Vorweg:

Die Antworten sind allesamt eine (schön verpackte) Bankrotterklärung.

Wie ich erwartet habe, weil es in den anderen Ländern auch nicht anders aussieht... 2/x

Der nachfolgende Satz trifft es recht gut, wie die CyberCyber-#Verantwortungsdiffusion bei #KRITIS in Deutschland funktioniert, wegen der man nix weiß. Maximal desolater Zustand der Ahnungslosigkeit im Blindflug: 3/x

"Es existiert keine landesgesetzliche Regelung, die eine #Meldepflicht der #KRITIS-Betreiber gegenüber den #Berlin'er #Landesbehörden vorschreibt." 4/x

Ja gut, jetzt werdet ihr sagen "Hey @HonkHase, das melden die ja auch dem @BSI_Bund, haben wir doch von Dir gelernt!"

Yeah, well... lasst mich mal mit einem weitern Satz zitieren: 5/x

"Das BSI hat im Rahmen seiner Zentralstellenfunktion in Angelegenheiten der IT-Sicherheit der #KRITIS-Betreiber zu der Fragestellung mitgeteilt, dass keine landesspezifischen Erfassungen und Auswertungen durchgeführt werden."

Ja ach? Und wie sieht es jetzt aus? 6/x

Nun, ich zitiere mal gepflegt:

"Valide Erkenntnisse über Angriffe im Sinne der Fragestellung liegen dem Senat nicht vor."

Na dann... 7/x

Das BSI ist also "gefälligst" auch nicht zuständig. Wäre ja noch schöner, wenn der Bund in die Länder unterstützt^^reinredet.

Ja läuft ja bei euch. Und sonst so? 8/x

Und ich mach nicht mal das Fass auf, dass die in den Antworten benannten #KRITIS Betreiber alle(!) schon längst hätten geprüft sein müssen nach § 8a BSI-Gesetz... 10/x

Einige haben da verklausuliert dicke Nebelkerzen gezündet aber klar zu verstehen gegeben, dass sie die gesetzlichen Vorgaben der Nachweiserbringung nicht eingehalten haben.

Beispiele anyone? 11/x

"Für den #Flughafen Berlin-Tegel wurde eine Stellungnahme als Bewertungsergebnis für die Nachweiserbringung nach § 8a BSIG bei dem @BSI_Bund eingereicht."

Ach ne Stellungnahme langt neuerdings aus? 12/x

"Es wurden Penetrationstests durchgeführt. Im Ergebnis sind 10 akute, 5 mittelbare sowie 10 latente Risiken festgestellt worden."

Ach ein Pentest ersetzt die Nachweiserbringung nach § 8a BSIG? 13/x

"Durch das Land Berlin erfolgt mittelbar eine Unterstützung zur Verbesserung des Information Security Management System #ISMS."

Ach ne Unterstützung durch das Land ersetzt die Nachweiserbringung? Soso... 14/x

Naja gut, Gesetz nicht überall eingehalten, ja klar. Aber dafür *papierraschel* machen wir *ähm* also... ja genau, das mit diesem UP KRITIS und koordinieren uns mi dem @BBK_Bund und so... ist doch immerhin was wert, oder? 15/x

Aber immerhin: Kudos!

Zynismus können sie ja wenigstens... denn in der Antwort auf Frage 7 wird ironischer Weise klargestellt: 16/x

"KRITIS-Betreiber sind nach § 8a Absatz 3 BSI-Gesetz verpflichtet, mindestens alle zwei Jahre die
Erfüllung der Anforderungen dieses Gesetzes auf geeignete Weise (z.B. durch Sicherheitsaudits, Prüfungen, Zertifizierungen) nachzuweisen." 17/x

Alles in allem also eher (Pizza) Tonno^e als Überblick, Umsetzung, Einhaltung und Wahrnehmen der Verantwortung

Und wir haben nicht mal den Sektor #Staat und #Verwaltung thematisiert, weil das ja außen vor ist im § 8a BSIG

Da sieht es aber bestimmt besser aus, echt jetzt! 18/18

Na gut, Bonus der @AG_KRITIS vom #fail beim Staat bzw. @BMI_Bund oben drauf:

#Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Nicht mal die bekommen es hin, was erwarten die dann von den Ländern? 😒 19/18
ag.kritis.info/2020/07/28/bun…