#Schulen und #KRITIS
Ein Rant. Was sind kritische Infrastrukturen und was nicht?
Spoiler: Schulen sind keine KRITIS. Die Argumentation "Schule=KRITIS" ist für die Tonne, weil fadenscheinig.
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit
oder andere dramatische Folgen eintreten würden.“ ist die Definition von KRITIS. Näheres regelt die Kritis-Verordnung: gesetze-im-internet.de/bsi-kritisv/BJ…
Zu jeder kritischen Infrastruktur gehört auch eine Größenordnung, ab wann man als KRITIS gilt. Beispiele:
- Krankenhaus mit 19.500 Patienten: ❌KRITIS
- Energieversorger für 220.000 Bewohner: ❌KRITIS
- Abwasserdienstleister für 440.000 Menschen: ❌KRITIS
Erst wenn eine gewisse Größe überschritten ist, wird man KRITIS, Beispiele:
✅KRITIS: Telekommunikationsunternehmen mit 104.500 Anschlüssen
✅KRITIS: Uniklinik mit 56.021 Patienten
✅KRITIS: Geldinstitut mit 21 Mio Transaktionen/Jahr
Wir können gerne darüber diskutieren, dass
- die bisherigen Schwellwerte zu hoch sind
- die Sektoren erweitert werden müssen
- Sektor "Medien und Kultur" und "Staat und Verwaltung" ausgestaltet werden müssen.
Das Attribut "KRITIS" ist aber nicht nur eine nette Beschreibung, die man sich an die Wand hängt, sondern ist mit umfangreichen Pflichten verbunden:
- Informationssicherheitsmanagement
- Meldepflichten
- Notfallpläne, Notfallvorsorge
- betriebliches Notfallmanagement
[...]
Ich habe aber ein Problem damit, dass jetzt jede Dorfschule KRITIS sein soll. 1) Schulen gehen jedes Jahr für 6 Wochen am Stück in Ferien. Eine Unterbrechung der angeblichen 'kritischen' Dienstleistung ist also möglich, verhältnismäßig und regelhaft. Probiert das mal mit Strom!
2) Sollten wir uns erstmal über Größenordnungen unterhalten. Ab welcher Größe sind Schulen KRITIS? Ab 50? 250? 1500 Schülerinnen / Schülern? Auf welcher Grundlage erfolgt diese Einschätzung?
3) Wir sollten KRITIS-Attribute nicht leichtfertig vergeben. Wenn jede Schule KRITIS wird, was bedeutet dies für den Energieversorger mit 210.000 Einwohnern? Ist der dann auch KRITIS? In meinen Augen mindert die Generaldeklaration erheblich die Zielrichtung der KRITIS.
4) Es geht ausschließlich darum, das KRITIS-Attribut zu missbrauchen, um die Vorteile einzuheimsen, aber nicht die Pflichten zu erfüllen. Dazu zählen vor allem Vorsorgemaßnahmen (Luftfilter, Hygiene, Notfallpläne etc)
5) Wo sind denn Notfallpläne für Schulen? Die müssten als KRITIS ja z.B. Pandemiepläne beschreiben. In diesen sollte das Szenario beschrieben sein mit möglichen Reaktionsmechanismen, z.B. Homeoffice, Telearbeit, Kohortenbildung. Also alles, was richtige KRITIS grade machen!
6) Informationssicherheitsmanagement. Da fallen mir so spontan einige Pflichten ein, die bei Schulen eher problematisch aufgefallen sind, z.B. Ausstattung auf dem Stand der Technik...
Mit dem aktuellen Stand würden 99% aller Schulen bei einer KRITIS Prüfung durchfallen!
7) Meldepflichten. In einem Land, wo in schöner Regelmäßigkeit bei Feiertagen massive Verzögerungen in der Corona-Fallzahl haben, sollen Schulen als 'kritische Infrastruktur' sehr enge Meldepflichten bezüglich IS erfüllen. Ja klar doch!
Hier wird erkennbar die KRITIS-Regelung missbraucht und dadurch für andere verwässert. Ein besserer Weg wäre es:
- einen Sektor Bildung zu etablieren
- diesen mit Schwellwerten zu hinterlegen
- eine Umsetzung in mehreren Körben zu planen
Natürlich sind Schulen wichtig, systemrelevant und gesellschaftlich unabdingbar - aber keine KRITIS. Einfach auf alles das Modewort KRITIS zu klatschen, weil man es mangels Alternativen offenhalten will, ist ein Armutszeugnis. Rant Ende.
