Es war ein Schock, und er steckt Sicherheitsexperten bis heute in den Knochen. Als im September 2022 die Ostseepipeline Nord Stream 2 gesprengt wurde, schreckten deutsche Behörden auf. Auf Cyberangriffe versucht Deutschland sich seit Jahren vorzubereiten. Aber physische Attacken auf lebenswichtige Infrastruktur? Kriegerische Aktionen, womöglich instruiert von einem ausländischen Geheimdienst, die ganze Landstriche von der Energieversorgung abschneiden könnten?
Was passiert eigentlich, so fragen sich Deutschlands Sicherheitsbehörden seither, wenn demnächst jemand physische Sabotage in wichtigen Stellwerken der Bahn betreibt, Starkregen die Wasserversorgung einer Großstadt lähmt, wenn Kriminelle den Abtransport von Müll verunmöglichen oder feindliche Mächte Unterseekabel von Windparks auf See zerstören oder Satelliten? Seit Ende des Kalten Krieges galten solche Szenarien als Hysterie, der Ukraine-Krieg hat das geändert. Deutschland, das weiß auch Bundesinnenministerin Nancy Faeser (SPD), ist verwundbarer als es lange glaubte. Nun soll ein Gesetz die Risiken mindern.
Am Montag hat Faeser einen Referentenentwurf in die Ressortabstimmung gegeben, der lange erwartet wurde. Das sogenannte Kritis-Dachgesetz "zur Stärkung der Resilienz kritischer Anlagen" sieht vor, dass die Betreiber von 2000 strategisch wichtigen Unternehmen künftig nachweisen müssen, wie sie ihre Einrichtungen schützen und auf Notfälle vorbereiten - inklusive der Überlegung, welche anderen Systeme betroffen wären, wenn das eigene versagt. Gemeint sind da Firmen, die mindestens 500 000 Personen versorgen, aber auch mittelgroße Unternehmen, die Chemikalien, Bauteile für Kriegswaffen oder digitale Dienstleistungen anbieten - und wo ein Ausfall "zu erheblichen Versorgungsengpässen oder zu einer Gefährdung der öffentlichen Sicherheit führen würde".
Was, wenn Energie, Transport, Ernährung oder Gesundheit unter Attacke geraten?
Für Cyberangriffe gibt es ein solches Gesetz bereits, nicht aber für Szenarien, denen eine physische Attacke oder eine Flut wie im Ahrtal vorausgeht. Das neue Gesetz soll nun alle denkbaren Szenarien dieser Art berücksichtigen, auch klimabedingte Katastrophen. Es legt Mindeststandards für elf Branchen fest, darunter Energie, Transport, Ernährung und Gesundheit, aber auch Abfallentsorgung, öffentliche Verwaltung und den Weltraum. Faeser will die Betreiber verpflichten, einen "Resilienzplan" nach einheitlichen Kriterien vorzulegen und erhebliche Störungen in einem Online-Portal zu melden. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) soll bei Störungen beraten, gegebenenfalls zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wer jetzt glaubt, die Bundesregierung stelle auch zusätzliche Geldmittel zur Verfügung, um der Zerstörung kritischer Infrastruktur vorzubeugen, irrt sich allerdings. Es sind die Unternehmen, denen laut Gesetz die Verantwortung für zusätzliche Sicherheitsmaßnahmen und Gefahrenanalysen obliegt. Auch bisher schon müssen sie ihre Anlagen selbst sichern. Diese Aufgaben werden nun erweitert.
Alle Nachrichten im Überblick:SZ am Morgen & Abend Newsletter
Alles, was Sie heute wissen müssen: Die wichtigsten Nachrichten des Tages, zusammengefasst und eingeordnet von der SZ-Redaktion. Hier kostenlos anmelden.
Ein wirkungsvolles Sicherheitskonzept sollte zudem nicht nur bereits eingetretene Notfälle regeln, sondern ihnen auch wirkungsvoller vorbeugen als bisher. Hier allerdings bleibt der 48 Seiten lange Entwurf vage - wohl auch mit Blick auf die FDP, die von strengen Vorgaben für Unternehmen wenig halten dürfte. Zu den Maßnahmen, die Firmen laut Entwurf vornehmen "können", zählen besserer Objektschutz, Detektionsgeräte, die Verstärkung von Zäunen und Sperren, auch präzisere Zuverlässigkeitsprüfungen für Beschäftigte - je nach Erfahrung des Unternehmens, das sich ja selbst am besten auskenne, hieß es am Montag.
Offen ist bisher, wie Verstöße gegen die Meldepflichten geahndet werden oder Fälle, in denen ein Unternehmen keinen tauglichen Resilienzplan erstellt. Kontrollen und Sanktionen werde es geben, heißt es dazu in der Bundesregierung. Allerdings sind zunächst wohl nur Ermahnungen von Betreibern geplant. Auch ein Bußgeld bei Verstößen soll kommen. Wie hoch es ausfallen kann? Muss in der Bundesregierung noch ausgehandelt werden.