Gerade erst hat sich die „Heilbronner Stimme“ von einer Cyberattacke erholt. Ein Cyberangriff beeinträchtigte die IT-Systeme der Verlagsgruppe massiv, so dass die Arbeit nur im Notfallmodus fortgesetzt werden und die gedruckte Ausgabe der „Heilbronner Stimme“ nicht erscheinen konnte. Nun erscheinen die gedruckten Tageszeitungen wieder mit allen sechs Lokalteilen. Während die Mediengruppe schrittweise aus dem Notfallmodus zurückkehrt, sind Andere dazu gezwungen, in ebendiesen zu verfallen.
Diese Bedrohungen zielen darauf ab, Gesellschaften zu verunsichern und zu destabilisieren
So meldete wenig später der Rhein-Pfalz Kreis, dass die kommunale Verwaltung keinen Zugriff mehr auf ihre IT-Systeme hat - ein weiterer Cyberangriff. Im Rhein-Pfalz Kreis geht man derzeit sogar von einem mehrmonatigen Notfallbetrieb aus. Sowohl die „Heilbronner Stimme" als auch die Kreisverwaltung Rhein-Pfalz gehören zu den Bereichen Medien und Kultur sowie Staat und Verwaltung, die laut dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik als Kritische Infrastruktur (kurz: KRITIS) eingestuft werden.
Auch die Sabotageakte an den Lichtwellenleiterkabeln der Deutschen Bahn oder an den Erdgaspipelines von Nordstream I und II (beides ebenfalls KRITIS) haben gezeigt: Unsere Kritische Infrastruktur ist zur Zielscheibe geworden. Als mögliche Angriffsziele sind sie fester Bestandteil moderner Konfliktszenarien, in denen verschiedene Akteure auf eine Kombination aus klassischen Militäreinsätzen, Angriffen auf Kritische Infrastruktur, wirtschaftlichen Druck, Migration, Cyberangriffen oder Desinformation in den (sozialen) Medien setzen. Diese Bedrohungen, auch als hybride Bedrohungen bezeichnet, zielen darauf ab, Gesellschaften zu verunsichern, zu destabilisieren und die öffentliche Meinung zu beeinflussen. Doch ist es nun an der Zeit, sich zu wehren und vor allem auch unsere Kritische Infrastruktur besser zu schützen.
Mit proaktiven Schutzmaßnahmen müssen wir das Ausfall- und Störungsrisiko verringern. Die Netze, Leitungs- und IT-Systeme können durch die Betreiber so ausgerüstet werden, dass durch hinreichende Rückfallebenen - etwa mit dem Vorhalten von Backup-Systemen oder dem Aufbau von Mehrfach-Strukturen - die Auswirkungen von Störungen begrenzt werden.
Sensible Informationen über Kabelführungen, Landungs- und Knotenpunkte sowie Server sollten vertraulich behandelt werden und nicht öffentlich zugänglich oder einsehbar sein. Die Sicherheit der Infrastruktur muss bereits bei der Entwicklung und dem Aufbau mitgedacht werden.
Zur Person: Ferdinand Gehringer
- Ferdinand Gehringer ist Referent für Cybersicherheit in der Abteilung „Internationale Politik und Sicherheit“ der Konrad-Adenauer-Stiftung.
- Zuvor war er Koordinator der Rechtsstaatsprogramme der Stiftung. Gehringer ist Volljurist, zertifizierter Mediator und hat Rechtswissenschaften in Mainz und Valencia studiert.
- Sicherheitspolitische Fragestellungen sind - neben Innovation sowie Partizipation und Repräsentation - inhaltliche Schwerpunktthemen der Konrad-Adenauer-Stiftung.
- Die CDU-nahe Denkfabrik fühlt sich dem politischen Erbe Konrad Adenauers verbunden, hat 18 Politische Bildungsforen in Deutschland und ist in über 100 Ländern weltweit mit Büros vertreten. Sie setzt sich national und international durch politische Bildung für Frieden, Freiheit und Gerechtigkeit ein.
