Schutz Kritischer Infrastrukturen

Die im vergangenen Jahr vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) herausgegebene Broschüre „10 Jahre Kritis-Strategie“ stellt den Schutz Kritischer Infrastrukturen als inhaltliches Querschnittsthema und akteursüberreifende Aufgabe in den Mittelpunkt. Grund genug, im Folgenden aktuelle Bedrohungsszenarien, Sicherungspflichten der Betreiber sowie deren Unterstützung durch die Sicherheitswirtschaft und staatliche Stellen zu beschreiben.

Nach der gängigen Definition sind KI Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der Öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das ist ein weites Feld. Nach der aktuellen sektorellen Einteilung des BMI, des BKK und des BSI gehören dazu die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Diese Sektoren umfassen den größten und wichtigsten Teil der Wirtschaft. Insgesamt lassen sich ihnen 26 Branchen zurechnen.

Alle diese Kritis-Bereiche werden in unterschiedlicher Weise und unterschiedlichem Ausmaß bedroht: durch terroristische und extremistische Aktionen, Cyberattacken und physische Kriminalität, technisches und menschliches Versagen, Pandemien und Naturkatastrophen. Dazu einige Zahlen und Beispiele: Die seit Menschengedenken schwerste Bedrohung des Gesundheitssystems wütet derzeit in Deutschland wie in der ganzen Welt. Bis zum 15. März registrierte das Robert Koch Institut fast 2,6 Millionen Infektionen und fast 73.400 Todesfälle im Zusammenhang mit dem Virus und seinen Mutationen. Die Behandlung- und Pflegemöglichkeiten stoßen insbesondere wegen der personellen Engpässe und Überlastungen an ihre Grenzen. Darüber hinaus müssen Unternehmen in vielen Branchen hohe Verluste verkraften oder sogar Insolvenz anmelden.

Das Gesundheitswesen wird seit Jahren auch durch Cyberattacken auf Kliniken bedroht, die ja die Eckpfeiler jedes Gesundheitssystems bilden. So legten zum Beispiel im Juli 2017 unbekannte Kriminelle das komplette Netzwerk des DRK-Klinikverbundes in Südwestdeutschland lahm. Betroffen waren 11 Kliniken und vier Pflegeeinrichtungen. 2019 berichtete das BKA über den Diebstahl von wertvoller Medizintechnik bei 113 Einbrüchen mit einem Schaden von 25 Millionen Euro. Cyberangriffe gibt es in fast allen Wirtschaftsbranchen. Proofpoint berichtete im Juli 2020 über die „Rückkehr“ der gefährlichen Schadsoftware Emotet, die in einer Viertelmillion E-Mails auftauchte und immer mehr Server übernahm. Netscout meldete allein im März 2020 über 800.000 DDoS (Distributed Denial of Service)-Attacken. Auch nach der Studie „Monitor 2.0 IT-Sicherheit“ werden Betreiber von KI immer wieder Opfer von Cyberangriffen. Insbesondere für Energieträger und Energieverteiler stellen solche Attacken infolge der starken Vernetzung der Systeme und der zunehmenden Digitalisierung ein hohes Risiko dar. Die Schwachstellen liegen nach den Ergebnissen dieser Studie vor allem an Fehlkonfigurationen, mangelnden Patches und Fehlverhalten von Mitarbeitern. Über 30 Schwachstellen ergeben sich bei einer Analyse von IT-Systemen der Berliner Wasserbetriebe durch Alpha Strike Labs. Welche Bedrohung auch Naturkatastrophen für KI darstellen, hat die folgenschwere Explosion im Atomkraftwerk Fokushima, ausgelöst durch einen Tsunami, gezeigt. Eine als Bundestagsdrucksache 2020 veröffentlichte Risikoanalyse über Erdbeben in Deutschland weist auf die verheerenden Folgen eines mögliches Erdbebens der Stärke 6,5 westlich von Köln hin. Über Tausende von Toten und Verletzten hinaus würden Verkehrswege und die Energieversorgung erheblich beschädigt. Und hinsichtlich einer solchen potentiellen Gefahr besteht nach der Überzeugung des BBK – anders als für das Hochwasserrisiko – kaum ein Gefahrenbewusstsein.

