Mehr Sicherheit für kritische Bahninfrastrukturen

Kritische Infrastrukturen (Kritis) im Allgemeinen und speziell kritische Bahninfrastrukturen gehören längst zu den lebenswichtigen und verletzlichen Sektoren einer Volkswirtschaft. Dies zeigten die physischen Sabotageangriffe auf Lichtleiterkabel der Deutschen Bahn in Berlin und Herne im Herbst 2022. Spätestens die medienwirksam gewordene physische Verwundbarkeit des Hamburger Flughafens – als weiteres Beispiel aus dem Kritis-Sektor Transport und Verkehr – durch die Klimakleber-Aktion im Juli 2023 und die Geiselnahme im November 2023 zeigten den dringenden Handlungsbedarf auf. Nicht zuletzt diese Sabotageakte und die unbefugten Eindring-Aktionen veranlassten die europäische und deutsche Politik, bei der Regulierung der Cybersicherheit und erstmalig bei der Regulierung der Physischen Sicherheit und Resilienz aufs Tempo zu drücken: Die EU-CER-Richtlinie ist seit Januar 2023 in Kraft und muss spätestens bis Oktober 2024 per Kritis-Dachgesetz in deutsches Recht umgesetzt werden. Für deutsche Kritis-(Bahn-)Betreiber werden physische Sicherungsmaßnahmen und Resilienzstandards wie durch Videoüberwachung nach dem Stand der Technik ab dem Jahr 2024 verpflichtend.

Im März 2022 berichtete das deutsche Nachrichtenmagazin „Der Spiegel“ über einen Sonderlagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Demnach könnte Deutschland aufgrund der russischen Invasion in der Ukraine zum Ziel politisch motivierter Cyberangriffe werden. Konkret ging es um . „Hochwertziele“, also Schlüsselsektoren der deutschen Industrie. Spätestens seit den erwähnten Bahn-Sabotageakten oder unbefugten Flughafen-Eindring-Aktionen ist der Schutz, vor allem auch der physische Schutz, von Kritis stärker in den Fokus gerückt: bei den Kritis-Betreibern, in der Bevölkerung, aber auch in der Politik.

In der Folge der Bahn-Sabotage 2022 kündigte „die Politik“ in Form der Bundesinnenministerin Nancy Faeser eine Verbesserung des Schutzes von Bahnhöfen und Bahnanlagen an. Laut ihrer damaligen Verlautbarung während eines Besuches bei der Leipziger Bundespolizei werden der Bund und die Deutsche Bahn 180 Mio. € investieren und die Zahl der Videoüberwachungskameras auf 11.000 erhöhen. Es sei zwar unmöglich, über 33.000 km Bahnstrecke und Millionen Kilometern von Kabelsträngen vollständig mit Kameras, Sensoren oder personellen Einsatzkräften zu schützen. Aber besonders neuralgische, sprich kritische Anlagen wie Bahnhöfe, Betriebsstätten und sonstige ortsfeste Einrichtungen müssten den Worten der Ministerin zufolge durch geeignete Schutzmaßnahmen besser abgesichert und dadurch resilienter werden.

Mit Stand Januar 2024 liegt ein Referentenentwurf des Bundesministeriums des Innern mit Bearbeitungsstand 21.12.2023 vor mit dem Titel: „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen“. Die kurze Erklärung: Es geht um die Umsetzung der EU CER-Richtlinie per Kritis-Dachgesetz. Es wird erwartet, dass die deutsche Politik spätestens bis Ende des ersten Halbjahres 2024 ein finales Kritis-Dachgesetz verabschiedet, welches dann voraussichtlich am 18. Oktober 2024 in Kraft tritt.

Hinter dem geplanten Kritis-Dachgesetz steht die politische Erkenntnis, dass für den Schutz und die Resilienz von Kritis kein „fragmentierter und unkoordinierter“, sondern ein ganzheitlicher und hybrider Ansatz verfolgt werden muss. Nur eine Art „ganzheitlicher Schutzschirm“ für Kritis ist zielführend. Was heißt das konkret? Derzeit gibt es mit dem BSI-Gesetz bereits Regelungen für Kritis-Betreiber zur Cybersicherheit, aber eben nur zur Cybersicherheit. Auch für die physische Sicherheit gibt es Regelungen, allerdings nur für einzelne Kritis-Sektoren wie im Luftsicherheitsgesetz. Bundesweite, sektoren- und gefahrenübergreifende „Dachregelungen“ zur physischen Sicherung kritischer Infrastrukturen gibt es bisher nicht. Wir halten die geplanten Regelungen und den Schritt zu mehr physischer Sicherheit aus geopolitischer und sicherheitspolitischer Sicht für begrüßenswert – insbesondere im Hinblick auf die Versorgungsautonomie, Unabhängigkeit und „Business Continuity“ der kritischen Infrastrukturen. Darüber hinaus wäre ein solches Dachgesetz auch aus pragmatischen Gründen wünschenswert, wie etwa rechtsverbindliche Definitionen von Kritis-Einrichtungen und klare Zuständigkeiten.

