Sabotage im Krieg: Kritische Infrastruktur gefährdet?

Nach der mutmaßlichen Sabotage der Pipelines Nord Stream I und II ist die Sicherheit kritischer Infrastrukturen ganz oben auf der politischen Agenda gelandet. Was bedeutet der Begriff?

Damit Unternehmen arbeiten können, die Kita geöffnet bleibt und im Supermarkt Obst, Gemüse und Milchprodukte verfügbar sind, braucht es vor allem Energie, aber auch Verwaltung, Logistik, Transportmittel und Arbeitskräfte. All diese Systeme zählen zur kritischen Infrastruktur. Hinzu kommt der ungehinderte Zugang zu Medien. Der Begriff „kritisch“ bezieht sich dabei auf die Systemrelevanz dieser In­frastrukturen. Sie sind die Grundvoraussetzung dafür, dass eine Gesellschaft funktionieren kann.

Wie gefährdet ist unsere kritische Infrastruktur?

Hochwasser, Stürme oder andere Naturkatastrophen belasten Infrastrukturen. Die Coronapandemie hat gezeigt, wie schnell Einrichtungen des Gesundheitswesens an ihr Limit kommen. Durch den russischen Angriffskrieg auf die Ukraine ist die Zerbrechlichkeit unserer kritischen Infrastruktur noch sichtbarer geworden. Durch die Pipelines strömt nach den Explosionen so gut wie kein Gas mehr, durch die Getreideblockade verteuerten sich weltweit die Lebensmittel. Der Krieg ist ein hybrider Krieg, der nicht nur auf dem Schlachtfeld, sondern auch am Energiemarkt und – wie wir jetzt erleben – unter Wasser ausgetragen wird.

taz am wochenende

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.

Dort befinden sich auch jene Unterwasserkabel, mit denen wir an das Internet angeschlossen sind. Doch in Tausenden Metern Tiefe ist es quasi unmöglich, diese Kabel vor Sabotage zu schützen. Auch die Wartung ist schwierig, da die Daten über den Zustand der Kabel nirgendwo zusammengeführt werden. Zudem gibt es weltweit nur wenige Spezialschiffe, mit deren Hilfe solche Kabel repariert werden können. Wis­sen­schaft­le­r:in­nen beklagen eine „kollektive Meeresblindheit“, die beschreibt, wie sehr das Treiben im Meer politisch vernachlässigt wird.

Wer ist für den Schutz dieser Infrastruktur zuständig?

Es ist kompliziert. Die Betreiber stehen vor allem in der Pflicht. Im Fall der Pipelines, die unmittelbar Teil des aktuellen Kriegsgeschehens sind, helfen Schweden und Dänemark bei der Aufklärung. Aber auch die EU und die Nato-Staaten. Die Bundeswehr hat ein Minentaucher-Einsatzboot geschickt, die Bundespolizei will verstärkt an den deutschen Küsten kontrollieren. Und natürlich sollen die Geheimdienste Informationen liefern. Vor Attacken auf die Unterwasserkabel wurde mehrfach gewarnt. Insgesamt zeigt der Fall zu den Pipelines erneut, dass Zuständigkeiten nicht geklärt sind und im Krisenfall hektisch agiert werden muss.

Und wie sieht es in Deutschland aus?

Die oberste Zuständigkeit für den Schutz kritischer Infrastruktur liegt beim Bundesinnenministerium. Aber die Betreiber der Infrastrukturen müssen eigene Schutzmaßnahmen gewährleisten, die Länder für polizeiliche Maßnahmen sorgen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erstellt Empfehlungen und Leitfäden für Betreiber – und berät quasi für den Krisenfall. Laut Bundesdigitalministerium soll auch die „Resilienz“ von Telekommunikationsnetzen erhöht werden.

Die Bundesnetzagentur ist beauftragt, diesen „Branchendialog zwischen Unternehmen, Verbänden und Behörden fortzusetzen und die Umsetzung der vorgeschlagenen Maßnahmen zu begleiten“. Laut Koalitionsvertrag ist ein sogenanntes Kritis-Dachgesetz geplant, um kritische Infrastruktur sowohl physisch als auch digital besser zu schützen. Konkretes gibt es bisher aber nicht.

Wie groß ist die Gefahr von Sabotage im virtuellen Raum?

Ob Kläranlagen, Logistik oder Strom- und Wasserversorgung. Alles wird in der Regel digital gesteuert. Systeme sind miteinander vernetzt und abhängig voneinander. Mit der Freude über den technischen Fortschritt und der damit verbundenen Arbeitserleichterung wird auch die Bedrohung aus dem Netz für die Anlagen größer. Ein Beispiel: Im Juli 2021 waren im Landkreis Anhalt-Bitterfeld mehrere Server mit einer Ransomware infiziert worden. Daten wurden verschlüsselt und von den Erpressern ein Lösegeld gefordert.

Die Folge: Sozialhilfe, BAföG, Eltern- und Kindergeld konnten nicht ausgezahlt werden. Vom Führer- bis zum Angelschein war keine Ausgabe möglich. Die komplette Verwaltung: Out of order. Bis auf die Telefonanlage. Der Landrat rief den Katastrophenfall aus, bundesweit erstmals wegen eines Cyberangriffs. Der Schaden wird auf etwa zwei Millionen Euro geschätzt. Das ist eine Menge Geld für eine 160.000-Einwohner:innen-Gemeinde.

Wer sorgt für Schutz vor Cyberangriffen?

Kommt es zu einem Cyberangriff – wie zum Beispiel in Anhalt-Bitterfeld – sind zunächst die Behörden in den Kommunen zuständig. In diesem Fall das Landratsamt. Betroffene Organisationen, auch Unternehmen, können das Bundesamt für Sicherheit in der Informationstechnologie (BSI) über das Nationale IT-Lagezentrum einschalten. Ist der Fall besonders schwerwiegend, wird ein sogenannter BSI-MIRT-Einsatz ausgelöst. Ex­per­t:in­nen werden entsendet, analysieren technische Daten und beraten, um Schaden abzuwenden.

Spätestens der Fall Anhalt-Bitterfeld hat zu der bitteren Erkenntnis geführt, dass es für solche Fälle zu wenig Ex­per­t:in­nen gibt, die schnell eingreifen können. Anders als bei Hochwasser, Stürmen oder anderen Katastrophen gibt es zudem bisher keine ehrenamtlichen oder zivilgesellschaftlichen Gruppen, die die Menschen in den betroffenen Gebieten umgehend unterstützen.

Das Technische Hilfswerk schleppt Sandsäcke bei Überflutungen. Kirchliche Organisationen versorgen Menschen, die ihre Häuser verloren haben, mit Unterkünften. Solche Hilfssysteme gibt es für den Angriff aus dem virtuellen Raum bisher nicht. Die AG Kritis fordert eine Art THW auch für Cyberangriffe. Dieses Cyberhilfswerk soll im Krisenfall schnell IT-Expert:innen zusammenholen, um Schutzmaßnahmen auch im digitalen Raum zu aktivieren. Das Bundesforschungsministerium fördert Wissenschaftsprojekte, die Cyberangriffe analysieren, Schulungen entwickeln und somit den Schutz kritischer Infrastrukturen aufbauen wollen.