Der Schutz von KI ist gleichermaßen eine zentrale Aufgabe des Staats im Rahmen seiner Verfassungspflicht zur Daseinsfürsorge wie der Betreiber solcher Anlagen. Diese befinden sich meist in privater Hand. Die Betreiber schützen ihre wertvollen Assets jedenfalls im eigenen Interesse, um Verluste, Prozessstörungen und Betriebsunterbrechungen zu vermeiden. Aber es bestehen auch Rechtspflichten. Die ergeben sich aus verschiedenen Gesetzen, insbesondere aus dem BSI-Gesetz (BSIG). Der Begriff KI ist im Grunde strategisch und politisch orientiert und als Rechtsbegriff sehr unbestimmt. Um aus ihm Rechtspflichten abzuleiten, bedarf es der qualitativen und quantitativen Eingrenzung. So ist die Befugnis zur Durchführung von Maßnahmen des BSI zur Wiederherstellung der Sicherheit oder Funktionstüchtigkeit informationstechnischer Systeme eines Betreibers einer KI auf herausgehobene Fälle (Angriffe von besonderer technischer Qualität oder besonders öffentliches Interesse an der Wiederherstellung der Sicherheit oder Funktionstüchtigkeit) begrenzt. Nach § 8a BSIG sind die Betreiber von KI verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer für die Funktionsfähigkeit maßgeblichen informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Die Erfüllung dieser Anforderungen haben sie mindestens alle zwei Jahre nachzuweisen. Gemäß § 8b Abs.3 sind Betreiber von KI verpflichtet, sich beim BSI zu registrieren und eine jederzeit erreichbare Kontaktstelle zu benennen. Nach Abs. 4 haben die Betreiber von KI in dieser Norm definierte Störungen der informationstechnischen Systeme, Komponenten und Prozesse in der im Einzelnen festgelegten Form zu melden. Die BSI-Kritis-Verordnung bestimmt und begrenzt die KI in den einzelnen Branchen und bestimmt in den Anlagen 1-7 die Anlagenkategorien und Schwellenwerte zur Abgrenzung in den einzelnen Sektoren.

Sicherheitstechnik und Sicherheitsdienstleistungen sind für die Betreiber von KI unentbehrlich. Die Sicherheitswirtschaft produziert immer zuverlässigere und intelligentere Sicherheitssysteme, die insbesondere dem Schutz von KI dienen. Ein Beispiel: Für den Schutz von Umspannwerken sind moderne Wärmebildkameras optimal geeignet, da sie Tag und Nach auch bei widrigem Wetter und in rauen Umgebungen eingesetzt werden können. Sie messen die winzigen Unterschiede in den Wärmesignaturen, die von Objekten und Personen abgegeben werden, um kontrastreiche Bilder zu erzeugen und Einbrüche zuverlässig zu detektieren. Nach einer Studie von Cigre wird in 88 Prozent der Umspannwerke mindestens einmal jährlich eingebrochen. Ungefähr zehn Prozent der Befragten beklagten mehr als 20 Einbrüche. Sicherheitstechnik deckt den gesamten Security- und Safetybedarf von KI ab. IEC- und DIN-Normen sowie Regelwerke von Branchenverbänden setzen Standards für den Schutz von KI.

Für das von der Sicherheitswirtschaft dringend geforderte eigenständige Sicherheitsdienstleistungsgesetz sieht ein von einem Arbeitskreis des DSW erarbeiteter Entwurf für Kritis-Objekte durch Sicherheitsdienstleister eine Reihe besonderer Anforderungen vor, insbesondere: eine mit dem Betreiber abzustimmende, im Entwurf näher beschriebene, Einsatzkonzeption, eine besondere Qualifikation der Einsatzleiter mit mindestens dreijähriger Berufserfahrung, die Sachkundeprüfung für einzusetzende Sicherheitsmitarbeiter mit einer zusätzlichen Schulung von 40 Unterrichtseinheiten und jährlicher Weiterbildung in mindestens 20 Unterrichtseinheiten, eine Erstreckung dieser Anforderungen auf Inhouse-Sicherheitspersonal und eine erweiterte Haftpflichtversicherung.

Leitprinzipien der 2009 von der Bundesregierung beschlossenen Nationalen Strategie zum Schutz von KI sind eine enge und vertrauensvolle Kooperation zwischen Staat und Wirtschaft sowie Eignung und Verhältnismäßigkeit staatlicher Maßnahmen zur Erhöhung des Sicherheitsniveaus KI. Der Staat hat im Rahmen der Nationalen Strategie über die Gesetzgebung im BSIG und der Kritis-Verordnung hinaus insbesondere: die RL 2008/14/EG für Energieanlagen mit Kritikalität für mehrere EU-Länder in § 12g EnWG umgesetzt; einen Leitfaden für Unternehmen und Behörden zum Risiko- und Krisenmanagement für den Schutz von KI 2007 erarbeitet und 2011 fortgeschrieben; in der Cybersicherheitsstrategie für Deutschland 2011 vor allem den Schutz von KI behandelt; 2014 eine Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft entwickelt; sich 2015 am Rahmenwerk der UN zur Reduzierung von Katastrophenrisiken und Schäden an KI beteiligt; in den länder- und ressortübergreifenden Krisenmanagement-Übungen (LÜKEX) stets Betreiber von KI beteiligt; ein Rahmenkonzept Notstromversorgung erarbeitet, das vom BKK laufend aktualisiert wird, 2006 einen Sicherheitsleitfaden Kulturgut verfasst, der mehrfach weiterentwickelt wurde; 2008 einen Leitfaden „Risikomanagement im Krankenhaus“ erarbeitet und 2021 durch ein Handbuch Krankenhausalarm- und -einsatzplanung ergänzt.

Die zwingend notwendige Zusammenarbeit zwischen dem Staat mit seinen Sicherheitsbehörden und den Betreibern von KI wird also in breitem Umfang praktiziert.

Ministerialdirektor a.D. Reinhard Rupprecht