Fragen und AntwortenWer ist verantwortlich für unsere kritische Infrastruktur?

Bund und Länder haben 2011 neun Sektoren der kritischen Infrastrukturen (KRITIS) benannt: Transport und Verkehr, Wasser, Energie, Ernährung, Finanz-und Versicherungswesen, Gesundheit, Informationstechnik & Telekommunikation, Siedlungsabfallentsorgung, Medien und Kultur, Staat und Verwaltung. Diese Branchen gelten deswegen als kritische Infrastruktur, weil sich unsere Gesellschaft ohne sie mit erheblichen Versorgungsengpässen und Gefährdungen der öffentlichen Sicherheit auseinandersetzen müsste.

Das klingt, als wären da schon sämtliche Gesellschaftsbereiche abgedeckt, tatsächlich gibt es aber Branchen oder Teile von ihnen, die nicht "kritisch" sind. So ist zum Beispiel nur die Entsorgung von "Siedlungsabfällen" kritisch – das sind Abfälle aus privaten Haushalten und vergleichbaren Einrichtungen, zum Beispiel Abfälle aus Arzt- und Rechtsanwaltspraxen, aber auch hausmüllähnliche Abfälle aus Gewerbe und Industrie. Die Entsorgung von besonderen Stoffen wie Altöl, Bauabfällen und alten Elektrogeräten gehört dagegen nicht zur kritischen Infrastruktur. Und im Sektor Medien und Kultur gelten zwar sämtlich Bereiche von Presse und Rundfunk als kritisch, ebenso Kulturgüter. Kinos, Konzerte und ähnliches sind aber wiederum keine kritische Infrastruktur.

Die verschiedenen Teile unserer kritischen Infrastruktur werden sowohl von Unternehmen als auch von Behörden betrieben – liegen also nicht nur in staatlicher, sondern auch in privater Hand. Tatsächlich werden nach Angaben der Bundeszentrale für politische Bildung (bpb) etwa 80 Prozent der kritischen Infrastruktur privat betrieben. Risikoforscher Alexander Fekete erklärte im Interview mit MDR AKTUELL, dass die öffentliche Hand nur begrenzt zuständig sei und man sich daher von staatlicher Seite anfangs nur wenig mit dem Thema befasst habe.

Das scheint problematisch, insbesondere vor dem Hintergrund, dass durch die Vielzahl an Akteuren die Betreiber der kritischen Infrastrukturen untereinander oft auch nicht viel voneinander wüssten, wie die bpb erklärt. Daher sei es sehr schwer den Überblick über das Geschehen in allen Sektoren zu behalten. Real auszutesten, was passiert, wenn Infrastrukturen ausfallen, sei fast unmöglich.

Es gibt zwei übergeordnete staatliche Behörden, die sich mit der Sicherheit unserer kritischen Infrastrukturen befassen: das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Beide liegen im Geschäftsbereich des Bundesinnenministeriums (BMI). Sie sind aber nicht als zentrale Aufsichtsbehörden für die kritischen Infrastrukturen zu verstehen – diese sind nämlich nur ein Teil ihres Aufgabenbereichs.

Das BBK hat den gesetzlichen Auftrag, die Bevölkerung im Verteidigungsfall zu schützen und ist als zentrale Stelle für zivile Sicherheit zu verstehen. Und dass die gewährleistet ist, hängt natürlich auch vom Schutz der kritischen Infrastrukturen ab. Dafür versucht es Kommunen und Betreiber kritischer Infrastrukturen zusammenzubringen, sodass diese ein Verständnis für die Strukturen und Ressourcen des jeweils anderen bekommen und sich auf ein gemeinsames Risikomanagement verständigen können. Das BBK ist also als Mediator und Informationsquelle für Kommunen und Betreiber kritischer Infrastruktur zu verstehen.

Das BSI wiederum gibt eher den rechtlichen Rahmen vor. Im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wird definiert, was kritische Infrastrukturen sind und wann Einrichtungen, Anlagen oder Teile eines Unternehmens so bedeutsam für die Versorgung der Bevölkerung sind, dass sie als kritische Infrastruktur gelten. Der Regulierung durch das BSI sind alle kritischen Infrastrukturen außer Staat und Verwaltung sowie Medien und Kultur unterstellt. Für die, ihm unterstellten Infrastrukturen, definiert das BSI auch branchenspezifische Sicherheitsstandards – an die müssen sich Betreiber jedoch nicht halten, wenn sie ihre Systeme auch anderweitig absichern können.

Unternehmen, die in Branchen operieren, die zu den Sektoren der kritischen Infrastrukturen zählen, müssen selbst ein Auge darauf haben, ob sie bestimmte Schwellenwerte überschreiten und damit zu den Betreibern kritischer Infrastrukturen gezählt werden. Überschreiten sie die Schwellenwerte, müssen sie sich beim BSI registrieren. Ab diesem Punkt haben sie die Pflicht, bestimmte Sicherheitsvorkehrungen zu treffen und Vorkommnisse wie Cyberattacken an das BSI zu melden.

Durch die neueste Anpassung der KRITIS-Verordnung, die Teil des BSIG ist, hat sich allerdings der Kreis der Betreiber kritischer Infrastrukturen deutlich erweitert. Das liegt daran, dass nun nicht mehr nur Betriebsstätten oder Maschinen und Geräte als Anlagen, die für die Erbringung einer kritischen Dienstleistung notwendig sind, gelten – sondern auch Software und IT-Dienste. Darüber hinaus wurden die Bemessungspunkte für die Anlagen deutlich herabgesetzt. Damit erreichen wesentlich mehr Unternehmen die Schwellenwerte und gelten in Zukunft als Betreiber kritischer Infrastrukturen.

Für kritische Infrastrukturen gelten branchenspezifische Sicherheitsstandards, die vom BSI erarbeitet werden. Abhängig davon, welche Anlagen in ihrem Unternehmen als kritische Infrastruktur zählen, müssen die Betreiber bestimmte Cybersecurity-Maßnahmen umsetzen. Die Betreiber haben außerdem die Pflicht, etwaige Angriffe, Vorfälle an das BSI zu melden. Ab 1. Mai 2023 sind sie außerdem verpflichtet, Systeme zur Angriffserkennung einzusetzen.

Und Betreiber müssen dem BSI den Einsatz von kritischen Komponenten melden, das sind IT-Produkte, deren Ausfall die Anlagen erheblich beeinträchtigen würde. Diese gelten nämlich aufgrund ihrer zentralen Funktion als besonders schützenswert und dürfen nur eingesetzt werden, wenn sie von vertrauenswürdigen Herstellern kommen.

Zuletzt wurden mit dem IT-Sicherheitsgesetz 2.0, das im April 2021 verabschiedet wurde, die Kompetenzen der Bundesbehörde noch einmal erweitert – auch mit dem Ziel die IT-Sicherheit bei Unternehmen und der Bundesverwaltung zu verbessern.

• Als zentrales Kompetenzzentrum der Informationssicherheit kann das BSI unter anderem Mindeststandards für die Bundesbehörden verbindlich festlegen und effektiver kontrollieren.

• Der Einsatz kritischer Komponenten kann durch das BSI untersagt werden. Die Netzbetreiber müssen zudem vorgegebene Sicherheitsanforderungen erfüllen und kritische Komponenten müssen zertifiziert werden.

• Auch der Sektor Siedlungsabfallentsorgung zählt nun zum Kreis der Kritischen Infrastrukturen. Daneben müssen künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (zum Beispiel Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen.