nicht empfohlen ist, auch ein falsches Sicherheitsgefühl erzeugen. Das könne dazu führen, dass zentrale Hygienemaßnamen wie eine gute Händehygiene vernachlässigt werden.“ in „Covid-19: Hygiene und andere Schutzmaßnahmen“, unter https://www.lungenaerzte-im-netz.de/krankheiten/covid-19/schutz-vor-ansteckung/; „Coronavirus: Atemmasken für Gesunde unnötig“, Das PTA-Magazin vom 7. Februar 2020, Springer Nature unter Verweis auf das Robert-Koch-Institut, https://www.das-pta-magazin.de/coronavirus-atemmasken-fuer-gesunde-unnoetig-2541978.html (allesamt zuletzt abgerufen am 13. April 2020).

[32]  Zusammenfassend: „Coronavirus in NRW: Experten wollen Mundschutz-Pflicht für Bus und Bahn“, Westfälischer Anzeiger vom 14. April 2020, https://www.wa.de/nordrhein-westfalen/coronavirus-nrw-mundschutz-pflicht-maske-atemschutzmaske-laschet-spahn-13639451.html; zumindest verwirrend (vgl. Foto und Text, sowie Textabschnitte): „Coronavirus: Was man zu Atemschutzmasken wissen sollte“, Deutschlandfunk vom 13. April 2020, https://www.deutschlandfunk.de/covid-19-coronavirus-was-man-zu-atemschutzmasken-wissen.1939.de.html?drn:news_id=1120258 (zuletzt abgerufen am 13. April 2020).

[33]  https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html (zuletzt abgerufen am 13. April 2020).

[34]  https://www.bbk.bund.de/DE/Ratgeber/VorsorgefuerdenKat-fall/VorsorgefuerdenKat-fall_node.html (zuletzt abgerufen am 13. April 2020).

[35] Schweden bereitet seine Bürger auf den Ernstfall vor, Spiegel vom 22. Mai 2018, https://www.spiegel.de/politik/ausland/schweden-broschuere-gibt-anleitungen-fuer-den-fall-von-krieg-und-krisen-a-1208838.html (zuletzt abgerufen am 13. April 2020).

[36]  Anhang 26 zu lfd. Nr. A 2.2.2.7 der Hessischen Verwaltungsvorschrift Technische Baubestimmungen (H-VV TB), (basierend auf dem Muster der Hochhausrichtlinie der Fachkommission Bauaufsicht der ARGEBAU vom April 2008, zuletzt geändert durch Beschluss der Fachkommission Bauaufsicht vom Februar 2012), abrufbar unter https://wirtschaft.hessen.de/sites/default/files/media/hmwvl/hessische-hochhaus-richtlinie_h-hhr.pdf (zuletzt abgerufen am 13. April 2020).

[37]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 4 ff. (zuletzt abgerufen am 13. April 2020).

[38]  BT-Drs. 19/17291 https://dip21.bundestag.de/dip21/btd/19/172/1917291.pdf (zuletzt abgerufen am 13. April 2020).

[39]  https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/zweites-gesetz-zur-aenderung-des-thw-gesetz-br-fassung.pdf;jsessionid=119FC36E3524C9172A02749B5AB66604.1_cid373?__blob=publicationFile&v=4 (zuletzt abgerufen am 13. April 2020).

[40]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 31 (zuletzt abgerufen am 13. April 2020).

[41]  CHW-Konzeptpapier der AG KRITIS, https://ag.kritis.info/chw-konzept/, S. 27 (zuletzt abgerufen am 13. April 2020).

Titelbild: © Varunyu via Adobe Stock, #312774452