Folge #33 – KRITIS

Geht’s los. Wie schon angekündigt werden wir uns heute mit KRITIS beschäftigen, und KRITIS steht für kritische Infrastrukturen. Zuerst: Es ist so, dass am 3. Mai 2016 die Verordnung zur Bestimmung kritischer Infrastrukturen in Kraft getreten ist. Und warum ist das relevant für unseren Podcast, der sich ja mit eHealth beschäftigt? Es ist so, dass ein Bereich, der als kritischer Infrastrukturbereich identifiziert wurde, eben auch die Gesundheitsbranche ist, und darauf werden wir dann im Podcast noch entsprechend eingehen.

Renato, eine Sache schon vorweg: Ich nutze Futur II immer nur im Podcast, fällt mir ein. Und zwar werde ich, wenn das hier ausgestrahlt wird, dir ein Bier ausgegeben haben, weil ich ziemlich sicher bin, dass ich immer wieder mal zwischendurch etwas sage, was du laut Agenda eigentlich sagen wolltest. Dafür entschuldige ich mich schon im Voraus. — Dann sage ich es einfach nochmal, dann können die Hörer da entscheiden, wer es jetzt schöner gesagt hat. — Das wird also heute der erste Podcast, der über zwei Stunden geht.

Worum geht’s bei diesem KRITIS, oder was sind kritische Infrastrukturen? Das sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das kommt jetzt auch gar nicht so wahnsinnig überraschend, [wo] man in letzter Zeit jetzt schon häufig darüber berichtet, dass Ransomware in Kliniken die Rechner befallen hat, dass dort teilweise ganze Kliniken nicht mehr vernünftig arbeiten konnten, dass nicht operiert werden konnte. Das ist also etwas, was meiner Meinung nach absolut notwendig und sinnvoll ist.

Dieses KRITIS beschäftigt sich jetzt nicht nur mit IT-Sicherheit, sondern allgemein mit dem Schutz kritischer Infrastrukturen. Aber die IT-Sicherheit steht im Zentrum, weil es einfach darüber relativ leicht und wahrscheinlich ist, dass eine Organisation ausgeschaltet werden kann, und weil das eben auch unser Thema in dem Podcast ist, werden wir uns hauptsächlich auf die IT konzentrieren. Es ist ja nicht nur in der Gesundheitsbranche, sondern überall so, dass die Digitalisierung zunimmt; wenn jetzt dort Rechner angegriffen werden und nicht mehr richtig funktionieren, ist es in immer mehr Branchen so, dass dann ja der Betrieb einfach stillsteht.

Wir haben in unterschiedlichen Bereichen Cyber-Angriffe, angefangen vom Wahlkampf in den USA bis hin zu Krankenhäusern. Es gibt gekaperte Heizungsthermostate, die unsichere Software drauf haben, die dann ferngesteuert werden und Attacken starten und so weiter. Also das geht bis hin zu terroristischen Bedrohungen. Es gibt ja immer wieder die Befürchtung, dass in der Zukunft Leute nicht nur physische Gewalt ausüben, sondern vielleicht wichtige Infrastrukturen wie das Stromnetz oder die Wasserversorgung ausschalten. Und das hatten wir schon mal in dem Podcast vorher: Dann ist es relativ schnell kritisch. Stellt euch mal vor, ich habe kein Wasser mehr oder keinen Strom mehr oder beides — das ist schon durchaus eine harte Bedrohung. Und es ist so, merkt man ja, oder es ist offensichtlich: Wenn es relativ leicht ist, solche Ransomware in Unternehmen zu etablieren, [dann ist] vielleicht dieses Sicherheitsbewusstsein noch nicht ganz so ausgeprägt, wie es vielleicht sein sollte. Renato, magst du ein wenig den gesetzlichen Hintergrund von KRITIS erläutern?

Aber sehr gerne doch, Christian. Also wenn wir von KRITIS sprechen, dann kommen wir um das IT-Sicherheitsgesetz nicht herum. Das IT-Sicherheitsgesetz hat auch den schönen langen Namen ‚Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme‘, und der Name beschreibt ja schon ganz gut, was eigentlich passieren soll in diesem IT-Sicherheitsgesetz: Die IT-Systeme sollen auf ein höheres Sicherheitsniveau gehoben werden. Das Ganze ist jetzt mit KRITIS nicht deckungsgleich, aber es gibt sehr viele Überschneidungen, deswegen werden die beiden Sachen noch häufig in einem Atemzug genannt. Also so, wie KRITIS sich eben nicht nur um IT-Infrastruktur kümmert, ist das IT-Sicherheitsgesetz auch nicht nur auf die kritischen Infrastrukturen bezogen, sondern auch Betreiber von normalen Webangeboten, zum Beispiel ein Webshop, die sind unter dem IT-Sicherheitsgesetz zusammengefasst, oder Telekommunikationsunternehmen. Das Ganze ist im Juli 2015 in Kraft getreten und ist seitdem richtig im Einsatz; gerade für die kritischen Infrastrukturen gibt es aber eine Übergangsfrist von zwei Jahren, weil da einiges zu tun ist.

