Vorbereitung auf die Katastrophe
Die Ampelkoalition will kritische Infrastruktur besser schützen
Ob Pandemie oder Krieg in der Ukraine – Deutschland ist gegen die Folgen kaum geschützt. Die Bundesregierung arbeitet jetzt an ihrem „Dachgesetz für kritische Infrastrukturen“ – doch ob es das Durcheinander beseitigen kann, ist fraglich.
Medienwirksame Ereignisse wie die Anschläge auf die Nord-Stream-Pipelines, aber auch Vorfälle wie durch Ransomware außer Gefecht gesetzte Kommunalverwaltungen, durchtrennte Glasfaserkabel, die Ahrtal-Flut oder Sorgen vor einem Strom-Blackout treiben derzeit die Politik um. Und auch der Kriegsfall steht als Szenario immer wieder im Raum. Wie robust ist die Bundesrepublik? Was passiert im Fall der Fälle? Lässt sich die Widerstandskraft kurzfristig verbessern? Dazu kommt die Sorge um Abhängigkeiten von Staaten, denen die Regierung nicht vertraut.
In dieser Gemengelage ist hektische Aktivität ausgebrochen. Die Bundesregierung arbeitet am sogenannten Kritis-Dachgesetz, federführend ist das Bundesinnenministerium unter Nancy Faeser (SPD). Im Koalitionsvertrag vereinbart, soll es nun bis Mitte 2023 fertig werden.
Alles unter einem Dach
Das Dachgesetz soll vor allem den physischen Schutz von Infrastrukturen in den Mittelpunkt stellen. Doch im ersten Schritt muss Faeser Zuständigkeiten sortieren und existierende Gesetze miteinander verzahnen. Im Mittelpunkt steht die Frage: Was ist für eine Gesellschaft unverzichtbar? Wie lässt sich verhindern, dass eine Dienstleistung oder ein Produkt ausfallen – und einen Dominoeffekt auslösen, an dessen Ende nichts mehr geht?
In den Eckpunkten zum Kritis-Dachgesetz sind unter anderem „verpflichtende Schutzstandards für die physische Sicherheit“ vorgesehen. Bereits heute gibt es eine Vielzahl an sektorspezifischen Vorgaben, wie Dienstleistungen oder Herstellungsprozesse bestimmter Produkte geschützt werden müssen. Dafür zuständig sind die jeweiligen Aufsichtsbehörden der Branchen – oder die der Bundesländer, die in Deutschland für Katastrophenschutz verantwortlich sind. Um diesen Dschungel zu durchblicken, soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn deutlich mehr Aufgaben und Befugnisse erhalten. Es soll Bundesbehörden, Länder, Kommunen und andere EU-Staaten miteinander koordinieren, so steht es in den Eckpunkten.
Wie dringend das nötig wäre, zeigen die Zahlen: Derzeit befassen sich 20 Mitarbeiter im BBK mit kritischer Infrastruktur. Doch bislang hat die Bonner Behörde keinen Überblick darüber, was eigentlich alles dazugehören soll: Bislang verfüge nur die Bonner Nachbarbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), über Zahlen zu Betreibern kritischer Infrastruktur, da das BBK hierfür rechtlich nicht zuständig sei, so eine Sprecherin.
BBK und BSI sollen künftig per Gesetz zur engen Kooperation verpflichtet werden. Grundsätzlich sei das sinnvoll: „Die Welt ist eben nicht der paradiesische Friedenshort, wo niemand versucht, in ein Gebäude einzudringen, um zu knipsen oder zu sägen und die komplette Kommunikationsstruktur von Tausenden von Leuten auszuschalten“ sagt etwa Konstantin von Notz, Vorsitzender des Parlamentarischen Kontrollgremiums für die Nachrichtendienste. Allzu viel Kosten dürfen die geplanten Maßnahmen allerdings nicht: „Bei der Sicherung von Kritischen Infrastrukturen durch die Betreiber hat eine Abwägung stattzufinden zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit“, heißt es in einer Formulierung, die nach einer Debatte Anfang Dezember in das Eckpunktepapier zum Kritis-Dachgesetz aufgenommen wurde.
Europäische Resilienz
Wie eng die Bereiche verzahnt werden sollen, zeigt die EU-Richtlinie zur Abwehrkraft kritischer Einrichtungen (Critical Entities Resilience, CER), die in diesem Jahr parallel zur neuen Netzwerk- und Informationssicherheitsrichtlinie (NIS2) verhandelt wurde. Die CER-Richtlinie ist das europäische Dach über dem geplanten deutschen Dachgesetz: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur und öffentliche Verwaltung sowie Betreiber von Weltraum-Bodeninfrastrukturen fallen künftig fest unter die CER und die NIS2, müssen also sowohl physische als auch IT-Sicherheitsvorgaben berücksichtigen.
