Gefahren für kritische Infrastrukturen: "Uns fehlt eine Schwachstellenanalyse"

Sabotageangriff auf das Funknetz der Deutschen Bahn, absichtlich gekappte Glasfaserkabel in Frankreich und nicht zuletzt die Explosionen an den Gaspipelines Nord Stream 1 und 2 – die jüngsten Vorfälle zeigen, wie angreifbar kritische Infrastruktur ist und welche gravierenden Folgen sie haben können. Prof. Norbert Gebbeken war von 1995 bis 2019 Professor für Baustatik an der Universität der Bundeswehr München, und ist seit 2011 Gründer und Sprecher des Forschungszentrums RISK – Risiko, Infrastruktur, Sicherheit und Konflikt. Im Interview mit MIT Technology Review haben wir über ungesicherte Kabel, Leitungen, Rohre aller Art und mögliche Vorkehrungen zu deren Absicherung gesprochen.

Prof. Gebbeken, die Anschläge auf die Gaspipelines in der Ostsee und auf die Kabel der Deutschen Bahn haben Deutschland aufgerüttelt. Zu Recht?

Ja, das ist eine neue Dimension. In den letzten Jahrzehnten gab es primär Anschläge auf menschliches Leben, wie am Berliner Breitscheidplatz 2016, und kontinuierlich zunehmende Cyberangriffe auf Systeme und Infrastruktur. Nun gab es kurz nacheinander physische Angriffe auf kritische Infrastruktur im Energie- und Verkehrssektor.

Was kommt als nächstes?

Bei so einer Frage bin ich extrem vorsichtig. Wenn man Katastrophenszenarien durchspielt, schreckt man die Bevölkerung auf und verrät kriminellen und terroristischen Kräften womöglich noch ungewollt Details. Dabei weiß man selbst als Experte nicht genau, wie hoch die Wahrscheinlichkeit für so einen Fall und wie hoch das Risiko ist. Natürlich kennen wir die kritischen Infrastrukturen in Deutschland. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe definiert zehn: allen voran Wasser, Energie und Ernährung, aber auch Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Siedlungsabfallentsorgung, Medien und Kultur, Staat und Verwaltung, Transport und Verkehr. Diese sind noch in zahlreiche Sektoren unterteilt. Was uns aber fehlt, ist eine Schwachstellenanalyse.

Kenntnisse über die Angreifbarkeit

Wir wissen also nicht, wo ein Angreifer besonderen Schaden bei der Wasser- oder Lebensmittelversorgung, im Strom- oder Handynetz anrichten kann?

In Teilen wissen wir das sicherlich. Manches hält der Bund auch geheim, wenn es etwa um sehr sensible Bereiche geht, die ich ungern nennen möchte. Auch die Unternehmen selbst wissen mehr oder weniger Bescheid über ihre kritischen Systeme. Wir müssen aber als Gesellschaft und Staat die Vulnerabilität unserer kritischen Infrastruktur komplett und genau kennen. Wo ist sie überall verwundbar? Und wie stark? Es braucht also eine Schwachstellen- und Risikoanalyse und eine Analyse der Abhängigkeiten. Einfaches Beispiel: Ein längerer Stromausfall stört auch die Wasserversorgung, die auf Pumpen angewiesen ist. Und auf dem aufbauend kann eine Resilienzanalyse folgen.

Resilienz – also die Fähigkeit eines Systems, Ereignissen zu widerstehen und dabei seine Funktionsfähigkeit zu erhalten oder schnell wiederzuerlangen?

Richtig. Zum Beispiel durch Redundanz, also Ersatzsysteme, die einspringen. Letzteres sollte auch noch ein analoges Backup umfassen, wenn Cyberangriffe die digitale Steuerung, beispielsweise eines Kraftwerks, und seine Redundanzsysteme beschädigen.