Die Themen, die in diesem IT-Sicherheitsgesetz besprochen werden, sind einmal eben die betroffenen Bereiche, die ich eben schon genannt habe, außerdem — und da greife ich dir jetzt wahrscheinlich vor — was die IT-Firmen machen müssen, und da ist dieser Begriff ‚Stand der Technik‘, ‚aktueller Stand der Technik‘ ein sehr zentraler Begriff. Außerdem sind die Aufgaben des BSI noch mal geregelt, und die Meldepflichten, die es gibt, die werden da auch noch mal besprochen. — Nee, hast du nicht vorweggegriffen — oder du kannst mir dafür trotzdem ein Bier ausgegeben haben.

Wenn man von KRITIS spricht, dann muss man auch davon sprechen, was Rechtsverordnungen sind. Vielleicht das einfach mal so als Rechtslaie kurz beschrieben, weswegen es Rechtsverordnungen überhaupt gibt: Das Gesetzesverfahren ist ziemlich aufwendig — wenn ein Gesetz durchgebracht werden soll, dann muss es erst mal durch zwei Lesungen verabschiedet werden, es muss vom Bundespräsidenten unterschrieben werden und und und —, und gerade bei so schnelllebigen Sachen wie IT oder Digitalisierung ist es wichtig, dass das nicht so langsam geht, sondern flott geht. Deswegen sind in Deutschland Rechtsverordnungen erfunden worden, und die gehen ein bisschen am Gesetzgeber vorbei, aber das ist ein bewusstes Daran-vorbei-Gehen. Man lässt den Behörden ein bisschen Spielraum, man sagt, an dieser Stelle können die Behörden das Ganze etwas näher ausformulieren, und unter anderem braucht man die Rechtsverordnung dafür, zu definieren, wer überhaupt zu den kritischen Unternehmen gehört, zu den Unternehmen mit einer kritischen Infrastruktur. Aber dazu erzählst du ja gleich noch ein bisschen mehr. Aber für die rechtlichen Grundlagen ist das, glaube ich, ganz wichtig, dass wir den Begriff der Rechtsverordnung hier noch mit reinbringen.

Dann gab es schon eine Zeit länger das BSI-Gesetz, das wurde im Rahmen des IT-Sicherheitsgesetzes noch mal angepackt; gerade auch in Bezug auf kritische Infrastrukturen ist hier jetzt eine deutliche Erweiterung passiert: Das BSI hat jetzt wesentlich mehr Befugnisse und hat auch mehr Aufgaben bekommen. Und dann vielleicht noch zur Abgrenzung, rechtlich gesehen: Das IT-Sicherheitsgesetz muss man abgrenzen vom Datenschutz, da gilt dann das Bundesdatenschutzgesetz, das bald abgelöst wird durch die Datenschutz-Grundverordnung auf europäischer Ebene. Das IT-Sicherheitsgesetz und das Bundesdatenschutzgesetz schlagen vielleicht in dieselbe Kerbe, haben einen ähnlichen Ansatz in einigen Fällen, aber haben in anderen einen anderen Fokus. Der Datenschutz hat den Schutz der Person als Fokus und will, dass die Person mit ihren Rechten geschützt wird, und das IT-Sicherheitsgesetz hat vornehmlich den Fokus, die Daten und die Infrastruktur zu schützen, also gar nicht so sehr den Menschen im Fokus.

