# taz.de -- Von Notz zur kritischen Infrastruktur: „Wir haben ein Sicherheits… | |
> Konstantin von Notz sorgt sich um die kritische Infrastruktur in | |
> Deutschland. Der Grüne fordert massive Investitionen in die | |
> Sicherheitsarchitektur. | |
Bild: Schutzlos, aber neu ausgeliefert: frisch ausgetauschte Kabel am Ort der S… | |
taz: Herr von Notz, wir erleben derzeit [1][Sabotagen an den Nord-Stream | |
Pipelines], womöglich auch [2][bei der Bahn], dazu eine Debatte um eine | |
russisch infiltrierte Cybersicherheitsarchitektur in Deutschland. Sie sind | |
Vorsitzender des Gremiums im Bundestag zur Kontrolle der drei Geheimdienste | |
BND, BfV und BAMAD und maßgeblich mit diesen Themen befasst. Macht Ihnen | |
die Lage Angst? | |
Konstantin von Notz: Angst hat noch nie jemanden geholfen. Und ich habe | |
auch keine. Aber es ist offensichtlich, dass wir sicherheitspolitisch in | |
einer ganz neuen Art gefordert sind. Wir befinden uns in einer maximal | |
ernsten Situation. Die offensichtliche Sabotage an den Pipelines, seit | |
Jahren laufende Desinformationskampagnen, aber auch Vorfälle wie die | |
Drohnenüberflüge über Gelände der Bundeswehr, auf denen Ukrainer | |
ausgebildet werden: Das sind alles sehr beunruhigende Vorgänge, die darauf | |
hinweisen, dass auch Deutschland längst Ziel einer hybriden Kriegsführung | |
ist. | |
Und Russland führt diesen hybriden Krieg? | |
Ermittelt werden muss in alle Richtungen. Bei einigen der jüngsten | |
IT-Angriffen und Desinformationskampagnen weist aber sehr viel auf eine | |
russische Verantwortung hin. Und mit Putins Angriffskrieg in Europa haben | |
wir eine extrem große Baustelle, die uns zwingt, schnell zu handeln. Wenn | |
Kriege nicht mehr nur konventionell, sondern auch mit hybriden Mitteln | |
geführt werden, müssen wir darüber reden, wer bei Polizei, Bundeswehr und | |
sonstigen Sicherheitsbehörden für die Erkennung und Abwehr dieser Gefahren | |
zuständig ist. | |
Zu den Pipelines und der Bahn ermittelt jetzt die Bundesanwaltschaft. | |
Aber es dauerte mehrere Tage, bis klar war, wer in die Verantwortung geht. | |
Für den Schutz am Meeresboden liegender Infrastruktur fühlt sich bis heute | |
niemand richtig zuständig. Die letzten Tage haben noch einmal gezeigt: Wir | |
brauchen klare Verantwortlichkeiten und Rechtsgrundlagen. Wir müssen uns | |
beim Schutz der kritischen Infrastruktur insgesamt deutlich besser | |
aufstellen. | |
Wie verwundbar ist denn die kritische Infrastruktur in Deutschland? | |
Wir haben hier ein ernsthaftes Sicherheitsproblem. Das gilt übrigens längst | |
nicht nur für Pipelines oder Unterseekabel, sondern auch für den Bereich | |
der Digitalisierung, wo wir mit allem, was wir haben, reingeritten sind. | |
Bei der Stromversorgung, der Energieversorgung, der Kommunikation wurde die | |
Sicherheit viel zu oft an letzter Stelle mitgedacht. Die Geschichte mit dem | |
russischen Gas ist doch eigentlich eine Geschichte des Ignorierens solcher | |
Sicherheitsrisiken. | |
Und wie wir momentan über 5G und das Verbauen von chinesischer Technik | |
sprechen, irritiert mich, denn hier passiert wieder genau das Gleiche: Wir | |
hoffen, dass Länder, die unsere Grundwerte explizit nicht teilen, sich doch | |
