Energie, Wasser, Telekommunikation
Warum die kritische Infrastruktur besser geschützt werden muss

Der Anschlag auf die Nord-Stream-Pipelines hat gezeigt, wie verletzbar Staaten und ihre Volkswirtschaften sind. Die Zerstörung der Energie- oder der Wasserversorgung oder das Lahmlegen des Internets kann schwerwiegende Folgen für große Teile der betroffenen Bevölkerung haben. Es ist deswegen wesentlich, auf Angriffe vorbereitet zu sein und sie abwehren oder den Schaden wenigstens minimieren zu können. In Deutschland gibt es vor diesem Hintergrund gerade eine Debatte über die sogenannte kritische Infrastruktur - und wie man diese am besten schützt. Die Bundesregierung hat hierzu einen Gesetzentwurf vorgelegt.

• Was ist kritische Infrastruktur?
• Wer bedroht die kritische Infrastruktur?
• Wie wird die kritische Infrastruktur bisher in Deutschland geschützt?
• Was will die Bundesregierung tun, um die kritische Infrastruktur besser zu schützen?

„Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“: So definiert das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die kritischen Infrastrukturen.

Solche Infrastrukturen finden sich in den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Abfallentsorgung, IT, Telekommunikation und Weltraum.

Die Vielzahl der Sektoren zeigt bereits, wie komplex das Problem ist, wenn es um die Abwehr von Gefahren geht. Flughäfen und Bahntrassen, Wasser- und Kraftwerke, das Mobilfunknetz, das Internet und Krankenhäuser: Ein entwickeltes Land ist auf vielerlei Wegen angreifbar. Auf jede denkbare Störung eine Antwort zu haben, ist eine immense Herausforderung.

Hinzu kommt, dass bei dem Angriff auf eine Infrastruktur, beispielsweise die Stromversorgung, mit großer Wahrscheinlichkeit auch andere kritische Bereiche getroffen würden. So könnte es zu Dominoeffekten kommen, die dann ein immenses Schadensbild verursachen.

Insbesondere der Überfall Russlands auf die Ukraine hat den Blick deutscher Politiker für die Krisenanfälligkeit des Landes geweitet. Das lag vor allem an der ehemaligen Abhängigkeit von russischem Gas und der Bedrohung durch eine mögliche Energiekrise.

Neben Moskau gilt auch Peking schon länger nicht mehr als verlässlicher Partner. Schon 2020 hatte die EU-Kommission empfohlen, aus ihrer Sicht risikobehaftete Anbieter wie das chinesische Unternehmen Huawei aus Kernbereichen der Telekommunikationsnetze herauszuhalten. Auch das Bundesinnenministerium hält eine Beeinträchtigung der Sicherheit in Deutschland durch Komponenten von Huawei und ZTE, ein anderes chinesisches Telekommunikationsunternehmen, für möglich.

Ähnliche Bedenken gab es beim Einstieg des chinesischen Staatskonzerns Cosco bei einem Containerterminal im Hamburger Hafen. Und fast die Hälfte der hiesigen Unternehmen, die bereits jetzt unter Regelungen zur kritischen Infrastruktur fallen, führen Cyberangriffe auf Akteure in China zurück.

In einer ähnlichen Größenordnung werden Angriffe aus Russland vermutet. Das ergab eine Befragung des IT-Verbands Bitkom. Generell gehen die Schäden durch Cyberangriffe in die Milliarden – und immer wieder sind auch Betreiber kritischer Infrastrukturen betroffen.

Angriffe auf kritische Infrastrukturen erfolgen aber nicht nur durch Akteure aus anderen Ländern, sondern können auch aus dem Inland kommen.

So hat Bundesinnenministerin Nancy Faeser (SPD) insbesondere einen besseren Schutz von Flughäfen und Bahnanlagen gefordert. Es sei an Flughäfen "nicht hinnehmbar", dass „Klimakleber“ relativ einfach über Zäune kämen, sagte sie in der ARD. Und bei der Bahn müsse es Ausweichmöglichkeiten geben, wenn Leitungen durchgeschnitten würden.

Bei einem Anschlag auf die Bahn waren zuletzt an drei Stellen im Hamburger Stadtgebiet Kabelschächte an Bahnstrecken in Brand gesetzt worden. Dazu tauchte dann auf einer linksradikalen Plattform ein Bekennerschreiben auf. Der Sabotageakt störte den Zugverkehr zwischen Berlin und Hamburg massiv.

Letztlich werden kritische Infrastrukturen aber nicht nur durch Menschen bedroht – sie müssen genauso gegen Naturkatastrophen geschützt werden. Bei Überschwemmungen, Waldbränden, Erdbeben oder extremen Unwettern ist es wichtig, dass die Infrastruktur nicht zusammenbricht – denn sie ist die Voraussetzung für schnelle Hilfe.

Bestehende Regelungen zum Schutz kritischer Infrastruktur konzentrieren sich bisher auf mögliche Schadensereignisse von erheblichem Ausmaß. Nur für vergleichsweise wenige Unternehmen gibt es derzeit Vorgaben, und das sind vor allem IT-Sicherheitsvorschriften. Sie gelten für rund 4.000 Unternehmen und Einrichtungen, die jeweils eine Mindestanzahl an Menschen versorgen.

