„Physische Sicherheit rückt in den Vordergrund“
Prof. Dr. Clemens Gause, Geschäftsführer des Verbands für Sicherheitstechnik (VfS), über das Eckpunktepapier zum geplanten Kritis-Dachgesetz.
Hier finden Sie Artikel der PROTECTOR Redaktion. Eine Übersicht unserer Redakteure finden Sie hier.
Vom Kritis-Dachgesetz werden voraussichtlich mehr Unternehmen betroffen sein als bislang durch das IT-Sicherheitsgesetz 2.0. Die Basis für das neue Gesetz ist ein Eckpunktepapier, an dem unter anderem Prof. Dr. Clemens Gause, Geschäftsführer des Verbands für Sicherheitstechnik (VfS) mitgewirkt hat. Im Interview mit PROTECTOR erklärt er die wichtigsten Inhalte das des Papiers und mit welchen Maßnahmen betroffene Unternehmen zu rechnen haben.
Endes des Jahres 2022 ist das Eckpunkte-Papier für das geplante Kritis-Dachgesetz öffentlich geworden. Was sind die wichtigsten Punkte in diesem Papier?
Das Eckpunkte-Papier ist ja nur ein erster Aufschlag und nicht besonders ausführlich, rund sechs Seiten lang. Die zentrale Botschaft darin lautet, den Kreis derjenigen Unternehmen, die zu den Kritischen In- frastrukturen gehören werden, zu erweitern. Der zweite Punkt ist, dass klarer definiert werden soll, wer zukünftig alles Kritis sein wird – und wer nicht. Wir beobachten dabei im Moment das Phänomen, dass aufgrund der Gasmangellage und gestiegener Rohstoffpreise viele Unternehmen als Kritische Infrastruktur eingestuft werden wollen, um den besonderen staatlichen Schutz, der in Aussicht gestellt wird, zu erhalten. Bisher war der Kritis-Bereich sehr IT-lastig. Das ändert sich jetzt. zum ersten Mal soll der physische Schutz Kritischer Infrastrukturen als ein Gesamtsystem in Deutschland in den Blick genommen und im Rahmen der dem Bund zustehenden Zuständigkeiten gesetzlich geregelt werden. Es wird zukünftig also viel stärker auch um die materielle Sicherheit gehen. Was bedeutet das? Nehmen wir das Beispiel Rechenzentren, die eindeutig zu den Kritischen Infrastrukturen zählen. Hier muss einerseits die IT-Sicherheit, der Schutz der Daten, sichergestellt werden. Mit dem neuen Gesetz sollen Rechenzentren aber auch hinsichtlich der physischen Sicherheit, also beispielsweise der Zaunanlage, der elektronischen Zutrittskontrolle oder der mechanischen Absicherung der Türen und Fenster besser geschützt werden. Allgemein wird also die Systemhärtung, die bisher nur unter dem Aspekt der IT-Sicherheit verstanden worden ist, auf die materielle Sicherheit übertragen sowie – und das ist dann der dritte Schritt – auch auf die Organisation und den Menschen. In diesem Zusammenhang sollen dann auch Risikoanalysen und Begehungen der Anlagen stattfinden.
Insgesamt ist der im Eckpunktepapier entscheidende Punkt, dass zukünftig die physische Sicherheit, die bisher nicht gesetzlich gefordert worden ist, im Vordergrund stehen sollte. Es wird jetzt spannend sein, zu beobachten, welche dieser Forderungen letztlich im Kritis-Dachgesetz auftauchen werden. Das wird sicher noch zu einigen Debatten führen.
Was wird auf Unternehmen mit dem Kritis-Dachgesetz voraussichtlich zukommen?
Mit dem Kritis-Dachgesetz soll ja die CER-Richtlinie der Europäischen Union in nationales Gesetzt überführt werden. Noch gibt es das Gesetz nicht, aber es ist sehr wahrscheinlich, dass die Kriterien verschärft und die Anforderungen erhöht werden. Die Mitarbeiterschwelle, nach der bisher definiert wurde, ab wann beispielsweise ein Lebensmittelproduzent zur Kritischen Infrastruktur gehört, wird wahrscheinlich abgesenkt, das Raster wird also kleiner. Auch ist damit zu rechnen, dass Unternehmen mit Sanktionen rechnen müssen, wenn sie die gesetzlichen Vorgaben nicht einhalten beziehungsweise umsetzen.
