Wie Deutschlands kritische Infrastruktur besser vor Cyber-Angriffen geschützt werden kann
Deutschlands kritische Infrastruktur ist verletzlich. Wie gut sind Strom- und Wasserversorgung gegen feindliche Angriffe geschützt?
Berlin – Spätestens seit Beginn des russischen Angriffskrieges gegen die Ukraine hat sich das Bewusstsein der deutschen Bevölkerung und der Bundesregierung geschärft: Frieden ist keine Selbstverständlichkeit mehr. Im Sommer stockte die Bundesregierung das Budget der Bundeswehr mit einem Sondervermögen von 100 Milliarden Euro auf, um im Ernstfall wehrfähig zu sein. Doch wird Krieg heutzutage nicht nur mit Gewehren, Panzern und Raketen geführt, sondern auch auf digitalem Wege.
Wie es um die kritische Infrastruktur in Deutschland bestellt ist
Und nicht nur im Rahmen kriegerischer Auseinandersetzungen ist die Cyber-Sicherheit eine Zielscheibe für Manipulationen und Angriffe. Auch Terroristen, Erpresser und Aktivisten haben es auf die kritische Infrastruktur (KRITIS) abgesehen. So nennt man die Infrastruktur, die unter anderem für die Versorgung mit Strom, Wasser und Medikamenten sowie für die Bereiche Verkehr, Kommunikation und Finanzen zuständig ist. Brechen sie teilweise oder vollständig weg, kann das drastische Konsequenzen für die Gesellschaft nach sich ziehen. Dann sind die öffentliche Ordnung und Sicherheit in Gefahr.
Die Bedrohungslage ist real. Laut einem Bericht der Tagesschau haben im vergangenen Jahr Cyber-Angriffe auf deutsche Unternehmen einen Schaden von geschätzt mehr als 200 Milliarden Euro verursacht. Mögliche Szenarien sind Überlastungen von Servern durch sogenannte DDos-Attacken, bei denen Server mit so vielen Anfragen bombardiert werden, dass sie zusammenbrechen.
Zudem können Verbrecher in Netzwerke eindringen und sie ausspionieren. Die wohl größte Gefahr geht dem Bericht zufolge von sogenannter Ransomware aus, die in Netzwerke eindringt, Daten verschlüsselt und sie nur über Lösegeldzahlungen wieder freigibt.
Kritische Infrastruktur: Neues Gesetz soll Versorgung bei Cyber-Angriffen schützen
Um die kritische Infrastruktur zu schützen, hat die Bundesregierung im Mai 2021 das IT-Sicherheitsgesetz beschlossen, das die Betreiber kritischer Infrastruktur ab dem 1. Mai 2023 dazu verpflichtet, Vorkehrungen wie eine automatische Erkennung und Bekämpfung von Bedrohungen zu installieren.
Es wurde seinerzeit vor dem Hintergrund des Ausbaus des 5G-Netzes in Deutschland beschlossen, an dem auch der chinesische Konzern Huawei teilnehmen wollte. Ihm wurden bereits in der Vergangenheit Spionage und Sabotage vorgeworfen.
Hohe Schwellenwerte für kritische Infrastruktur
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückte durch das neue Gesetz mehr in den Mittelpunkt. Denn Cyber-Angriffe und Ausfälle der Infrastruktur müssen dorthin gemeldet werden. Allerdings greift das Gesetz mit seinen Maßnahmen erst für kritische Infrastruktur, die bestimmte Schwellenwerte der Versorgung erreicht.
Das kritisiert IT-Sicherheitsexperte Manuel Atug: „In der BSI-KRITIS-Verordnung wird genau definiert, nach welchem Schwellenwert, nach welchem Maßstab jemand kritische Infrastruktur ist. Versorge ich beispielsweise 500.000 Menschen mit Frischwasser, bin ich eine kritische Infrastruktur aus dem Sektor Wasser“. Sollten allerdings knapp weniger als 500.000 Menschen von der Wasserversorgung abhängen, würden die Vorgaben des neuen Gesetzes nicht gelten. Laut dem Bayerischen Rundfunk fallen darunter 99 Prozent der Wasserversorger in Deutschland.
Wie anfällig die kritische Infrastruktur in Deutschland ist, wurde zuletzt bei den Sabotage-Akten auf die Nord-Stream-Pipelines Ende September 2022 sowie bei den Sabotage-Anschlägen auf die Infrastruktur der Deutschen Bahn im Oktober 2022 deutlich.