Donnerstag, 26. Januar 2023

Kritische Infrastruktur
Lebenswichtige Bereiche in Deutschland nur unzureichend geschützt

Wasserwerke, Energieversorgung, Datenleitungen müssen auch und gerade im Krisenfall funktionieren. Neue Gesetze sollen den Schutz der kritischen Infrastruktur verbessern. Noch aber ringen Behörden und Politik darum, was überhaupt dazu gehört.

Von Falk Steiner | 23.12.2022

Rohrleitungen zu unterirdischen Speichern auf dem Gelände des Erdgasspeichers Rehden. Betreiber des Speichers ist die Firma Astora, eine Tochtergesellschaft des russischen Staatskonzerns Gazprom.
Verkauf als kritisch eingestufter Infrastruktur: Der Erdgasspeicher Rehden wird von der Firma Astora betrieben, einer ehemaligen Tochtergesellschaft des russischen Staatskonzerns Gazprom (picture alliance / dpa / Lino Mirgeler)
Was ist für einen Industriestaat wie Deutschland unverzichtbar, damit er noch einigermaßen funktionieren kann? Durch die Covid-Pandemie, aber auch die Hochwasserkatastrophe an der Ahr und den russischen Angriff auf die Ukraine ist innerhalb sehr kurzer Zeit sehr deutlich geworden, wie dringend Antworten auf diese Frage nötig sind.  
Ohne eine zuverlässige Stromversorgung, ohne Wasser, Lebensmittel und Medikamente wären nicht allein Unternehmen, Behörden und deren Mitarbeiterinnen und Mitarbeiter hilflos - selbst das gesamtgesellschaftliche Miteinander wäre bedroht. Diese Erkenntnis scheint sich langsam durchzusetzen. Gegenüber Staaten, die die Ukraine unterstützen, wie zum Beispiel Deutschland, setzt Russland Energie als Waffe ein. Das hat tatsächlich erste gesellschaftliche Folgen. Protestpotenziale scheinen zu wachsen. Die Bundesregierung steckt Milliarden in die Umstellung auf andere Lieferländer und Energieträger. Diese Bedrohung ist allerdings nur eine von vielen. 
Noch dazu aber ist das Auftreten von Ereignissen, die zu ernsthaften Engpässen führen, kaum vorauszusagen. Krisenvorsorge ist schon deshalb sehr schwierig. Der in Deutschland bestehende Katastrophenschutz entstand weitgehend aus der militärischen Logik des Kalten Krieges. Doch selbst wenn derzeit wieder vieles an die Block-Konfrontation erinnert: Die Gefahrenlage habe sich schon lange vor der russischen Aggression verändert. Das sagt Konstantin von Notz, er ist Abgeordneter der Grünen im Bundestag und dort Vorsitzender des Kontrollgremiums für die Nachrichtendienste: "In dieser hochtechnologisierten Gesellschaft, in der wir leben, gehören unheimlich viele Bereiche zur kritischen Infrastruktur. Natürlich die offensichtlichen, die Energieversorgung, die Stromversorgung, die Wasserversorgung. Aber ich nenne mal ein Beispiel für den zweiten Blick: Es gibt große Lebensmittelkonzerne in Deutschland, die, wenn sie ausfallen, tatsächlich zu relevanten Schwierigkeiten bei der Versorgung mit Nahrung der Bevölkerung führen können."

