Durchführungsgesetz zur Cyberresilienz-Verordnung Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen
BSI betrachtet Komponenten, BNetzA das System
Zwar ist unserer Ansicht nach das Bundesamt für Sicherheit in der Informationstechnik der geeignete Akteur, um Geräte auf ihre Cybersicherheit hin zu beurteilen, jedoch reicht dies allein nicht aus. Eine hundertprozentige Sicherheit kann grundsätzlich nicht gewährleistet werden, schon gar nicht auf dem bisher verfolgten Weg einzelne Anlagen des Systemes zu sichern, das große Ganze aber aus dem Auge zu verlieren. Denn vielfach entstehen kritische Systemrisiken nicht durch einzelne Anlagen, sondern durch das gleichzeitige, korrelierte Verhalten einer großen Anzahl dezentraler Einheiten. Vor diesem Hintergrund ist die Zertifizierung einzelner Anlagenkomponenten für den Schutz vor skalierenden Angriffen nicht ausreichend.
Der Entwurf eines Durchführungsgesetzes für Cyberresilienz legt derzeit einen starken Fokus auf einzelne Komponenten sowie auf technische Aspekte von Kommunikationsstrecken. Für die Gewährleistung der Systemsicherheit muss dieser Fokus jedoch erweitert werden – weg von der isolierten Betrachtung einzelner Anlagen oder einzelner Smart-Meter-Gateways und hin zu einem systemischen Ansatz, der gezielt auf den Schutz vor skalierenden Angriffen ausgerichtet ist. Dabei sollte es nicht primär darum gehen, individuelle Angriffe auf einzelne Geräte vollständig zu verhindern, sondern vielmehr darum,
- die Skalierung eines Angriffs zu verhindern und
- die Auswirkungen erfolgreicher Angriffe wirksam zu begrenzen.
- Um diesen systemischen Blick in der Praxis zu verankern, empfehlen wir die Einbeziehung der Bundesnetzagentur in die Marktüberwachung. Diese hat den Überblick über das Gesamtsystem und dessen höheren Zweck und kann daher besser beurteilen, wo welche Sicherheitsmaßnahmen effizient und effektiv sind.
