Bestehende Anforderungen an den Schutz Kritischer Infrastrukturen (KRITIS) – der Informationssicherheit, Business Continuity Management und physische Sicherheit umfasst – zahlen schon heute vor allem auf die Wiederherstellungsfähigkeit und Anpassungsfähigkeit im Rahmen spezifischer Risikobehandlungen ein und damit auf zwei wesentliche Resilienzfähigkeiten. Grundlage hierfür sind Risikominderungsstrategien. Allerdings beziehen sich Risikominderungsstrategien auf konkrete, vorhersehbare Risiken, während Resilienzstrategien darauf abzielen, ein System so zu stärken, dass dieses auch auf unerwartete Ereignisse flexibel reagieren und in seiner Gesamtheit funktionsfähig bleiben kann, wenn Teilsysteme ausfallen.
Kombinierte Strategien erzielen dabei zur Stärkung von Absorptionsfähigkeit, Wiederherstellungsfähigkeit und Anpassungsfähigkeit von Systemen die besten Ergebnisse. Aufgrund der Dynamisierung klimabezogener sowie sicherheitspolitischer Ereignisse ist jedoch davon auszugehen, dass der Prognosewert konkreter Risikoszenarien abnehmen kann. Deshalb sollte künftig den Ansätzen von Resilienzstrategien eine größere Bedeutung beigemessen werden.
Paradigmenwechsel von Sicherheit zur Resilienz
Dieser Paradigmenwechsel von der Sicherheit hin zur Resilienz zeichnet sich schon heute ab – unter anderem durch die Pflicht zur Berücksichtigung des All-Gefahren-Ansatzes gemäß EU-Richtlinien zum Schutz Kritischer Infrastrukturen (CER-RL) und der NIS-2-Richtlinie (NIS-2-RL). Business Continuity Management (BCM) bildet dabei eine geeignete Grundlage zur Identifikation und Umsetzung von Resilienzstrategien und -maßnahmen. Die Energiewirtschaft ist in der BCM-Anwendung in weiten Teilen bereits gut aufgestellt.
Vor diesem Hintergrund lässt sich eine Reihe von Handlungsempfehlungen für einen Fähigkeitsaufwuchs bei der Resilienz Kritischer Infrastrukturen identifizieren:
Ein vertrauensvoller und bidirektionaler Informationsaustausch muss vor dem Hintergrund der sicherheitspolitischen Lage zwischen der Bundeswehr, Sicherheitsbehörden, relevanten Bundesbehörden und der Wirtschaft durch geeignete Strukturen verstetigt werden. Er muss durch die Möglichkeit zur Sicherheitsüberprüfung von Geheimnisträgern der Branchenverbände und der Wirtschaftsunternehmen im Rahmen einer Novellierung der Sicherheitsüberprüfungsfeststellungsverordnung sowie die Möglichkeit zur freiwilligen Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden, die in sicherheitsrelevanten Unternehmensbereichen tätig sind, abgesichert werden.
Bei der Zusammenarbeit von Staat und Wirtschaft sollte auf den guten Erfahrungen im Bereich der Cybersicherheit aufgebaut werden. Formate wie die öffentlich-private Unabhängige Partnerschaft UP KRITIS leisten einen großen Beitrag zur Sicherheit und Resilienz. Eine flächendeckende, schwarzfallfeste Krisen- und Notfallkommunikation muss zudem stärker in den Fokus gerückt werden. Hier sollten auch die Feuerwehren und das Technische Hilfswerk in den Dialog eingebunden werden, die über wertvolles Know-how in den Bereichen Gefahrenabwehr und Krisenbewältigung verfügen.
Lagebewusstsein und eine multidimensionale Lagebilderstellung sind wichtige Voraussetzungen für die Resilienz kritischer Infrastruktur. Aktuell sind diese noch nicht ausreichend gegeben. Hierbei sollte auch im Sinne einer antizipierenden Lagebildbewertung der Informationsraum Berücksichtigung finden, damit Muster hybrider Strategien sichtbar gemacht werden können. Dabei kommt auch der Nutzung von Open Source Intelligence und künstlicher Intelligenz eine wichtige Rolle zu.
Insbesondere sollte der Bund unter Einbeziehung der Energie- und Wasserwirtschaft zeitnah die rechtlichen, technischen und finanziellen Voraussetzungen für eine effektive Detektion von Drohnen schaffen. Diese müssen systematisch in Lagebildern abgebildet werden können. Zur Absicherung betriebsinterner Daten muss in den Unternehmen selbst das Bewusstsein für den Umgang mit sensiblen Informationen und Daten intern sowie extern geschärft und an die neue Bedrohungslage asymmetrischer Konflikte angepasst werden; dies schließt auch das Thema Personal und Zugang zu kritischen Unternehmensräumen bzw. -bereichen ein.
Die behördlichen Zuständigkeiten sind zurzeit nicht geeignet, um ein reibungsloses Krisenmanagement, insbesondere bei Offshore-Infrastruktur, zu ermöglichen. Klare behördliche Zuständigkeiten sowie Vereinheitlichung von Nachweisen leisten einen Beitrag zur Stärkung der Resilienz kritischer Infrastruktur. Dies sollte insbesondere bei der aufeinander abgestimmten Umsetzung der NIS-2- und CER-Richtlinie berücksichtigt werden.
