Kommentar: Krise und KRITIS-Dachgesetz
Prof. Dr. Clemens Gause, Geschäftsführer beim Verband für Sicherheitstechnik, spricht über die Notwendigkeit der physischen Sicherheit bei Kritischen Infrastrukturen und den Entwurf zum KRITIS-Dachgesetz.
Unsere Welt wird immer komplexer und wir stehen ständig neuen und unbekannten Krisen und Katastrophen gegenüber. Damit uns diese nicht unvorbereitet treffen, müssen wir uns entsprechend schützen. Die letzten Krisen haben aufgezeigt, wo unsere Schwachstellen sind und damit auch, wo wir in Zukunft ansetzen müssen. Die Herausforderungen werden vielfältiger, deshalb müssen wir resilienter werden. Das Bundeskabinett hat zu diesem Zweck Eckpunkte des sogenannten KRITIS-Dachgesetzes verabschiedet.
Das KRITIS-Dachgesetz ist ein erster großer Schritt, um einem Problem zu begegnen, welches in den letzten Jahren und besonders durch den russischen Angriffskrieg auf die Ukraine immer mehr in den Fokus geraten ist. Bisherige Forderungen des Gesetzgebers richteten sich grundsätzlich in Richtung IT-Sicherheit. Das Härten Kritischer Infrastruktur bezog sich auf Erfordernisse der Informations- und Kommunikationstechnologie. Das umfasst allerdings nur einen Teil der Sicherheit. Wir müssen unsere Kritische Infrastruktur schließlich auch physisch schützen. Neben der IT und der elektronischen Sicherheit ist eben auch die physische oder auch materielle Sicherheit, wie sie im Fachjargon bezeichnet wird, zu beachten. Ansonsten wären beispielsweise Software und Prozesse geschützt, aber der Serverraum und das umgebende Gebäude eben nicht. Ohne physische Sicherheit funktioniert unsere Gesellschaft, so wie wir sie kennen, also nicht.
Das KRITIS-Dachgesetz, welches mit großen Erwartungen und Beifall erwartet wird, hat das Ziel, die Lücken in der physischen Absicherung unserer Kritischen Infrastruktur zu schließen und die Resilienz unserer Gesellschaft in allen Bereichen der KRITIS zu erhöhen.
In den letzten Jahren wurde im Bereich KRITIS viel erreicht: das BSI-Gesetz sowie die BSI-KRITIS-Verordnung haben in den Bereichen Informations- und IT-Sicherheit umfangreiche Schutzmaßahmen und Regelungen auf den Weg gebracht, die die Cyberwelt unserer Kritischen Infrastruktur schützt. Beim Thema physische Sicherheit klafft aber immer noch eine große Lücke. Zwar gibt es zahlreihe Fachgesetze, Standards, Normen und Regelungen, die den physischen Schutz der KRITIS fordern und in verschiedenen Detailgraden beschreiben, aber es fehlt an einem übergreifenden Regelwerk, welches die Befugnisse, Anforderungen und Zuständigkeiten sektor- und gefahrenübergreifend konkret festlegt. An dieser Stelle setzt das neue KRITIS-Dachgesetz jetzt an, es soll, so die Hoffnung, die Regelungen vereinheitlichen und vervollständigen.
Als Voraussetzung für ein solches Gesetz gilt es, die Kritischen Infrastrukturen im Land klar zu identifizieren und abzugrenzen. Das KRITIS-Dachgesetz soll eine Ergänzung und Erweiterung der bisherigen Cybersicherheitsbestimmungen sein und diese nicht ablösen. Vorgesehen sind unter anderem verpflichtende Risikobewertungen, Mindeststandards für Betreiber und ein zentrales Störungsmonitoring. Besonders wichtig bei der Erstellung ist es, sektorübergreifende Regelungen festzulegen, um die Hürden für eine Zusammenarbeit und den fachlichen Austausch zu minimieren. In der jüngsten Vergangenheit haben wir eines gelernt, dass nämlich Krisen Auswirkungen auf mehr als einen Sektor haben. Krisenfolgen in einer vernetzten stark interdependenten Welt bilden unzählige Schnittstellen und Abhängigkeiten heraus. So kann ein Ausfall oder ein sektorspezifisches Problem einen weiteren Sektor betreffen und sich regelrecht durch Systeme hindurchfressen und Folgeschäden, sogar Kaskadeneffekte hervorrufen. In solchen Fällen ist ein schneller Austausch wichtig.