Deswegen ist es zum Beispiel im Bundesdatenschutzgesetz geregelt, dass es sowas gibt wie Datensparsamkeit oder Datenvermeidung — das ist natürlich im IT-Sicherheitsgesetz gar nicht vorhanden. Andererseits hat das IT-Sicherheitsgesetz zur Folge, dass die Leute mehr Back-ups machen, und das ist natürlich aus dem Bundesdatenschutzgesetz oder aus dem Datenschutz so nicht ableitbar. Wobei natürlich auch die Datensicherheit positive Auswirkungen in vielen Bereichen auf den Datenschutz hat. Also die Maßnahmen, die du triffst für die Datensicherheit, also eine Firewall oder Virenscanner etc., haben natürlich auch positive Auswirkungen auf den Datenschutz: Wenn du also dein System aus Datensicherheitsgründen sauber hältst, hat das auch positive Auswirkungen auf den Datenschutz. — Auf jeden Fall, ja. Die IT-Sicherheit hat ja als eines ihrer Schutzziele die Vertraulichkeit, also dass andere Leute die Daten nicht lesen können, [bzw.] Leute, die nicht berechtigt sind, die Daten nicht lesen können. Und das ist natürlich fast deckungsgleich mit der Vertraulichkeit, die es auch im Datenschutz gibt. Aber der Datenschutz geht eben bei vielen Sachen noch ein bisschen weiter.

Damit haben wir mal den rechtlichen Rahmen so ganz grob abgesteckt, natürlich auch nur sehr oberflächlich, aber damit wir ungefähr wissen, wovon wir reden, wenn wir uns jetzt die verschiedenen Bereiche anschauen. — Genau.

Die Bereiche — ich habe vorhin schon gesagt — sind eben die Bereiche, wo es massive Auswirkungen hat, wenn dort etwas [stillsteht]: Das ist Energieversorgung, das ist die Informations- und Telekommunikationstechnik, das ist sowas wie Transport und Verkehr, das ist die Gesundheit, auf die wir ein bisschen genauer eingehen, Wasser, Ernährung, Finanz- und Versicherungswesen, der Staat und die Verwaltung, unter anderem mit Katastrophenschutz, und Medien und Kultur. Teile von diesen Sektoren, die ich gerade genannt habe, sind schon länger — ich sage jetzt einfach mal — gesetzlich ausdefiniert, andere Teile eben noch nicht. Und das ist bei der Gesundheit so gewesen: Jetzt halbwegs frisch ist der Referentenentwurf, das heißt, das ist sozusagen eine Blaupause, wie es nachher dann später gesetzlich werden soll, die natürlich auch kommentiert werden kann. Und deswegen ist das Thema auch halbwegs aktuell.

Die Gesundheit kann man noch mal unterteilen in medizinische Versorgung — dort dann eher die Krankenhäuser, Arztpraxen nicht so, warum, kommen wir vielleicht später auch noch mal drauf —, natürlich Arzneimittel und Impfstoffe, Labore, Produktionsstätten für Medizinprodukte. Und dafür gibt es eben jetzt diesen Referentenentwurf. Vermutlich wird für euch relativ interessant sein, als Zuhörer, ob dieses KRITIS für euch relevant ist oder nicht, einfach um zu entscheiden, ob ihr mit zwei Ohren zuhören müsst oder ob eins oder ein halbes reicht. In diesem Referentenentwurf gibt es eine Tabelle, die Anlagenkategorien und Schwellenwerte, die als Vorschlag angeben, wann eine Gesundheitseinrichtung denn dann als kritische Einrichtung gezählt werden kann. Und dort steht unter anderem beim Krankenhaus: wenn es mehr als 30.000 vollstationäre Fälle im Jahr gibt, dann ist es eine kritische Einrichtung.

Vielleicht ganz grob zur Einordnung: Unser Klinikum hier in Konstanz hat ca. 15.000 Fälle, wäre somit keine kritische Einrichtung. Und die Uniklinik Greifswald, die wir schon mehrfach als Thema hatten hier, die haben 36.000 Fälle, und damit wäre es eben eine kritische Einrichtung. Bei den Medizinprodukten, die Verbrauchsgüter sind, ist es zum Beispiel so, dass die Hersteller dann eine kritische Einrichtung sind, wenn sie mehr als 90,68 Millionen Euro Umsatz im Jahr haben. Die gleiche Schwelle gilt auch für die Medizinprodukte-Verkäufer. Bei Medikamenten ist es so, auf Produktionsseite: wenn man mehr als 4,65 Millionen Verpackungen im Jahr in Verkehr bringt, dann ist man eine kritische Institution. Und so weiter, das heißt, das ist dort aufgeschlüsselt.

Ich möchte auch direkt jetzt Kritik üben, zumindest am Krankenhausbereich — oder ich frag dich einfach, Renato: Wie findest du es, wenn man als Kriterium (denn das ist es ja momentan, allein) die vollstationären Fallzahlen pro Jahr nimmt? Wie findest du das? — Ja, man hat sich, glaube ich, einfach gemacht, und für einen ersten Entwurf ist es vielleicht auch ein Ansatz, der okay ist, das muss man im Laufe der Zeit verfeinern, glaube ich. Also ein Krankenhaus, das irgendwo auf dem Land ein Riesen-Einzugsgebiet hat, aber jetzt nicht so viele Fälle hat, vielleicht gerade so unterhalb der Grenze liegt, das kann [kritischer] sein als jetzt ein großes Klinikum in einer Stadt, die eh schon überversorgt ist. Aber ich glaube fast, dass sich das noch so ein bisschen regeln wird und es da auch andere Kriterien geben wird — auch ambulante Fälle haben natürlich eine Bedeutung und so weiter.

Ja, wobei die ambulanten Fälle klassischerweise ja dann nicht die ganz kritischen Fälle sind, und so wurde eben drangegangen: Also es gibt dort eine klassische Risikoanalyse, und die ganz kritischen Fälle sind ja dann doch eher die stationären. Ansonsten sehe ich es genauso, wie du es gerade gesagt hast, das heißt, wenn man das allein auf dieses Kriterium eingrenzt, wird es so sein, dass dann vielleicht im absoluten Worst Case nur die Menschen in Ballungszentren dann vernünftig versorgt werden können, wie [für] Konstanz gerade schon gesagt — wir hätten dann erstmal Pech, wir müssten dann bis nach Stuttgart fahren, glaube ich.

Was man vielleicht auch bedenken muss: Man geht, glaube ich, da eher davon aus, dass immer nur ein Krankenhaus dann betroffen ist und dass [die Attacke] nur ein Krankenhaus auswählt und dass dann irgendwie die Umgebung einspringt. Wenn wir [aber] Krankenhausketten haben, die in einem Gebiet geballt auftreten, die sich ja dann häufig auch über eine Datenbank speisen, da weiß ich nicht, wie das angedacht ist, ob die dann als ein großes Krankenhaus zählen oder ob die jeweils als einzelne kleine Häuser zählen — da müsste man natürlich auch noch mal drüber nachdenken. — Ich mein, das war pro Institutionskennzeichen, aber bin mir nicht ganz sicher. — Okay, dann ist das auch ein Problem. Also wenn ich mir jetzt vorstelle, eine Rhön-Klinik oder einen Asklepios in Hamburg oder einen Konzern, die mehrere Kliniken in einem Gebiet haben, dann könnte natürlich der Ausfall von einer Datenbank dann einen viel größeren Einfluss haben, als man ursprünglich dachte. Wie auch immer, also da sollte unserer Meinung nach, glaube ich, nachgearbeitet werden. Renato, magst du ein bisschen was zu den beteiligten Institutionen sagen?

Aber gerne doch. Also eine zentrale Rolle spielt das BSI, das Bundesamt für Sicherheit in der Informationstechnik. Die hatten die Rolle der Wächter über die Informationssicherheit ja schon früher inne, aber diese Rolle wird jetzt gestärkt. Es ist aktuell noch eine relativ kleine Behörde, deswegen weiß, glaube ich, keiner so recht, wie die das schaffen wollen — also die müssen massiv aufstocken, da muss noch einiges passieren, dass die ihre ganzen Aufgaben dann auch wirklich stemmen können. Sie sollen eine Meldestelle werden, wo also IT-Sicherheitsprobleme gemeldet werden können. Die sollen auch so eine Art Zertifizierungsstelle [werden], wobei der Begriff Zertifizierung hier nicht richtig ist: Man muss gegenüber dem BSI nachweisen, dass man sich an den Stand der Dinge hält. Die machen auch selbst Untersuchungen von Produkten. Die sollen für die Bundesverwaltung zumindest Standards ausarbeiten. Also da kommt so einiges auf das BSI zu.

Dann ist natürlich, wenn es um innere Sicherheit geht oder um die IT-Sicherheit, das Bundesministerium des Innern daran beteiligt — die sind ja der Papa vom BSI. — Ich weiß, ich könnte auf diese Frage antworten, aber das würde sie sehr verunsichern. — Genau. Weil es bei IT-Sicherheit auch um das Thema Katastrophenschutz geht, ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auch mit im Boot, und dann natürlich Länder, Kommunen und die von der Verordnung Betroffenen, die Betreiber. Seltsamerweise sind die Hersteller erst mal nicht mit im Boot, also die Hersteller sind erst mal außen vor. Die können aber vom BSI bei Meldefällen zur Mitarbeit herangezogen werden, also verpflichtet werden, dann doch mitzuarbeiten. Aber die haben erst mal keine Auflagen bekommen. Es ist auch in der Kritik gewesen und lässt sich bestimmt auch diskutieren, ob man die Verantwortung rein auf die Betreiber abwälzen kann. So viel mal zu den beteiligten Institutionen.

