Das Thema „Cyber-Sicherheit“ treibt zurzeit die Bundesregierung um. Das angekündigte Cyber-Abwehrzentrum soll vor allem der Koordination dienen. Dabei ließe sich rein rechtlich noch einiges koordinieren, um den Status Quo zu verbessern:
Erst kürzlich hatte ich darüber berichtet, dass in Deutschland in Krisenfällen die Kommunikation durchaus eingeschränkt werden kann. Einen zentralen Ausknopf gibt es nicht, das Ganze läuft etwas subtiler: über „Bevorrechtigungen“, die bestimmte Einrichtungen im Notfall erhalten, um kommunizieren zu können. Während anderen das dann möglicherweise verwehrt ist.
Die entsprechende „Verordnung zur Sicherstellung von Telekommunikationsdienstleistungen sowie zur Einräumung von Vorrechten bei deren Inanspruchnahme“ verlangt von den Telekommunikationsbetreibern ein „Mindestangebot“ etwa bei „bei erheblichen Störungen der Versorgung mit Telekommunikationsdienstleistungen, insbesondere bei einer Naturkatastrophe oder bei einem besonders schweren Unglücksfall“ oder „im Spannungs- und im Verteidigungsfall“. Dabei müssen die Betreiber „Festverbindungen“ mit einer Mindestleistung vorhalten. In der Verordnung heißt es hierzu in Klammern: „analog, 64kbit/s, 2Mbit/s.“ Halbe ISDN-Leistung also wohl für das Festnetz und 2MBit/s für das Internet.
Damit kann ein Unternehmen oder eine Behörde keine großen Sprünge machen, aber die Kommunikation kann zu einem gewissen Maß noch aufrecht erhalten werden. Wer gehört nun zu dem Kreis derer, die in den Genuss dieser Mindestleistung kommt? Laut Verordnung sind das Behörden, Katastrophenschutz- und Zivilschutzorganisationen, Aufgabenträger im Gesundheitswesen, Hilfs- und Rettungsdienste, Bundeswehr und Aufgabenträger in Presse und Rundfunk. Voraussetzung dafür ist, dass diese Stellen bei der Bundesnetzagentur einen entsprechenden Antrag auf Bevorrechtigung stellen. Alle, die dieses Privileg nicht erhalten, müssen sich auf einen der Lage entsprechend eingeschränkten Zugang einstellen.
Offensichtlich geht das jedoch nicht Hand in Hand mit dem Schutz kritischer Infrastrukturen, wie ihn der „Umsetzungsplan KRITIS“ vorsieht. Bei diesem geht es ebenfalls darum, im Krisenfall die Stellen am Leben zu halten, die für das Land relevant sind. Als schützenswert gelten laut diesem Plan nun Energieunternehmen, Banken und Versicherungen, Transport- und Verkehrsunternehmen sowie die Chemie- und Pharmabranche.
Laut Sicherstellungs-Verordnung gehören sie aber nicht zu dem Kreis der Privilegierten, die einen Bevorrechtigungs-Antrag stellen dürfen. Diese Lücke ist bemerkenswert – angesichts der jahrelangen Kritis-Planung und angesichts des kürzlich angekündigten Cyber-Abwehrzentrums. Eine kohärente IT-Sicherheitspolitik sieht anders aus.