Der Beitrag erläutert auf der Grundlage einer Bestandsaufnahme, warum sich bei den politischen Entscheidungsträgern die Erkenntnis durchsetzen muss, dass die komplexe Aufgabe „Schutz Kritischer Infrastrukturen“ einer umfassenden konzeptionellen Aufarbeitung unterzogen werden muss.
Gesetzgebungsinitiativen
Der Schutz Kritischer Infrastrukturen rückt zunehmend in den Fokus des staatlichen Schutzauftrags und kann somit dem nationalen Gestaltungsfeld „Sicherheitsvorsorge und Resilienz als gesamtgesellschaftliche Aufgabe“ (Weißbuch 2016) zugeordnet werden. Hier wird nicht nur der Staat in die Pflicht genommen, sondern es ist auch gesamtgesellschaftlich Verantwortung wahrzunehmen.
Dies schließt die Betreiber Kritischer Infrastrukturen im staatlichen wie im privatwirtschaftlichen Bereich und den Bürger mit seiner Selbsthilfebereitschaft und -fähigkeit ein. Auch wenn die gesetzlichen Vorgaben, die in diesem Artikel im Vordergrund stehen, vor allem die Betreiber Kritischer Infrastrukturen ansprechen, muss dem Bürger immer wieder deutlich gemacht werden, dass sein Engagement im Rahmen seines persönlichen Ressourcenmanagements ganz wesentlichen Anteil an einer funktionierenden Daseinsvorsorge insbesondere in Krisenzeiten hat.
Der nachhaltige Schutz Kritischer Infrastrukturen entscheidet maßgeblich darüber, ob die gesellschaftlichen Funktionen des täglichen Lebens, aber auch die staatlichen Aufgaben bei krisenhaften Entwicklungen und Gefährdungen bis hin zu militärischen Bedrohungen sichergestellt werden können.
KRITIS-Strategie
Daher wurde deren Bedeutung zuletzt auch in der Nationalen Sicherheitsstrategie wie folgt hervorgehoben: „Unsere Kritischen Infrastrukturen sind vermehrt das Ziel erheblicher Bedrohungen und Störungen“, und an anderer Stelle wird in Aussicht gestellt, dass man die Resilienz dieser Anlagen und Einrichtungen erhöhen will.
Darüber hinaus formuliert die „Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)“ des Bundesministeriums des Innern (BMI) aus dem Jahr 2009 in ihrem Leitbild: „Der Staat kooperiert partnerschaftlich mit anderen öffentlichen und privaten Akteuren bei der Erarbeitung von Analysen und Schutzkonzeptionen. Er steuert primär moderierend, nötigenfalls normierend, die Maßnahmen zur Sicherung und zur Sicherstellung des Gesamtsystems sowie der Systemabläufe.“
Zweiteilung von Cybersicherheit und physischem Schutz
Diese Normierung durch die Bundesgesetzgebung erfolgte und erfolgt aktuell insbesondere durch die Umsetzung entsprechender EU-Richtlinien in nationales Recht (Umsetzung bis 17. Oktober 2024). Deutschland hat bereits 2015 mit dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) den Schutz der IT-Sicherheit in einem Bundesgesetz geregelt.
Diese Regelungen erfahren über die sog. NIS-2-Richtlinie der EU[1] eine nationale Weiterentwicklung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Diese Gesetzgebung regelt jedoch nur den Bereich der Cybersicherheit Kritischer Infrastrukturen.
Mit dem in der Ressortabstimmung befindlichen Entwurf eines „KRITIS-Dachgesetzes“ mit Stand vom 21.12.2023 wird die EU-Richtlinie (2022/2557) über die Resilienz kritischer Einrichtungen (Critical Entities Resilience/CER-Richtlinie) umgesetzt. Mit diesem Gesetz soll nun auch der physische Schutz der Kritischen Infrastrukturen geregelt werden.
An dieser Stelle gilt es also festzuhalten, dass man bezüglich der gesetzlichen Grundlagen eine Zweiteilung in Kauf nimmt und Cybersicherheit und physischen Schutz unterschiedlich normiert. Dies wird zu erheblichem Aufwand führen, um die erforderliche und letztlich auch angestrebte Kohärenz – wie im Gesetzentwurf angekündigt – zwischen diesen beiden Schutzzielen zu erreichen.
