Krieg in Europa, Cyberattacken, Sabotage: Was heißt das für die Sektoren Kritischer Infrastrukturen – für Verantwortliche in den Kommunen? Antworten aus dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Die Herausforderungen haben sich verschärft – wie schätzen Sie aktuell die Sicherheitslage im Bereich der KRITIS-Sektoren ein?
Stefan Mertens: Mit dem Krieg gegen die Ukraine und den daraus resultierenden Folgen – wie der reduzierte Gasimport und die dadurch zeitweise drohende Gasmangellage – haben sich das Sicherheitsbewusstsein und das Sicherheitsgefühl in Deutschland verändert. Hinzu kommen Störungen von KRITIS-Betrieben durch teils weltweite IT-Vorfälle oder Einzelereignisse mit hoher Medienpräsenz, beispielsweise an Flughäfen. Der Fokus ist daher deutlich stärker auf die Versorgungssicherheit der Bevölkerung und damit auf Kritische Infrastrukturen gerichtet. Gleichzeitig sind derzeit mit dem KRITIS-Dachgesetz sowie dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz zwei Vorhaben in der Erarbeitung, mit denen die Resilienz Kritischer Infrastrukturen und als Folge die Versorgungssicherheit der Bevölkerung nochmals gesteigert werden sollen.
Aktuell scheint insbesondere der Bereich IT unter Druck zu sein. Bedeutet das, dass über sie alle Sektoren unter Druck sind – und damit insbesondere auch die Verwaltungen?
Mertens: Kritische Infrastrukturen sind stark von informationstechnischen Systemen abhängig und bei einem Ausfall entsprechend verwundbar. Immer wieder führen menschliches Versagen, unerwartete Fehler, Naturereignisse, insbesondere aber auch Cyberangriffe zu einer Störung bei KRITIS-Betreibern, einschließlich der kommunalen Verwaltung. In Anbetracht von Risiken speziell für ihre technischen Einrichtungen müssen Kommunen die eigene Handlungsfähigkeit gewährleisten und die hierfür notwendigen Ressourcen bereitstellen.
Wie steht es um die physische Sicherheit etwa von (Energie-)Anlagen – sehen Sie eine sich verschärfende Sicherheitslage?
Mertens: Bezogen auf einzelne Anlagen stellt der physische Schutz Kritischer Infrastrukturen eine große Herausforderung dar. Einzelne Anlagen sind teils sehr exponierte und aufgrund ihrer Anzahl oder Größe – beispielsweise Freileitungsmasten – nicht vollumfänglich zu jedem Zeitpunkt zu schützen. Hier gilt es, die Resilienz des Gesamtsystems weiter zu stärken, um beim Ausfall einzelner Anlagen die Dienstleistung weiterhin gewährleisten zu können.
Wie geschieht das?
Mertens: Zu diesem Zweck gibt es eine Vielzahl technischer Regeln sowie das (n-1)-Redundanz- Kriterium, das dem ganzen System bereits eine gewisse Robustheit verleiht. Es besagt, dass das Netz auch dann stabil bleiben muss, wenn ein beliebiges Betriebsmittel – eine Leitung, ein Transformator, ein Kraftwerksblock – ausfällt. Zudem wird der Austausch zwischen Sicherheitsbehörden und Betreibern immer enger, sodass hier schneller und zielgerichteter zusammengearbeitet werden kann.
Wo sehen Sie aktuell die größten KRITIS-Herausforderungen in kommunalen Kontexten?
Mertens: Eine Herausforderung besteht grundsätzlich darin, das Themenfeld in seiner Breite im Blick zu behalten und zu vermitteln. Es muss darum gehen, den Schutz kommunaler IT-Systeme flächendeckend zu gewährleisten. Gleichzeitig war es in den vergangenen Jahren nicht immer leicht, den Schutz KRITIS jenseits der IT-Sicherheit nach vorne zu bringen. Dazu kommen teilweise eingeschränkte Ressourcen, Fachkräfte oder finanzielle Mittel fehlen, und damit steigt die Herausforderung stetig. Hier möchten wir durch Leitfäden und Handreichungen, aber auch durch unser Ausbildungs- und Lehrangebot an der Bundesakademie für Bevölkerungsschutz und Zivile Verteidigung die Kommunen dabei unterstützen, ihre Ressourcen effektiv einzusetzen.
Was erhoffen Sie sich von kommunalen Akteuren?
Mertens: Der Bevölkerungsschutz in Deutschland ruht auf einer Basis, die von der kommunalen Ebene gebildet wird. Das gilt grundsätzlich und auch beim Schutz Kritischer Infrastrukturen. Das BBK hofft dementsprechend auf eine weiterhin gute Zusammenarbeit mit den Kommunen und möchte gemeinsam mit ihnen den Bevölkerungsschutz als Gesamtsystem voranbringen. Dabei ist uns klar, dass in den Kommunen einer großen Vielzahl von Aufgaben oft begrenzte Ressourcen gegenüberstehen. Hier müssen von anderen Stellen Schwerpunkte gesetzt und die entsprechenden Ressourcen bereitgestellt werden. In diesem Kontext ist aufgrund der aktuellen sicherheitspolitischen Lage auch zu berücksichtigen, dass kommunale Aufgaben im Rahmen der zivilen Verteidigung wieder verstärkt in den Fokus gerückt werden müssen.
Wie arbeiten Sie mit den Kommunen und für sie?
Mertens: Das BBK stellt eine Reihe methodischer Grundlagen mit Bezug zum Schutz Kritischer Infrastrukturen bereit. Diese richten sich an die kommunale Ebene und können zum Beispiel die Durchführung von Risikoanalysen erleichtern. Diese Angebote sind auf unserer Internetseite zu finden. Im Rahmen von Forschungsprojekten konnten wir in den letzten Jahren mit vielen Kommunen an innovativen Lösungen für lokale Herausforderungen arbeiten. Dieses Wissen ist auch in die DIN SPEC 1390:2019-12 zum Integrierten Risikomanagement als Leitfaden eingeflossen. Informationen zu diesem Verfahren stellen wir interessierten Kommunen gerne bereit. Wir hatten in den letzten Jahren auch Gelegenheit, einige Kommunen bei der Anwendung zu begleiten, und freuen uns weiterhin über Rückmeldungen aus der Praxis.
Womit befassen Sie sich aktuell?
Mertens: Das BBK arbeitet aktuell gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer Handreichung speziell für Kommunen zur Vorbereitung auf IT-Vorfälle und zur Bewältigung. Sie soll im Herbst 2024 veröffentlicht werden und wurde in enger Zusammenarbeit mit Fachverbänden, Kommunen und kommunalen IT-Dienstleistern erstellt. Zudem sollten sich Kommunen über die Angebote der Bundesakademie für Bevölkerungsschutz und Zivile Verteidigung (BABZ) informieren. Neben der Vermittlung von Inhalten dienen die Seminare zur Vernetzung mit anderen Teilnehmenden. Hier können Kontakte geknüpft, Erfahrungen ausgetauscht und Kooperationen vereinbart werden.
Zur Person
Stefan Mertens ist Referent im Fachreferat Strategie KRITIS, Cyber-Sicherheit KRITIS im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Interview: Sabine Schmidt