Nach den Lecks in den Ostsee-Pipelines und der Sabotage bei der Deutschen Bahn werden Rufe nach mehr Schutz für Deutschlands kritische Infrastruktur laut. Wie diese bisher geschützt wird, woran es hapert und was sich ändern ließe.

Ende September werden vier Unterwasser-Lecks an den Nord-Stream-Pipelines entdeckt, NATO und EU gehen von Sabotage aus. Am Wochenende werden Kabel für den Bahn-Funk beschädigt, stundenlang liegt fast der gesamte Zugverkehr in mehreren Bundesländern lahm. Verkehrsminister Volker Wissing und die Bahn sprechen von Sabotage. Schmerzlich offenbart sich die Verwundbarkeit unserer kritischen Infrastruktur. Ein Teil des Problems ist hausgemacht.

01:23 min

Politik 10.10.22

Nach Sabotage-Akt bei der Bahn Bundeswehr befürchtet weitere Anschläge auf Infrastruktur

Die kritische Infrastruktur flächendeckend zu überwachen, ist schlicht unmöglich. Die Kabelstränge für den Bahn-Funk etwa verlaufen quer durch die Republik, wie Michael Wiesner, Sprecher der AG Kritis, im Gespräch mit ntv.de klarstellt. Ziel der unabhängigen Arbeitsgruppe ist nach eigenen Angaben mehr Versorgungssicherheit für die Bevölkerung durch mehr IT-Sicherheit. "Für den aktuellen Sabotageakt wurde nach vorliegenden Informationen ein Kabelschacht geöffnet, der bereits durch ein großes Gewicht zusätzlich geschützt war; es muss also mit großem Gerät vorgegangen worden sein - davor kann man sich nicht mehr schützen", sagt Wiesner.

Umso wichtiger seien jedoch Sicherheitsmaßnahmen, die verhindern, dass eine vereinzelte Störung zu einem Totalausfall führt, betont Wiesner. Auch bei Durchtrennung mehrerer Kabel müsse der Betrieb weiter funktionieren. Der IT-Sicherheitsexperte spricht von mehrfachen Redundanzen. "Das ist bei der Bahn aktuell scheinbar nicht gegeben - es genügte, lediglich zwei Kabel zu kappen."

"Wirtschaft sträubt sich teilweise energisch"

IT-Sicherheitsgesetze schreiben den Betreibern kritischer Infrastruktur zahlreiche Maßnahmen vor. Der Energiewirtschaft zum Beispiel macht die Bundesnetzagentur Sicherheitsvorgaben, wie Wiesner erläutert - von physischen Maßnahmen wie dem Schutz vor unautorisiertem Zutritt über organisatorische Regeln etwa zur Berechtigungsvergabe bis zu Vorschriften zum Betrieb von Serversystemen. Betreiber kritischer Infrastruktur müssen potenzielle Gefahren zudem systematisch analysieren und minimieren.

Ratgeber 10.10.22

Liste mit dem Wichtigsten Dieser Notvorrat hilft bei Katastrophen weiter

Doch das geht nach Ansicht der AG Kritis viel zu langsam. Das Problem sei, dass sich die Sicherheitsvorgaben je nach Branche unterscheiden, sagt Wiesner. Die Wirtschaft schlage diese vor, das Bundesamt für Sicherheit in der Informationstechnik müsse diese genehmigen. "Das ist einerseits gut, weil die Branchen ihre spezifischen Themen besser kennen, andererseits sträubt sich die Wirtschaft teils sehr energisch gegen die Regeln, weil deren Umsetzung aufwändig und teuer ist und der Sicherheitsgedanke in den Hintergrund rückt", berichtet der IT-Experte. "Das läuft sehr, sehr schleppend."

Die AG Kritis fordert mehr Tempo. "Hohe Sicherheitsstandards wurden verschlafen", sagt Wiesner. Auch der Stand der Technik, wie zum Beispiel die Multi-Faktor-Authentifizierung, werde vielerorts nicht umgesetzt. "Die Einschläge kommen näher." Experten wie er warnten seit Jahren vor den Sicherheitslücken der kritischen Infrastruktur, doch passiert sei wenig.

Gut gegen Blackout abgesichert

Der Bundesverband der Energie- und Wasserwirtschaft hingegen teilt auf ntv.de-Anfrage mit: "In Deutschland gibt es ein hohes Sicherheitsniveau, das große, flächendeckende Ausfälle sehr unwahrscheinlich macht." Entlang deutscher und europäischer Vorgaben träfen Netzbetreiber zahlreiche Maßnahmen, um die Sicherheit "bestmöglich zu gewährleisten". Aus Sicherheitsgründen könnten konkrete Maßnahmen nicht genannt werden, erklärt eine Sprecherin. Nur so viel: Von der Absicherung der IT-Systeme bis hin zum Objektschutz entwickelten die Betreiber ihre Sicherheitskonzepte kontinuierlich weiter.