Es gibt im Rahmen von KRITIS oder von der IT-Sicherheit jetzt verschiedene Strategien, verschiedene Maßnahmen, die ergriffen worden sind. Ich will mal auf so zwei, drei eingehen und die mal ganz oberflächlich beleuchten. Es gibt die Cyber-Sicherheitsstrategie, das ist eine Strategie der Bundesregierung, und das IT-Sicherheitsgesetz ist wahrscheinlich so die erste konkrete Ausarbeitung von dieser Sicherheitsstrategie. [Das] geht so ein bisschen auch in die Richtung Digitale Agenda, die ja 2014 in Kraft getreten ist. Maßnahmen sind da, dass so langfristig auch überlegt wird, ein IT-Sicherheitsgütesiegel einzuführen. Und das finde ich ganz lustig, dass es sowas wie mobile Einsatzteams gibt — das ist dann wahrscheinlich sowas wie ein Rettungswagen, nur dass da keine Ärzte drauf sitzen, sondern IT-Sicherheitsmenschen. — Ja, genau. — Ja, ich weiß auch nicht, wie man sich das vorzustellen hat, aber klang für mich lustig.

Dann gibt es noch die nationale Strategie zum Schutz kritischer Infrastrukturen, KRITIS-Strategie genannt. Das ist die Strategie, aus der die kritischen Infrastrukturen als solche entstanden sind. Da hast du es ja schon gesagt, die haben natürlich einen weit umfassenderen Blick, aber der Hauptfokus liegt natürlich schon auf dem Schutz der Informationsinfrastrukturen. Deswegen gibt es da auch einen nationalen Plan zum Schutz der Informationsinfrastrukturen.

Dann gibt es noch eine Einrichtung, die heißt UP KRITIS. UP KRITIS — ich muss gestehen, ich konnte nicht rausfinden, wie man es ausspricht, geschrieben auf jeden Fall ‚UP‘ und dann ‚KRITIS‘ —, das ist eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen. Das kann man sich vielleicht so als Austauschplattform vorstellen. Dort gibt es dann Arbeitskreise mit Diskussionen zum Thema IT-Sicherheit, aber das sind auch die Bereiche, wo dann Meldungen hin passieren. Die Meldungen gehen dann über einen sogenannten SPOC, einen Single Point of Contact pro Branche, sodass dann nicht eine Institution in der Mitte komplett überfordert wird, sondern es wird dann vorgefiltert durch diesen Single Point of Contact pro Branche. Und dann sind die aber auch noch Ansprechpartner, die können Fragen beantworten. Also haben viele Aufgaben, diese UP KRITIS, diese Austauschplattform.

Gut, Christian, jetzt haben wir ganz viel über Strategien und über das Drumherum geredet, über die Rechtslage — was bedeutet das denn jetzt konkret für die einzelnen Betreiber, was müssen sie denn tun, insbesondere im Gesundheitswesen? — Ja, das kann ich [sagen]: Das Erste ist, egal ob man jetzt über 30.000 oder unter 30.000 Fälle im Jahr hat, man sollte sich mit dem Thema beschäftigen. Klar, es ist keine besonders gute Presse, wenn man in der Zeitung auftaucht, weil man den Krankenhausbetrieb einstellen musste. Die Krankenhäuser über 30.000 Fälle im Jahr müssen sich definitiv spätestens jetzt intensiv diesem Thema widmen, das ist eigentlich Schritt 1.

Was dann nachher, wenn es in Kraft getreten ist: Es wird vermutlich so sein, dass die IT-Sicherheitsmaßnahmen nachgewiesen werden müssen, und zwar alle zwei Jahre gegenüber dem BSI, und die Sicherheitsmaßnahmen müssen dem aktuellen Stand der Technik entsprechen. Dann ist es so, dass erhebliche Störungen gemeldet werden müssen — gibt es ja auch schon aus dem Medizinproduktebereich, wenn es dort also Fehlfunktionen gibt, müssen die auch gemeldet werden, die dann auch veröffentlicht werden —, ähnlich wird es hier auch sein. Es müssen Kontaktstellen benannt werden und so weiter und so weiter. Das soll jetzt auch reichen an groben Maßnahmen: Wenn Sie also ein Krankenhaus sind oder ein Medizinproduktehersteller oder ein Pharmaunternehmen, das mehr als die vorhin genannten Schwellenwerte produziert oder hat, dann müssen Sie sich sofort mit dem Thema beschäftigen.

