Kritische Infrastruktur und das neue KRITIS-Dachgesetz
Haben wir noch in den 1980er Jahren aufgrund des Gefühls des Friedens und der Sicherheit den Zivil- und Katastrophenschutz nahezu in die Bedeutungslosigkeit heruntergefahren, so befinden wir uns nunmehr in einer gegenläufigen Entwicklung. Unsere Welt ist zunehmend komplexer, vernetzter und digitaler geworden. Ob Strom- und Wasserversorgung, Energieversorgung, Gesundheitsversorgung oder auch im Bereich des Transport- und Verkehrswesens: unsere Welt funktioniert nur, wenn diese kritischen Infrastrukturen (KRITIS) stabil sind und bleiben. Ein Beitrag von Dr. Daniela Lesmeister, Staatssekretärin beim nordrhein-westfälischen Ministerium des Inneren.
Wir sehen uns gegenwärtig einer immer stärker wachsenden Bedrohung ausgesetzt – sei es durch technisches Versagen, Cyberangriffe oder Sabotagen. In unserer digitalisierten Welt können Hackerangriffe oder gezielte Desinformationskampagnen ganze Systeme lahmlegen. Auch hat die aktuelle weltpolitische Lage, insbesondere der anhaltende Konflikt zwischen Russland und der Ukraine, direkte Auswirkungen auf die Sicherheitsarchitektur Europas und Deutschlands. Die jüngsten Entwicklungen im Zusammenspiel mit den USA zeigen eine sehr dynamische und für viele recht unerwartete Entwicklung, mithin eine Verschiebung in den internationalen Beziehungen. Diese geopolitischen Veränderungen erfordern eine kontinuierliche Anpassung und Stärkung der nationalen Sicherheitsstrategien, insbesondere im Bereich des Schutzes Kritischer Infrastrukturen.
Auswirkung auf unser tägliches Leben

Kritische Infrastrukturen sind jene Systeme, deren Ausfall oder Beeinträchtigung gravierende Auswirkungen auf die öffentliche Sicherheit, die Wirtschaft und das tägliche Leben der Bürgerinnen und Bürger haben können. Man stelle sich nur einmal die Auswirkungen eines mehrtägigen Stromausfalls vor. Krankenhäuser, Unternehmen, Lebensmittelzufuhr, der öffentliche Personennahverkehr wären sofort betroffen. Auswirkungen auf die Sicherheitslage würde es unmittelbar geben. Das Gleiche gilt für einen Cyberangriff auf wichtige digitale Netze. Der Zusammenbruch von Datenverkehren und Finanzsystemen wäre nur die Spitze des Eisbergs.
Daher ist es von größter Wichtigkeit, dass wir in Deutschland diese Infrastrukturen nicht nur allesamt identifizieren, sondern dass sie auch umfassend geschützt werden. Und zwar durch diejenigen, die jeweils für die KRITIS verantwortlich zeichnen. Geschäftsführer, Vorstände, Aufsichtsräte, Behördenleitungen – abhängig von der Art der jeweiligen KRITIS. Bislang besteht hier noch das Problem, dass noch nicht bei allen Verantwortungsträger die Notwendigkeit von entsprechenden Schutzmaßnahmen tatsächlich gesehen wird. Es ist Aufgabe des Staates, hier noch nachdrücklicher zu sensibilisieren.
Prävention, Resilienz und Krisenvorsorge
Der Schutz von KRITIS ist mindestens genauso komplex wie KRITIS selber und sollte mindestens aus den drei Säulen Prävention, Resilienz und Krisenvorsorge bestehen. Im Bereich der Prävention muss in moderne Schutzmaßnahmen investiert werden und gleichzeitig damit das Bewusstsein einhergehen, dass es keine „unnützen“ Kosten sind, sondern letztendlich diese Schutzmaßnahmen sich bezahlt machen können. Eine Vernetzung von Staat, Wirtschaft und Wissenschaft gehört ebenso zum Bereich der Prävention.
Resilienz wird dadurch erreicht, dass Systeme Störungen bestmöglich verhindern und gleichzeitig im Bedarfsfall dann schnell bewältigen können.
Die Krisenvorsorge schließlich beinhaltet das große Thema Notfallpläne. Bevölkerung, Unternehmen und Behörden müssen sich für potentielle Ausfälle wappnen. Wichtige Prozesse sind dafür zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten. So lagert z.B. die Polizei in Nordrhein-Westfalen bereits seit dem Jahr 2022 ihre eigenen Treibstoffdepots dezentral an gut erreichbaren Örtlichkeiten.
Das „Kritische Infrastruktur-Dachgesetz“
Die Notwendigkeit, den Schutz von KRITIS auch gesetzlich zu verankern, wurde bereits in der vergangenen Legislaturperiode auf Bundesebene erkannt. Leider ist der Gesetzesentwurf zum sogenannten KRITIS-Dachgesetz der Diskontinuität zum Opfer gefallen. Hier gilt es für die neue Bundesregierung, schnellstmöglich daran anzuknüpfen und das Gesetz in Kraft treten zu lassen.