Panorama 10.10.22

Umfangreich vorbereitet IT-Experten: Bahn-Sabotage war möglicherweise Testlauf

Sebastian Bleschke, Geschäftsführer der Initiative Energien Speichern (INES), ein Zusammenschluss von Betreibern deutscher Gas- und Wasserstoffspeicher, berichtet ntv.de: "Vor dem Hintergrund der vermuteten Sabotage der Nord-Stream-Pipelines wurden die Sicherheitsmaßnahmen bei Gasspeichern in Deutschland verstärkt." Und schränkt jedoch ein: "Nur der Staat verfügt über die notwendigen Mittel, um schwerwiegenden Angriffen auf Infrastrukturen, wie bei Nord Stream, effektiv entgegenzuwirken."

Auch Wiesner fürchtet trotzdem keinen flächendeckenden Ausfall kritischer Infrastruktur. Am größten sind die Schäden bei Angriffen dort, wo die meisten Menschen betroffen sind. Den wohl stärksten Effekt hätte somit ein Sabotageakt gegen die Stromversorgung. Hier erwartet die AG Kritis aber keinen großen Ausfall, denn die Anbieter und Netzbetreiber seien sicherheitstechnisch im Vergleich zu anderen Branchen gut aufgestellt.

Angriffe auf Logistiker nehmen zu

Kritisch werde es, wenn die Technik veraltet ist oder Notfallkonzepte nicht greifen, erläutert Wiesner - wie im Fall der gekappten Bahn-Ersatzleitung. Gesundheitswesen und Wasserwirtschaft beispielsweise seien dabei eher schlecht aufgestellt, wie Penetrationstest gezeigt hätten. Diese Branchen bestehen allerdings aus zahlreichen kleineren Anbietern, sodass der Effekt eines Angriffs laut Wiesner relativ überschaubar wäre. Aber auch Angriffe auf diese Branchen hätten natürlich einen starken psychologischen Effekt.

01:30 min

Politik 10.10.22

Wichtig und oft schlecht geschützt Was zählt alles zur kritischen Infrastruktur?

Zur kritischen Infrastruktur zählen die Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Medien und Kultur, Staat und Verwaltung, Transport und Verkehr sowie Wasser. Die Grünen fordern ein Gesetz, das nicht nur die IT-Sicherheit, sondern auch den physischen Schutz von kritischer Infrastruktur regeln soll; im Koalitionsvertrag ist es bereits vorgesehen. Grünen-Chef Omid Nouripour fordert nun eine schnelle Umsetzung, wie die Deutsche Presse-Agentur meldet: Neben mehr Investitionen müssten die Behörden des Bevölkerungsschutzes besser zusammenarbeiten und die Aufmerksamkeit der Sicherheitsbehörden steigen.

Die IT-Systeme von beispielsweise Logistikanbietern werden inzwischen verstärkt angegriffen, wie Niels Beuck, Geschäftsführer des Bundesverbands Spedition und Logistik, im Gespräch mit ntv.de berichtet. Dabei gehe es allerdings eher um kriminelle Aktivitäten wie Lösegeldforderungen.

Geld und Personal fehlen

Die betroffenen Unternehmen spürten gravierende Auswirkungen, doch auf die Versorgung der Bevölkerung - etwa mit Lebensmitteln - wirkten sich die Angriffe nicht aus, da auf Lagerkapazitäten oder andere Transportanbieter und -mittel ausgewichen werden könne, zum Beispiel vom Zugverkehr auf LKW und selbst im Schiffsverkehr. "Das System verkraftet einen Ausfall", sagt Beuck.

Zwar sei der Logistiksektor insgesamt Teil der kritischen Infrastruktur; die einzelnen Unternehmen, zum Großteil Mittelständler, seien allerdings oft dezentral organisiert und in der Regel keine Betreiber kritischer Infrastruktur. Dennoch habe sich seit den Anschlägen vom 11. September viel getan, der Zutritt zu Häfen etwa sei nun abgesichert. Schlechter sieht es Beuck zufolge beim Schutz gerade kleinerer Unternehmen aus: Oft fehlten Personal und Geld, um hohe Sicherheitsstandards umzusetzen.