Beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe laufen wesentliche Fäden zusammen, neue Entwicklungen werden angestoßen – wie die Wahrnehmung kommunaler Verwaltungen als Kritische Infrastruktur. Eine aktuelle Einschätzung der KRITIS-Lage aus dem BBK von Susanne Krings.
Seien es Sprengungen an den Gaspipelines Nord Stream oder Cyberattacken: Die Angriffe auf Kritische Infrastrukturen nehmen zu. Deutschland sei nicht gut darauf vorbereitet, sagen Kritiker und sprechen auch von einem Zuständigkeitswirrwarr. Wie sehen Sie das?
Susanne Krings: Kritische Infrastrukturen umfassen ein breites Feld von Sektoren und Branchen: Das reicht von der Energieversorgung über das Finanzwesen bis zur Abwasserbeseitigung. Hieraus ergibt sich natürlich eine Vielzahl an Akteuren mit unterschiedlichen Aufgaben und Zuständigkeiten. Hinzu kommen die verschiedenen Betrachtungsebenen. So kann eine Einrichtung auf kommunaler Ebene durchaus als kritisch betrachtet werden, während dieselbe Einrichtung aus Sicht des Bundes nicht formal als KRITIS identifiziert ist. Beide Betrachtungsebenen haben gleichermaßen ihre Berechtigung! Insofern: Ja, es sind sehr viele Akteure beteiligt.
Und wie läuft deren Zusammenarbeit?
Krings: Daran muss kontinuierlich gearbeitet werden. Entscheidend ist, dass alle Akteure in ihren Bereichen und im Zusammenspiel miteinander auf ein gemeinsames Ziel, den Schutz der Bevölkerung, hinarbeiten. Dafür gilt es, die Voraussetzungen immer weiter zu verbessern – durch Information, Ausbildung, Vernetzung, aber auch durch regulative Mittel.
Ist Deutschland bei KRITIS also doch bereits gut aufgestellt?
Krings: Grundsätzlich gilt: Beim KRITIS-Schutz ist man nie fertig. Es ist ein anhaltender Prozess, da sich auch die Rahmenbedingungen fortwährend verändern – sei es durch technischen Fortschritt oder durch sich verändernde Bedrohungslagen.
KRITIS hieß in den letzten Jahren vor allem: Schutz von IT. War das sinnvoll?
Krings: Aufgrund der Bedrohungslage und den daraus mündenden gesetzlichen Regelungen war das sicherlich richtig. Allerdings können Kritische Infrastrukturen durch eine ganze Palette unterschiedlicher Gefahren Schaden nehmen. Deshalb gilt es jetzt, den Blick zu weiten. Dies ist auch das Ziel des KRITIS Dachgesetzes.
Was ist hier entscheidend?
Krings: Das KRITIS-Dachgesetz ergänzt die bestehenden Regelungen insofern, als zukünftig auch vielfältige andere Gefahren berücksichtigt werden müssen. Übergeordnetes Ziel dieses Gesetzes ist ein klarer Regelungsrahmen für ein resilientes Gesamtsystem.
Wie wird das wahrgenommen?
Krings: Das Themengebiet hat, zum Beispiel durch die breite Debatte um „systemrelevante Einrichtungen“ in der Coronapandemie, seine Expertennische verlassen. Während der Pandemie wurden laut Fragen danach gestellt, ob nicht weitere Infrastrukturbereiche besonderen Schutz benötigen und ob insgesamt der Vorbereitungsgrad hoch genug ist. Die einzelnen KRITIS-Bereiche miteinander zu vergleichen, ist allerdings nicht einfach – es handelt sich ja um sehr unterschiedliche Einrichtungen. Sicherlich werden aber nicht alle Bereiche, die wir zu den Kritischen Infrastrukturen zählen, gleichermaßen prominent als solche wahrgenommen.
Was haben Sie hier im Sinn?
Krings: Zum Beispiel die Stromversorgung: An sie denken alle sofort. Aber was ist mit der Kommunalverwaltung? Mehrere folgenschwere Cyberangriffe – von denen einer einen formal eingestuften Katastrophenfall auslöste – haben die Bedeutung von Kommunalverwaltungen deutlich werden lassen. Ebenso die Notwendigkeit, sie besser vor Cyberangriffen zu schützen. Damit rückt ein Einrichtungstyp in den Fokus, der bisher nicht flächendeckend Aufmerksamkeit erhalten hat. Es gilt aber, das Selbstverständnis der Verwaltungen als Kritische Infrastruktur zu stärken, damit den notwendigen Maßnahmen auch eine entsprechend hohe Priorität eingeräumt wird.