Die Systeme der kritischen Infrastruktur durchziehen unser Land so vielfältig und komplex wie das Nervensystem unsere Körper. Alles können wir nicht schützen. Es gibt in Deutschland zum Beispiel über 33.000 Kilometer Eisenbahnschienen, mindestens ebenso viel Stromleitungen, sowie über 600.000 Kilometer Straßen, unter denen zum Teil Gasleitungen und Wasserrohre verlegt sind. Aber die Knotenpunkte, die Rechen- und Leitzentren, und ihre Zugänge müssen wir auf jeden Fall besser schützen. Im Einzelfall muss man sich da die klassischen Sicherheitsmaßnahmen ansehen: Zäune, Tore, Videoüberwachung, Werkschutz. Auch wenn es um Schächte für Leitungen und Kabel geht, Stichwort Deutsche Bahn 2022 oder München im Jahr 2021: Es gibt heute drahtlose Sensoren, die sofort erkennen, wenn jemand unbefugt eindringt oder sich an Systemen zu schaffen macht. Und solche Maßnahmen richten sich nicht nur gegen mögliche externe Täter.

Sie denken an Innentäter?

2020/2021 erlitt die deutsche Wirtschaft über 220 Milliarden Euro Schaden durch IT-Fehler, Diebstahl, Spionage oder Sabotage. Zu mehr als der Hälfte waren eigene Mitarbeiter verantwortlich, zum Teil unabsichtlich, zum Teil vorsätzlich. Bei Kernkraftwerken gibt es gesetzlich vorgeschriebene Sicherheitsüberprüfungen bei Mitarbeitern und Sicherheitsstufen für Zugänge. Das muss in anderen Sektoren auch kommen. Zumindest da, wo eine Sabotage oder Unachtsamkeit die Versorgung einer ganzen Region mit Leistungen der kritischen Infrastruktur gefährden würde, vor allem mit Wasser, Energie und Telekommunikation.

"Nach Katastrophen haben wir nicht so viel dazugelernt"

Es gibt ja auch Naturkatastrophen, die kritische Infrastruktur schädigen. Wie steht Deutschland angesichts dieser Bedrohung da?

Nicht so gut, fürchte ich. Die größte Naturgefahr hierzulande sind Hochwasser und Sturzfluten. Ungefähr zehnmal gefährlicher als Extremstürme und tausendmal gefährlicher als Erdbeben. Nach dem Augusthochwasser 2005 an den Alpen und der Flutkatastrophe im Ahrtal 2021 haben wir nicht so viel dazugelernt. Noch immer bzw. wieder stehen in diesen Gebieten Wohnhäuser an extrem gefährdeten Stellen. Noch immer fällt bei solchen Flutkatastrophen kritische Infrastruktur über Tage aus. Das kostet stets Menschenleben, etwa indem Rettungskräfte durch zerstörte Verkehrs- oder Kommunikationswege nicht rechtzeitig helfen können.

Das Problem ist eine gewisse "Demenz" nach solchen Katastrophen. Wenn das Schlimmste überstanden und das Wichtigste wieder aufgebaut wurde, fokussieren sich Politiker und Behörden auf andere Dinge. Dabei wäre kurz nach der Katastrophe die Chance, Vorsorge für das nächste Mal zu betreiben. Leider gibt es bisher keine verlässliche Berechnung, die sagt, wieviel Geld man durch Investitionen in eine resiliente Infrastruktur sparen würde verglichen mit den Kosten, alles stets wieder neu aufzubauen.

Was wünschen Sie sich von der Politik?

Vor wenigen Tagen gab Innenministerin Nancy Faeser die Gründung einer Koordinierungsstelle zwischen Ministerien zum Schutz der kritischen Infrastruktur bekannt. Mit einem neuen Gesetz sollen Betreiber kritischer Infrastruktur zu höheren Sicherheitsstandards verpflichtet werden. Es wird Melde- und Berichtspflichten geben. Geld soll in mehr Kameras an Bahnanlagen fließen. Angesichts der hybriden Bedrohungslage – Cyberattacken und physische Angriffe – , und eben Naturkatastrophen, sind dies Schritte in die richtige Richtung. Auch die Stresstests für die Stromversorgung waren beispielhaft. Solche Tests und Studien, eben zu Schwachstellen, Risiken und Resilienz, sollten nun in allen Bereichen der kritischen Infrastruktur durchgeführt werden. Für Risikoanalysen gibt es die Norm DIN 31000, für Schwachstellen- und Resilienzanalysen existieren weder methodische Ansätze noch ordnungsrechtliche Vorgaben. Das muss sich dringend ändern.

(jle)