Russische Gaslieferungen, die als Waffe eingesetzt werden, sabotierte Pipelines, durchtrennte Kabel bei der Deutschen Bahn: Menschen in Deutschland haben zuletzt erfahren, wie verwundbar der ganz normale deutsche Alltag sein kann. Etwas technischer gesagt, der Blick der Deutschen für kritische Infrastrukturen wurde geschärft. Aber was ist das eigentlich?
Was ist kritisch?
Kritische Infrastruktur ist - grob gesagt - alles, was notwendig ist, um die grundlegenden Funktionen von Staat und Gesellschaft aufrechtzuerhalten. Oder andersherum gesagt: Was kritische Infrastruktur ist, merken wir am deutlichsten dann, wenn sie ausfällt - und Versorgungsengpässe drohen und die öffentliche Sicherheit nicht mehr garantiert ist.
Was ist Kritis?
Kritis ist das Schlagwort, unter dem der Gesetzgeber die kritische Infrastruktur verhandelt. Der Staat hat die kritische Infrastruktur in zehn Bereiche aufgeteilt, für die unterschiedliche Vorschriften gelten.
Welche Gesetze regeln, was Kritis-Unternehmen leisten müssen?
Das Bundesinnenministerium hat 2005 die Broschüre "Kritische Infrastrukturen - Basisschutzkonzept" herausgegeben, in der die gefährdeten Bereiche aufgeführt werden. Damals hatte vieles noch Empfehlungscharakter. Ein paar gesetzliche Regelungen gab es bereits vorher, etwa Vorschriften zum sogenannten personellen Sabotageschutz: Mitarbeiter in lebenswichtigen Bereichen sollen vom Verfassungsschutz durchleuchtet werden. Richtig konkret wurde es erst mit der Kritis-Verordnung des Gesetzes zum Bundesamt für Sicherheit in der Informationstechnik (BSI) 2016. Das BSI ist zwar in erster Linie zuständig für Informationssicherheit. Mit der zunehmenden Digitalisierung so gut wie aller Unternehmen wurde klar, dass immer mehr Firmen durch Hackerangriffe verwundbar sind. Deshalb war es sinnvoll, besonders die Cybersicherheit gesetzlich zu regeln. Zwar geht es dabei um digitale Sicherheit. Um die zu gewährleisten, müssen Firmen aber auch sicherstellen, dass kritische Bereiche ihrer Betriebe physisch geschützt sind.
Was müssen Kritis-Unternehmen laut Gesetz leisten?
Unternehmen, die eine bestimmte Größe überschreiten und in einem der betroffenen Sektoren angesiedelt sind, müssen eine Reihe von Pflichten erfüllen. Sie müssen eine Kontaktstelle für die Behörden benennen und sie müssen ihre IT-Sicherheit auf dem jeweils vom BSI bestimmten "Stand der Technik" halten. Dass sie das getan haben, müssen sie dem BSI gegenüber alle zwei Jahre nachweisen. Falls es Hacker doch in die Systeme schaffen oder die IT anderweitig gestört ist, müssen die Unternehmen das an die Behörden melden.
Wer zählt zu den Kritis-Unternehmen?
Die Kritis-Verordnung im BSI-Gesetz kannte ursprünglich nur sieben Sektoren: Energie, Wasser, Ernährung, IT und Telekommunikation, Transport, Gesundheit sowie das Finanz- und Versicherungswesen. Mit der Novelle 2021 kam noch die Siedlungsabfallversorgung dazu. Daneben gibt es noch zwei weitere Kritis-Sektoren, die im BSI-Gesetz aber nicht vorkommen: Kultur und Medien, sowie Staat und Verwaltung.
Als Kritis light werden schließlich einige Unternehmensarten bezeichnet, die zwar nicht zur kritischen Infrastruktur zählen, wegen ihrer großen Bedeutung dennoch einige Pflichten erfüllen müssen. Dazu gehören Rüstungsunternehmen, Chemiekonzerne und Zulieferer, die für ihre Branchen besonders wichtig sind. Diese Regeln greifen allerdings erst vom 1. Mai 2023 an.
Und was ist mit den Bereichen "Staat und Verwaltung" und "Kultur und Medien"?
Diese beiden Bereiche werden im BSI-Gesetz ausgespart, vor allem, weil ein Großteil davon Ländersache ist. Allerdings haben die Länder es bislang versäumt, eigene Kritis-Verordnungen zu erlassen. Für Kultur und Medien gibt es also keine besonderen Pflichten, obwohl sie als systemrelevant gelten. Auch im Bund fehlt eine klare Aufteilung, welche Einrichtungen etwa der Bundesverwaltung zur kritischen Infrastruktur gehören und deshalb besser geschützt werden müssten. Das führt dazu, dass potenziell kritische Strukturen in Staat und Verwaltung schlechter geschützt sind als solche in der Privatindustrie. Wozu das im ungünstigsten Fall führt, konnte man zuletzt in den Landkreisen Anhalt-Bitterfeld und Ludwigslust-Parchim beobachten. Beide wurden mit Ransomware attackiert und brauchten teils Wochen und Monate, um digital wieder auf die Beine zu kommen. Zumindest theoretisch etwas sicherer sind diejenigen Teile der Verwaltung, die Leistungen für den Bürger digital anbieten, also etwa beim Beantragen von Führerscheinen oder Personalausweisen oder beim Ummelden des Wohnsitzes. Für sie gilt die Sicherheitsverordnung des Onlinezugangsgesetzes (OZG). Das wurde von Experten jedoch immer wieder als unzureichend kritisiert, zudem gilt es für viele Anwendungen erst von 2024 an.