Ich bin froh und dankbar, dass der Verband für Sicherheitstechnik als starke Interessenvertretung der Sicherheitstechnik die aktuellen und zukünftigen Herausforderungen in dieses Gesetz einbringen kann. Der Verband für Sicherheitstechnik vernetzt seit vielen Jahren die Akteure der Sicherheitsbranche und kennt die Anforderungen und Probleme aus erster Hand. Gemeinsam mit Politik, Verwaltung, Wissenschaft und Wirtschaft stellen wir uns regelmäßig neuen Fragestellungen. In unserer Morgenlage, welche wir gemeinsam mit dem Zukunftsforum öffentliche Sicherheit (ZOES), jeden Montag mit Expertinnen und Experten der Branche durchführen, konnten wir wöchentlich neuen Input und Ideen direkt aus der Praxis sammeln und direkt bei den Berichterstattern im Deutschen Bundestag und in der Ministerialverwaltung platzieren. Wir können für unsere Stakeholder mitgestalten und hoffen gemeinsam, ein solides Gesetz auf den Weg zu bringen, welches künftig die Verantwortlichkeiten im Feld der physischen Sicherheit klar regelt, um der zunehmenden Verantwortungsdiffusion entgegenzuwirken. Für physische Sicherheit und Resilienz fühlen sich viele nämlich nicht zuständig.
Bei der Gestaltung eines solchen Gesetzes ist es darüber hinaus besonders wichtig, zukunftsweisende Themen zu betrachten und mit einzubeziehen. Deshalb arbeiten wir seit vielen Jahren in verschiedenen Forschungsprojekten zum Thema Sicherheitstechnik mit, die uns zeigen, was in Zukunft alles möglich sein wird. Dieser Input fließt direkt in die Gestaltung des neuen Gesetzes ein, denn wir können die Probleme von morgen ja nicht mit den Lösungen von gestern bewältigen. Wir müssen neu und unvoreingenommen denken. Unsere Forschungsprojekte bringen genau diese Sichtweise mit ein. Dazu gehören unter anderem der Zufahrtschutz, aber auch Detektion und Umgang mit Drohnen oder beispielsweise das Thema KI in der Sicherheitstechnik. Denn physische Sicherheitssysteme werden zunehmend mit einander und mit anderen Gewerken vernetzt.
Ein spannendes Forschungsprojekt bildet in diesem Zusammenhang SPELL, welches Künstliche Intelligenz in Leitstellen und Lagezentren einbindet. Für das KRITIS-Dachgesetz und das geplante Monitoring stellt SPELL einen Blick in die Zukunft dar, welcher hilft, Resilienz aufzubauen, die uns nicht nur aktuell, sondern auch in den nächsten Jahren in der Bearbeitung von Krisen absichern kann und Prozesse verschlanken und schneller machen kann.
Ich bin gespannt, was die Zukunft in dieser Hinsicht bringt und wie das neue KRITIS-Dachgesetz umgesetzt wird. Es bietet auf jeden Fall viele Chancen und vor allem hilft es uns, Krisen mit Resilienz begegnen zu können und gegen die vielfach konstatierte Katastrophendemenz anzugehen.
Prof. Dr. Clemens Gause ist Referent auf den Wiley Industry Days 2023 – mit einem Vortrag zum Thema "Künstliche Intelligenz in der Sicherheitstechnik"
Wann? Mittwoch, 15. März, 16:00-16:45 Uhr
Vortrag vormerken: https://events.bizzabo.com/WINDAYS2023/agenda/session/1041128