Wo sehen Sie darüber hinaus die aktuellen Herausforderungen?
Krings: Grundsätzlich geht es darum, das Themenfeld in seiner Breite im Blick zu behalten, wie es im KRITIS-Dachgesetz vorgesehen ist. Es war beispielsweise in den vergangenen Jahren nicht immer leicht, Entwicklungen jenseits der IT-Sicherheit nach vorne zu bringen, einfach weil das Aufgabenfeld durch die gesetzlichen Vorgaben so stark mit diesem Teilbereich assoziiert wurde. Auch das KRITIS-Dachgesetz wird aufgrund der föderalen Ordnung und der bestehenden Gesetzgebungskompetenzen von Bund und Ländern nicht alle Fragen und Herausforderungen im Bereich des Bevölkerungsschutzes und der Krisen-
vorsorge lösen können, die sich insbesondere durch die Coronapandemie und den Krieg Russlands gegen die Ukraine ergeben.
Was bedeutet das?
Krings: Wir werden auch auf das schauen müssen, was nicht im KRITIS-Dachgesetz geregelt ist. Sicherlich wird nicht jede Einrichtung, die aus kommunaler Sicht kritisch ist, dieser bundesgesetzlichen Regelung unterliegen. Das darf aber nicht dazu führen, dass sie übersehen wird oder sich ihr Betreiber seiner Verantwortung nicht bewusst ist. Hier werden wir alle Aufklärungsarbeit leisten müssen. Großes Potenzial steckt zudem in einer verbesserten Zusammenarbeit zwischen den beteiligten Akteuren. Wir sprechen vom „integrierten Risikomanagement“.
Was soll mit ihm erreicht werden?
Krings: Es ist ein Verfahren, das zu einem gezielten Informationsaustausch insbesondere zwischen Behörden und Betreibern Kritischer Infrastrukturen anleitet. Es hat sich als sinnvoll herausgestellt, sich auf gemeinsame Szenarien für Risikoanalysen zu verständigen und planungsrelevante Ergebnisse dieser Analysen auszutauschen.
Was kann das bringen?
Krings: Zusammen den Prozess zu durchlaufen, verbessert nicht nur die Informationsgrundlagen, sondern auch das gegenseitige Verständnis der Strukturen und Arbeitsweisen. Nicht selten werden dabei grundsätzliche Fehlannahmen ausgeräumt. Zum Beispiel: Die Unterstützungskapazitäten der örtlichen Feuerwehr bei einem Großschadensereignis sind begrenzt, es kann etwa nicht jedem Betrieb ein Notstromaggregat zur Verfügung gestellt werden – gut, wenn diese Einsicht nicht bei einem Stromausfall, sondern in ruhigen Zeiten am Runden Tisch gewonnen wird.
Ist zudem die Bevölkerung ausreichend involviert?
Krings: Auch wenn die Coronapandemie viel zur Bewusstseinsbildung beigetragen hat, gilt vermutlich weiterhin: Obwohl Kritische Infrastrukturen in unserem Alltag doch eigentlich so präsent sind, sind sich viele Menschen ihrer Bedeutung für das eigene Leben nicht in vollem Umfang bewusst. Dabei ist die persönliche Vorsorge ausgesprochen wichtig, gerade auch mit Blick auf mögliche Versorgungsausfälle. Daher finden durch Bund, Länder und Kommunen verstärkt Kampagnen zum Thema Notfallvorsorge für die Bevölkerung statt. Auch Veranstaltungen wie der erste deutschlandweite Tag des Bevölkerungsschutzes am 24. Juni 2023 in Potsdam machen auf diese Themen aufmerksam. Insgesamt nehmen wir ein hohes Interesse an unseren Angeboten wahr.
Was erhoffen Sie sich von kommunalen Akteuren?
Krings: Der Bevölkerungsschutz in Deutschland ruht auf einer Basis, die von der kommunalen Ebene getragen wird. Das gilt ganz grundsätzlich und auch beim Schutz Kritischer Infrastrukturen. Das BBK hofft dementsprechend auf eine weiterhin gute Zusammenarbeit mit den Kommunen und möchte gemeinsam mit ihnen den Bevölkerungsschutz als Gesamtsystem voranbringen. Dabei ist uns klar, dass in den Kommunen einer großen Vielzahl von Aufgaben oft begrenzte Ressourcen gegenüberstehen. Hier ist die Politik gefragt, Schwerpunkte zu setzen und die entsprechenden Ressourcen bereitzustellen.
Interview: Sabine Schmidt
Zur Person
Susanne Krings ist kommissarische Leiterin des Referats für „Strategie KRITIS, Cyber-Sicherheit KRITIS“ beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).