BSI-Workshop zu Cybersicherheit für kritische Infrastrukturen

Der Workshop wurde im Rahmen des Deutsch-Mexikanischen Digitaldialogs im Auftrag des Bundesministeriums für Digitales und Verkehr (BMDV), des Digitalzentrums in Mexiko und des Projekts Trust4Cyber organisiert. Letztere arbeiten beide im Auftrag des Bundesministeriums für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ). Vertreter*innen der mexikanischen Industrie, der Wissenschaft und der Regierung, wie das Wirtschaftsministerium (Secretaría de Economía - SE) und das Ministerium für Infrastruktur, Kommunikation und Verkehr (SICT) nahmen teil.

Dr. Frederic Raber (Technik-Kompetenzzentren, BSI), Dr. Mani Swaminathan (Grundsätze für Kritische Infrastrukturen, BSI) und Joshua Breuer (Abteilung Internationale Beziehungen, BSI) vertraten die Bundesstelle. Sie diskutierten die Rolle des BSI als Bundesbehörde. Außerdem erklärten sie den Cybersicherheitsansatz für kritische Infrastrukturen und dessen rechtlichen Rahmen. Dabei gingen sie auf die Fragen ein: Wie wird das Risiko von Cyberangriffen in Deutschland gemanagt? Ist das EU-Cybersicherheitsgesetz für ausländische Unternehmen relevant?

Schutz von kritischen Infrastrukturen in Deutschland

Laut BSI-Expert*innen gehören zu den kritischen Infrastrukturen Anlagen oder Systeme verschiedener Sektoren, wie Energie, Informationstechnologie und Telekommunikation, Verkehr und kommunale Abfallwirtschaft. In Deutschland werden in diesen Sektoren die Kritikalität einzelner Systemkomponenten bewertet. Unternehmen, die Komponenten liefern deren Kritikalität bestimmte Schwellenwerte überschreiten, werden gesetzlich reguliert (BSI-Gesetz). Sie sind nach § 8a BSI-Gesetz verpflichtet, ihre Sicherheitsmaßnahmen an das BSI zu melden.

Das BSI ist die Cyber-Sicherheitsbehörde des Bundes. Es gestaltet die Informationssicherheit in der Digitalisierung durch Prävention, Aufdeckung und Reaktion für Staat, Wirtschaft und Gesellschaft. Die BSI-Expert*innen erklärten: Im Zuge der wachsenden Bedeutung der Digitalisierung sind Produktionssysteme zunehmend mit der IT-Infrastrukturen verbunden. Dadurch sind sie aus der Ferne steuerbar. Dies erhöht die Verwundbarkeit von Produktions- und IT-Systemen gegenüber Cyberangriffen durch Angreifer*innen - insbesondere aufgrund der Zunahme von Malware-Varianten.

Wie erhöht das BSI die Sicherheit von Cloud-basierten Infrastrukturen?

Das BSI möchte mit der Abteilung Technische Kompetenzzentren das Cloud Computing sicherer machen und so dessen Nutzen erhöhen. Deshalb wurden Kataloge mit Sicherheitskriterien für Cloud Computing (C5) und Sicherheitskriterien für künstliche Intelligenz in der Cloud (AIC4) gemeinsam mit Unternehmen entwickelt. Sie bieten einen Ansatz und einen Prüfungsrahmen, der auch für Unternehmen in anderen Staaten nützlich sein kann.

Cybersecurity kritischer Infrastrukturen

In Deutschland bildet das IT-Sicherheitsgesetz einen Rahmen zur Gewährleistung der Cybersicherheit kritischer Infrastrukturen. Es formuliert das Zusammenspiel der drei wichtigen Aspekte Erkennung, Vorbeugung und Reaktion. Daraus ergebe sich ein empfindliches Gleichgewicht zwischen Überwachung und Unterstützung der Betreiber*innen kritischer Infrastrukturen durch das BSI, so Swaminathan.

Das BSI-Gesetz in Verbindung mit der BSI-Kritis-Verordnung bildet den rechtlichen Rahmen für die Identifizierung und Beaufsichtigung von Betreiber*innen kritischer Infrastrukturen. Es wird durch öffentliche und private Partner*innen wie die Allianz für Cyber-Sicherheit (ACS) und UP Kritis ergänzt. Die ACS ist eine BSI-Initiative. Sie bietet die eine Grundlage für die Zusammenarbeit zwischen öffentlicher Verwaltung, wissenschaftlicher Forschung und Industrie über mehrere Sektoren hinweg. UP Kritis konzentriert sich auf eine solche Zusammenarbeit innerhalb kritischer Sektoren.

Regulatorischer Rahmen aus europäischer Sicht

Laut Breuer sind die deutschen Vorschriften in vielen Fällen von europäischen Regelungen abhängig. Aber in jedem Fall ist die Sicherheit eine gemeinsame Aufgabe.

Der BSI-Experte hob die Bedeutung des Cybersicherheitsgesetzes hervor. Es gliedert sich in zwei Hauptbereiche: die Agentur der Europäischen Union für Cybersicherheit (ENISA) und den Zertifizierungsrahmen, der von allen Mitgliedsstaaten anerkannt wird. Das Gesetz sieht vor, dass auch andere Länder oder Unternehmen aus dem Ausland eine Zertifizierung beantragen können, die durch das Cybersicherheitsgesetz unterstützt wird. Und sie können wählen, in welchem EU-Mitgliedstaat sie ihr Zertifikat erhalten möchten.

Austausch ist der Schlüssel: Die nächsten Schritte

Wir danken den BSI-Expert*innen für ihren wertvollen Beitrag. Beide Seiten begrüßen eine Folgeveranstaltung im Rahmen der Digitaldialoge, bei zukünftigen Veranstaltungen zu IT-Sicherheit und Datenpolitik.

In Workshops wie diesem können sich unsere Partner*innen und Stakeholder über Best Practices und Erfahrungen in verschiedenen Bereichen austauschen. Die Internationalen Digitaldialoge des BMDV werden auch in Zukunft eine Plattform für den internationalen Austausch über gemeinsame Herausforderungen und Rahmenbedingungen für die digitale Wirtschaft bieten.

Bleiben Sie auf dem Laufenden über die Aktivitäten der Digitaldialoge und abonnieren Sie unseren Newsletter.