Zudem stellen die zunehmenden bürokratischen Belastungen beim KRITIS-Schutz eine Herausforderung dar, nicht zuletzt, weil die knappe Ressource Sicherheitspersonal durch administrative Aufgaben gegenüber teilweise unterschiedlichen Behörden gebunden wird. Bürokratieabbau und Vereinfachungen sind daher dringend erforderlich. Parallel braucht es in den Unternehmen weitere Ressourcen für den Kompetenzaufbau, darunter zur Cyber-Risikokompetenz. Eine bürokratiearme Umsetzung des KRITIS-Dachgesetzes muss so schnell wie möglich erfolgen.
Mit Blick auf die hybride Lage und eine resiliente Gesamtverteidigung müssen für die Energie- und Wasserwirtschaft geeignete Regelungen und Voraussetzungen für die Finanzierung von neuen Schutzsystemen und nicht beeinflussbaren Kosten geschaffen werden. Die Infrastrukturen der Energie- und Wasserversorgung sind für die Bundeswehr und ihre Verbündeten im Rahmen des Host Nation Supports, des Operationsplans Deutschland und für die Produktion der Sicherheits- und Verteidigungsindustrie essenziell.
Zum Schutz der KRITIS sollten Anpassungen im europäischen Recht und im nationalen Recht hinsichtlich der Veröffentlichung von Daten sowie der Beteiligung der Öffentlichkeit vorgenommen werden. Netzbetreiber sind verpflichtet, umfangreiche Stamm- und Bewegungsdaten über Transparenzplattformen (z. B. BNetzA-Marktstammdatenregister) sowie geobasierte Infrastrukturdaten im Rahmen von Planfeststellungs- und Netzentwicklungsverfahren öffentlich zugänglich zu machen. Diese veröffentlichungspflichtigen Daten können für die Vorbereitung und Planung von Sabotagehandlungen durch Dritte genutzt werden. Die Veröffentlichung von Stamm- und Bewegungsdaten stellt daher ein nicht zu unterschätzendes Risiko dar.
IT-Sicherheit, kritische IT-Komponenten und ganzheitliche Cybersicherheit für Anlagen und Netze
Ein europäischer Rahmen für IT-Sicherheit ist von zentraler Bedeutung. Der Cyber Resilience Act schafft die Grundlage für einheitliche europäische Anforderungen und Zertifizierungsverfahren, die Hersteller verbindlich erfüllen müssen. Europaweit geltende Standards sind essenziell, um Vertrauen in die IT-Sicherheit digitaler Komponenten herstellerunabhängig zu sichern und geopolitisch motivierte Risiken zu minimieren. Die Anforderungen an IT-Sicherheit dürfen dabei nicht isoliert betrachtet werden. Es geht auch um strategische Resilienz und das Vertrauen gegenüber Herstellern: etwa bei der Frage, ob Hersteller aus Drittstaaten gezielt Einfluss auf Betrieb und Wartung nehmen könnten. Handelspolitische Regelungen und Übereinkünfte, insbesondere mit China wie auch den USA, müssen diese Risiken adressieren.
Cyber- und Produktsicherheitsstandards auf EU-Ebene bieten Orientierung
Diskussionen rund um Sicherheitsrisiken im Zusammenhang mit Wechselrichtern von Photovoltaikanlagen, die von chinesischen Servern kontrolliert werden, haben sich zuletzt intensiviert. Besonders mögliche Gefahren von Cyberangriffen auf Anlagen und Netze gerieten dabei in den Fokus. Um solche Risiken zu adressieren, sind einheitliche Cyber- und Produktsicherheitsstandards auf EU-Ebene sinnvoll, müssen aber auch übergreifend hin zur strategischen Resilienz im Umgang mit Herstellern entwickelt werden. Insbesondere mittlere und kleinere Energieversorgungsunternehmen haben Herausforderungen, die Sicherheit von Komponenten zu beurteilen und brauchen klare, zentrale Regelungen, die einen verlässlichen Rahmen bieten.
Grundsätzlich ist zu beobachten, dass im Markt für vernetzte Komponenten wie Wechselrichter von Photovoltaikanlagen verschiedene Hersteller aktiv sind, darunter auch europäische und deutsche Unternehmen. Die tatsächliche Marktdurchdringung ist nur schwer exakt zu beziffern. Eine fundierte und differenzierte Betrachtung ist entscheidend, um reale Abhängigkeiten richtig einzuordnen und zu adressieren.
Netze: Sicherheitskataloge der Bundesnetzagentur haben sich bewährt
Auf der Seite der Energienetze und kritischer Energieanlagen haben sich die IT-Sicherheitskataloge der BNetzA, die aktuell überarbeitet und vereinheitlicht werden, bewährt. Für einen der Digitalisierung und der Energiewende gewachsenen sicheren Netzbetrieb kann es nicht allein um die IT-Sicherheit einzelner Produkte und Dienstleistungen gehen. Es ist wichtig, die Betrachtung nicht nur auf einen abgegrenzten Bereich der IT-Sicherheit zu reduzieren, sondern IT-Prozesse und Informationssicherheit vor dem Hintergrund von netz- und anlagenbetrieblichen Aspekten sowie organisatorischen und personellen Abläufen ganzheitlich zu betrachten, einschließlich der digitalen und der analogen Prozesse in den Versorgungsunternehmen.
Die Energiewirtschaft setzt sich dafür ein, dass im Rahmen der Umsetzung der NIS-2-Richtlinie auch Dienstleister und Lieferanten unter die IT-Sicherheitskataloge fallen, sofern sie potenziell Einfluss auf den sicheren Netz- und Anlagenbetrieb haben. Zudem sollte bei den Nachweisen gegenüber der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Vereinheitlichung der Anforderungen erfolgen. Das ist zentral für den Abbau von Bürokratie, der nicht nur ein Kostenfaktor, sondern auch eine Chance für die Sicherheit darstellt.
