Von Notz zur kritischen Infrastruktur: „Wir haben ein Sicherheitsproblem“

Konstantin von Notz sorgt sich um die kritische Infrastruktur in Deutschland. Der Grüne fordert massive Investitionen in die Sicherheitsarchitektur.

Ein Kabelschacht und Kabel, die neu verlegt werden

Schutzlos, aber neu ausgeliefert: frisch ausgetauschte Kabel am Ort der Sabotage vom 9.Oktober 2022 Foto: Jean Gallup/getty images

taz: Herr von Notz, wir erleben derzeit Sabotagen an den Nord-Stream Pipelines, womöglich auch bei der Bahn, dazu eine Debatte um eine russisch infiltrierte Cybersicherheitsarchitektur in Deutschland. Sie sind Vorsitzender des Gremiums im Bundestag zur Kontrolle der drei Geheimdienste BND, BfV und BAMAD und maßgeblich mit diesen Themen befasst. Macht Ihnen die Lage Angst?

Konstantin von Notz: Angst hat noch nie jemanden geholfen. Und ich habe auch keine. Aber es ist offensichtlich, dass wir sicherheitspolitisch in einer ganz neuen Art gefordert sind. Wir befinden uns in einer maximal ernsten Situation. Die offensichtliche Sabotage an den Pipelines, seit Jahren laufende Desinformationskampagnen, aber auch Vorfälle wie die Drohnenüberflüge über Gelände der Bundeswehr, auf denen Ukrainer ausgebildet werden: Das sind alles sehr beunruhigende Vorgänge, die darauf hinweisen, dass auch Deutschland längst Ziel einer hybriden Kriegsführung ist.

Und Russland führt diesen hybriden Krieg?

Ermittelt werden muss in alle Richtungen. Bei einigen der jüngsten IT-Angriffen und Desinformationskampagnen weist aber sehr viel auf eine russische Verantwortung hin. Und mit Putins Angriffskrieg in Europa haben wir eine extrem große Baustelle, die uns zwingt, schnell zu handeln. Wenn Kriege nicht mehr nur konventionell, sondern auch mit hybriden Mitteln geführt werden, müssen wir darüber reden, wer bei Polizei, Bundeswehr und sonstigen Sicherheitsbehörden für die Erkennung und Abwehr dieser Gefahren zuständig ist.

51, sitzt seit 2009 für die Grünen im Bundestag, aktuell als Fraktionsvize und Vorsitzender des Kontrollgremiums der Geheim­dienste.

Zu den Pipelines und der Bahn ermittelt jetzt die Bundesanwaltschaft.

Aber es dauerte mehrere Tage, bis klar war, wer in die Verantwortung geht. Für den Schutz am Meeresboden liegender Infrastruktur fühlt sich bis heute niemand richtig zuständig. Die letzten Tage haben noch einmal gezeigt: Wir brauchen klare Verantwortlichkeiten und Rechtsgrundlagen. Wir müssen uns beim Schutz der kritischen Infrastruktur insgesamt deutlich besser aufstellen.

Wie verwundbar ist denn die kritische Infrastruktur in Deutschland?

Wir haben hier ein ernsthaftes Sicherheitsproblem. Das gilt übrigens längst nicht nur für Pipelines oder Unterseekabel, sondern auch für den Bereich der Digitalisierung, wo wir mit allem, was wir haben, reingeritten sind. Bei der Stromversorgung, der Energieversorgung, der Kommunikation wurde die Sicherheit viel zu oft an letzter Stelle mitgedacht. Die Geschichte mit dem russischen Gas ist doch eigentlich eine Geschichte des Ignorierens solcher Sicherheitsrisiken.

Und wie wir momentan über 5G und das Verbauen von chinesischer Technik sprechen, irritiert mich, denn hier passiert wieder genau das Gleiche: Wir hoffen, dass Länder, die unsere Grundwerte explizit nicht teilen, sich doch bitte künftig uns gegenüber recht freundlich verhalten. Dass dies bestenfalls naiv ist und wir damit nicht gut fahren, sehen wir spätestens seit dem 24. Februar.

Was also tun?

Wir brauchen dringend auch eine Diskussion, mit wem wir wie und unter welchen Voraussetzungen in sicherheits- und infrastrukturpolitischen Fragen kooperieren und mit wem eben nicht.

Sie fordern das seit Jahren, passiert ist wenig. Warum?

Es ist ein komplexes Thema. Und unser politisches System ist in sich durchaus träge. Wir sind eine Konsensdemokratie, in der sich unterschiedlichste Institutionen einigen müssen und keine Partei allein einen Hebel umlegen kann. Und das gilt im Sicherheitsbereich noch viel stärker, der bis heute sehr von den Bundesländern geprägt wird. Das hat historisch gut erklärbare Gründe und damit ist Deutschland bisher gut gefahren. Aber es bringt in Krisenzeiten, in denen man schnell reagieren und Dinge anpassen muss, durchaus auch Probleme mit sich. Im Grunde hatte das Innenministerium schon vor Jahren erkannt, dass es große Probleme gibt – und dann ist doch wieder jahrelang nichts passiert.

