Schutz von Kritischer Infrastruktur: Bollwerk gegen Saboteure

Berlin taz | Spätestens seit den Explosionen an den Nordstream-Pipelines und der Bahn-Sabotage ist eindrücklich klar geworden: Deutschlands Kritische Infrastruktur ist angreifbar und in Gefahr. Die Bundesregierung will dies ändern und einigte sich am Mittwoch auf Eckpunkte für ein Gesetz für einen verbesserten Schutz Kritischer Infrastrukturen vor. Bundesinnenministerin Nancy Faeser (SPD) sprach von „höchster Priorität“, von „Krisenresilienz“, davon, dass sich die Republik besser „gegen Krisen wappnen“ muss.

Faeser betonte auch, dass es seit des russischen Angriffskriegs auf die Ukraine auch in Deutschland eine „veränderte Sicherheitslage“ gebe. Wie im Koalitionsvertrag vereinbart, ist das Ziel, ein Gesetz mit dem sperrigen Namen „Kritis-Dachgesetz“ zu verabschieden. Geschützt werden soll die Versorgung mit Energie, mit Wasser, das Bankwesen, der Gesundheitssektor, Verkehrswege, aber auch die öffentliche Verwaltung, digitale Infrastrukturen, die Medien. Im Kern sind vor allem die Betreiber gefragt.

Über das Kritis-Dachgesetz sollen einheitliche Mindeststandards festgelegt werden, also Anforderungen wie die Betreiber Gefahren erkennen, wie sie ihre Anlagen schützen und wann sie Schäden melden müssen. Zäune und Sperren, Zugangskontrollen oder auch Sicherheitsprüfungen können solche Maßnahmen sein. Problem bei Angriffen ganz gleich ob auf Kabel, Leitungen oder digitale System ist immer wieder, dass es keine Informationen zu den Schwachstellen gibt oder diese nicht weitergegeben werden.

Auch das soll sich ändern. Über ein Meldesystem können künftig auch andere Betreiber gewarnt werden, die ebenso in Gefahr sind. Eine zentrale Rolle soll dabei das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) spielen. Noch ein Ansatz, der simpel scheint, aber jetzt greift, ist Angriffe im digitalen Raum, also auf IT-Komponenten, und Attacken auf physische Einheiten, etwa Kabel oder Leitungen zusammen zu denken. Und: Mit dem Dachgesetz wird zum ersten Mal „das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen in den Blick genommen und Zuständigkeiten geregelt.“

Konkrete Finanzierung fehlt

In den Eckpunkten werden auch explizit die Hersteller von kritischen Komponenten genannt. Für das Kritis-Dachgesetz soll geprüft werden, ob es auch Regeln für Komponenten geben kann, die sich nicht auf Software oder IT-Produkte beschränken. Dies können zum Beispiel Baustoffe sein. Ziel ist die kritische Infrastruktur insgesamt vor „Einflüssen und Abhängigkeiten von bedenklichen Herstellern aus dem Ausland“ zu schützen.

Die Umsetzung wird Geld kosten – und genauer dieser Aspekt könnte schweirig werden. Denn – so steht es im Eckpunktepapier: Es gilt ein genereller Finanzierungsvorbehalt. „Soweit konkrete Maßnahmen oder daran anknüpfende zukünftige Maßnahmen zu Ausgaben im Bundeshaushalt führen, stehen sie unter dem Vorbehalt verfügbarer Haushaltsmittel beziehungsweise Planstellen/Stellen und präjudizieren keine laufenden oder künftigen Haushaltsverhandlungen.“ Das gilt auch für das BBK, das zwar eine Art Leitbehörde werden sollen, aber nur „im Rahmen verfügbarer Haushaltsmittel“.

Für die Grünen ist die Vorlage für das Kritis-Dachgesetz „zentral“. Schließlich hat sich die Ampel im Koalitionsvertrag darauf verständigt, Kritische Infrastruktur besser zu schützen. Aber: „Angesichts stark gestiegener Bedrohungslagen brauchen wir möglichst schnell gute gesetzliche Grundlagen, klare Verantwortlichkeiten und Behörden, die in der Lage sind, die betreffenden Unternehmen unabhängig zu beraten“, sagte der Vorsitzende des Parlamentarischen Kontrollgremiums, Konstantin von Notz, der taz.

Der Grünen-Politiker forderte zudem eine gute Koordination zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BBK. Parallelstrukturen oder fehlende Abstimmung führten letztlich zu „noch mehr Chaos in der konkreten Umsetzung.“ Beim Geld setzt von Notz auf eine „ausreichende finanzielle Unterfütterung“. Verbände, Betreiber und die Zivilgesellschaft sollen beteiligt werden, wenn das Gesetz erarbeitet wird.

Bundesweiter Warntag am Donnerstag

Michael Wiesner, Sprecher der AG Kritis, kritisiert die Veröffentlichung der Eckpunkte zum jetzigen Zeitpunkt. „Zum einen wurde hier wieder einmal mit der heißen Nadel gestrickt und zum anderen wurde einmal mehr versäumt, die Zivilgesellschaft einzubinden“, sagte Wiesner der taz. Die AG Kritis ist eine Gruppe von Fachleuten, die IT-Sicherheit verbessern und Einrichtungen der Kritischen Infrastruktur stärken will. Die Gruppe setzt sich seit langem für eine Art Cyber-THW ein, dass bei einer Cyberattacke Behörden oder Firmen helfen kann.

Kommt es zu Angriffen oder einem Katastrophenfall wird die Bevölkerung gewarnt. Am Donnerstag findet der zweite bundesweite Warntag statt, um genau dies zu testen. Gegen 11 Uhr soll die Probewarnung über Radio und Fernsehen verbreitet werden, Sirenen heulen und Cell Broadcast erstmals getestet werden. Über die Technologie bekommen Nut­ze­r:in­nen eine Warnmeldung auf ihr Mobilfunktelefon. Allerdings nur die Geräte, die ein entsprechendes update haben, sich nicht im Flugmodus oder Funkloch befinden. Gegen 11.45 Uhr wird die Übung beendet sein.

Der Bundestagsabgeordnete Leon Eckert (Grüne) forderte gemeinsam mit Grünen-Abgeordneten in den Ländern einen Bund-Länder-Warnpakt. Sie sprechen sich für eine bessere Finanzierung und Ausstattung von Sirenen aus, für einheitliche Signaltöne oder für Barrierefreiheit bei Warnungen. Zudem soll die Teilnahme am Warntag verpflichtend werden. Die Kommunen können selbst entscheiden, ob sie mitmachen oder nicht.