IT-Sicherheit in der Abfallwirtschaft
Grundlagen zu kritischer Infrastruktur in der Abfallwirtschaft erarbeitet

Das im Jahr 2021 durch das IT-Sicherheitsgesetz 2.0 geänderte BSI-Gesetz nimmt erstmals den Sektor der Siedlungsabfallentsorgung in seinen Geltungsbereich auf, womit vorbehaltlich der genauen Anlagendefinitionen und der festgelegten Schwellenwerte einer nachfolgenden BSI-KritisV zumindest Teile der Siedlungsabfallentsorgung zu „Kritischer Infrastruktur“ mit Blick auf die IT-Sicherheit werden. Hieran sind bestimmte Rechtspflichten geknüpft, wie etwa angemessene Sicherheitsvorkehrungen nach dem Stand der Technik zu treffen und IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

12.06.23

Welche Anlagen und Systeme der Abfallwirtschaft genau als Kritische Infrastruktur einzustufen sind, wird die genannte BSI-KritisV klären.  Auf Grundlage der Verordnung, die die Kritische Infrastruktur bestimmt, werden bestimmte Pflichten aus dem BSI-G unmittelbar wirksam, etwa die Meldepflichten von Störungen sowie die Registrierungspflicht als Betreiber Kritischer Infrastruktur beim BSI. Voraussichtlich zwei Jahre nach Inkraft-Treten der Verordnung müssen der Stand der Technik bei den Sicherheitsvorkehrungen dem BSI nachgewiesen und IT-Störungen gemeldet werden. Vor Inkrafttreten der Verordnung sind damit Abfallwirtschaftsbetriebe noch keine Betreiber von Kritischen Infrastrukturen. Beim Bundesinnenministerium wurde ein Kernteam gebildet, das die Grundlagen für die BSI-KritisV erarbeitet hat. Diesem gehörten Behörden- wie Branchenvertreter, darunter vom VKU benannte Vertreter, an. Es ist darauf hinzuweisen, dass die Ergebnisse der Kernteamsitzungen nicht deckungsgleich mit den Forderungen der Abfallwirtschaftsbranche sind.
Das Kernteam hat sich umfassend und intensiv mit möglichen Definitionen für Anlagenkategorien und der Festlegung von Schwellenwerten auseinandergesetzt. Das Ergebnis der Diskussionen wird nachstehend wiedergegeben. Das Bundesinnenministerium, in dessen Regelungskompetenz die BSI-KritisV steht, wird in Folge einen Referentenentwurf für die Verordnung erstellen, der mit anderen Bundesressorts abgestimmt werden muss. Insofern können sich Abweichungen von dem unten Dargestellten ergeben.
 
Bereiche
Für die Bereiche wurde im Kernteam diskutiert, dass es KRITIS-Anlagen grundsätzlich in den Bereichen Abfallsammlung/-beförderung (inklusive Umschlag) und Abfallverwertung/-beseitigung geben soll.

Abfallströme
Mit Blick auf die Abfallströme, die in den Geltungsbereich der BSI-KritisV aufgenommen werden sollen, wurde empfohlen, dass nicht alle Abfallströme in den Geltungsbereich der BSI-KritisV aufgenommen werden, sondern - vorrangig aus Gründen des Gesundheitsschutzes oder Erwägungen der Stadtsauberkeit - nur folgende:

  • Restmüll, Bioabfall (Biotonne), Verpackungen und Kunststoffe, Altglas, PPK für den Bereich Abfallsammlung/-beförderung
  • Restmüll, Bioabfall (Biotonne), Verpackungen und Kunststoffe für den Bereich Abfallverwertung/-beseitigung

Anlagenkategorien
Als konkrete Anlagenkategorien im Bereich Abfallsammlung/-beförderung wurden folgende identifiziert:

  • eine Anlage oder System zum Planen, Steuern, Optimieren und Durchführen der Abfallsammlung und -beförderung, zum Beispiel Dispositionssysteme, Flottenmanagementsysteme, ERP-Systeme;
  • eine Anlage oder System zum Planen, Steuern, Optimieren und Durchführen der Abfallbeförderung von einer Umschlagstation zu einer der später genannten Behandlungsanlagen, zum Beispiel Dispositionssysteme, Flottenmanagementsysteme, ERP-Systeme (gilt nicht für die Abfallströme Glas und PPK);
  • eine Anlage oder System zum Planen, Steuern, Optimieren und Durchführen der Lagerung, Zwischenlagerung und Umladung von Abfällen zum Zweck des Weitertransports, zum Beispiel Zwischenlager, Umladestationen (gilt nicht für die Abfallströme Glas und PPK).