Dazugehöriger Thread zum Thema Kindern von Mitarbeitenden in KRITIS in Schulen:
#kritis, #Fehlerkultur und #CRM:
Das Anheben der Arbeitszeit kann dazu führen, dass die Fehleranfälligkeit von Mitarbeitenden stark ansteigt. Die Pandemie belastet die Psyche, kommen dann stark ausgedehnte Arbeitszeiten hinzu, öffnet das Raum für gravierende katastrophale Fehler
Menschliches Versagen in #Kraftwerken, Leitständen oder Bei der Flugsicherung hat in den letzten 20 Jahren zu diversen Vorfällen geführt. Müdigkeit führt im maritimen Bereich zu 60-90% aller Unfälle: cordis.europa.eu/article/id/860…
Daher: auch trotz und grade wegen langen Arbeitszeiten auf eigene Psychohygiene und Resilienz achten!
Das Yerkes-Dodson Gesetz ist den meisten aus der Fehlerkultur bekannt: de.m.wikipedia.org/wiki/Yerkes-Do…
#Kritis und #Abhängigkeiten:
„Die Aufrechterhaltung des Schulbetriebs ist [..] eine Grundlage für die Sicherstellung der Arbeitsfähigkeit anderer Kritischer Infrastrukturen.“
Ein kurzer Thread über Abhängigkeiten und Vererbung als kritische Infrastruktur: kmk.org/aktuelles/arti…
Es gibt keine Grundlage in der #KRITIS-Verordnung für eine Weitergabe oder Vererbung des KRITIS-Status.
Beispiel: ein KRITIS-#Krankenhaus mit über 30.000 Fällen pro Jahr wird von einem #Energieversorger mit Strom und Wasser beliefert. Dieser beliefert ‚nur‘ 190.000 Einwohner
und ist daher kein KRITIS - obwohl hier eine Vererbung über die Dienstleisterbeziehung in Frage kommen sollte und meiner fachlichen Meinung auch müsste.
Das gibt das aktuelle Regelwerk nicht her.
#Pflegeheime und #Kritische Infrastrukturen #KRITIS.
Warum #WTG Einrichtungen als KRITIS zu sehen sind und mehr Vorsorge betreiben müssen.
Schnallt euch an, das wird ein längerer Thread:
Als #KRITIS gilt, wer nach der Verordnung zur Bestimmung kritischer Infrastrukturen in den Sektoren Energie, Gesundheit, Wasser ... eine gewisse Größe überschreitet. Im Sektor Gesundheitswesen ist dies bei Krankenhäusern die stationäre Fallzahl von 30.000 iugitas.eu/wp-content/upl…
#Pflegeheime sind bis dato noch gar nicht als KRITIS eingestuft, obwohl diese #systemrelevant sind und ein Ausfall dieser immense Ressourcen der Gefahrenabwehr bindet.
"Der Schuster hat die schlechtesten Schuhe": #Bevölkerungsschutz und eigene Resilienz.
Einsatzkräfte rücken aus, um anderen zu helfen. Doch wie gut sind wir selbst aufgestellt? Ein Thread über brennende Feuerwehrwachen, weggeschwemmte Fahrzeuge und eigene Resilienz:
Es liegt in der Natur unseres Auftrages "Bevölkerungsschutz", dass Einsatzkräfte eher dann gefordert sind, wenn es ungemütlich wird: Brände, Überschwemmungen, Pandemien oder Ausfall von kritischer Infrastruktur wie Strom & Wasser.
Daher sollte man annehmen, dass die Einrichtungen des Bevölkerungsschutz besonders gegen solche Ereignisse abgesichert sind. Spoiler:
Theoretisch ja, praktisch nein.
#PSNV#Belastung#Einsatzkräfte zu 'moralischer Verletzung'. Ein extrem lesenswerter Artikel von @samelou
Dieser bietet auch eine gute Erklärung, warum es Einsatzkräften missfällt, wegen mangelhafter Koordinierung und Kommunikation nicht oder nicht geeignet eingesetzt zu werden
Grade im Kontext #Hochwasser und #Ahrtal gab es diverse Berichte über Einheiten, die ihren Einsatzauftrag erweitert oder selbst definiert haben und sich so in den Einsatz gebracht haben.
Insbesondere Zuständigkeitsbefindlichkeiten (z.B von Gebietskörperschaften) oder politische (Nicht-)Entscheidungen sind prädestiniert dafür, diese moralische Verletzung bei Einsatzkräften und engagierten Spontanhelfern hervorzurufen.
Ausstattung im #Bevölkerungsschutz fehlt: 25 % des angestrebten Bestandes fehlen. Klingt beunruhigend? Ist es auch. Ein Thread zu Fahrzeugbeschaffung im Bevölkerungsschutz:
Ich beginne mal mit dem offensichtlichem: Öffentliche Beschaffungen in dieser Größenordnung bedingen Ausschreibungen. Ausschreibungen erfordern ein sehr detailliertes Lastenheft und gute Vorbereitung. Der Gewinner der Ausschreibung wird v.A. über den Preis (oft >50%) ermittelt
Ein detailliertes Lastenheft kann nur erstellt werden, wenn eine gute Rahmenkonzeption vorhanden ist: was muss das Fahrzeug innerhalb eines Konzeptes leisten? Welche Aufgaben sollen geleistet werden können?