Kritische Bahninfrastrukturen werden immer wieder durch Sabotageakte bedroht.
Foto: Bulent Erdal – stock.adobe.com
Kritische Bahninfrastrukturen werden immer wieder durch Sabotageakte bedroht.

Videosicherheit

Mehr Sicherheit für kritische Bahninfrastrukturen

Die Vorgaben des kommenden Kritis-Dachgesetzes zur Verbesserung des physischen Schutzes wirken sich auch auf kritische Bahninfrastrukturen aus.

Kritische Infrastrukturen (Kritis) im Allgemeinen und speziell kritische Bahninfrastrukturen gehören längst zu den lebenswichtigen und verletzlichen Sektoren einer Volkswirtschaft. Dies zeigten die physischen Sabotageangriffe auf Lichtleiterkabel der Deutschen Bahn in Berlin und Herne im Herbst 2022. Spätestens die medienwirksam gewordene physische Verwundbarkeit des Hamburger Flughafens – als weiteres Beispiel aus dem Kritis-Sektor Transport und Verkehr – durch die Klimakleber-Aktion im Juli 2023 und die Geiselnahme im November 2023 zeigten den dringenden Handlungsbedarf auf. Nicht zuletzt diese Sabotageakte und die unbefugten Eindring-Aktionen veranlassten die europäische und deutsche Politik, bei der Regulierung der Cybersicherheit und erstmalig bei der Regulierung der Physischen Sicherheit und Resilienz aufs Tempo zu drücken: Die EU-CER-Richtlinie ist seit Januar 2023 in Kraft und muss spätestens bis Oktober 2024 per Kritis-Dachgesetz in deutsches Recht umgesetzt werden. Für deutsche Kritis-(Bahn-)Betreiber werden physische Sicherungsmaßnahmen und Resilienzstandards wie durch Videoüberwachung nach dem Stand der Technik ab dem Jahr 2024 verpflichtend.

Kritische Bahninfrastrukturen auch Gegenstand europäischer Sicherheitspolitik

Im März 2022 berichtete das deutsche Nachrichtenmagazin „Der Spiegel“ über einen Sonderlagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Demnach könnte Deutschland aufgrund der russischen Invasion in der Ukraine zum Ziel politisch motivierter Cyberangriffe werden. Konkret ging es um . „Hochwertziele“, also Schlüsselsektoren der deutschen Industrie. Spätestens seit den erwähnten Bahn-Sabotageakten oder unbefugten Flughafen-Eindring-Aktionen ist der Schutz, vor allem auch der physische Schutz, von Kritis stärker in den Fokus gerückt: bei den Kritis-Betreibern, in der Bevölkerung, aber auch in der Politik.

In der Folge der Bahn-Sabotage 2022 kündigte „die Politik“ in Form der Bundesinnenministerin Nancy Faeser eine Verbesserung des Schutzes von Bahnhöfen und Bahnanlagen an. Laut ihrer damaligen Verlautbarung während eines Besuches bei der Leipziger Bundespolizei werden der Bund und die Deutsche Bahn 180 Mio. € investieren und die Zahl der Videoüberwachungskameras auf 11.000 erhöhen. Es sei zwar unmöglich, über 33.000 km Bahnstrecke und Millionen Kilometern von Kabelsträngen vollständig mit Kameras, Sensoren oder personellen Einsatzkräften zu schützen. Aber besonders neuralgische, sprich kritische Anlagen wie Bahnhöfe, Betriebsstätten und sonstige ortsfeste Einrichtungen müssten den Worten der Ministerin zufolge durch geeignete Schutzmaßnahmen besser abgesichert und dadurch resilienter werden.

Mit Stand Januar 2024 liegt ein Referentenentwurf des Bundesministeriums des Innern mit Bearbeitungsstand 21.12.2023 vor mit dem Titel: „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen“. Die kurze Erklärung: Es geht um die Umsetzung der EU CER-Richtlinie per Kritis-Dachgesetz. Es wird erwartet, dass die deutsche Politik spätestens bis Ende des ersten Halbjahres 2024 ein finales Kritis-Dachgesetz verabschiedet, welches dann voraussichtlich am 18. Oktober 2024 in Kraft tritt.