Seit dem Jahr 2021 werden vor dem Hintergrund von Drittstaaten-Risiken mit dem § 9b BSIG erstmals auch Hersteller oder  Vorlieferanten von kritischen IT-Komponenten beim Einsatz in Kritis in die gesetzliche Pflicht genommen, Stichwort „Prüfung auf Vertrauenswürdigkeit“ und „Garantieerklärung“. In der Öffentlichkeit ist dies besser bekannt als „Lex Huawei“ im Zusammenhang mit dem Aufbau des 5G-Mobilfunknetzes in Deutschland. Ob dieses gesetzliche (Hinter-)Türchen „der einzelfallbezogenen Vertrauenswürdigkeitsprüfung“ von Herstellern für den chinesischen 5G-Netzausrüster Huawei nach dem Kriegsbeginn Russlands gegen die Ukraine und der Erkenntnis über einseitige Abhängigkeiten in Schlüsseltechnologien und Schlüsselenergien von der handelnden Politik noch genauso gesehen wird, bleibt an dieser Stelle offen oder es ist bereits eine restriktivere (Verbots- und Regulierungs-)Tendenz zu erkennen. Stand September 2023 erwägt die deutsche Politik, die Telekommunikationsbetreiber zu verpflichten, bis zum 1. Januar 2026 keine Geräte chinesischer Telekommunikationsanbieter mehr für den Kernbereich (oder Backbone) der 5G-Telekommunikationsnetze zu verwenden und die Abhängigkeit von chinesischer Ausrüstung im Funkzugangsnetz innerhalb von drei Jahren zu beenden oder auf einen Anteil von 25% zu reduzieren.

Bei Herstellern aus Drittstaaten können nach § 9b BSIG Hersteller oder Vorlieferanten kritischer Komponenten in die gesetzliche Pflicht genommen werden. Die USA gehen im Bereich der Cyber- und geopolitischen Resilienz noch restriktiver vor: So verbietet das Bundesgesetz NDAA (National Defense Authorization Act) seit 2019 den Einsatz von Produkten zweier großer chinesischer Videotechnikhersteller in Projekten, die die öffentliche Sicherheit, die Sicherheit von Regierungseinrichtungen und die Sicherheit Kritischer Infrastrukturen betreffen. Ähnliche Verbotstendenzen sind auch in Großbritannien und anderen Ländern zu beobachten.

Für den Einsatz von Videotechnik in Kritis wie dem Schienenverkehr bedeutet dieser Merksatz konkret: Die IT-Gesamtsicherheit und Verwundbarkeit von Bahn-Betreibern hängt nicht nur, aber auch von der Cybersicherheit der eingesetzten Videoprodukte ab. Diesem wichtigen sicherheitstechnischen Zusammenhang zwischen Kritis-Betreibern und Herstellern/Vorlieferanten trägt in Europa die seit Anfang 2023 in Kraft getretene EU NIS2-Richtlinie berechtigterweise regulatorisch Rechnung in Artikel 21 über „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“: In Artikel 21 Buchstaben (d) und (e) fordert sie explizit „Sicherheit in der Lieferkette“ und „Sicherheitsmaßnahmen bei Erwerb von informationstechnischen Systemen“. Die deutsche nationale Umsetzung im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) respektive im geplanten, resultierenden (neuen) BSI-Gesetz fordert 1:1 wortgleich auch diese Supply Chain-bezogenen Sicherheitsmaßnahmen in Artikel 30 Abs. 2 Nr. 4 und Nr. 5.

In letzter Zeit ist festzustellen, dass der Markt für Videotechnik die Gütesiegel „Made in Europe“ und „Made in Germany“ zunehmend als Zeichen für Qualität, Sicherheit und Vertrauen wahrnimmt. Errichter und Endkunden fragen verstärkt entsprechende Produkte nach. Es kann daher im Sinne der Kritis-Gesamtsicherheit nur positiv sein, wenn zu diesem Markttrend „Made in Europe / Made in Germany“ auch eine „mittelbar steuernde“ gesetzliche Regelung im BSI-Gesetz oder in einem kommenden Kritis-Dachgesetz hinzukommt. Mittelbar steuernd in Bezug auf vertrauenswürdige Hersteller, Produkte und Komponenten und damit letztlich unmittelbar steuernd zur Stärkung der physischen, cyber- und geopolitischen Resilienz.

Im Entwurf des Kritis-Dachgesetzes vom Dezember 2022 bietet der Staat an, Kritis-Betreiber mit Handlungsleitfäden zu unterstützen. Zum Thema Videotechnik bietet beispielsweise Dallmeier in seinem kostenlosen Praxisleitfaden „Videotechnologie und Sicherheit für Kritische Infrastrukturen“ nützliche Informationen. Interessierte Leser können ein Exemplar per E-Mail anfordern oder einfach sich ein Exemplar mit Expertenwissen und Praxistipps downloaden.

Jürgen Seiler, Head of Business Development Dallmeier (Schwerpunkt Kritis)