bitte künftig uns gegenüber recht freundlich verhalten. Dass dies | |
bestenfalls naiv ist und wir damit nicht gut fahren, sehen wir spätestens | |
seit dem 24. Februar. | |
Was also tun? | |
Wir brauchen dringend auch eine Diskussion, mit wem wir wie und unter | |
welchen Voraussetzungen in sicherheits- und infrastrukturpolitischen Fragen | |
kooperieren und mit wem eben nicht. | |
[3][Sie fordern das seit Jahren], passiert ist wenig. Warum? | |
Es ist ein komplexes Thema. Und unser politisches System ist in sich | |
durchaus träge. Wir sind eine Konsensdemokratie, in der sich | |
unterschiedlichste Institutionen einigen müssen und keine Partei allein | |
einen Hebel umlegen kann. Und das gilt im Sicherheitsbereich noch viel | |
stärker, der bis heute sehr von den Bundesländern geprägt wird. Das hat | |
historisch gut erklärbare Gründe und damit ist Deutschland bisher gut | |
gefahren. Aber es bringt in Krisenzeiten, in denen man schnell reagieren | |
und Dinge anpassen muss, durchaus auch Probleme mit sich. Im Grunde hatte | |
das Innenministerium schon vor Jahren erkannt, dass es große Probleme gibt | |
– und dann ist doch wieder jahrelang nichts passiert. | |
Weil… | |
… man viel zu lang lieber Scheinlösungen wie die Vorratsdatenspeicherung | |
gefordert hat, die nichts kosten und nach Law and Order klingen, statt | |
proaktiv Zuständigkeiten zu klären, in gute IT-Sicherheit zu investieren | |
und Strukturen zur Erkennung und Abwehr hybrider Bedrohungen aufzubauen. | |
Jetzt müssen wir das Thema unter maximalem Druck angehen und über Jahre | |
Verpasstes schleunigst aufholen. | |
Aber: Auch unter der Ampel und Innenministerin Nancy Faeser hat sich hier | |
wenig getan. | |
Es muss zweifellos mehr Drive rein. Aber es geht nicht um die | |
Innenministerin, sondern in erster Linie um die Kultur ihres Hauses. Alle | |
sind gefragt und deswegen arbeitet auch das Auswärtige Amt derzeit mit | |
Hochdruck an einer nationalen Sicherheitsstrategie. Der Koalitionsvertrag | |
der Ampel stellt hier die richtigen Weichen. Die dortigen Vorhaben zur | |
Kritischen Infrastruktur müssen nun priorisiert umgesetzt werden. Der | |
Schutz der Kritischen Infrastruktur ist essentielle Grundlage unserer | |
Sicherheit. Daher ist es gut, dass die Innenministerin diese Woche | |
angekündigt hat, sich des Themas jetzt sehr entschlossen annehmen zu | |
wollen. | |
Faeser hat angekündigt, dass das vereinbarte [4][Kritis-Dachgesetz] bald | |
kommen soll, mit dem Betreiber kritischer Infrastruktur mehr | |
Gefahrenvorsorge treffen sollen. Ein richtiger Schritt? | |
Die bisherige IT-Sicherheitsgesetzgebung leistet keinen ausreichenden | |
Schutz. Das Dachgesetz ist wichtig und muss jetzt schnell kommen, um | |
Mindeststandards vorzugeben und Zuständigkeiten zu klären. Dabei geht es um | |
ganz triviale Fragen. Nehmen wir das Beispiel Bahn: Wie schütze ich | |
neuralgische Kabelknotenpunkte? Stelle ich Kameras auf oder schicke ich | |
Sicherheitsstreifen? Dürfen kritische Infrastrukturen an das Internet | |
angeschlossen sein, wenn dies überhaupt nicht nötig ist? Werden die Systeme | |
regelmäßig geupdatet? Wofür sind die Unternehmen zuständig, wofür das BMI | |