Weil…

… man viel zu lang lieber Scheinlösungen wie die Vorratsdatenspeicherung gefordert hat, die nichts kosten und nach Law and Order klingen, statt proaktiv Zuständigkeiten zu klären, in gute IT-Sicherheit zu investieren und Strukturen zur Erkennung und Abwehr hybrider Bedrohungen aufzubauen. Jetzt müssen wir das Thema unter maximalem Druck angehen und über Jahre Verpasstes schleunigst aufholen.

Aber: Auch unter der Ampel und Innenministerin Nancy Faeser hat sich hier wenig getan.

Es muss zweifellos mehr Drive rein. Aber es geht nicht um die Innenministerin, sondern in erster Linie um die Kultur ihres Hauses. Alle sind gefragt und deswegen arbeitet auch das Auswärtige Amt derzeit mit Hochdruck an einer nationalen Sicherheitsstrategie. Der Koalitionsvertrag der Ampel stellt hier die richtigen Weichen. Die dortigen Vorhaben zur Kritischen Infrastruktur müssen nun priorisiert umgesetzt werden. Der Schutz der Kritischen Infrastruktur ist essentielle Grundlage unserer Sicherheit. Daher ist es gut, dass die Innenministerin diese Woche angekündigt hat, sich des Themas jetzt sehr entschlossen annehmen zu wollen.

Faeser hat angekündigt, dass das vereinbarte Kritis-Dachgesetz bald kommen soll, mit dem Betreiber kritischer Infrastruktur mehr Gefahrenvorsorge treffen sollen. Ein richtiger Schritt?

Die bisherige IT-Sicherheitsgesetzgebung leistet keinen ausreichenden Schutz. Das Dachgesetz ist wichtig und muss jetzt schnell kommen, um Mindeststandards vorzugeben und Zuständigkeiten zu klären. Dabei geht es um ganz triviale Fragen. Nehmen wir das Beispiel Bahn: Wie schütze ich neuralgische Kabelknotenpunkte? Stelle ich Kameras auf oder schicke ich Sicherheitsstreifen? Dürfen kritische Infrastrukturen an das Internet angeschlossen sein, wenn dies überhaupt nicht nötig ist? Werden die Systeme regelmäßig geupdatet? Wofür sind die Unternehmen zuständig, wofür das BMI (Bundesinnenministerium, d.R.), das BSI (Bundesamt für Sicherheit in der Informationstechnik, d.R.), die Polizei, die Nachrichtendienste? Wo braucht es einen Austausch mit anderen Bundesländern, dem Bund oder europäischen und internationalen Partnern?

Allein die Bahn hat 34.000 Kilometer Streckennetz, die Nord-Stream-Pipelines sind über 1.200 Kilometer lang. Lässt sich das überhaupt schützen?

Es gibt nie hundertprozentige Sicherheit, aber wir können viel für mehr Sicherheit tun. Ein zentraler Punkt sind klare Zuständigkeiten. Daher werben wir auch weiterhin für eine gesetzliche Regelung zur Kooperation in Einrichtungen wie dem Nationalen Cyberabwehrzentrum. Nehmen wir diese Drohnenüberflüge: Es ist untragbar, dass hier offensichtlich nachrichtendienstliche Aufklärung stattfindet und wir diese nicht stoppen, weil es angeblich so schwierig ist, diese kleinen, flinken Dinger einzufangen. Das kann keine Antwort sein. Auch hier muss geklärt werden: Wer ist für die Abwehr dieser Gefahren zuständig?

Der Staat ist das eine, die Betreiber der kritischen Infrastruktur das andere. Sind auch sie mehr in der Pflicht?

Absolut. Der Staat kann kein Rundum-sorglos-Paket schnüren. Natürlich muss auch ein Energieversorger für den Schutz seiner Anlagen sorgen. Das muss der Gesetzgeber einfordern und durchsetzen. Aber gerade mit Blick auf kleine oder mittelständische Unternehmen müssen wir stärker als bisher unterstützen, Fördertöpfe aufsetzen und steuerliche Anreize schaffen, damit freiwillig in beste IT-Sicherheit investiert wird. Durch Hackingangriffe und Erpressungen entstehen alljährlich Milliardenschäden. Daher ist Prävention unterm Strich so wichtig und letztlich auch oftmals günstiger.

Wie viel soll der Staat für diese Maßnahmen zahlen?

