Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur

Zentrale Koordinations- und Aufsichtsbehörde für die physische Sicherheit soll in Deutschland das Bundesamt für Bevölkerungsschutz und Katastro­phenhilfe (BBK) werden. Wichtige Inhalte sind dabei die klare Definition und Abgrenzung der Kritisbereiche und ein institutionalisiertes Miteinander, Schaffung sektorübergreifender Regelungen, um die Hindernisse für Zusammenarbeit und Austausch zu minimieren, Möglichkeit der Erarbeitung von Mindeststandards für Betreiber durch Verbände, verpflichtende Risikoanalysen und -bewertungen sowohl staatlich als auch durch Betreiber (erstmals nach neun Monaten, dann alle vier Jahre), Resilienzpläne aufgrund Risikoanalysen und -bewertungen (alle zwei Jahre vorzulegen), zentrales Störungsmonitoring etablieren und Kontaktstelle benennen sowie Meldewesen über BBK und BSI.

Das Gesetz liegt zurzeit als Referentenentwurf vor und ist in der Überarbeitung. Dann wird dieses voraussichtlich im Februar 2025 verabschiedet werden.

Die Spekulationsebene

Aktuell sind für den Bereich Vollzug als kritische Infrastruktur noch sehr viele Punkte nicht geklärt. Ich kann an dieser Stelle lediglich auf einige offene Punkte hinweisen aber dazu leider keine Lösung anbieten. Diese Auflistung soll lediglich den zu erwartenden Aufgabenumfang in etwa aufzeigen und unter Berücksichtigung der Vorgabezeiten zur Aktivität ermuntern.

Schwellwerte

Über festzulegende Schwellwerte wird definiert, welche Projekte in einem Sektor zur kritischen Infrastruktur zählen. Die Schwellwerte für den Vollzug sind noch nicht definiert. Betrifft es alle ca. 170 JVAs? Betrifft es den Strafvollzug und/oder den Maßregelvollzug? Entscheidet die Größe der Anstalt, oder Anzahl der Insassen, oder das Strafmaß? Justizvollzug ist Ländersache. Wer definiert die Schwellwerte? Sind diese in allen Ländern einheitlich?

Standards

Da alle bestehenden JVAs individuell geplant und gebaut wurden ist, wenn man alle Sicherheitskomponenten berücksichtigt, jede JVA, als ein Unikat zu betrachten. Es gibt hier also keine einheitlichen Standards. Außerdem sind bei den Sicherheitskonzepten fast immer die Angriffsrichtung von innen nach außen als Basis der Planung angenommen. Im Rahmen des Schutzes kritischer Infrastruktur ist aber auch die Angriffsrichtung von außen nach innen zu betrachten. Auch dafür gibt es keine Standards.

Haftung, Bußgelder und Entzug

• Eine Obergrenze für Bußgelder ist in § 19 Kritis Dachgesetz noch nicht abschließend geregelt
• Governance und Organhaftung werden sowohl im BSIG-E als auch im Kritis-Dachgesetz nicht aufgelöst. Sie fügen sich in bestehendes Recht (§ 38 BSIG-E) ein
• BSI kann der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen kann, wenn diese Anordnungen des BSI missachten (§ 64 Abs. 6 Nr. 2 BSIG-E)
• Der Bußgeldrahmen ist – wie auch heute – abgestuft (vgl. § 60 BSIG-E)
• Im BSIG-E sind es 20 Millionen Euro, wichtige Einrichtungen sieben Millionen Euro oder bis zu 1,4 % des weltweiten Vorjahresumsatzes. Bei besonders wichtigen Einrichtungen und kritischer Anlagen zehn Millionen Euro oder bis zu 2 % des Vorjahresumsatzes
• Zu den Schwellenwerten will die Bundesregierung eine neue Verordnung erlassen, die dann sowohl für die Cybersicherheit (BSIG-E), als auch für die physische Sicherheit (Kritis Dachgesetz) gelten soll

