Innenministerin Nancy Faeser (SPD) versicherte angesichts der Vorfälle, dass der Schutz der kritischen Infrastrukturen „höchste Priorität“ habe. Die Sicherheitsbehörden träfen „zusätzliche Schutzmaßnahmen“, wo dies erforderlich sei, sagte die Ministerin der „Süddeutschen Zeitung“. „So haben wir etwa den Schutz maritimer Infrastrukturen durch eine deutlich erhöhte Präsenz der Bundespolizei auf See erhöht.“
Von den Betreibern von Einrichtungen der kritischen Infrastruktur verlangte die Ministerin, „massiv“ zu investieren, um Strukturen mehrfach aufzubauen und mehr Backup-Systeme vorzuhalten, sollten die Hauptsysteme ausfallen. „Die Betreiber müssen sich umfassend gegen Gefahren wie Naturkatastrophen, Terrorismus, Sabotage aber auch menschliches Versagen wappnen.“ Faeser kündigte noch in diesem Jahr Eckpunkte für ein sogenanntes „Kritis-Dachgesetz“ an.
Top-Jobs des Tages
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Vor allem die Grünen fordern schon länger ein solches Gesetz, das auch Fragen der IT-Sicherheit regeln soll. Im Koalitionsvertrag von SPD, Grünen und FDP wurde ein „Dachgesetz“ vereinbart. „Das Gesetz ist heute dringender denn je und muss umgehend auf den Weg gebracht werden“, heißt es in dem Grünen-Antrag.
Zur kritischen Infrastruktur zählen unter anderem Einrichtungen aus den Sektoren Energie, Verkehr, Wasser, Ernährung, Staat und Verwaltung, Gesundheit, Informationstechnik und Telekommunikation. Manche Experten haben Zweifel, ob diese teils staatlich, teils privat betriebenen Einrichtungen in Deutschland ausreichend geschützt sind. Befeuert hatten die Debatte darüber die Explosionen an den Ostsee-Pipelines und der Sabotage-Angriff auf das Kommunikationssystem der Bahn.
Kritik an der Cybersicherheitsagenda von Innenministerin Faeser
Die Grünen nennen keine möglichen Urheber dieser Attacken, weisen aber auf den zeitlichen Zusammenhang der Ereignisse hin. „Sie haben das Ziel, unsere Gesellschaft in einer von Krisen gekennzeichneten Zeit weiter zu verunsichern“, erklären die Grünen in ihrem Antrag. Zudem stellten die Vorfälle in ihren Auswirkungen eine neue Qualität dar und nutzten sowohl digitale als auch physische Schwachstellen der kritischen Infrastruktur aus. „Die entstandenen Schäden zeigen uns, dass auch bereits verhältnismäßig einfache Störaktionen, wie die Durchtrennung der Kabel bei den Anschlägen auf die Bahn, eine große Wirkung entfalten können.“
>> Lesen Sie hier: Sorge vor Blackouts wegen Sabotage: Kommunen fordern nationale Notstrom-Reserve
Als Konsequenz halten die Grünen kurzfristige Schutzmaßnahmen für geboten. „Die Polizeien von Bund und Ländern müssen wichtige Einrichtungen und zum Beispiel Knotenpunkte von Kommunikation verstärkt in den Blick nehmen“, heißt es in dem Dringlichkeitsantrag. Dazu seien sie mit den entsprechenden Ressourcen auszustatten. Daneben müsse die Spionageabwehr neu aufgestellt und gegebenenfalls gestärkt werden.
„Und wir brauchen neue Strukturen zur Erkennung und Abwehr hybrider Bedrohungen“, heißt es in dem Antrag weiter. Nach Vorstellung der Grünen muss die Zusammenarbeit in Einrichtungen wie dem Nationalen Cyberabwehrzentrum nach „klaren gesetzlichen Vorgaben“ erfolgen. Eine aktive Cyberabwehr schließt die Partei aus. Das heißt: Die Grünen lehnen es ab, deutschen Sicherheitsbehörden Cyber-Gegenattacken, sogenannte Hackbacks, zu ermöglichen.
Kritisch sehen die Grünen in diesem Zusammenhang die jüngst von Innenministerin Faeser vorgelegte Cybersicherheitsagenda. Die Pläne würden dem Anspruch, den Schutz kritischer Infrastrukturen zu verbessern, bisher nicht gerecht. Daher komme es nun im besonderen Maße auf die Nationale Sicherheitsstrategie an, die derzeit unter Federführung des Auswärtigen Amtes erarbeitet werde. Die Hoffnung der Grünen ist, dass die Strategie sowohl Aspekte wie das Schließen von Sicherheitslücken in IT-Systemen als auch Cyberaußenpolitik berücksichtige.
Kritis-Dachgesetz soll Schutzlücken schließen
Die aktuellen Anforderungen an Kritische Infrastrukturen, die vor allem im Rahmen der IT-Sicherheitsgesetzgebung formuliert sind, gehen den Grünen nicht weit genug.
So seien etwa die in der Kritis-Verordnung festgelegten Schwellenwerte, ab denen öffentliche Institutionen oder Unternehmen als kritische Infrastrukturen gelten, „teils so hoch angesetzt, dass selbst große Betreiber von kritischen Einrichtungen durch das Raster fallen“. Diese Lücken müssten dringend geschlossen werden.
>> Lesen Sie hier: Sechs deutsche Firmen betroffen: Cyberattacken auf europäische Energie-Unternehmen häufen sich
Dazu soll das Kritis-Dachgesetz dienen. Die Bundesregierung werde damit auch die derzeit verhandelte EU-Richtlinie über die Resilienz kritischer Einrichtungen national umsetzen, erklärte ein Sprecher des Bundesinnenministeriums.
Mit dem Gesetz und der Richtlinie würden Mindestanforderungen für Maßnahmen formuliert, die die Betreiber kritischer Einrichtungen treffen müssten, um auf Gefahren wie Naturkatastrophen, Terrorismus, Sabotage oder auch menschliches Versagen umfassend vorbereitet zu sein. Zudem werde auch „ein Meldewesen für Sicherheitsvorfälle und Berichtspflichten für Infrastrukturbetreiber und die EU-Mitgliedstaaten etabliert“.
Mehr: „Die Bedrohung wächst“ – Wie gefährdet die kritische Infrastruktur in Deutschland ist