- www.kas.de/sicherheit
Regelmäßige Datensicherungen, Software-Aktualisierungen, Notfallpläne (dazu gehört: Zuständigkeiten bestimmen, Ansprechpersonen benennen, Kontaktlisten erstellen, Meldewege festlegen, Notbetrieb planen) und die fortlaufende Übung von Bedrohungsszenarien sorgen dafür, dass im Ernstfall alle Betroffenen wissen, was zu tun ist - denn: Nach einem Cyberangriff sind die ersten 72 Stunden entscheidend, und schnelles sowie flexibles Handeln hat dabei oberste Priorität.
Der vollumfängliche Schutz unserer Infrastruktur ist nicht möglich. Viel zu groß ist beispielsweise das Straßen- und Schienennetz, viel zu lang sind die Strom- und Wasserleitungen oder Datenkabelverbindungen auch unter Wasser und in den IT-Systemen gibt es viel zu viele Schwachstellen.
Aus diesem Grund müssen sich die Gesellschaft und die für den Katastrophenschutz zuständigen Bundesländer auf länger anhaltende Störungen der Grundversorgung einrichten. Auch das ist ein Mittel gegen hybride Bedrohungen. Die Gefahr eines überregionalen Ausfalls der Stromversorgung (Blackout) steigt, selbst wenn das deutsche Stromnetz eines der stabilsten Netze weltweit ist. Neben dem Aufbau eigener Versorgungsreserven für zehn bis 14 Tage (haltbare Lebensmittel, Wasser, Batterien, Kerzen, Gaskocher, Funkgerät, Bargeldreserve, Jod-Tabletten, et cetera), müssen Städte und Kommunen Standorte mit Hochleistungsgeneratoren, Hochbrunnen für Notwasserversorgung und Behelfsunterkünften schaffen und diese als zentrale Anlaufstellen für den Katastrophenfall bekannt machen.
Die Einsparungen im Bundeshaushalt 2023 um 38 Prozent im Vergleich zum Vorjahr für Bevölkerungsschutz und Katastrophenhilfe sind ein falsches Signal angesichts der Bedrohungslage und des hohen Investitionsbedarfs.
So müssen Notfallkonzepte, Lautsprecher- und Tankwagen sowie Sirenen (wieder-)beschafft werden. Überdies sind alternative Notrufeinrichtungen, wenn das Telefonnetz ausfallen sollte, und eine medizinische Notversorgung unabdingbar. In regelmäßigen Abständen sollten Stresstests der Systeme und Übungen mit der Bevölkerung durchgeführt werden. Für die Wiederherstellung der Stromversorgung im Falle eines Ausfalles sind zudem Kraftwerke notwendig, die unabhängig vom Stromnetz hochgefahren werden können.
Auch über den Aufbau einer zivilen Reserve, bestehend aus geschulten Helfern, muss nachgedacht werden
In vielen Kommunen gibt es bisher noch keinen Notfallplan, jedes Bundesland trifft eigene Maßnahmen. Hier könnte ein bundesweiter Notfallplan für verschiedene denkbare Katastrophen Schutzstandards festlegen und den Verantwortlichen vor Ort als Richtschnur und Hilfestellung dienen, sich und die Bevölkerung bestmöglich vorzubereiten.
Das geplante KRITIS-Dachgesetz muss den physischen und digitalen Schutz der Kritischen Infrastruktur umfassen und alle Gefahrenarten (zum Beispiel Naturgefahren, technologische Gefahren, Sabotage et cetera) berücksichtigen. Neben einer Meldepflicht von Sicherheitsvorfällen und der Verpflichtung zu regelmäßigen Schwachstellenprüfung müssen einheitlich verbindliche Regelungen (Kameraüberwachung, Sensoren, Kontrollgänge) zum Schutz von sensiblen Stellen, wie Knoten- oder Landungspunkte der Infrastruktur aufgestellt werden.
