Missing Link: Debatte über Kritische Infrastrukturen – alles wird Kritis
Der Begriff der kritischen Infrastruktur hat Hochkonjunktur. Was aber ist unverzichtbar für eine Gesellschaft? Und unter welchen Umständen?
(Bild: vectorfusionart/Shutterstock.com)
Was ist unverzichtbar für das Funktionieren der Gesellschaft? Und unter welchen Umständen? Diese Frage ist nicht gerade neu. Denn Resilienz, also die Widerstandsfähigkeit zur Aufrechterhaltung einer Art geregelten Betriebs, spielte historisch vor allem unter der Annahme drohender Kriege eine besondere Rolle. Was früher teils bereits konfus war, wird jetzt politisch aufgeladen noch komplizierter.
Dabei fing alles fast noch einfach an: Die Ursprünge eines etwas breiter gedachten Bevölkerungsschutzes in der Bundesrepublik liegen in einer Diskussion der 1950er Jahre: Nach dem Zweiten Weltkrieg wurde durch die Alliierten die Resilienz absichtlich heruntergestuft – Luftschutzmaßnahmen, so das Hauptstichwort, waren wie militärische Bauten der Bundesrepublik vorerst verboten. Allerdings änderte sich das unter dem Eindruck des Korea-Krieges – und in langen und zähen Diskussionen zwischen Kanzler Konrad Adenauer, Bundesinnenministerium, Bundesfinanzminister und den Ländern wurde zum einen die Errichtung einer Luftschutzverwaltung beschlossen, zum anderen festgelegt, welche Kompetenzen die Bundesländer haben sollten und sodann auch von ihnen finanziell zumindest teilweise getragen werden müssen. Und natürlich gab es darum erbitterten Streit, inklusive Rücktrittsdrohungen und einem langen Verfahren – über sieben Jahre zog sich die Diskussion ab 1950 hin, bis am 5. Dezember 1958 das Bundesamt für zivilen Bevölkerungsschutz seine Arbeit aufnahm. Das ist nun zuständig für alles, wofür die Bundesländer nach Grundgesetz nicht zuständig sind.
Schrittweiser Rückbau
Das Deutschlandtempo der Wirtschaftswunderjahre war also dem des 21. Jahrhunderts schon bemerkenswert ähnlich. Und auch die Streitigkeiten über Zuständigkeiten und Finanzierungen haben sich kaum verändert. Der sichtbarste Teil der Arbeit der Behörde: der Regierungsbunker im Ahrtal, in den sich im Verteidigungsfall die Notregierung der Bundesrepublik hätte einquartieren sollen. Doch aus den Luftschutzmaßnahmen entwickelte sich ein breiteres Bevölkerungsschutzkonzept in der Bundesrepublik – der Katastrophenschutz kam als Aufgabe hinzu, im Spiegelbild der Debatten der Zeit, in denen neben dem Atomkrieg auch Atomunfälle, Ozonloch, Waldsterben und andere Themen immer relevanter wurden. Doch der Fokus blieb bei den möglichen kriegerischen Auseinandersetzungen mit dem Warschauer Pakt. Erst nach 1990 wurde dieser Bereich für weniger relevant eingeschätzt – entsprechend wurde hier auf Bundes- und Landesebene zurückgebaut. Bis hin zum Abbau der Sirenen.
Erst unter dem Eindruck möglicher Terroranschläge ab 9/11 wurde ab 2001 wieder stärker auf Gefahren für das Funktionieren der Gesamtgesellschaft geachtet. Zu dem Zeitpunkt hatte sich ab 1991 mit dem BND-Spin-off BSI bereits ein neuer Akteur gebildet – der sich der digitalen Gefahrenlage zuwandte. Die aufziehende Digitalisierung und Vernetzung wurde als Aspekt des Zivil- und Bevölkerungsschutzes ignoriert: Analoger, physischer Bevölkerungsschutz und digitale Welt wurden parallel verwaltet. Doch je enger die beiden Bereiche zusammengedacht werden müssen, desto größer werden auch die Konflikte um Zuständigkeiten.
Wer ist hier kritisch?
Ein Problem: Was ist überhaupt kritisch für eine Gesellschaft, damit sie funktioniert? Die Corona-Pandemie hat hier viele praktische Hinweise gegeben – ohne Kita- und Schulbetrieb etwa können auch Rettungssanitäter, Pflegefachkräfte, Feuerwehrleute und Rechenzentren-Techniker nicht voll arbeiten. Die Idee hinter dem aktuell verfolgten Konzept: Teilbereiche eines Unternehmens oder der Verwaltung sind eine kritische Infrastruktur – und in diesen gibt es Tätigkeiten, die für deren Betrieb unerlässlich sind. Nur wo fängt das an und wo hört das auf?