Welche Folgen könnte das Kritis-Dachgesetz für die Sicherheitswirtschaft haben?
Dr. Clemens Gause: Abhängig davon, welche gesetzlichen Forderungen mit dem Kritis-Dachgesetz letztlich formuliert werden, kann dies der Sicherheitswirtschaft, von den Herstellern, über die Planer bis zu den Errichtern beziehungsweis Installateuren sowie der Bauwirtschaft in den nächsten Jahren einen erheblichen Schub geben, wenn beispielswiese Lebensmittelhändlern die Implementierung von Sicherheitsmaßnahmen wie Videoüberwachung oder Zutrittskontrolle gesetzlich vorgeschrieben wird. Das Kritis-Dachgesetz muss nicht, es könnte aber zu einem großen Motor für die Sicherheitswirtschaft werden.
Sind Zuschüsse für betroffene Firmen geplant, die heute noch nicht zum Kritis-Bereich zählen, die aber bald erhebliche Investitionen in Sicherheit tätigen müssen, diese aber nicht stemmen können?
Abhängig davon, welche gesetzlichen Forderungen mit dem Kritis-Dachgesetz letztlich formuliert werden, kann dies der sicherheitstechnischen Wirtschaft, von den Herstellern, über die Planer bis zu den Errichtern beziehungsweise Installateuren in den nächsten Jahren einen erheblichen Schub geben, wenn beispielswiese Lebensmittelhändlern die Implementierung von Sicherheitsmaßnahmen wie Videosensorik, Zutrittskontrolle oder Zufahrtsschutz gesetzlich vorgeschrieben wird. Das Kritis-Dachgesetz kann nicht nur zu einer substanziellen Erhöhung des Sicherheitsniveaus in Deutschland führen, sondern zudem eine große Jobmotor- und Investitionsfunktion initiieren.
Können sich wahrscheinlich betroffene Unternehmen bereits jetzt konkret vorbereiten?
Mit den alarmierenden politischen Entwicklungen ist die Wirtschaft allgemein natürlich bereits sensibilisiert. Wenn es aber um die technische Absicherung, also um die Systemhärtung geht, gibt es teilweise erhebliche Lücken. Das stellen wir in unseren Seminaren und Schulungen immer wieder fest. Grundsätzlich können sich Unternehmen aber vorbereiten. Denn die Umsetzung physischer Sicherheitstechnik geschieht immer nach Normierungen. Für die IT ist dies beispielsweise die ISO 27001, die festgelegt, welche Bedingungen ein Informationssicherheitsmanagementsystem erfüllen muss, für die mechanische Sicherheit die DIN 1627, die Anforderungen und Klassifizierung von einbruchhemmenden Bauteilen bestimmt und so weiter. Es ist ja nicht so, dass sich Unternehmen und Planer im luftleeren Raum bewegen, wenn das Gesetz kommt, und man kann stark davon ausgehen, dass der Gesetzestext dann auch auf die bereits vorhandenen Normen Bezug nehmen wird. Die Sicherheitsverbände informieren ausführlich über die einzelnen Normierungen, und wir sehen das Kritis-Dachgesetz vor allem auch als Chance, weil sich nun die Möglichkeit bietet, endlich einen bundeseinheitlichen Rahmen zu schaffen.
Passend zu diesem Artikel
Die Vorgaben des kommenden Kritis-Dachgesetzes zur Verbesserung des physischen Schutzes wirken sich auch auf kritische Bahninfrastrukturen aus.
Kritische Infrastrukturen sollen künftig besser gegen physische Angriffe geschützt werden. Doch noch ist das Kritis-Dachgesetz nicht verabschiedet, bei vielen Fragen herrscht Klärungsbedarf.
Die neue PROTECTOR-Ausgabe wirft einen kritischen Blick auf das Kritis-Dachgesetz und nimmt die Entwicklungen im Bereich Cybercrime in den Fokus.