Verschiedene Ursachen für Ausfälle in der kritischen Infrastruktur

Wie schnell Versorgungsprobleme selbst mit Hygieneartikeln auftreten können, hat sich in der Covid-Pandemie gezeigt. Eng abgestimmte und getaktete Lieferketten wurden unterbrochen, plötzlich fehlten wesentliche Grundstoffe und Materialien. Hektisch musste zum Beispiel Schutzausrüstung für medizinisches Personal beschafft werden. 
Globale Vernetzung, Just-in-Time-Ökonomie und internationale Arbeitsteilung haben Deutschland und die Europäische Union zwar erfolgreich gemacht, aber auch verletzlich werden lassen. Das Funktionieren der Wirtschaft, der Gesellschaft und des Staates hängt von Voraussetzungen ab, die nicht garantiert sind. Sind die Probleme einmal da, wird es enorm teuer, sie zu lösen - wenn das überhaupt möglich ist. Ob höhere Gewalt, also Ereignisse wie eine Pandemie oder Naturkatastrophen oder gezielte Aggression wie Krieg, Sabotage oder Hackerangriffe: Völlig unterschiedliche Ursachen können zu Ausfällen kritischer Infrastrukturen führen.
Die Schwelle, ab der Unternehmen und Behörden mehr Vorsorge treffen müssen, war bisher in den meisten Fällen hoch, auch bei der IT-Sicherheit. "Viel zu hoch", meint Manuel Atug, Sprecher der Arbeitsgemeinschaft Kritische Infrastrukturen, einem Zusammenschluss von Expertinnen und Experten, die meist aus dem IT-Sicherheitsbereich stammen: "Wir haben ja so pauschal den Schwellenwert 500.000 Personen müssen versorgt werden, dann ist es kritische Infrastruktur. Und dann müssen nur Cyberanforderungen gemacht werden. Die Botschaft an alle, die unter 500.000-Versorgung sind: 'Dieses Gesetz geht an mir vorbei. Ich muss nichts tun'", bemängelt Atug. Und er nennt ein Beispiel: "Gucken wir uns den Sektor Wasser an: 5.500 Wasserwerke. Davon sind 47 Kritis, weil sie über 500.000 Menschen versorgen. 5.450 sagen: 'Ich muss nichts machen.' Genauso wie 11.000 Kommunen. Das kann nicht den Schutz der Bevölkerung bedeuten."

Abhängigkeiten oft unbekannt

In vielen Fällen ist schlicht unbekannt, wo Abhängigkeiten von Elektrizität, Wasser, Wärme und Brennstoffen wirklich betriebskritisch sind - und zunehmend spielen auch Faktoren wie der Anschluss ans Mobilfunknetz oder ans Internet eine entscheidende Rolle. Welche Dienstleistung, welche Produkte tatsächlich von der Versorgung mit Energie, digitalem Netzanaschluss oder bestimmten Produkten abhängen, das ist systematisch bislang kaum erfasst. Kritische Wechselwirkungen sind immer noch ein Dunkelfeld, das erst im Katastrophenfall heller wird, obwohl vieles sehr naheliegt. Das ist bislang ziemlich unbekanntes Terrain. Und alles sei kaum zu schützen, sagt Manuel Atug. Der Sprecher der AG Kritis sieht eine falsche Zielsetzung als Teil des Problems: "Weil die Leute oft das Risiko nicht verstehen, weil sie den Cyberraum nicht verstehen und die Digitalisierung, aber weil sie eben auch eine falsche Interpretation und populistische Interpretation machen und sagen: 'Wir müssen alles hochsicher machen, aber das ist ja teuer, und dann geht das nicht, und dann stellen wir hier 1.000 Bundespolizeibeamte hin auf Tausende von Kilometern Kabeltrassen und dann sind die geschützt und keiner kann mehr sabotieren.'"
Die Idee, Glasfaserkabel mit Personal und Drohnen zu überwachen, wurde nach den Anschlägen auf das Zugfunknetz der Deutschen Bahn von Politikerinnen und Politikern geäußert. An zwei Stellen waren Glasfaserkabel der Bahn durchtrennt worden. Bis heute konnten die Täter nicht ermittelt werden. Klar ist jedoch, die Bahninfrastruktur war nicht auf einen solchen Sabotageakt vorbereitet – und eigentlich vorhandene Rückfallmöglichkeiten wurden nicht genutzt.
Doch wie können Auswirkungen von vornherein möglichst klein gehalten, die gefürchteten Dominoeffekte also vermieden werden? Wie kann sichergestellt werden, dass ein Teilausfall einer Institution oder eines Unternehmens nicht auf andere Bereiche durchschlägt? Dafür sollen nun Gesetze sorgen – in der Europäischen Union und in Deutschland.
Mit dem Angriff Russlands auf die Ukraine wurde der Verhandlungsprozess für zwei Regelungen auf EU-Ebene massiv beschleunigt. 2022 wurde erst die Revision der Netzwerk- und Informationssicherheitsrichtlinie für eine bessere IT-Sicherheit beschlossen, anschließend die sogenannte CER, die Richtlinie über den Schutz Kritischer Einrichtungen. Sie enthält komplementär zu den IT-Sicherheitsvorschriften Vorgaben für den physischen Schutz von kritischen Infrastrukturen.