Als konkrete Anlagen/Systeme im Bereich der Abfallverwertung/-beseitigung wurden folgende identifiziert:

  • Abfallverbrennungsanlagen, Ersatzbrennstoffkraftwerke;
  • Mechanisch-Biologische Anlagen (inkl. Mechanisch-Physikalische Stabilatanlagen);
  • Biologische Behandlungsanalgen;
  • Mechanische Anlagen;
  • Sortieranlagen.

Schwellenwerte
Neben der Definition der Anlagenkategorien waren Schwellenwerte abzuleiten, bei deren Unterschreitung die jeweilige Anlage keine KRITIS-Anlage ist. Die Schwellenwerte werden in ständiger Praxis an einem Wert orientiert, der sich an der Versorgung bzw. im Fall der Abfallwirtschaft der Entsorgung von 500.000 Personen entspricht. Dieser aus dem Katastrophenschutz entnommene Richtwert sollte nun auf die Abfallwirtschaft angepasst werden. 

Im Bereich von Abfallsammelsystemen etwa für Restmüll wäre demnach zu prüfen, ob mehr als 500.000 Personen an das Sammelsystem angeschlossen sind, oder ob die Tonnage z.B. des gesammelten Restmülls über dem durchschnittlichen Restmüllanfall pro Einwohner und Jahr multipliziert mit 500.000 - 160 kg*500.000 = 80.000 Tonnen – liegt. Liegt ein Wert oberhalb des Schwellenwerts, wäre das Sammelsystem als kritische Infrastruktur einzustufen.

Bei den Abfallanlagen sollte die genehmigte Jahreskapazität ausschlaggebend sein, z. B. wäre für Biologische Abfallbehandlungsanlagen zu prüfen: Liegt die genehmigte Jahreskapazität über 32.000 Tonnen? Dieser Wert ergibt sich aus 64 kg durchschnittlich in Deutschland pro Bürger und Jahr anfallendem Bioabfall multipliziert mit 500.000. Ist die genehmigte Jahreskapazität einer Bioabfallbehandlungsanlage größer als 32.000 Tonnen, dann ist die Anlage eine KRITIS-Anlage. 

Ausblick
Der VKU wird als Verband und im Rahmen des Branchenarbeitskreis Siedlungsabfall das Verfahren der Fertigstellung der BSI-KritisV weiter eng begleiten und seine Mitglieder zu gegebener Zeit umfassend über die konkreten Inhalte und die unmittelbar von den betroffenen kommunalen Abfallunternehmen einzuleitenden Maßnahmen informieren.

Darüber hinaus wird derzeit ein Branchenspezifischer Sicherheitsstandard („B3S“) definiert, der den Stand der Technik des „KRITIS-konformen“ IT-Schutzes in der Siedlungsabfallentsorgung darstellen soll und konkrete Maßnahmen empfehlen wird, mit denen der Stand der Technik erreicht werden kann. Dieser Standard muss vom BSI abgenommen werden.

Dieser B3S-Standard wird voraussichtlich erst im Jahr 2024 vorliegen. 

Falls Sie sich zu diesem Thema noch detaillierter informieren möchten, so bietet die VKU Akademie dazu einen Infotag an. Das Web-Seminar „Cybersicherheit in der Entsorgungswirtschaft“ findet am 28.06.23 statt und konkretisiert, was auf die Entsorgungsbranche mit Blick auf das Thema „kritische Infrastruktur“ zukommt. Alle Details und Anmeldemöglichkeiten für das Seminar finden Sie hier: https://www.kommunaldigital.de/cybersicherheit-der-entsorgungswirtschaft-4