Denn dieses Gesetz verfolgt genau den richtigen Schutzzweck. Erstmalig soll hier ein einheitlicher bundesrechtlicher Rahmen für den Schutz dieser Infrastrukturen geschaffen werden. Es soll die bereits bestehenden Regelungen des BSI-Gesetzes zur IT-Sicherheit um weitere zentrale Aspekte ergänzen. Kernpunkte des Gesetzes sind unter anderem die Festlegung bundeseinheitlicher Mindeststandards für Resilienz Maßnahmen, Meldepflichten für Stärkungen sowie Anforderungen an das Krisenmanagement und die physische Sicherheit.
Das Dachgesetz verfolgt mehrere zentrale Ziele:
- Einheitliche Standards: Es schafft einheitliche Sicherheitsstandards für alle Betreiber kritischer Infrastrukturen, um ein hohes Schutzniveau zu gewährleisten. Dies umfasst sowohl physische als auch digitale Sicherheitsmaßnahmen.
- Risikomanagement: Betreiber kritischer Infrastrukturen sind verpflichtet, ein umfassendes Risikomanagement zu implementieren. Dies beinhaltet die Identifikation von Risiken, die Bewertung ihrer Auswirkungen und die Entwicklung von Maßnahmen zur Risikominderung.
- Meldesysteme: Das Gesetz sieht die Einrichtung von Meldesystemen vor, die es den Betreibern ermöglichen, Sicherheitsvorfälle schnell und effizient zu melden. Dies fördert eine schnellere Reaktion auf Bedrohungen und verbessert die Zusammenarbeit zwischen den verschiedenen Akteuren.
- Schulung und Sensibilisierung: Ein weiterer wichtiger Aspekt des Gesetzes ist die Förderung von Schulungs- und Sensibilisierungsmaßnahmen für Mitarbeiter in kritischen Infrastrukturen. Nur durch gut ausgebildete und informierte Mitarbeiter kann die Sicherheit nachhaltig gewährleistet werden.
- Zusammenarbeit zwischen Staat und Wirtschaft: Das Dachgesetz betont die Notwendigkeit einer engen Zusammenarbeit zwischen staatlichen Stellen und privaten Betreibern kritischer Infrastrukturen. Diese Kooperation ist entscheidend, um ein umfassendes Sicherheitsnetz zu schaffen.
Die Rolle der Digitalisierung
Ein zentraler Aspekt, der im Kontext kritischer Infrastrukturen nicht vernachlässigt werden darf, ist die fortschreitende Digitalisierung. Die Integration digitaler Technologien in die Betriebsabläufe kritischer Infrastrukturen bietet zahlreiche Vorteile, birgt jedoch auch erhebliche Risiken. Cyberangriffe auf kritische Systeme können verheerende Folgen haben, weshalb der Schutz vor solchen Bedrohungen eine der obersten Prioritäten sein muss.
Das Dachgesetz soll daher die Implementierung von Cyber-Sicherheitsmaßnahmen und die Entwicklung von Notfallplänen fördern, um im Falle eines Angriffs schnell und effektiv reagieren zu können.
Öffentlich-private Partnerschaften
Ein weiterer wichtiger Aspekt des neuen Gesetzes ist die Förderung von öffentlich-privaten Partnerschaften. Die Zusammenarbeit zwischen staatlichen Stellen und privaten Betreibern kritischer Infrastrukturen ist entscheidend, um ein umfassendes Sicherheitsnetz zu schaffen. Durch den Austausch von Informationen und Best Practices können beide Seiten voneinander lernen und ihre Sicherheitsstrategien optimieren. Zudem ermöglicht eine enge Kooperation eine schnellere Reaktion auf Bedrohungen und eine bessere Koordination im Krisenfall.
Schulung und Sensibilisierung
Die Schulung und Sensibilisierung der Mitarbeiter in kritischen Infrastrukturen ist ein weiterer zentraler Punkt des Dachgesetzes. Nur durch gut ausgebildete und informierte Mitarbeiter kann die Sicherheit nachhaltig gewährleistet werden. Regelmäßige Schulungen und Übungen helfen, das Bewusstsein für potenzielle Risiken zu schärfen und die Reaktionsfähigkeit im Ernstfall zu verbessern. Zudem sollten auch die Bürgerinnen und Bürger in die Sensibilisierungsmaßnahmen einbezogen werden.
Fazit und Ausblick
Zusammenfassend lässt sich sagen, dass die Umsetzung des KRITIS-Dachgesetzes einen wichtigen Schritt in Richtung eines umfassenden Schutzes kritischer Infrastrukturen darstellt. Es schafft einen einheitlichen rechtlichen Rahmen, der die Sicherheit und Resilienz dieser Infrastrukturen erhöht. Dennoch müssen wir uns der Herausforderungen bewusst sein, die mit der fortschreitenden Digitalisierung und den sich wandelnden Bedrohungen einhergehen.
Die kontinuierliche Anpassung unserer Sicherheitsstrategien, die Förderung von öffentlich-privaten Partnerschaften sowie die Schulung und Sensibilisierung aller Beteiligten sind entscheidend, um die Sicherheit kritischer Infrastrukturen langfristig zu gewährleisten. Nur durch eine gemeinsame Anstrengung von Staat, Wirtschaft und Gesellschaft können wir die Herausforderungen der Zukunft meistern und die Sicherheit unserer kritischen Infrastrukturen nachhaltig sichern.