Regelungen auf EU-Ebene

Bart Groothuis hat für das Europäische Parlament die Überarbeitung der Netzwerk- und Informationssicherheitsrichtlinie verhandelt. Für ihn sind die beiden Gesetzeswerke ein großer Fortschritt. Europa müsse schon wegen des gemeinsamen Binnenmarkts zusammenarbeiten. Die Sicherheit eines Mitgliedsstaats hänge auch von der Sicherheit anderer EU-Staaten ab: "Das Wichtigste ist, dass wir mehr als 100.000 neue kritische Einrichtungen in Europa benennen, von Wasser- über Telekommunikations- bis hin zu Elektrizitätsunternehmen, aber auch große Hersteller, sehr wichtig für Deutschland, und auch Behörden sind eingeschlossen. Und was haben diese gemein? Sie bieten essenzielle Dienstleistungen für Bürger an."
Groothuis kommt aus dem Bereich der IT-Sicherheit, er war vor seinem Mandat im Europaparlament im niederländischen Verteidigungsministerium für Cyberabwehr zuständig. Ihm geht es aber nicht mehr allein um diesen Bereich, und auch die beiden EU-Gesetze tragen dem Rechnung. Beide Richtlinien wurden parallel verhandelt, so der niederländische Christdemokrat. Während aber die Netzwerk- und Informationssicherheitsrichtlinie sehr konkrete Vorgaben enthält, also recht klar umreißt, was als kritische Infrastruktur gelten soll, ist das in der Richtlinie über kritische Einrichtungen, CER, deutlich unschärfer.

Deutscher Gesetzentwurf in Vorbereitung

Beide Gesetzeswerke müssen von den Mitgliedstaaten der EU umgesetzt werden, die dann wiederum die Betreiber privater und öffentlicher Stellen verpflichten, also zum Beispiel Behörden und Unternehmen, die zur Kritischen Infrastruktur gehören. Im Sommer, kurz nach der Einigung auf die EU-Richtlinien, kündigte die Bundesinnenministerin und SPD-Politikerin Nancy Faeser an: "Ich werde dem Kabinett noch in diesem Jahr Eckpunkte für ein Kritis-Dachgesetz vorlegen. Darin werden wir Maßnahmen zur Erhöhung der Resilienz und Berichtspflichten bei Sicherheitsvorfällen vorsehen."
Ein "Kritis-Dachgesetz", das heißt: Die bislang verstreuten Maßnahmen zum Schutz kritischer Infrastrukturen sollen besser koordiniert werden, gerade auch bei der physischen Sicherheit. Zuständig dafür soll das BBK werden: das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe in Bonn. Also jene Behörde, deren Hauptaufgabe der Zivilschutz ist. Das Bundesamt stand immer wieder in der Kritik. Bekannt wurden Mängel beim Funktionieren von Sirenen. Für Katastrophenfälle sind allerdings, so sieht es das Grundgesetz vor, in erster Linie die Bundesländer zuständig. Sie übertragen ihrerseits weite Teile der Zuständigkeiten an Landesbehörden, Landkreise und Kommunen. Was das in der Praxis bedeutet, zeigte sich am Durcheinander während der Ahrtal-Flut, als schon die landesinterne Abstimmung in Rheinland-Pfalz scheiterte.
Weggeschwemmte Versorgungsleitungen liegen am Ufer der Ahr gegenüber dem Kurhaus. Die Flut hat im Ahrtal große Teile der Infrastruktur zerstört. Zweieinhalb Wochen nach der Hochwasserkatastrophe laufen die Aufräumarbeiten auf Hochtouren.
Ahrtal-Flut: Durcheinander bei der landesinternen Abstimmung zum Katastrophenschutz in Rheinland-Pfalz (picture alliance / dpa / Thomas Frey)
Derzeit arbeiten 20 Mitarbeiterinnen und Mitarbeiter im Bundesamt für Bevölkerungs- und Katastrophenschutz in zwei Referaten zu kritischen Infrastrukturen, so die Auskunft der Behörde selbst. Wie umfassend dieser Aufgabenbereich künftig wird, weiß dort offenbar derzeit noch niemand. So lautet der Arbeitsauftrag an die Mitarbeiterinnen und Mitarbeiter, die "besonders schützenswerten kritischen Infrastrukturen“ zu identifizieren, und zwar "systematisch und umfassend".