Über Echtzeitlagebilder - auch unter Einsatz Künstlicher Intelligenz - und Satellitenüberwachung muss ein fortwährender Überblick über den Zustand der Kritischen Infrastruktur sichergestellt werden. Darüber hinaus brauchen wir für den Schutz vor physischen Einwirkungen eindeutige Aufgabenverteilungen zwischen Polizei, Verfassungsschutz, Bundeswehr und den privaten Betreibern. So befassen sich mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zwei staatliche Behörden mit der Sicherheit unserer Kritischen Infrastrukturen. Sie fungieren jedoch nicht als zentrale Aufsichtsbehörden, sondern tragen nur teilweise zum Schutz bei. Das BBK ist für den Zivilschutz und damit mittelbar auch für eine Funktionsfähigkeit der KRITIS zuständig. Es ist aber eher eine Art Informationsquelle für Kommunen und Betreiber Kritischer Infrastruktur und erfüllt keine Kontrollfunktion. Eine solche Kontrollfunktion hat das BSI schon eher inne, wobei es sich hierbei nur auf die Sicherheit der Informationstechnik beschränkt. Weitere Koordinierungsstellen, diesmal für den Schutz der Kritischen Infrastruktur, wie sie die Bundesinnenministerin jüngst auf Ebene der Staatssekretäre eingerichtet hat, braucht es aber nicht.
Das neu aufgestellte Territoriale Führungskommando der Bundeswehr kann bei Bedarf im Inland über alle Teilstreitkräfte und Organisationsbereiche der Bundeswehr verfügen. Diese Möglichkeit ist gut geeignet für schnelles und fähigkeitsbezogenes Handeln im Krisen- und Katastrophenfall. Dem Territorialen Führungskommando sollte demnach eine tragende Rolle beim Schutz unserer Kritischen Infrastruktur vor physischen Einwirkungen im Rahmen seines Auftrages Heimatschutz zukommen.
Auch über den Aufbau einer zivilen Reserve, bestehend aus geschulten Helfern aus der Bevölkerung, die im Ernstfall Schutzaufgaben übernehmen und staatliche Einrichtungen im Krisenfall unterstützen kann, muss nachgedacht werden.
Die Kritische Infrastruktur wird künftig ein noch größerer Faktor für die Stabilität unseres Zusammenlebens
Innerhalb der Bundesnetzagentur könnte außerdem eine dauerhafte Notfallversorgungseinheit, ähnlich der finnischen „National Emergency Supply Agency“ (NESA) eingerichtet werden, die die nationale Versorgung mit wichtigen Rohstoffen und Energie überwacht und sicherstellt. Preisliche Marktschwankungen in Notsituationen und Mangellagen, wie wir sie gerade beim Gas erleben, könnten durch einen „Fonds für Versorgungssicherheit“ kurzfristig ausgeglichen und für private Haushalte und Wirtschaftsbetriebe entlastend wirken und so wirtschaftliche beziehungsweise finanzielle Notlagen mindern.
Die Kritische Infrastruktur wird künftig ein noch größerer Faktor für die Stabilität unseres Zusammenlebens werden. Als Ziel von Angriffen staatlicher, nicht staatlicher, inländischer oder ausländischer Akteure müssen wir uns gemeinsam darauf vorbereiten, sie besser zu schützen und für den Fall einer Störung oder eines Ausfalles vorbereitet sein, um ein Zeichen zu setzen, dass diese Form der Einflussnahme keine gesellschaftliche Wirkung zeigt und uns nicht destabilisieren kann. Der Zeitpunkt ist da, um nun schnell, gemeinschaftlich und entschlossen zu handeln.
URL dieses Artikels:
https://www.mannheimer-morgen.de/meinung/debatte_artikel,-debatte-wie-koennen-wir-die-kritische-infrastruktur-besser-schuetzen-herr-gehringer-_arid,2013842.html