Die CER definiert jedoch nur die Mindestvoraussetzungen. Einzelne Mitgliedstaaten können über die Sicherheitsvorgaben der EU hinausgehen. In Deutschland sollen künftig etwa auch Post- und Kurierdienste, Abfallwirtschaft, Chemiewirtschaft, Medizingeräteindustrie, Maschinen- und Fahrzeugbau sowie alle größeren Anbieter digitaler Dienste und Forschungseinrichtungen unter die NIS2-Vorgaben fallen. Hinzu kommen große Lebensmittelproduzenten, -verarbeiter und -händler sowie Schulen, Kindergärten und andere Kinderbetreuungsstätten. Offenbar ist auch dem Innenministerium inzwischen aufgefallen, dass viele Mitarbeiter in kritischer Infrastruktur ohne Kinderbetreuung ausfallen würden.
Meldepflicht für Sicherheitsvorfälle
Sowohl die NIS2 als auch die CER schreiben noch zu definierende Sicherheitsniveaus vor. In vielen Fällen sind das Normen, deren Einhaltung zertifiziert wird. Laut Kritis-Dachgesetz müssen relevante Sicherheitsvorfälle in Deutschland künftig an das BBK gemeldet werden. Diese Meldepflicht ist vergleichbar mit der für IT-Sicherheitsvorfälle ans BSI.
Auch die Furcht vor zu großer Abhängigkeit von Lieferanten oder Dienstleistern aus problematischen Drittstaaten ist in beiden Richtlinien wiederzufinden. So wie im IT-Sicherheitsgesetz zuletzt verankert wurde, dass bei „kritischen Komponenten“ in Kernnetzen der Provider einer Antragspflicht unterliegen soll, legt auch die EU viel Wert auf die Einstufung von Abhängigkeitsrisiken. In Deutschland hat man im Bereich der Telekommunikation inzwischen eine gewisse Routine entwickelt: Nach Paragraf 9b BSI-Gesetz wurden inzwischen sechs Anträge auf den erstmaligen Einsatz kritischer Komponenten gestellt – das Innenministerium legte als zuständige Prüfbehörde bei drei Anträgen keinen Widerspruch ein.
Notstrom für Telefonmasten
Wie eng beide Bereiche zusammenhängen, zeigt ein weiteres Beispiel. Die Bundesnetzagentur veröffentlichte im Spätsommer ein Strategiepapier: „Resilienz der Telekommunikationsnetze“. Es beschreibt verschiedene Szenarien – etwa Störungen der Energieversorgung, Naturkatastrophen und Pandemien, aber auch Sabotage, Sonnenstürme und Kriegshandlungen. Denn ohne eine verfügbare Telekommunikationsinfrastruktur liegt vieles brach.
Was also tun? Wenn nicht ausreichend Strom zur Verfügung steht, überlegt die Bundesnetzagentur etwa Mobilfunknetze so umzuschalten, dass diese nur noch im Low-Band-Spektrum (700 bis 900 MHz) funken, das „physikalisch bedingt eine höhere Reichweite besitzt. Hiermit kann der Energieverbrauch der Netze reduziert werden.“ Doch vielen Masten mangelt es an jeder Notstromversorgung – Batterien und Photovoltaik könnten deren Betriebssicherheit erhöhen, so die Hoffnung der Betreiber und der Bonner Behörde.
Ziel sei es, „gemeinsam mit dem BSI die Widerstandsfähigkeit der öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste zu steigern“, teilt ein Sprecher der Bundesnetzagentur auf Anfrage mit. Neben Unternehmen und Verbänden seien BSI und Digitalministerium eingebunden. Wer bei dem Prozess nicht mit im Boot war: das Bundesamt für Bevölkerungs- und Katastrophenschutz (BBK) – also das Amt, das laut Dachgesetz künftig die physische Sicherheit koordinieren soll.
Genau solche Vorgänge bereiten Branchenverbänden Sorge. Es sei „notwendig, dass die aktuell in parallelen Zuständigkeiten laufenden Prozesse künftig in koordinierter Aktion zwischen allen betroffenen Ministerien, Behörden – insbesondere Bundesnetzagentur, BSI und BBK –, der Länder, der Kommunen und der Wirtschaft ablaufen“, sagt etwa eine Sprecherin des Bundesverbands der Energie- und Wasserwirtschaft. „Nur so kann Planungssicherheit entstehen.“
Offene Zuständigkeitsfragen
Bei den ganzen Ideen für mehr Resilienz der als kritisch erachteten Infrastrukturen wird es weder in Deutschland noch in Europa eine klare Hoheit geben. Denn die europäische CER-Richtlinie lasse den Mitgliedstaaten sehr großen Spielraum, sagt Christer Pursiainen vom Institut für Sicherheits- und Entwicklungspolitik der Universität Tromsø in Norwegen. „Man muss abwarten, ob die nationalen Umsetzungen ausreichend koordiniert sein werden.“
Ein Beispiel für diesen Spielraum ist der Sanktionsmechanismus: Welche Strafen sie bei Regelverstößen verhängen, ist den Mitgliedstaaten überlassen – vorgegeben ist nur, dass sie wirksam, angemessen und abschreckend sein müssen.
Was sich die Bundesregierung nicht traut: Die Zuständigkeiten im Land von Grund auf neu zu sortieren. Ob das Kritis-Dachgesetz tatsächlich mehr Sicherheit schafft, ist also mindestens offen. Ob das den Ansprüchen und der Bedrohungslage genügt, wird in den kommenden Monaten intensiv diskutiert: Die Ampelkoalition will das Gesetz im kommenden Sommer verabschieden. (hag@ct.de)