Regelungen bislang vor allem zur IT-Sicherheit

Bislang verfüge nur die Bonner Nachbarbehörde BSI über Zahlen zu kritischen Infrastrukturen in Deutschland, also das Bundesamt für Sicherheit in der Informationstechnik, so eine BBK-Sprecherin zum Deutschlandfunk. Das Bundesamt für Bevölkerungs- und Katastrophenschutz ist nach ihrer Auskunft hier rechtlich bislang nicht zuständig. 
Zwei Welten prallen aufeinander: Im Bereich IT-Sicherheit wird seit Jahren intensiv darüber diskutiert, wie die Ausfallsicherheit erhöht und eine Verringerung von Abhängigkeiten erreicht werden kann. Regelungen zu kritischen Infrastrukturen gibt es bislang vor allem durch das IT-Sicherheitsgesetz des Bundes und die Netzwerk- und Informationssicherheitsrichtlinie der EU. Hier geht es vor allem die Frage, welche Hard- und Software eingesetzt wird, welche Schutzstandards in Rechnersystemen eingehalten werden müssen. Schon lange vor den Vorfällen bei der Deutschen Bahn und dem Anschlag auf die Nordstream-Pipeline war klar, dass Angriffe auf IT-Infrastruktur zum Arsenal hybrider Kriegsführung gehören können.
Das Foto zeigt einen großen Strudel an der Oberfläche der Ostsee auf dem Staatsgebiet Dänemark. Es handelt sich um drei Lecks in den Gaspipelines Nordstream 1 und 2.
Leck bei Nordstream: Schon lange vor dem Anschlag auf die Pipeline war klar, dass Angriffe auf IT-Infrastruktur zum Arsenal hybrider Kriegsführung gehören können (Imago / UPI Photo / Danish Defence)
Für die Debatte über die Sicherheit Kritischer Infrastrukturen bietet das zumindest eine Grundlage: "Wir haben eine bundesdeutsche Definition von zehn kritischen Infrastruktur-Sektoren. Davon sind acht im BSI-Gesetz geregelt. Das ist also das, was man fast immer als kritische Infrastruktur versteht, weil diese acht sind konkret mit Handlungsanweisungen versehen“, sagt Manuel Atug von der AG Kritis. Das BSI-Gesetz legt die Aufgaben des Bundesamts für Sicherheit in der Informationstechnik fest. Die Definition von "kritischer Infrastruktur" ist hier also eng gefasst, es geht ausschließlich um Cybersicherheit. "Das BBK, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, hat eine andere Definition von kritischen Infrastrukturen, denn die haben beispielsweise auch so was wie Groß-Forschungseinrichtungen oder Chemie als kritische Infrastruktur, weil sie sagen, wenn wir da was tun müssen, dann sind das die Fragestellungen, die uns adressieren. Auf Länderebene gibt es auch noch mal 16 verschiedene Definitionen, die wir teilweise in der Pandemie dann kennengelernt haben."
Dieses Durch- und Nebeneinander soll nun zumindest besser sortiert werden. Das ist ein Kern des geplanten Kritis-Dachgesetzes: Die Eckpunkte sehen vor, dass das Bundesamt für Bevölkerungs- und Katastrophenschutz eine zentrale Rolle einnimmt – als Sammelstelle für Sicherheitsvorfälle. Genau solch eine Meldestellenfunktion gibt es bereits im Bereich der IT-Sicherheit für kritische Infrastrukturen: beim Bundesamt für Sicherheit in der Informationstechnik.
"Wenn man auch hier zwei, drei Minuten genauer drüber nachdenkt, über auch die Gefährdungen, die entstehen können, dann kann man das eigentlich nicht richtig trennen", sagt allerdings der Bundestagsabgeordnete Konstantin von Notz. "Also der physische Zugang zu bestimmten Cyber-Infrastrukturbereichen fällt dann eben in den Nicht-Cyberbereich und muss aber natürlich trotzdem geschützt sein. Mir hilft die beste Firewall nichts, wenn der Rechner eben leicht zugänglich ist und dann jemand einen USB-Stick da reinstecken kann."
Ein Mann mit kurzen Haaren und Brille presst seine Lippen aufeinander – ihm sind viele Mikrofone und eine Kamera entgegen gestreckt.
Konstantin von Notz (Grüne): "Mir hilft die beste Firewall nichts, wenn der Rechner eben leicht zugänglich ist und dann jemand einen USB-Stick da reinstecken kann" (dpa / Bernd von Jutrczenka)
Ob das Kritis-Dachgesetz das leisten kann, ist offen. Im Eckpunkte-Papier ist nur zu lesen, dass BSI und BBK gut zusammenarbeiten sollen. Manuel Atug sieht das ähnlich wie Konstantin von Notz: Physische Sicherheit und Cybersicherheit sollten zusammen gedacht werden, die Eckpunkte seien ein schlechter Start für ein gutes Vorhaben. "Wenn man sagt, wir kümmern uns jetzt um kritische Infrastrukturen, gegen Sabotage, dann kommt: 'Wir gründen einen neuen Stuhlkreis und machen einen neuen Lagebericht.' Und dann haben wir noch einen Akteur mit noch einem Stuhlkreis und noch einem Lagebericht. Aber kein Lagebericht und kein Stuhlkreis hat jemals eine Maßnahme zur Verhinderung, dass eine Störung eine Auswirkung wird wie eine Krise oder Katastrophe, erzeugt."