Schienengüterverkehr als Kritische Infrastruktur

Im Auftrag der DB Cargo wurde die Resilienz des Schienengüterverkehrs als Kritische Infrastruktur analysiert und der daraus folgende Handlungsbedarf ermittelt.
Artikel lesen

Regulierung „nur“ der Cybersicherheit reicht nicht aus: „Physische Resilienz“ fehlt noch

Hinter dem geplanten Kritis-Dachgesetz steht die politische Erkenntnis, dass für den Schutz und die Resilienz von Kritis kein „fragmentierter und unkoordinierter“, sondern ein ganzheitlicher und hybrider Ansatz verfolgt werden muss. Nur eine Art „ganzheitlicher Schutzschirm“ für Kritis ist zielführend. Was heißt das konkret? Derzeit gibt es mit dem BSI-Gesetz bereits Regelungen für Kritis-Betreiber zur Cybersicherheit, aber eben nur zur Cybersicherheit. Auch für die physische Sicherheit gibt es Regelungen, allerdings nur für einzelne Kritis-Sektoren wie im Luftsicherheitsgesetz. Bundesweite, sektoren- und gefahrenübergreifende „Dachregelungen“ zur physischen Sicherung kritischer Infrastrukturen gibt es bisher nicht. Wir halten die geplanten Regelungen und den Schritt zu mehr physischer Sicherheit aus geopolitischer und sicherheitspolitischer Sicht für begrüßenswert – insbesondere im Hinblick auf die Versorgungsautonomie, Unabhängigkeit und „Business Continuity“ der kritischen Infrastrukturen. Darüber hinaus wäre ein solches Dachgesetz auch aus pragmatischen Gründen wünschenswert, wie etwa rechtsverbindliche Definitionen von Kritis-Einrichtungen und klare Zuständigkeiten.

„Lex Huawei“ zielt auf vertrauenswürdige, unbedenkliche Hersteller ab

Seit dem Jahr 2021 werden vor dem Hintergrund von Drittstaaten-Risiken mit dem § 9b BSIG erstmals auch Hersteller oder  Vorlieferanten von kritischen IT-Komponenten beim Einsatz in Kritis in die gesetzliche Pflicht genommen, Stichwort „Prüfung auf Vertrauenswürdigkeit“ und „Garantieerklärung“. In der Öffentlichkeit ist dies besser bekannt als „Lex Huawei“ im Zusammenhang mit dem Aufbau des 5G-Mobilfunknetzes in Deutschland. Ob dieses gesetzliche (Hinter-)Türchen „der einzelfallbezogenen Vertrauenswürdigkeitsprüfung“ von Herstellern für den chinesischen 5G-Netzausrüster Huawei nach dem Kriegsbeginn Russlands gegen die Ukraine und der Erkenntnis über einseitige Abhängigkeiten in Schlüsseltechnologien und Schlüsselenergien von der handelnden Politik noch genauso gesehen wird, bleibt an dieser Stelle offen oder es ist bereits eine restriktivere (Verbots- und Regulierungs-)Tendenz zu erkennen. Stand September 2023 erwägt die deutsche Politik, die Telekommunikationsbetreiber zu verpflichten, bis zum 1. Januar 2026 keine Geräte chinesischer Telekommunikationsanbieter mehr für den Kernbereich (oder Backbone) der 5G-Telekommunikationsnetze zu verwenden und die Abhängigkeit von chinesischer Ausrüstung im Funkzugangsnetz innerhalb von drei Jahren zu beenden oder auf einen Anteil von 25% zu reduzieren.

Aus der Praxis: Verbot von Videotechnikherstellern im Ausland

Bei Herstellern aus Drittstaaten können nach § 9b BSIG Hersteller oder Vorlieferanten kritischer Komponenten in die gesetzliche Pflicht genommen werden. Die USA gehen im Bereich der Cyber- und geopolitischen Resilienz noch restriktiver vor: So verbietet das Bundesgesetz NDAA (National Defense Authorization Act) seit 2019 den Einsatz von Produkten zweier großer chinesischer Videotechnikhersteller in Projekten, die die öffentliche Sicherheit, die Sicherheit von Regierungseinrichtungen und die Sicherheit Kritischer Infrastrukturen betreffen. Ähnliche Verbotstendenzen sind auch in Großbritannien und anderen Ländern zu beobachten.

Gesamte Sicherheitskette ist nur so stark wie ihr schwächstes Glied

Für den Einsatz von Videotechnik in Kritis wie dem Schienenverkehr bedeutet dieser Merksatz konkret: Die IT-Gesamtsicherheit und Verwundbarkeit von Bahn-Betreibern hängt nicht nur, aber auch von der Cybersicherheit der eingesetzten Videoprodukte ab. Diesem wichtigen sicherheitstechnischen Zusammenhang zwischen Kritis-Betreibern und Herstellern/Vorlieferanten trägt in Europa die seit Anfang 2023 in Kraft getretene EU NIS2-Richtlinie berechtigterweise regulatorisch Rechnung in Artikel 21 über „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“: In Artikel 21 Buchstaben (d) und (e) fordert sie explizit „Sicherheit in der Lieferkette“ und „Sicherheitsmaßnahmen bei Erwerb von informationstechnischen Systemen“. Die deutsche nationale Umsetzung im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) respektive im geplanten, resultierenden (neuen) BSI-Gesetz fordert 1:1 wortgleich auch diese Supply Chain-bezogenen Sicherheitsmaßnahmen in Artikel 30 Abs. 2 Nr. 4 und Nr. 5.