Kommentierung und Forderungen

Der VfS hat gemeinsam mit dem BHE und dem ZVEI folgenden Kommentar eingereicht:

„Infrastrukturen sind wichtige Versorgungssysteme einer Gesellschaft. Die Gewährleistung der ständigen Verfügbarkeit kritischer Infrastrukturen ist eine Voraussetzung für das Funktionieren moderner, vernetzter Gesellschaften. Die Verfügbarkeit von Infrastrukturen ist jedoch nicht nur durch alltägliche Störungen und Gefahren bedroht, sondern auch durch Extremereignisse wie Naturgefahren, menschliches und technisches Versagen sowie vorsätzliche Handlungen staatlicher und nichtstaatlicher Akteure. Die Gefahren werden zu einer Bedrohung für Kritische Infrastrukturen, wenn diese den hybriden Angriffen keine gestärkte physische und digitale Resilienz entgegenstellen.

Die Identifizierung kritischer Infrastrukturen wurde in bisherigen gesetzlichen Regelungen auf europäischer und nationaler Ebene geregelt. In diesem Zusammenhang wurden Vorgaben für IT-Systeme mit Bezug zu kritischen Infrastrukturen erlassen.

Mit dem Kritis Dachgesetz sollen die Vorgaben für das sichere Betreiben von kritischen Infrastrukturen für die Betreiber auf alle dafür relevanten Bereiche ausgeweitet werden. Ziel ist es, den Betreibern organisatorische, personelle und baulich-technische (physische) Vorgaben für den Betrieb der von ihnen zu verantwortenden Kritischen Infrastrukturen an die Hand zu geben.

Aufgrund der Vielfalt der zu betrachtenden Situationen ist eine standortbezogene Einzelfallbetrachtung für jede Kritische Infrastruktur notwendig und unumgänglich. Im Rahmen einer Sicherheitsanalyse sind die Bedrohungen unter Berücksichtigung der konkreten Prozesse und Gefahren zu ermitteln. Durch eine systematische Bewertung der sich aus den Bedrohungen ergebenden möglichen Schadensausmaße und deren Eintrittswahrscheinlichkeiten sind die konkreten Risiken zu bewerten. In einem standortbezogenen Sicherheitskonzept werden für die identifizierten Risiken organisatorische, personelle und baulich-technische Maßnahmen abgeleitet. Hieraus ist ein Maßnahmenplan zur Risikobehandlung zu entwickeln, der die zeitliche Abfolge der Einzelmaßnahmen festlegt und das Ergebnis in Bezug auf die Stärkung der Resilienz definiert.

Die baulich-technischen Maßnahmen umfassen hier typischerweise:

• 1. Bauliche Maßnahmen
  
  1.1. Perimeterschutz: Die Gestaltung der Perimetersicherung z.B. durch Zaunanlagen muss unter Berücksichtigung des
  angenommenen Täterprofils, der beschriebenen Hilfsmittel und notwendigen Überwindungszeit erfolgen. Die zu betrachtenden Anforderungen wie Durchbruch, Übersteigen, Untergraben, Überfliegen, usw. sind durch technische Maßnahmen zu sichern.
  
  1.2. Zufahrtsschutz: Die Anforderungen an den Schutz von Zufahrten gegen Kfz-Durchfahrten sind zu formulieren. Hieraus ergeben sich Anforderungen an die Gestaltung der Zufahrten und an dafür benötigte Durchfahrtsschutzeinrichtungen.
  
  1.3. Pforten und Schleusen: Zugänge und Zufahrten zu kritischen Infrastrukturen müssen bedarfsweise so gestaltet werden, dass eine Kontrolle des Personen- und Warenverkehrs sicher und anforderungsgerecht möglich ist. Vorgaben der Strukturierung und der erforderlichen Widerstandsklassen sind notwendig.
  
