Kriege, Klimawandel, Cyberangriffe, Sabotage: Vor dem Hintergrund einer solchen hybriden Bedrohungslage stellt sich der Schutz kritischer Infrastrukturen als Gemeinschaftsaufgabe dar, die von verschiedenen Rechtsgrundlagen und Akteuren bestimmt wird.
Nicht erst der russische Angriff am 24.02.2022 auf die Ukraine hat gezeigt, dass wir in einer „Zeitenwende“ leben. In den Jahren 2015/2016 kamen über eine Million Flüchtlinge nach Deutschland mit enormen Herausforderungen, deren politische Folgen noch nicht abschätzbar sind. Die COVID- 19-Pandemie im Jahr 2020 und den Folgejahren hat gezeigt, wie anfällig eine zunehmend verflochtene Weltwirtschaft ist.
Sabotageakte auf Bahnstrecken der Deutschen Bundesbahn im Oktober 2022 in Berlin und Nordrhein-Westfalen und auf Gaspipelines zwischen Russland und Europa im September 2022 haben die Anfälligkeit (von Teilen) der kritischen Infrastrukturen (KRITIS) für Angriffe deutlich gemacht. Das Hochwasser an der Ahr im Sommer 2021 mit zahlreichen Toten hat gezeigt, dass die dramatischen Folgen des Klimawandels auch in Deutschland angekommen sind.
Hinzu kommen Stromausfälle und Störungen der Computernetze mit einschneidenden Folgen für Wirtschaft, Verwaltung und Gesellschaft. Cyberangriffe nehmen zu und die allgemeine Kriminalität gibt es auch noch.
KRITIS-Schutz als Gemeinschaftsaufgabe
Diese nur skizzierten Ereignisse und Beispiele haben dazu geführt, dass die Themen Innere und Äußere Sicherheit neben der sicheren und bezahlbaren Energieversorgung in den letzten Jahren zum beherrschenden Thema der Politik geworden sind. Die Bundesregierung hat im Juni 2023 erstmals eine „Nationale Sicherheitsstrategie“ mit dem Titel „Integrierte Sicherheit für Deutschland. Wehrhaft. Resilient. Nachhaltig“ vorgelegt.
Eine erfolgreiche Umsetzung dieser Strategie setzt eine enge und regelbasierte Zusammenarbeit von Staat, Wirtschaft und Gesellschaft voraus. Vor wenigen Wochen, im Februar 2024, hat das Bundesministerium des Innern und für Heimat (BMI) Eckpunkte der Nationalen Wirtschaftsschutzstrategie vorgelegt. Beide Strategiepapiere enthalten zahlreiche Handlungsvorschläge, sind jedoch letztlich unverbindlich.
CER-Richtlinie und KRITIS-Dachgesetz
Wesentlich konkreter ist die deutsche, aber auch europäische Politik, wenn es um den Schutz kritischer Infrastrukturen (KRITIS) geht. „KRITIS sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden,“ so die Definition des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Die EU hat am 14.12.2022 die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) vorgelegt. Dadurch soll die „Festlegung harmonisierter Mindestverpflichtungen verbessert und den Betreibern durch kohärente und gezielte Unterstützungs- und Aufsichtsbehörden geholfen werden“.
Bereits in ihrer Koalitionsvereinbarung hat die Koalition aus SPD, Grünen und FDP das KRITIS-Dachgesetz angekündigt. Am 07.12.2022 wurden Eckpunkte eines KRITIS-Dachgesetzes veröffentlicht. Im Juli und im Dezember 2023 wurde der 1. bzw. der 2. Referentenentwurf zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz von Betreibern kritischer Anlagen vorgelegt.
Kooperation zwischen Staat und privaten KRITIS-Betreibern
Der Schutz von KRITIS ist eine Kernaufgabe staatlicher und unternehmerischer Sicherheitsvorsorge und zentrales Thema der Sicherheitspolitik in Deutschland. Sie erfordert ein abgestimmtes Verhalten von allen Verantwortlichen in Staat, Wirtschaft und Öffentlichkeit.
In Deutschland sind grundsätzlich die Betreiber verantwortlich für den Schutz ihrer Anlagen. Diese müssen sich umfassend gegen Gefahren wie Naturkatastrophen, Terrorismus, Sabotage und gegen menschliches Versagen wappnen. Durch die Privatisierungen in den letzten drei Jahrzehnten gehört die kritische Infrastruktur zu 80 % der privaten Wirtschaft.
