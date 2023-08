Klima-Kleber und Hacker: Wie der Bund Straßen, Flughäfen und Anlagen besser schützen will

Von: Falk Steiner

Teilen

Einsatzkräfte der Polizei am Flughafen Düsseldorf, nachdem sich dort Aktivisten der Gruppe Letzte Generation am 13.07.2023 auf dem Flugfeld festgeklebt hatten. © David Young/dpa

Nord Stream, Hackerangriffe, Klimakleber auf dem Rollfeld: Das politische Interesse am Schutz Kritischer Infrastruktur ist so hoch wie nie.

Nachdem die EU 2022 vorgelegt hat, kommen nun die deutschen Umsetzungsgesetze. Die Referentenentwürfe des Bundesinnenministeriums, die nun in der Ressortabstimmung sind, bieten allerdings noch viel Diskussionsstoff.

Bislang sind nur wenige Unternehmen unmittelbar per Gesetz zu Schutzmaßnahmen verpflichtet. Und das auch in erster Linie für Gefahren aus dem Cyberraum. Künftig werden viel mehr Unternehmen und Behörden schützen müssen, was Wirtschaft und Gesellschaft am Laufen hält. Dazu werden physische und digitale Sicherheit nun per Gesetz zusammen gedacht.

So bekommen Sie den Newsletter von Table.Media Dieser Artikel liegt IPPEN.MEDIA im Zuge einer Kooperation mit dem Security.Table Professional Briefing vor – zuerst veröffentlicht hatte ihn Security.Table am 01. August 2023. Erhalten Sie 30 Tage kostenlos Zugang zu weiteren exklusiven Informationen der Table.Media Professional Briefings – das Entscheidende für die Entscheidenden in Wirtschaft, Wissenschaft, Politik, Verwaltung und NGOs.

Das Kritis-Dachgesetz und das NIS2-Umsetzungsgesetz verpflichten Betreiber sogenannter Kritischer Infrastruktur künftig zu deutlich mehr. Sie müssen nicht nur Resilienzpläne vorlegen, also Pläne, wie sie ihre Anlagen auch im Krisenfall in Betrieb halten. Sondern dabei auch spezifische Mindeststandards und vorgegebene Meldewege einhalten. Das gilt künftig auch für neue Branchen, wie etwa Rüstungsgüterhersteller und relevante Raumfahrtunternehmen. Beide Vorhaben wurden vom Bundesinnenministerium Mitte Juli auf den Weg gebracht und sollen nach dem Sommer schnell ins Kabinett.

Tausende Unternehmen in der Pflicht

Mit dem Kritis-Dachgesetz müssen etwa 3.000 Unternehmen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ihre Pläne darlegen, wie sie etwa vor unbefugtem Zugriff auf Anlagen schützen oder ein schnellstmögliches Wiederhochfahren im Naturkatastrophenfall erreichen wollen. Und mit dem NIS2-Umsetzungsgesetz (NIS2 ist der Name der dem Gesetz zugrundeliegenden EU-Netzwerk- und Informationssicherheits-Richtlinie) müssen 29.000 Unternehmen und eine noch nicht genau bezifferte Zahl an Bundeseinrichtungen Mindeststandards bei der IT-Sicherheit einhalten.



Der Bundesregierung und der EU geht es dabei auch darum, überhaupt zu erkennen, wenn Probleme größer werden: Wann immer etwas passiert, müssen Verdachtsmeldungen an die zuständigen Behörden abgegeben werden. Die können dann zentral ausgewertet und auch an die EU-Institutionen weitergegeben werden.

Enorme Mehrkosten kommen auf Kritis-Betreiber zu

1,65 Milliarden Euro Mehrkosten pro Jahr wird allein die neue Cybersicherheitsgesetzgebung für die Wirtschaft bedeuten, hat das Innenministerium ausgerechnet. Hinzu kommen einmalige Investitionskosten, die das BMI mit 1,37 Milliarden Euro beziffert. Welche Mehrkosten mit dem Kritis-Dachgesetz auf die Wirtschaft zukommen, ist bislang nicht berechnet. Klar ist aber: Auch das wird nicht zum Nulltarif zu haben sein.



Für Bundesinnenministerin Nancy Faeser stehen hier aber die Betreiber in der Pflicht. Es gehe darum, wie Gelder verteilt würden. „Wenn Sie zum Beispiel über die Sicherheitsgebühren an Flughäfen nachdenken, dann muss das eben auch in den Schutz der physischen Sicherheit gesteckt werden, und nicht nur in den Haushalt der Flughafenbetreiber“, sagte Faeser der ARD.

Kritische Komponenten werden erst noch geregelt

Einer der größten Streitpunkte wird in den beiden Gesetzesvorhaben noch nicht klarer konturiert: Die Frage, wie mit Kritischen Komponenten umgegangen werden soll. Das sind betriebsrelevanten Anlageteile – Hard- oder Software -, die von Lieferanten stammen, die für nicht ausreichend vertrauenswürdig erachtet werden. Noch steht im NIS2-Umsetzungsgesetz nur die sogenannte Chinaklausel: Mobilfunkanbietern kann das Bundesinnenministerium den Einsatz von nicht vertrauenswürdigen Komponenten untersagen. Im Entwurf für das Kritis-Dachgesetz hat das BMI bislang nur einen leeren Platzhalterparagrafen eingefügt.



Zuletzt fragte Bundesinnenministerin Nancy Faeser bei den Anbietern der Mobilfunknetze nach dem Einsatz von Komponenten der chinesischen Hersteller Huawei und ZTE. Die entsprechenden Regelungen im BSI-Gesetz sollen eigentlich überarbeitet und ausgeweitet werden – doch auf was genau, ist noch offen. Als wahrscheinlich gilt in Regierungskreisen derzeit, dass der Energiesektor von einer ähnlichen Regelung betroffen sein wird. Auch beim Sektor Transport und Logistik gibt es entsprechende Überlegungen.

Hohe Strafen bei Regelverstoß möglich

Bis September sollen sich hier Neuregelungen abzeichnen. Dann könnte sich auch zeigen, welche Rückwirkungen die Einstufung als Kritische Infrastruktur etwa auf ausländische Investitionsvorhaben wie im Fall des Hamburger Hafenterminals Tollerort haben werden. Dadurch, dass die neuen Regeln an die Kritikalität einzelner Anlagen und nicht gesamter Unternehmen anknüpfen, könnte hier eine neue, größere Sperrwirkung auch jenseits der reinen Sicherheitsgesetzgebung entstehen.



Klar ist hingegen bereits heute: Wenn Betreiber sich nicht an die neuen Regelungen halten, werden ihnen künftig massivere Strafen drohen. Im Fall der Cybersicherheit können diese sogar eine Höhe von mehr als zwei Prozent des vorangegangenen Jahresumsatzes betragen. Sollten Betreiber sich dauerhaft den Anweisungen des zuständigen Bundesamts für Informationstechnik (BSI) in Bonn widersetzen, könnte dieses zudem Geschäftsführern oder anderen Zuständigen „die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen„. Das NIS2-Umsetzungsgesetz soll ab Oktober 2024 Anwendung finden, das Kritis-Dachgesetz ab Januar 2026.