Wir Grüne hatten bei der Diskussion um das 100-Milliarden-Sondervermögen für die Bundeswehr auch 20 Milliarden für die IT-Sicherheit und den Zivilschutz eingefordert – als Antwort auf neue Gefahren. CDU und CSU bestanden darauf, die 100 Milliarden komplett für die Bundeswehr zu verwenden. Das kann man argumentieren. Aber dann stehen zu bleiben und zu sagen, dann kriegt die IT-Sicherheit 0 Euro, ist ein großer Fehler. So oder so brauchen wir einen zweistelligen Milliardenbetrag in diesem längst hochsicherheitsrelevanten Bereich. Und nach 16 Jahren Verantwortung für den Ist-Zustand sollten CDU und CSU raus aus der Fundamentalopposition und ihrer Verantwortung realpolitisch gerecht werden.

Letztlich entscheidet aber nicht die Union über das Geld, sondern die Ampel.

Beim Sondervermögen hatte die Union durchaus erhebliche Mitsprache. Aber klar, wir werden nicht drum herumkommen, gemeinsam Geld für die IT-Sicherheit und den Zivilschutz in die Hand zu nehmen. Auch hier gilt: Wenn eines Tages ein AKW, ein Gasspeicher oder LNG-Terminal erfolgreich angegriffen würde, wäre das verheerend. Deswegen sollten wir das Geld lieber proaktiv in eine verbesserte Resilienz unserer digitalen Gesellschaft investieren. Wir schützen damit unsere Freiheit und unseren Wohlstand in Europa, gegen Leute, die beides abreißen wollen.

Eine Säule der Cybersicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) – das wegen seines Präsidenten momentan heftig in der Kritik steht. Innenministerin Faeser will Arne Schönbohm entlassen wegen seiner Nähe zu einem Verein, der Russlandkontakte pflegen soll.

Hier müssen wir zunächst die dringend notwendige Sachaufklärung entschlossen voranbringen. Die offenkundig heikle Frage ist, ob es russische Spionageaktivitäten im Umfeld einer sehr wichtigen deutschen Sicherheitsbehörde gegeben hat. Auch bezüglich der Zertifizierungsprozesse stellen sich derzeit noch viele Fragen. Bevor ich Personalien diskutiere, hätte ich hierauf gerne belastbare Antworten.

Also handelt Nancy Faeser überstürzt?

Soweit ich es sehe, ist Herr Schönbohm noch im Amt.

Sie selbst sprachen aber auch von „skandalösen Vorgängen“?

Der Sachverhalt ist offenkundig skandalös. Dass ein Verein, den Herrn Schönbohm gründete, als Cybersicherheitsrat Deutschland e.V. auftritt und damit einen quasistaatlichen Anschein erweckt, fanden wir von Anfang an sehr bedenklich und haben das auch sehr deutlich kritisiert. Vor personellen Konsequenzen braucht es aber eine Klärung des Sachverhalts und der Verantwortlichkeiten.

Nancy Faeser will das BSI zu einer Zentralstelle für Cybersicherheit ausbauen. Richtig so?

Ja. Das BSI ist eine maximal relevante Sicherheitsbehörde mit vielen hochkompetenten Mitarbeiterinnen und Mitarbeitern, bei der zentrale Infos zusammenlaufen. Deshalb ist es wichtig, dass das BSI in seiner Integrität nicht weiter verletzt wird.

Cybersicherheit ist komplex. Wie kann die deutsche Sicherheitsarchitektur effektiver werden?

Wir müssen auch hier Zuständigkeiten klären und die bestehenden Befugnisse sehr genau evaluieren. Auch das ist im Koalitionsvertrag angelegt. Die Sicherheitsarchitektur wird einer Generalrevision unterzogen. Insgesamt ist eine Verrechtlichung dieses viel zu lange vernachlässigten Bereichs das Gebot der Stunde.

Gehören auch Hackbacks zur Sicherheit dazu, mit denen Faeser liebäugelt? Also gezielte Gegenschläge nach Hackerangriffen?

Der Koalitionsvertrag schließt Hackbacks klar aus. Bevor wir darüber reden, wie wir andere Server hacken, sollten wir viele mögliche Schritten vorher gehen. Verteidigung bleibt die beste Verteidigung. Die Debatte um Hackbacks ist wie die Diskussion um die Gründung eine Fußballmannschaft: Man hat kein Mittelfeld, keine Abwehr und auch keinen Torhüter, spricht aber die ganze Zeit davon, Ronaldo zu verpflichten, weil der so toll im Angriff ist. So verliert man jedes Spiel, auch bei der IT-Sicherheit. Wir müssen erst mal das System resilient aufstellen. Ich wünsche mir, dass wir bei Sicherheitsdebatten die Dinge tun, die man gut und schnell machen kann und die der Sicherheit effektiv helfen – und sich nicht hinter Schlagwortdiskussionen versteckt wird.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.