Enorme Verantwortung

Es war ein Brandanschlag. Im März 2024 fiel im östlichen Umland von Berlin in Tausenden Haushalten der Strom aus. Außerdem betroffen vom Blackout waren ein Edeka-Großlager – und das Tesla-Werk Grünheide bei Berlin. Letzterem hatte mutmaßlich der Anschlag gegolten. Die Ursache war schnell ausgemacht: Ein Strommast in der Nähe war in Brand gesetzt worden, wohl von Gegnern des US-Autobauers. CEO ist der schillernde Milliardär und Donald-Trump-Vertraute Elon Musk. Das Werk steht seit Jahren in der Kritik, nicht nur wegen seines polarisierenden Betreibers, sondern auch, weil für dessen Bau und Erweiterung große Waldflächen abgeholzt werden mussten und müssen. Außerdem werden für den Betrieb hohe Mengen an Trinkwasser verbraucht. Der Stromausfall im Edeka-Großlager und den Privathaushalten wurde von den Saboteuren offenbar als Kollateralschaden in Kauf genommen.
 

ANGRIFFE AUF KRITIS NEHMEN ZU

Dieses Ereignis zeigt, wie stark kritische Infrastrukturen in den Fokus von Saboteuren und Kriminellen gerückt sind. Die Sprengung der Nord-Stream-Pipeline, Klimaaktivisten auf Flughafengelände, Drohnen, die Flugbahnen kreuzen oder in militärische Sicherheitsbereiche eindringen. Beschädigungen an Glasfaserkabeln zwischen Deutschland und skandinavischen Ländern, zerschnittene Kabel an Bahnschienen: Prominente Beispiele für Angriffe auf kritische Infrastrukturen, kurz KRITIS, muss man nicht lange suchen. Dabei finden die meisten Bedrohungen im Bereich der Cybersicherheit statt. Die Zahl der Angriffe steigt seit Jahren: Allein im Jahr 2024 wurden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) 769 Cybersicherheitsvorfälle gemeldet – ein Anstieg von 43 Prozent gegenüber dem Vorjahr. Besonders betroffen waren die Sektoren Transport, Gesundheit, Energie und Finanzen. Viele dieser Vorfälle waren auf gezielte Cyberattacken zurückzuführen, wobei nicht jeder gemeldete Vorfall tatsächlich ein Angriff war, da teilweise die Ursache unklar blieb.

Der Ausfall von Kritischen Infrastrukturen kann nicht nur einzelne Unternehmen lahmlegen, sondern die gesamte Gesellschaft. Die wichtigsten KRITIS-Sektoren in Deutschland sind Energie, Wasser, Telekommunikation, Verkehr, Gesundheit, staatliche Verwaltung, Medien und das Finanzwesen. Störungen in diesen Bereichen können weitreichende Folgen für das öffentliche Leben, die Wirtschaft und die Sicherheit haben. KRITIS-Betreiber sind in der Regel Organisationen und Einrichtungen, deren Funktionieren für das staatliche Gemeinwesen essenziell ist. Beeinträchtigungen hätten nachhaltige Versorgungsengpässe zur Folge, erhebliche Störungen der öffentlichen Sicherheit oder andere gravierende Folgen.
 

BETREIBER MÜSSEN IHRE ANLAGEN SELBST SCHÜTZEN

Wer Kritische Infrastruktur betreibt, trägt eine enorme Verantwortung, denn er oder sie ist für den Schutz der Anlage vor Angriffen selbst verantwortlich. KRITIS-Betreiber sind gesetzlich verpflichtet, umfassende Maßnahmen gegen Gefahren wie Naturkatastrophen, Terrorismus, Sabotage oder menschliches Versagen zu ergreifen. Staatliche Stellen wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) koordinieren, unterstützen und überwachen die Schutzmaßnahmen.

In diesem Jahr noch soll das im Herbst von der Ampelkoalition verabschiedete KRITIS-Dachgesetz in Kraft treten. Es wurde gestaltet, um die Sicherheit kritischer Infrastrukturen in Deutschland zu verbessern und die Versorgung der Bevölkerung auch in Notlagen zu gewährleisten. Um etwa die Energieversorgung zu sichern, wurden sektorenübergreifende Mindestvorgaben für Resilienzmaßnahmen und Meldepflichten für Störungen festgeschrieben. Betreiber von Energieinfrastrukturen müssen alle denkbaren Risiken – von Naturkatastrophen über Sabotage bis zu menschlichem Versagen – berücksichtigen und entsprechende Schutzmaßnahmen ergreifen.

KRITIS-Betreiber müssen ein Informationssicherheits-Managementsystem (ISMS) nach anerkannten Standards (etwa ISO 27001 oder BSI IT-Grundschutz) etablieren, das Verantwortlichkeiten und Prozesse klar regelt. Eine Angriffserkennung durch Systeme wie SIEM (Security Information and Event Management) und IDS (Intrusion Detection System) muss eingesetzt werden, um Angriffe frühzeitig zu erkennen und darauf reagieren zu können.
 

REGELMÄSSIGE SCHULUNGEN SIND PFLICHT

Energieanlagen müssen durch Zugangskontrollen, Videoüberwachung, Perimeterschutz und Brandschutz gesichert werden. Auch Krankenhäuser beispielsweise – als kritische Infrastruktur – müssen sowohl gegen physische Gefahren wie Brand oder Einbrüche als auch gegen Cyberangriffe geschützt werden. Dazu gehören Zugangsbeschränkungen, Überwachungssysteme, Notstromaggregate, regelmäßige IT-Sicherheitsaudits und die Schulung des Personals im Umgang mit Krisensituationen. Es müssen Krisenpläne vorliegen und regelmäßig eingeübt werden, um auf Störungen schnell reagieren zu können. Und: Betreiber sind verpflichtet, sicherheitsrelevante Vorfälle und Angriffe an das BSI zu melden, um eine schnelle, koordinierte Reaktion zu ermöglichen.

Mit der Einbindung von selbstlernenden KI-Systemen könnte die Sicherheit von KRITIS weiter verbessert werden. KI wäre in der Lage, Benutzerverhalten zu analysieren und Anomalien zu erkennen, um Angriffe schneller zu identifizieren und abzuwehren. So können etwa Systeme wie Microsoft Sentinel oder die SINEC-Security-Suite von Siemens Manipulationsversuche an industriellen Steuerungssystemen erkennen und helfen, die Netzstabilität zu sichern. KI kann außerdem Videodaten analysieren, ungewöhnliche Bewegungsmuster erkennen oder potenzielle Eindringlinge identifizieren. 

Von der Bundesregierung unterstützte Forschungsprojekte wie KISS (KI Simple & Scalable) entwickeln selbstlernende Monitoring-Systeme für kritische Infrastrukturen, mit denen Bedrohungen und deren konkrete Auswirkungen auf kritische Infrastrukturen frühzeitig erkannt und analysiert werden können. Davon sollen vor allem kleinere Betreiber wie beispielsweise kommunale Energie- und Wasserversorger profitieren, die nicht über ausreichende Ressourcen zur Entwicklung individueller IT-Sicherheitssysteme verfügen.