Verzicht auf Gestaltung
Die aktuellen Gesetzgebungsinitiativen dürfen nicht darüber hinwegtäuschen, dass man bisher auf eine konzeptionelle Aufarbeitung der Aufgabe zwischen den Akteuren aller staatlichen Ebenen und den Betreibern der relevanten Einrichtungen verzichtet hat.
Dies bedingt letztlich eine mehr als zwanzig Jahre alte Fehlentwicklung, wie wir sie leider auch in anderen Politikfeldern feststellen können. In besonders fataler Weise wurde dies zuletzt im Bereich des Katastrophenschutzes in der Flutkatastrophe vom Sommer 2021 offenbar.
Hier wurde ein Systemversagen deutlich, dessen Ursachen vor allem in einer mangelnden Anpassungsfähigkeit an veränderte Rahmenbedingungen und in einem falschen Verständnis von staatlichem Krisenmanagement zu finden sind.[2]
Ausgeprägte Interdependenzen
Die konzeptionelle Schwäche und der damit einhergehende Verzicht auf „Gestaltung“ zugunsten eines allzu häufig feststellbaren politisch motivierten Aktionismus in den Aufgabenfeldern der Sicherheitsvorsorge bestimmen leider auch die Entwicklung von Fähigkeiten im Bereich Schutz Kritischer Infrastrukturen.
Weder eine fünfzehn Jahre alte Strategie des Bundes noch diverse Empfehlungen, Leitfäden und Handreichungen, wie sie vor allem durch das BBK[3] bereitgestellt wurden, ersetzen eine abgestimmte Konzeption zwischen den staatlichen Ebenen und den staatlichen sowie privatwirtschaftlichen Betreibern.
Gerade Kritische Infrastrukturen mit ihren ausgeprägten Interdependenzen bis in den internationalen Bereich bedürfen umfassender und abgestimmter Regelungen, die ein kohärentes System sicherstellen.
Eine Voraussetzung, die nicht nur für den Bevölkerungsschutz (Zivil- und Katastrophenschutz), sondern auch für ein System Geltung haben muss, das wesentlichen Anteil hat an der Sicherstellung unserer Daseinsvorsorge in krisenhaften Entwicklungen bis hin zu hybriden Angriffen oder gar in einer militärischen Auseinandersetzung.
Gemeinsamer konzeptioneller Rahmen
An dieser Stelle ist darauf hinzuweisen, dass die Aufgaben – Katastrophenschutz, Zivile Verteidigung mit der Teilaufgabe Zivilschutz und der Schutz Kritischer Infrastrukturen – aufgrund ihrer inhaltlichen Nähe zusammengedacht werden müssen und damit in einem gemeinsamen konzeptionellen Rahmen entwickelt werden sollten.
Dies würde im Übrigen auch der Intention des Weißbuchs 2016 entsprechen, wie die Forderung nach einem Gestaltungsfeld „Sicherheitsvorsorge und Resilienz“ deutlich macht. Die noch gültige Konzeption Zivile Verteidigung (KZV) des BMI aus dem Jahr 2016 beinhaltet zwar Aussagen zu diesen drei Aufgaben, allerdings nicht in der erforderlichen Tiefe und Schlüssigkeit und leistet so keinen hinreichenden Beitrag zu deren „Gestaltung“.
(…)
Den vollständigen Beitrag lesen Sie im Deutschen Polizeiblatt 3.2024, S. 16 ff.
[1] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates v. 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Die Abkürzung NIS steht für Netz- und Informationssicherheit.
[2] Eine grundlegende Auseinandersetzung mit dem Bevölkerungsschutz, der Zivilen Verteidigung und dem staatlichen Krisenmanagement findet sich in: Weinheimer, Bevölkerungsschutz 2030 – Anleitung zur Überwindung eines „bewährten“ Systems, Miles Verlag, 2023.
[3] Siehe hierzu Homepage BBK: https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html.