Abfallwirtschaft und Cyberkriminalität: Auch ohne Gesetz aktiv werden

A
Download PDF
© BBH

Das Bundesinnenministerium (BMI) hat vorgeschlagen, künftig auch die „Entsorgung“ zur kritischen Infrastruktur zu zählen. Wird dieser Vorschlag Gesetz, werden auch große Abfallunternehmen nicht umhinkommen, ihre IT zu überprüfen und bei Bedarf auf den Stand der Technik zu bringen. Aufgrund der steigenden Bedrohung durch Cyberangriffe wären sie aber ohnehin und schon heute gut beraten, dies auch jenseits gesetzlicher Zwänge zu tun.

Abfallwirtschaft als kritische Infrastruktur

Welche Strukturen sind wichtig für unsere Gesellschaft und müssen daher besonders vor Cyberkriminalität geschützt werden? 2009 hat der Bund diese Frage mit der Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) beantwortet. § 2 Abs. 10 BSIG legt als sog. kritische Infrastrukturen zunächst infrastrukturelle Einrichtungen in den konkreten Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen fest. Die Kriterien für eine kritische Relevanz innerhalb dieser Sektoren hat das BMI gem. § 10 Abs. 1 BSIG in einer BSI-Kritisverordnung (BSI-KritisV) genauer definiert. Die Betreiber einer kritischen Infrastrukturanlage haben hinreichende Vorsorge für die Sicherheit ihrer informationstechnischen Systeme zu treffen und diese gegenüber dem Bundesamt für Informationssicherheit (BSI) im Zwei-Jahres-Turnus nachzuweisen. Das BSI kann hierbei von der Branche erarbeitete Standards bewerten und so eine Standardisierung der Maßnahmen vorantreiben. Verstößt ein Betreiber gegen seine Pflichten, kann ein Bußgeld verhängt werden.

Bis dato galt der Bereich der Abfallwirtschaft nicht als kritische Infrastruktur. Um Schäden für die Gesundheit und die Umwelt in unserer Gesellschaft zu verhindern, ist die Entsorgung von Abfällen aber zweifellos unentbehrlich: Der Fall der immerhin drittgrößten italienischen Stadt Neapel zeigt sehr anschaulich, was passiert, wenn die Müllabfuhr nicht mehr kommt.

Die zentrale Bedeutung der Abfallwirtschaft hat inzwischen jedoch auch das BMI erkannt. Der umfassende Referentenentwurf zum sog. IT-Sicherheitsgesetz 2.0 (wir berichteten) listet auch die „Entsorgung“ als kritischen Sektor auf. Begründet wird dieser Schritt unter anderem auch mit Blick auf eine vergleichbare Relevanz zur Abwasserversorgung, die im Rahmen der Wasserwirtschaft bereits einbezogen ist. In beiden Fällen habe ein schadensbedingter Anlagenausfall nämlich eine erhöhte Seuchen- und Umweltgefahr zur Folge, weshalb grundsätzlich also der gleiche Maßstab angelegt werden müsse. Diese Entscheidung unterstreicht die Wichtigkeit der Abfallwirtschaft als Gut der öffentlichen Daseinsvorsorge und der öffentlichen Strukturnetze in Gänze.

Der Referentenentwurf ist nach wie vor in der Ressortabstimmung, es ist also noch ungewiss, mit welchem Inhalt und wann er verabschiedet wird. Andererseits spricht viel dafür, dass die Einbeziehung der Abfallwirtschaft als kritischer Infrastruktursektor bestehen bleibt. Unklar ist, in welcher Form und Reichweite das BMI die entsprechenden Regelungen in der BSI-KritisV ausgestalten würde. Legt man jedoch auch hier vergleichend die Regelungen zur Abwasserwirtschaft in Anhang 2 BSI-KritisV an, so dürften die Auswirkungen auf die Entsorgungswirtschaft durchaus erheblich sein. Zurzeit gilt das BSI für alle Anlagen zur Siedlungsentwässerung, Abwasserbehandlung/Gewässereinleitung sowie ihre Steuerung und Überwachung, wenn mehr als 500.000 Einwohner an diese angeschlossen sind. Ein solcher Schwellenwert dürfte im Falle der Entsorgungswirtschaft nicht nur die größten deutschen Städte, sondern auch viele Landkreise treffen.

Steigender Modernisierungsdruck

Doch auch ohne gesetzliche Anordnung ist es empfehlenswert, die digitale Infrastruktur gegen Angriffe auf die Produktionsstätten zu stärken: Immerhin 2,6 Mrd. US-Dollar Schaden hat Cyberkriminalität in Deutschland 2017 Schätzungen zufolge verursacht. Ein großer Teil hiervon dürfte auf den Industriesektor entfallen. Speziell auf den Wirkungsbereich des BSIG wurden von Mitte 2018 bis Mitte 2019 allein 252 Angriffe auf KRITIS-Anlagen gezählt. Nach Ansicht des BSI dürfte die bereits starke Bedrohungslage weiter zunehmen. Deutsche Unternehmen, und gerade die infrastrukturrelevanten, werden also in der Zukunft einem weiter zunehmenden Druck zur Modernisierung ihrer informationstechnischen Systeme ausgesetzt sein. Die Entwicklung digitaler Lösungen und der Digitalisierung wird schließlich nur zu-, nicht abnehmen.

Ansprechpartner: Prof. Dr. Ines Zenke/Dr. Tigran Heymann/Nicolas Savoie

Experten IT-Sicherheitsgesetz: Alexander Bartsch/Nadine Voß

 

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender