Kritische Infrastrukturen müssen jetzt geschützt werden

Deutschland soll besser auf Katastrophen und Sicherheitsrisiken vorbereitet werden. Dafür wurde im vergangenen Jahr der Entwurf eines Gesetzes zur Stärkung der Resilienz kritischer Infrastruktur (KRITIS), das sogenannte KRITIS-Dachgesetz, auf den Weg gebracht. Nun ist die neue Regierung in der Pflicht, das Thema zeitnah aufzugreifen und mit einem soliden KRITIS-Dachgesetz kritische Infrastrukturen zu schützen.

“Im Bereich kritische Infrastruktur sehen wir, dass die Gefährdungslage mit dem Krieg in der Ukraine und weiteren Bedrohungen jetzt eine ganz andere ist als vor zehn oder fünfzehn Jahren. Dadurch sind Betreiber mit neuen Aufgaben konfrontiert, die auf sie zukommen – im Bereich Cybersecurity, aber auch beim physischen Schutz der Anlagen vor beispielsweise längeren Stromausfällen”, sagt Hans Koopman, Geschäftsführer von TÜV NORD EnSys. Koopman fordert aus diesem Grund, die EU-Richtlinie zur Resilienz kritischer Einrichtungen (Critical Entities Resilience, CER) kurzfristig in nationales Recht umzusetzen. Es dürfe durch den Regierungswechsel keine unnötigen Verzögerungen geben. 

Das KRITIS-Dachgesetz gibt Betreibern von Anlagen der kritischen Infrastruktur eine Leitlinie an die Hand, mit welcher ein deutschlandweit einheitliches hohes Sicherheitsniveau geschaffen werden kann; dazu gehören Anlagensicherung, aber auch Notfallpläne und Prozesse zur Verkürzung von Ausfallzeiten im Schadenfall und vieles mehr.

In Deutschland werden KRITIS in zehn Sektoren unterteilt, die für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind. Im Einzelnen sind das die Energie- und Wasserversorgung, die Produktion und der Vertrieb von Lebensmitteln, Informationstechnik und Telekommunikation, Transport und Verkehr, medizinische und Arzneimittel-Versorgung, das Finanzwesen, Sozialversicherungsleistungen und Grundsicherung, der Schutz der Weltrauminfrastruktur sowie die Beseitigung und das Recycling von Abfällen. Werden sie beeinträchtigt oder fallen sie aus, kann das erhebliche Auswirkungen auf die öffentliche Sicherheit, die Wirtschaft und das gesellschaftliche Leben haben. “Wir haben bei TÜV NORD viel Erfahrung in diesem Bereich, weil wir schon seit Jahrzehnten Hochrisikotechnologie wie kerntechnische Anlagen betreuen. Mit unserer Expertise in der Funktionalen Sicherheit sowie bei systematischen Risikoanalysen, der Bewertung von Mensch-Technik-Organisation und bei Cybersicherheit unterstützen wir Betreiber dabei, aktiv eine hohe Resilienz und Versorgungssicherheit zu schaffen“, betont Hans Koopman. Noch gibt es keine regulatorischen Anforderungen. Es obliegt Betreiberinnen und Betreibern, ihre Anlagen ausreichend zu schützen. 

Das geplante Dachgesetz soll Betreiber kritischer Infrastrukturen verpflichten, regelmäßig eine Risikobewertung ihrer Anlage vorzunehmen und geeignete Maßnahmen zur Risikominimierung zu implementieren. Dies umfasst auch die physische Sicherheit der Anlage „Maßstäbe setzen hier bereits einige Rechenzentren, deren Betreiber aus eigenem Interesse einen hohen Sicherheitsstandard und ein entsprechendes Niveau an physischer Sicherheit vorweisen wollen“, sagt Lars Wilke, Lead Expert Physische Sicherheit von Infrastrukturen und Data Center Lead Auditor bei TÜV NORD. Ein interdisziplinäres Team befasst sich daher schon lange mit Umfeldrisiken wie geologischen Gefahren, Explosionsrisiken oder Hochwassergefährdungen, baulicher Sicherheit, Brandmelde- und Sicherheitssystemen, physischem Schutz der Datenverkabelung sowie der Verfügbarkeit und dem Schutz von Strom- und Kälteversorgungssystemen. „Es gibt zahlreiche Stellschrauben für mehr Sicherheit, die wir analysieren und auch auf andere Objekte der kritischen Infrastruktur anwenden können.“

Ein weiterer Aspekt des KRITIS-Dachgesetz ist die erweiterte Meldepflicht bei Vorfällen, die die Resilienz kritischer Einrichtungen beeinträchtigen könnten. Dies soll eine schnellere Reaktion und bessere Koordination zwischen den betroffenen Akteuren ermöglichen, sowohl national als auch auf EU-Ebene. 

Und schließlich wird es um den Schutz sensibler Informationen gehen. „Gerade für kritische Infrastrukturen sind strenge Sicherheits- und Datenschutzmaßnahmen unerlässlich, wenn Anwendungen mit künstlicher Intelligenz, KI, zum Einsatz kommen“, sagt Hans Koopman. „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und kritischen Infrastrukturen bei.“ Dabei gehe es beispielsweise um Fragestellungen zur anforderungsgerechten Anwendung von KI-Lösungen, mit Standard-Lösungen sei es hier meist nicht getan, so Koopman. Die Expertinnen und Experten von TÜV NORD können eine Aussage darüber treffen, ob die Implementierung eines bestimmten KI-Systems risikobehaftet ist und unterstützen bei der Umsetzung von Datenschutzmaßnahmen und Sicherheitsprotokollen, um die Einhaltung der DSGVO und den Schutz vor Cyberangriffen zu gewährleisten.