Ein kleines Wasserwerk oder Krankenhaus etwa fällt nicht unter die Vorgaben, ein großes Krankenhaus dagegen muss sie einhalten. Betroffen sind Telekommunikationsanbieter, Energienetzbetreiber, aber auch Flughäfen, Lebensmittelversorger und Häfen – wenn sie vorher festgelegte Schwellenwerte überschritten haben. Unter dem Strich kann man sagen: Die gesetzlichen Verpflichtungen für Schutzvorkehrungen sind bislang unzureichend.

Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern jederzeit sicherzustellen, will die Bundesregierung strengere gesetzliche Schutzvorschriften für Einrichtungen der kritischen Infrastruktur vorgeben.

Hierzu liegen zwei Gesetzentwürfe vor. Das sogenannte Kritis-Dachgesetz soll wichtige Unternehmen dazu verpflichten, sich besser gegen Angriffe wie Brandanschläge oder gezielte Sabotage zu wappnen. Die Umsetzung einer EU-Richtlinie in nationales Recht (NIS 2) soll zudem dafür sorgen, dass sehr viel mehr Unternehmen als heute vor digitalen Gefahren geschützt werden, die Cybersicherheit deutlich erhöht wird.

Die neuen Regelungen betreffen sowohl staatliche Einrichtungen als auch private Unternehmen einer gewissen Größenordnung. Das Kritis-Dachgesetz schreibt ihnen Standards in der Gefahrenabwehr vor und nutzt einen breiten Sicherheitsbegriff, der von Alarmketten über den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur Anschaffung von Notstromaggregaten reicht.

Zur kritischen Infrastruktur im Sinne des Gesetzes zählen elf Sektoren, von Energie, Transport und Verkehr bis hin zu Gesundheit, Ernährung, Wasser und Telekommunikation.

Die Vorgaben des geplanten neuen Gesetzes müssten bei einer parlamentarischen Verabschiedung der Regelungen alle großen Betreiber kritischer Infrastruktur erfüllen. Konkret sind das Einrichtungen, die für die Versorgung von mindestens 500.000 Menschen gebraucht werden, etwa große Krankenhäuser oder Betreiber von Mobilfunknetzen.

Eine zentrale Rolle bei der Registrierung und Beratung soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn spielen. Hier soll auch ein Lagebild erstellt werden. Bundesinnenministerin Nancy Faeser (SPD) verfolgt einen All-Gefahren-Ansatz, bei dem alle möglichen Gefahrenarten berücksichtigt werden sollen.

Absoluten Schutz kann es dabei aber nicht geben – jedes Kabel im Streckenverlauf der Deutschen Bahn rund um die Uhr zu überwachen, ist unmöglich. Das Ziel ist vielmehr Resilienz, also Widerstandsfähigkeit. Wenn ein Kabel durchtrennt wird, darf das System trotzdem nicht ausfallen. Wo die Energieversorgung unterbrochen wird, muss ein Notstromaggregat anspringen.

Was in der Theorie einleuchtend klingt, ist in der Praxis komplex, schon allein wegen der Zuständigkeiten. Denn hier hat der Bund keinesfalls immer den Hut auf, wie man meinen könnte. Und je nach Sektor sind die unterschiedlichsten Behörden damit beschäftigt.

Für die Abwehr von Gefahren bei Naturkatastrophen beispielsweise sind die Bundesländer verantwortlich, und diese delegieren weite Teile des Katastrophen- und Bevölkerungsschutzes ihrerseits an die Kommunen. Für den Wirtschaftsschutz, die Spionage- und Sabotageabwehr wiederum sind das Bundesamt und die Landesämter für Verfassungsschutz zuständig.

Um die Cybersicherheit in Deutschland kümmert sich das Bundesamt für Sicherheit in der Informationstechnik. Für Vorschriften in Teilbereichen wie Telekommunikation und Energie ist es wiederum die Bundesnetzagentur.

In diesem Kompetenzwirrwarr den Überblick zu behalten, ist schwierig. Die gewachsene Struktur der Bundesrepublik und die zunehmende, reale Bedrohungslage sind nicht aufeinander abgestimmt. Und das dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hier eine zentrale Rolle zukommen sollte, meint nicht jeder: Dieses sei dafür weder inhaltlich noch personell gut aufgestellt, sagt der CDU-Bundestagsabgeordnete Marc Henrichmann.

Das Kritis-Dachgesetz soll noch 2023 im Kabinett beschlossen werden. Bis dahin müssen allerdings noch einige Lücken im Entwurf geschlossen werden. Beispielsweise ist darin der Erfüllungsaufwand für die Wirtschaft - also eine qualifizierte Schätzung, welche zusätzlichen Kosten auf die betroffenen Unternehmen zukommen - noch nicht beziffert. Und auch die Höhe der Bußgelder ist noch offen, die fällig werden, wenn sich Unternehmen nicht an die neuen Vorgaben halten.