Videotechnik „Made in Germany“ versus „bedenkliche Hersteller“

In letzter Zeit ist festzustellen, dass der Markt für Videotechnik die Gütesiegel „Made in Europe“ und „Made in Germany“ zunehmend als Zeichen für Qualität, Sicherheit und Vertrauen wahrnimmt. Errichter und Endkunden fragen verstärkt entsprechende Produkte nach. Es kann daher im Sinne der Kritis-Gesamtsicherheit nur positiv sein, wenn zu diesem Markttrend „Made in Europe / Made in Germany“ auch eine „mittelbar steuernde“ gesetzliche Regelung im BSI-Gesetz oder in einem kommenden Kritis-Dachgesetz hinzukommt. Mittelbar steuernd in Bezug auf vertrauenswürdige Hersteller, Produkte und Komponenten und damit letztlich unmittelbar steuernd zur Stärkung der physischen, cyber- und geopolitischen Resilienz.

Im Entwurf des Kritis-Dachgesetzes vom Dezember 2022 bietet der Staat an, Kritis-Betreiber mit Handlungsleitfäden zu unterstützen. Zum Thema Videotechnik bietet beispielsweise Dallmeier in seinem kostenlosen Praxisleitfaden „Videotechnologie und Sicherheit für Kritische Infrastrukturen“ nützliche Informationen. Interessierte Leser können ein Exemplar per E-Mail anfordern oder einfach sich ein Exemplar mit Expertenwissen und Praxistipps downloaden.

Jürgen Seiler, Head of Business Development Dallmeier (Schwerpunkt Kritis)

Pflichten und Vorgaben im Kritis-Dachgesetz

  • Wichtigste „Resilienzpflichten“: Risikoanalysen, Resilienzpläne und neben der physischen Sicherheit (siehe 1) weitere Resilienzmaßnahmen (u.a. Personalsicherheit, Krisen- und Katastrophenmanagement, Business Continuity); Beachtung Risiken bzgl. „Wirtschaftsstabilität“.
  • Wichtigste „Formalpflichten“: (Selbst-)Identifikation und Registrierung, Meldepflicht von Sicherheitsvorfällen, Nachweise (auf Nachfrage, nicht mehr festgelegter Zeitraum), Sanktionen und Bußgelder, Pflichten der Geschäftsleitung (à la NIS2).
Der Referentenentwurf des Kritis-Dachgesetzes liegt vor. Der ASW Bundesverband hat diesen Entwurf geprüft und verweist auf verschiedene Eckpunkte.
Foto: Thomas Jansa - Fotolia.com

Verbände

ASW Bundesverband prüft Referentenentwurf zum Kritis-Dachgesetz

Der Referentenentwurf des Kritis-Dachgesetzes liegt vor. Der ASW Bundesverband hat diesen Entwurf geprüft und verweist auf verschiedene Eckpunkte.

Salto Systems übernimmt den Mehrheitsanteil von Bluefield Smart Access und stärkt damit sein Portfolio von Zutrittslösungen.
Foto: Salto Systems

Unternehmen

Salto übernimmt Mehrheit an Bluefield Smart Access

Salto Systems hat den Mehrheitsanteil von Bluefield Smart Access übernommen und damit sein Portfolio an Zutrittslösungen weiter ausgebaut.

Die im Dezember 2021 entdeckte Sicherheitslücke „Log4Shell“ führt nach Einschätzung des BSI zu einer kritischen IT-Sicherheitslage, da sie leicht auszunutzen ist und zudem in vielen Anwendungen steckt.
Foto: Alexander Limbach - stock.adobe.

IT-Sicherheit

Diese Folgen hat die Sicherheitslücke „Log4Shell“

Im Dezember 2021 erschreckte die Sicherheitslücke „Log4Shell“ Hersteller und Nutzer von Sicherheitstechnik. Das BSI rief die höchste Warnstufe aus. Wie konnte es soweit kommen?

Der Ei6500-OMS ermöglicht die komplette Ferninspektion auf Basis des herstellerunabhängigen OMS-Standards.
Foto: Ei Electronics

Brandschutz

Ferninspektion von Rauchwarnmeldern mit OMS

Digitale All-in-One-Lösung für Wohngebäude von Ei Electronics auf der Light + Building 2022.