Nachgefragt! mit Manuel Höferlin: Digitale Schwachstellen schließen ist eine Daueraufgabe
Wie geht es weiter mit dem KRITIS-Dachgesetz, dem Gesetz, das den Schutz kritischer Infrastruktur zum Thema hat? Das war die Frage von Marina Grigorian an Manuel Höferlin, den innenpolitischen Sprecher der FDP-Bundestagsfraktion und Digitalexperten in der Reihe „Nachgefragt“ im BASECAMP. Seit Ende Juli liegt zum KRITIS-Dachgesetz ein Referentenentwurf vor, erläuterte Grigorian, Unternehmen und Verbände haben sich in ihren Stellungnahmen auch dazu geäußert, aber es gehe scheinbar nicht voran.
Bei den Stellungnahmen, so Höferlin, habe es viele interessante Kommentare zu dem Entwurf gegeben und es sei gut, dass diese auch Beachtung fänden. Er gehe aber davon aus, dass sich das Kabinett noch in diesem Jahr mit dem Gesetzesentwurf befassen werde, damit es im kommenden Jahr als Gesetz beschlossen werden könne. Ein ambitionierter Zeitplan, wie er zugab, aber notwendig, damit es in dieser Legislaturperiode noch verabschiedet werden könne.
Grigorian sprach die Kritik von Unternehmen an dem Entwurf an, die monierten, dass dieser zu isoliert auf die physische Sicherheit der Infrastruktur setze. Gleichzeitig müsse Deutschland aber auch die NIS2-Richtlinie der EU zur Cybersicherheit umsetzen. Höferlin sagte, dass natürlich bei der kritischen Infrastruktur auf die Cybersicherheit ebenso geachtet werden müsse wie auf die physische. Es sei aber kein Problem, wenn das in zwei verschiedenen Gesetzen geregelt würde, solange sich diese nicht widersprächen. Wichtig sei, Schwachstellen zu schließen, egal mit welchem Gesetz.
Wichtiger ist dem FDP-Politiker, dass sich die verschiedenen Behörden in Kommunen, Ländern und Bund absprechen, wie Organisationsabläufe in Katastrophenfällen aussehen müssen, wie mit den verschiedenen Zuständigkeiten trotzdem schnelle Reaktionen gewährleistet werden können. Deshalb plädiere er auch dafür, dass Berichtspflichten nur noch gegenüber einer Institution bestünden oder zumindest von den verschiedenen Behörden nicht auch noch verschiedene Parameter abgefragt werden. Das müsse gerade in Krisen einfacher, einheitlicher und effektiver gehen.
Die Frage Grigorians nach der „Leerstelle“ des vorgesehenen Paragrafen 13 im Entwurf zu den kritischen Komponenten, konnte Höferlin nicht beantworten. Er wisse nicht, was genau dort vorgesehen werde, aber er wisse, dass es dazu noch Nachfragen und Abstimmungen seitens des Innenministeriums und weiterer zuständiger Behörden gebe. Und erst genau nachzufragen und dann eine entscheidende Vorschrift zu formulieren, finde seine Unterstützung.
Sein Wunsch sei es aber, dass in Krisen die Lageberichte besser würden, und zwar bis hin zur bundesweiten und auch EU-weiten Orientierung. „Diese Rolle ist unterkomplex gelöst“. Da müsse es bessere Zusammenarbeit und Vernetzung von den Kommunen bis nach oben geben. Klare Meldewege seien das Ziel. Dafür brauche es auch ein unabhängigeres Bundesamt für Sicherheit in der Informationstechnik (BSI) und eventuell sogar eine Grundgesetzänderung, damit die Zuständigkeiten des Bundes neu geregelt werden könnten. Er sei zwar ein Anhänger des Föderalismus, aber dann müssten sich die Länder auf eine bessere Zusammenarbeit einigen.
Was ihn allerdings besonders störe, erklärte Höferlin, sei, dass die nationalen Gesetzgeber zu selten mal über die Grenzen schauten, wie andere Länder solche Fragen regelten.
Bei der Cybersicherheit sieht Höferlin aber nicht nur den Staat in der Verantwortung, sondern auch die Unternehmen. Gerade bei den mittelgroßen Unternehmen sei die Aufmerksamkeit für Cybersicherheit noch nicht groß genug. Die Überprüfung der (digitalen) Sicherheit sei allerdings kein Prozess, der irgendwann abgeschlossen sei. Man müsse die Kontrolle immer wiederholen und sich auf neue Situationen einstellen.