Ich möchte noch ein, zwei Literaturempfehlungen aussprechen, die ich auch in die Show Notes mit aufnehmen werde. Und zwar gibt es eine ‚Sektorstudie Gesundheit‘, [davon] gibt es eine öffentliche Version, Revisionsstand Mai 2016. Ich mein, das hat auch wieder das BSI [herausgegeben]. Das ist ein schönes Dokument, hat irgendwie auch 200 Seiten. Wie das eben so ist — möchte gar nicht wissen, was es gekostet hat. Doch, vielleicht möchte ich doch wissen, was es gekostet hat. Im ersten Drittel geht es nur um noch mal Erklärung: Was ist das Gesundheitswesen, was ist der erste Gesundheitsmarkt, was ist der zweite, was steht im Sozialgesetzbuch drin, auch Kommunikationsstandard HL7 und so weiter ist alles erklärt. Das kann man sich also auch mal ganz gut durchlesen, [man] bekommt einen ganz guten Überblick über die Gesundheits- oder Medizininformatik, das ist ansonsten sehr gut aufgeführt.

Dort gibt es unter anderem auch im letzten Drittel ein paar klassische Beispiele, wo denn jetzt Hacker irgendwelche Gesundheitseinrichtungen angegriffen haben. Und da ist eine Sache aufgeführt, die ich noch gar nicht kannte, die extrem kritisch ist meiner Meinung nach: Und zwar wenn es gelingt, solche Medikamentenautomaten z. B. zu kapern, dort Schadsoftware einzupflanzen, [und] wenn dann nachher diese Geräte einfach andere Medikamente stellen als vom Arzt vorgegeben etc. Bisher ist es ja so gewesen, dass einfach das Krankenhausinformationssystem nicht mehr funktioniert hat und dann müssen alle auf Papier wechseln. Aber wenn man vielleicht erst einen Monat später merkt, dass der Medikationsroboter falsche Medikamente gestellt hat — das ist schon echt übel. Also da gibt es schon üble, üble Szenarien, die dort beschrieben sind.

Und sonst werden alle Fachabteilungen auch nochmal beleuchtet, wie viele Fälle die haben, wie kritisch die Bereiche sind. Also jetzt Augenarzt z. B. oder die Ophthalmologie ist nicht ganz so kritisch wie z. B. die Innere und so weiter. Das ist also wirklich schön und fachlich sauber aufgeschlüsselt. Einzige Kritik, die ich daran hab: Die haben, glaube ich, irgendwas bei Word mit dem Index verbaselt oder z. B. mit dem Literaturverzeichnis — wenn man also im Dokument navigieren will, geht es regelmäßig in die Hose. Sonst kann man das wirklich empfehlen, sich das mal durchzulesen, für die Strandlektüre etc.

Wenn wir gerade bei Quellen sind und bei Empfehlungen, die wir natürlich auch noch in die Show Notes geben: Ich bin nicht so der Lesetyp, sondern ich gucke lieber YouTube-Videos. Es gibt eine sehr nette Diskussion im Rahmen einer Anhörung vor den Bundestagsabgeordneten, und dort kommen dann die einzelnen Branchen zur Geltung, auch gewisse Netzpolitik, also das breite Spektrum der Meinungen über das IT-Sicherheitsgesetz kommt dort zur Sprache. Und ich finde, da werden die ganzen Argumente eigentlich mal gut zusammengefasst. Also man merkt, dass die Branchen, die Betreiber da einfach Angst haben, dass ihnen hier viel zu viel aufgebürdet wird und dass das innovationsfeindlich ist. Auf der anderen Seite hat man so ein bisschen Angst, dass das BSI seinen Aufgaben nicht gewachsen ist — das BSI sagt natürlich, wir schaffen das. Also es ist eine sehr lebhafte Diskussion, man kriegt mal so einen Rundumschlag.

KRITIS, Rechtsverordnungen, Gesetz, Digitalisierung, Behörden, BSI-Gesetz, Infrastruktur, Datensicherheit