Energie, Wasser, Telekommunikation
So will Deutschland seine kritische Infrastruktur schützen

Zeitweise 50.000 Haushalte sowie Schulen, Pflegeheime und Feuerwachen waren am 9. September 2025 von einem Stromausfall im Südosten Berlins betroffen. Die Ursache: ein mutmaßlicher Brandanschlag auf zwei Hochspannungsmasten im Berliner Stadtbezirk Treptow-Köpenick.

Cyberangriffe auf kommunale Verwaltungen in Sachsen-Anhalt und Thüringen haben im vergangenen Juli Kommunalwebseiten lahmgelegt. Und selbst die Cybersicherheit in Bundesrechenzentren genügt in der Regel nicht den Mindeststandards.

Das Bundeskabinett hat jetzt einen Gesetzentwurf auf den Weg gebracht, der Deutschland besser gegen Sabotage, Terroranschläge und Naturkatastrophen schützen soll.

„Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“: So definiert das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die kritischen Infrastrukturen.

Solche Infrastrukturen finden sich in den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Abfallentsorgung, IT, Telekommunikation und Weltraum.

Die Vielzahl der Sektoren zeigt bereits, wie komplex das Problem ist, wenn es um die Abwehr von Gefahren geht. Flughäfen und Bahntrassen, Wasser- und Kraftwerke, das Mobilfunknetz, das Internet und Krankenhäuser: Ein entwickeltes Land ist auf vielerlei Wegen angreifbar. Auf jede denkbare Störung eine Antwort zu haben, ist eine immense Herausforderung.

Hinzu kommt, dass bei dem Angriff auf eine Infrastruktur, beispielsweise die Stromversorgung, mit großer Wahrscheinlichkeit auch andere kritische Bereiche getroffen werden. So könnte es zu Dominoeffekten kommen, die dann ein immenses Schadensbild verursachen.

Die Bedrohungen für die kritische Infrastruktur in Deutschland und Europa stellen eine Mischung aus bewussten Angriffen und unbeabsichtigten Schäden durch Unfälle, Naturkatastrophen oder menschliches Versagen dar.

Immer häufiger werden verdächtige Fluggeräte über Industrie-, Forschungs- und Militäranlagen gesichtet . Am 10.09.2025 drangen russische Drohnen in den Luftraum Polens und damit der NATO ein. Die polnische Luftwaffe und andere NATO-Verbündete in Polen schossen erstmals einige russische Drohnen ab.

In Deutschland fehlten die Befugnisse für Gegenmaßnahmen, sagt der Historiker Wolfgang Krieger. Die Polizei habe keine Mittel für den Abschuss von Drohnen. Die Bundeswehr wiederum hätte die Mittel, dürfe die Fluggeräte aber nicht abschießen, weil sie im Bundesgebiet nicht eingesetzt werden darf.

Russland als staatlicher Akteur greift nach Einschätzung der EU auch Stromkabel in der Ostsee an. Auch chinesische Schiffe stehen im Verdacht, Seekabel beschädigt zu haben. Fischerei ist zudem eine häufige Ursache für unbeabsichtigte Schäden an Seekabeln. Jedes Jahr gibt es weltweit 150 bis 200 Schadensmeldungen.

Kriminelle Organisationen, die bisher Drogenhandel und Menschenhandel betrieben haben, entdecken Cyberkriminalität als lukratives Geschäftsmodell. Mithilfe von KI und Chatbots können sie digitale Angriffe auf kritische Infrastrukturen wie die Strom- oder die Wasserversorgung ausführen, ohne dass sie über spezialisierte Netzwerkkenntnisse verfügen.

Kritische Infrastruktur wird auch von politisch motivierten Gruppen ins Visier genommen oder bei Terroranschlägen beschädigt. So geht die Polizei beim Stromausfall im Südosten Berlins von einem politisch motivierten Brandschlag aus. Zum Brandanschlag auf einen Strommast, der die Produktion in der Tesla-Fabrik in Brandenburg im März 2024 lahmlegte, bekannte sich die als linksextremistisch eingestufte Vulkangruppe.

Die Hochwasserkatastrophen der vergangenen drei Jahre zeigen, dass Mobilfunk und Internet hierzulande alles andere als krisensicher sind, weil die Akkus der Basisstationen bei Stromausfällen nur wenige Stunden halten. Eine funktionierende Infrastruktur ist die Voraussetzung für schnelle Hilfe, auch bei Waldbränden, Erdbeben oder anderen extreme Unwettern.

Bestehende Regelungen zum Schutz kritischer Infrastruktur konzentrieren sich bisher auf mögliche Schadensereignisse von erheblichem Ausmaß. Nur für vergleichsweise wenige Unternehmen gibt es derzeit Vorgaben, und das sind vor allem IT-Sicherheitsvorschriften. Sie gelten für rund 4.000 Unternehmen und Einrichtungen.

Ein kleines Wasserwerk oder Krankenhaus etwa fällt nicht unter die Vorgaben, ein großes Krankenhaus dagegen muss sie einhalten. Betroffen sind Telekommunikationsanbieter, Energienetzbetreiber, aber auch Flughäfen, Lebensmittelversorger und Häfen – wenn sie vorher festgelegte Schwellenwerte überschritten haben. Unter dem Strich kann man sagen: Die gesetzlichen Verpflichtungen für Schutzvorkehrungen sind bislang unzureichend.

Das Bundeskabinett hat am 10.09.2025 einen Gesetzentwurf auf den Weg gebracht, der Deutschland besser gegen Sabotage, Terroranschläge und Naturkatastrophen schützen soll. Das KRITIS-Dachgesetz soll für eine bessere Koordination und klare Verantwortlichkeiten sorgen. Es legt Sektoren von kritischer Infrastruktur fest - und welche Ministerien bzw. Behörden jeweils dafür zuständig sind.

Zu den Bereichen, die in Zukunft besser vor Terroranschlägen, Naturkatastrophen, Sabotage, aber auch bei menschlichem Versagen geschützt werden sollen, zählen die Energie, Wasser- und Gesundheitsversorgung, die Telekommunikation, der Verkehr oder die Leistungen der Sozialversicherung.

Das KRITIS-Dachgesetz soll auch die Verantwortlichkeiten zwischen Staat und Privatwirtschaft klarer definieren. So müssen Betreiber kritischer Anlagen mindestens alle vier Jahre eine Risikoanalyse und Bewertung durchführen. Außerdem muss ein sogenannter Resilienzplan erstellt werden. Störfälle müssen gemeldet werden. Halten sich Betreiber nicht an die Vorgaben, drohen Bußgelder. Im Sommer 2026 soll das Gesetz wirksam werden.

Die Vorgaben des neuen Gesetzes müssten nach der parlamentarischen Verabschiedung alle großen Betreiber kritischer Infrastruktur erfüllen. Konkret sind das Einrichtungen, die für die Versorgung von mindestens 500.000 Menschen gebraucht werden, etwa große Krankenhäuser oder Betreiber von Mobilfunknetzen. Eine zentrale Rolle bei der Registrierung und Beratung sollen das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielen.

Absoluten Schutz kann es dabei aber nicht geben – jedes Kabel im Streckenverlauf der Deutschen Bahn rund um die Uhr zu überwachen, ist unmöglich. Das Ziel ist vielmehr Resilienz, also Widerstandsfähigkeit. Wenn ein Kabel durchtrennt wird, darf das System trotzdem nicht ausfallen. Wo die Energieversorgung unterbrochen wird, muss ein Notstromaggregat anspringen.