Verkauf wichtiger Unternehmen ins Ausland?

Was Stuhlkreise, also Entscheider in Behörden und Politik, aber manchmal leisten können, ist ebenso wichtig wie Gesetze, die für die Sicherheit kritischer Infrastrukturen sorgen. So arbeiten schließlich auch Krisenstäbe, entweder auf Grundlage von Regelungen und Gesetzen oder auch freihändig, wenn es solche Gesetze nicht oder noch nicht gibt.
Ein Beispiel ist der Verkauf als kritisch eingestufter Infrastrukturen in der EU und in Deutschland. Der Einstieg des chinesischen Cosco-Konzerns bei einem Containerterminal des Hamburger Hafens sorgte zuletzt für Aufregung, ebenso der geplante Verkauf eines für Automobilhersteller relevanten Chip-Produzenten an chinesische Investoren. Die Debatte um chinesische Anlagen in Mobilfunknetzen oder Cloud-Infrastrukturen dauert ohnehin an.
Das Logo am Firmensitz des Halbleiterherstellers Elmos Semiconductor SE in Dortmund.
Beispiel für den Verkauf als kritisch eingestufter Infrastrukturen in der EU und in Deutschland: Der Halbleiterhersteller Elmos in Dortmund wollte seine Chips an chinesische Investoren verkaufen (IMAGO / Friedrich Stark / IMAGO / Friedrich Stark)
Bislang ging es da weitgehend um Einzelfallentscheidungen, politisch wurde hart gerungen. Solche kritischen Entscheidungen hängen nicht zuletzt an politischen Einschätzungen. Das hat etwa der Verkauf von Erdgasspeichern oder Raffinerien an russische Konzerne in den vergangenen Jahren nachdrücklich gezeigt. Ein Fehler, wie man heute weiß, denn staatsnahe Akteure können durchaus als Investoren tätig werden, um politische Ziele zu erreichen, Druck auszuüben. Angriffe auf Infrastrukturen sind dann nicht mehr nötig, um Staaten zu erpressen. Deutschland hat das zuletzt am Beispiel der Gasspeicher lernen müssen und das war teuer.

Physische Sicherheit und IT-Sicherheit

Doch bei den Gesetzen zum Schutz Kritischer Infrastruktur ist diese Gefährdung bislang außen vor geblieben. Dabei dürfe man sie nicht unterschätzen, sagt der niederländische Europa-Abgeordnete Bart Groothuis. Physische Sicherheit und IT-Sicherheit seien eben nur zwei Aspekte eines Problems, das noch ganz andere Ebenen erreiche. "Es muss klar sein, dass es, erstens, drei Länder in der Welt gibt, die offensive Programme für den Diebstahl geistigen Eigentums verfolgen. Diese wollen, zweitens, die liberale Weltordnung stürzen. Und drittens, sie sind willens und in der Lage, das extraterritorial zu tun, also auch innerhalb der EU. Das sind China, Russland und der Iran, die drei Länder mit denen wir ein Problem haben. Wir sollten politisch Strukturen schaffen, die sicherstellen, dass sie keine Firmen übernehmen können."
Die Abhängigkeit der EU von Russland hat seit dem Kriegsbeginn am 24. Februar massiv abgenommen. Doch die Abhängigkeit von anderen, teils ebenfalls autoritären Staaten, nimmt dafür zu. Auch für Konstantin von Notz geht es um mehr, als nur den Blick auf Sabotageversuche und IT-Sicherheit. Es gehe darum, sagt er, die Infrastruktur auf allen Ebenen besser zu schützen: "Das ist kein sehr innovativer Gedanke, dass man jetzt sozusagen feindlich gesinnte Staaten, die einfach eine komplett andere Agenda haben und gegebenenfalls sogar eine latent feindliche, dass man die aus dem Kernbereich der eigenen kritischen Infrastruktur raushalten muss. Da hat man in den letzten 20 Jahren viel versäumt. Das müssen wir jetzt nachholen und korrigieren und ich glaube, dass das auch ganz gut möglich ist."
Wenn die Bundesregierung im kommenden Jahr ihre Nationale Sicherheitsstrategie veröffentlicht, soll auch die Frage der Abhängigkeiten ausdrücklich Thema sein – in all ihren Dimensionen. Die kritischen Infrastrukturen nicht nur auf dem Papier, sondern auch in der Realität besser zu schützen, wird aber komplex, aufwändig und somit teuer sein.