  1.4. Gebäude: Die Anforderungen an Gebäudeaußenhüllen einschließlich Fenster und Türen sind zu formulieren.
   
• 2. Technische Maßnahmen
  
  Die Sicherung kritischer Infrastrukturen erfordert den Einsatz technischer Systeme für die Detektion von unerwünschten Ereignissen, deren Bewertung und Auslösung von Reaktionen. Hier ist der Einsatz von Sicherheitssystemen wie etwa Perimeterdetektionssystemen, Einbruchmeldeanlagen, Videosicherheitssystemen, Zutrittssteuerungssystemen und Gefahrenmanagementsystemen usw. festzulegen.
  
  
• 3. IT-Sicherheit und Cybersecurity
  
  Die IT ist in allen Bereichen von Unternehmen nicht mehr wegzudenken, d.h., ohne IT-Systeme mit der dazugehörigen Software kann kein Unternehmen mehr überleben. Auch die Vernetzung der unterschiedlichsten Systeme und deren Software ist dabei elementarer Bestandteil. D.h., die Systeme sind i.d.R. über das öffentliche Internet weltweit zumindest temporär miteinander verbunden. Bereits die Betriebssysteme dieser Systeme umfassen mehrere Millionen programmierte Quellcodes. Diese komplexen Strukturen bieten – oftmals auch bis dato – unbekannte Möglichkeiten der Manipulation und des unerlaubten Eindringens. Dieses zu vermindern, erfordert das sogenannte „Härten der IT-Systeme“ durch zusätzliche Sicherungsmaßnahmen wie ständig aktualisierte, zuverlässige Firewalls, System-Updates und Redundanzen.
  
  
• 4. Kommunikationssysteme
  
  Die Kommunikation im Sicherheitsumfeld ist zu bewerten. Neben drahtgebundenen Kommunikationsmitteln ist auch der Einsatz von Funksystemen und/oder weiterer Redundanzen zu bewerten.
  
  
• 5. Betriebssicherheit
  
  Auch die Sicherheitstechnik, die die Verfügbarkeit kritischer Infrastrukturen erhöhen soll, benötigt für die Funktion eine technische Infrastruktur. Die Anforderungen an diese Infrastruktur hinsichtlich Aufstellung, Stromversorgung, Umgebungsbedingungen sowie Instandhaltung müssen der Bedeutung der zu schützende Infrastruktur entsprechen.
  
  
• 6. Bedienkonzepte
  
  Technische Systeme für den Schutz kritischer Infrastrukturen müssen in ein personelles Bedien- und Schutzkonzept eingebunden sein. Es bedarf daher neben den „proaktiven“, technischen Maßnahmen auch ein verstärktes Augenmerk auf den Ablauf von organisatorischen Maßnahmen, um im Fall der Fälle auch im organisatorischen Ablauf – durch geeignete Maßnahmen und vorgehaltene Mitarbeiterstrukturen vorbereitet zu sein.
  
  Ziel aller technischen Maßnahmen ist es, die Vulnerabilität der Infrastrukturen in Bezug auf Bedrohungen auf ein tragbares Maß zu verringern. Mit den genannten baulich-technischen, den IT- und Cyber-, sowie den sicherheitstechnischen und organisatorischen Maßnahmen wird die Resilienz des betrachteten Systems in der Nutzungsphase erhöht, so dass die Funktion kritische Infrastrukturen und Anlagen auch während und nach dem Einfluss von Gefahren und Stressoren aufrechterhalten werden kann (Robustheit), bzw. diese schnell wiederhergestellt werden kann (Resilienz). Der Nachweis der Resilienz einer kritischen Anlage muss durch eine Wirksamkeitsprüfung alle 4 Jahre neu erbracht werden. Die Nachverfolgung der Wirksamkeitsprüfung obliegt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).“

Fazit

Der Gesetzgebungsprozess weist diverse Inkohärenzen auf. Es ist ein wichtiger Schritt in die richtige Richtung. Es ist ein langanhaltender Impuls für die Sicherheitsanforderungen und stellt einen Beitrag zur Resilienz dar. Er bietet Raum für Evaluation und Weiterentwicklung – jedoch erfordert der straffe Zeitrahmen schnelles Handeln.