Ein Großteil der Wirtschaftsunternehmen verfügt über einen professionellen Werkschutz und Abteilungen sowie Verantwortliche für die Unternehmenssicherheit. Eine noch engere Zusammenarbeit zwischen den Sicherheitsabteilungen der Unternehmen und den staatlichen Behörden ist wünschenswert und notwendig.
Schutz von Atomkraftwerken
In den 1970er Jahren wurden die ersten Atomkraftwerke in Deutschland in Betrieb genommen. Aufgrund der drohenden Gefahr von Sabotageakten und der möglichen Folgen für die Öffentliche Sicherheit wurde die Übernahme der Bewachung der Kernkraftwerke durch Einheiten der Polizei gefordert.
Dies wurde im Jahr 1977 von der Innenministerkonferenz und vom Bundesinnenministerium abgelehnt. Der Einsatz von Polizeikräften setze das Vorliegen einer konkreten Gefahr voraus. Dies sei allein durch den Betrieb einer kerntechnischen Anlage nicht gegeben, deshalb könnten staatliche Schutzmaßnahmen nur für den Ereignisfall bereitgehalten werden.
Mit der politischen Entscheidung der Bewachung von Kernkraftwerken durch private Sicherheitsdienste und nicht durch die Polizei wurde ein Präzedenzfall geschaffen. Es sollte vermieden werden, dass ein polizeilicher Schutz auch für Raffinerien, Wasserwerke und andere kritische Anlagen gefordert wurde.
Bei der Sicherung von Kernkraftwerken handelt es sich primär um den Schutz von Privateigentum. Das Atomgesetz überlässt es den Energieversorgungsunternehmen, ob sie die Bewachung der Anlagen selbst übernehmen oder sie privaten Sicherheitsunternehmen übertragen.
Zur Umsetzung der Schutzziele wurden zahlreiche Richtlinien und Verordnungen durch die Bundesregierung, aber auch durch die zuständigen Länderministerien erlassen. Diese beschreiben die Schutzziele und die Anforderungen und Rahmenbedingungen für die Objektsicherung. Alle deutschen Kernkraftwerke wurden und werden von bis zu 3500 privaten Sicherheitskräften geschützt.
Hybride Bedrohungen und der „All-Gefahren-Ansatz“
Der Branchenverband BITKOM kommt in seiner Studie „Wirtschaftsschutz 2023“ zum Ergebnis, dass der deutschen Wirtschaft durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage jährlich ein Gesamtschaden von über 200 Milliarden Euro entsteht.
Neun von zehn Unternehmen mit mehr als neun Mitarbeitern werden inzwischen jährlich Opfer von Datendiebstahl, Industriespionage oder Sabotage. Jedes zweite Unternehmen fühlt sich durch Cyberangriffe existenziell bedroht.
Die EU-Kommission hat auf diese Entwicklung mit der Verabschiedung der Europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) im August 2016 reagiert. Diese wurde am 29.06.2017 in nationales Recht umgesetzt.
Zusammenhang von Cyber- und physischer Sicherheit
Damit wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der EU sowie Mindestanforderungen an und Meldepflichten für die Betreiber von KRITIS geschaffen. Mit der Verabschiedung der europäischen NIS-2-Richtlinie im Jahr 2022 wurde der Anwendungsbereich dieser Richtlinie um „wichtige“ Unternehmen deutlich erweitert.
Die Grenzen zwischen Cybersicherheit und der physischen Sicherheit bzw. dem Objektschutz unserer Infrastrukturen sind, wie die BITKOM-Studie zeigt, fließend. Die CER-Richtlinie ergänzt die bisherigen europäischen und deutschen Richtlinien für die Sicherheit in der Informationstechnik. Sie fordert einen einheitlichen europäischen Rechtsrahmen auch für den Schutz vor physischen Störungen. Die Umsetzung von NIS und CER führt zu einem ganzheitlichen und hybriden Schutz von KRITIS. Zentrales Schlagwort dafür ist der „All-Gefahren-Ansatz“.
(…)
Den vollständigen Beitrag lesen Sie im Deutschen Polizeiblatt 3.2024, S. 3.