Die offizielle deutsche Definition kommt vom Bundesinnenministerium: Als kritische Infrastrukturen werden solche Bereiche betrachtet, die "für die Funktionsfähigkeit moderner Gesellschaften von wichtiger Bedeutung sind und ihr Ausfall oder ihre Beeinträchtigung nachhaltige Störungen im Gesamtsystem zur Folge hat. Ein wichtiges Kriterium dafür ist die Kritikalität." Und dann wird es bunt: Was ist schon kritisch? Selbst psychologische Aspekte gelten für das BMI als kritisch – so wie sozioökologische Faktoren. Denn die Kritikalität ist als "relatives Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgungssicherheit der Gesellschaft mit wichtigen Gütern und Dienstleistungen hat" definiert. Alles klar?
Ganz viel Behördenchaos
Die konkreteste Ableitung aus diesen Ideen ist dabei derzeit das BSI-Gesetz und die darauf aufbauende Kritis-Verordnung (KRITIS: Kritische Infrastrukturen). Denn mit dem Gesetz, mit dem die Bonner IT-Sicherheitsbehörde zumindest den digitalen Teilbereich schützen helfen soll, werden Unternehmen bestimmt, die so unverzichtbar sind, dass bei ihnen möglichst nichts Wichtiges ausfallen sollte. Schwellenwerte wie 500.000 Versorgte, bestimmte Mengen an hergestellten oder transportieren Gütern oder eine bestimmte Menge an Kunden sollen sicherstellen, dass nichts ausfällt, was nicht anderweitig kompensiert werden könnte, und ohne dass dabei ein relevanter Schaden entsteht. Doch wie lässt sich das überhaupt gewährleisten? Mit ganz viel Behördenchaos.
Schon bei den relativ konkreten Vorschriften zur IT-Sicherheit und dem Schutz der physischen Sicherheit kritischer Infrastrukturen ist die Debatte längst wieder im Luftschutzkeller-Niveau der frühen Adenauer-Jahre angekommen: Mehr Bundeskompetenzen werden von den meisten Bundesländern schon aus Prinzip abgelehnt, Doppelstrukturen werden geschaffen und mit den Problem-Dimensionen potenziert. In Bayern etwa schützt ein Landesamt für Sicherheit in der Informationstechnik Teile des Cyberbereichs, 96 Kreisverwaltungsbehörden schützen zusammen mit Landesinnenministerium und Regierungspräsidien im Katastrophenfall. Dazu kommen die jeweiligen Sicherheitsbehörden wie Polizeibehörden. Und eine EU-Koordination? Das bleibt die Ausnahme, denn Sicherheit bleibt Mitgliedstaatssache.
Kritis als politisches Hilfsargument
Und weil das alles einfach nicht kompliziert genug ist, kommt seit einigen Jahren eine weitere Dimension zum Tragen: die politische Nutzung der Kritis-Argumente. Die Politik in Deutschland stritt im vergangenen Jahr wochenlang um die geplante Beteiligung des chinesischen Logistikriesen Cosco am Hamburger Containerterminal Tollerort. Und plötzlich, mit einem halben Jahr Verzögerung, ist das Erstaunen im Fall des Hamburger Containerterminals groß. Denn das BSI hat mit einiger Verzögerung festgestellt: Das Terminal ist mit seinen Güterumschlägen doch schon kritische Infrastruktur im Sinne des BSI-Gesetzes.
Doch dahinter steht ein ganz anderes Problem: Wie vertrauenswürdig sind eigentlich Eigentümer oder Anteilseigner, die ihren Geschäftssitz in autoritären Staaten haben? Nicht zuletzt die Geschehnisse rund um Gazprom Germania, das anscheinend kurz nach dem Angriff auf die Ukraine über eine Spontanschließung ein Marktchaos auslösen sollte, haben hier das Sensorium der Politik im vergangenen Jahr massiv geschärft. Doch auch andere, weniger aggressive politisch relevante Übernahmen stellen das bisherige Kritis-Konzept in Frage. Wie viel Sinn ergibt es, Unternehmen Sorgfaltspflichten vorzuschreiben, wenn deren Eigentümer oder Geschäftsführer als potenziell feindlich gelten müssen?
Zur Verfügung stehendes Besteck ist unzureichend
Denn für die Frage, ob ausländische Investoren deutsche Firmen kaufen, schließen oder anderweitig behandeln dürfen, ist das zur Verfügung stehende Besteck an vielen Stellen unzureichend: Die Untersagung eines Verkaufs etwa ist oft nur aus sicherheitspolitischen Gründen möglich. Auch deshalb wird der Kritis-Schutz in immer weitere Dimensionen ausgedehnt. Die Katastrophe kommt heute auch auf marktwirtschaftlichem Wege, mit Kapital, Exportmärkten, teils auch mit freundlichem App-Antlitz, nützlicher Datensammlung und KI-Innovationsfreude. Da helfen Luftschutzkeller und Vorräte im Privathaushalt nur begrenzt, dafür ganz viel Gesetzgebung, Behörden und Zuständigkeiten mit Prüfkompetenzen und Strafandrohungen.
Wie gut, dass derzeit mit der Umsetzung der CER-Richtlinie in das Kritis-Dachgesetz, der Umsetzung der NIS-Richtlinie in eine IT-Sicherheitsgesetz-Überarbeitung und mit sehr vielen weiteren kleinen Vorhaben endlich klar wird, wer wirklich kritisch ist: Juristen, die da noch durchblicken.
(tkn)