(Bundesinnenministerium, d.R.), das BSI (Bundesamt für Sicherheit in der | |
Informationstechnik, d.R.), die Polizei, die Nachrichtendienste? Wo braucht | |
es einen Austausch mit anderen Bundesländern, dem Bund oder europäischen | |
und internationalen Partnern? | |
Allein die Bahn hat 34.000 Kilometer Streckennetz, die | |
Nord-Stream-Pipelines sind über 1.200 Kilometer lang. Lässt sich das | |
überhaupt schützen? | |
Es gibt nie hundertprozentige Sicherheit, aber wir können viel für mehr | |
Sicherheit tun. Ein zentraler Punkt sind klare Zuständigkeiten. Daher | |
werben wir auch weiterhin für eine gesetzliche Regelung zur Kooperation in | |
Einrichtungen wie dem Nationalen Cyberabwehrzentrum. Nehmen wir diese | |
Drohnenüberflüge: Es ist untragbar, dass hier offensichtlich | |
nachrichtendienstliche Aufklärung stattfindet und wir diese nicht stoppen, | |
weil es angeblich so schwierig ist, diese kleinen, flinken Dinger | |
einzufangen. Das kann keine Antwort sein. Auch hier muss geklärt werden: | |
Wer ist für die Abwehr dieser Gefahren zuständig? | |
Der Staat ist das eine, die Betreiber der kritischen Infrastruktur das | |
andere. Sind auch sie mehr in der Pflicht? | |
Absolut. Der Staat kann kein Rundum-sorglos-Paket schnüren. Natürlich muss | |
auch ein Energieversorger für den Schutz seiner Anlagen sorgen. Das muss | |
der Gesetzgeber einfordern und durchsetzen. Aber gerade mit Blick auf | |
kleine oder mittelständische Unternehmen müssen wir stärker als bisher | |
unterstützen, Fördertöpfe aufsetzen und steuerliche Anreize schaffen, damit | |
freiwillig in beste IT-Sicherheit investiert wird. Durch Hackingangriffe | |
und Erpressungen entstehen alljährlich Milliardenschäden. Daher ist | |
Prävention unterm Strich so wichtig und letztlich auch oftmals günstiger. | |
Wie viel soll der Staat für diese Maßnahmen zahlen? | |
Wir Grüne hatten bei der Diskussion um das | |
[5][100-Milliarden-Sondervermögen] für die Bundeswehr auch 20 Milliarden | |
für die IT-Sicherheit und den Zivilschutz eingefordert – als Antwort auf | |
neue Gefahren. CDU und CSU bestanden darauf, die 100 Milliarden komplett | |
für die Bundeswehr zu verwenden. Das kann man argumentieren. Aber dann | |
stehen zu bleiben und zu sagen, dann kriegt die IT-Sicherheit 0 Euro, ist | |
ein großer Fehler. So oder so brauchen wir einen zweistelligen | |
Milliardenbetrag in diesem längst hochsicherheitsrelevanten Bereich. Und | |
nach 16 Jahren Verantwortung für den Ist-Zustand sollten CDU und CSU raus | |
aus der Fundamentalopposition und ihrer Verantwortung realpolitisch gerecht | |
werden. | |
Letztlich entscheidet aber nicht die Union über das Geld, sondern die | |
Ampel. | |
Beim Sondervermögen hatte die Union durchaus erhebliche Mitsprache. Aber | |
klar, wir werden nicht drum herumkommen, gemeinsam Geld für die | |
IT-Sicherheit und den Zivilschutz in die Hand zu nehmen. Auch hier gilt: | |
Wenn eines Tages ein AKW, ein Gasspeicher oder LNG-Terminal erfolgreich | |
angegriffen würde, wäre das verheerend. Deswegen sollten wir das Geld | |
lieber proaktiv in eine verbesserte Resilienz unserer digitalen | |
Gesellschaft investieren. Wir schützen damit unsere Freiheit und unseren | |
Wohlstand in Europa, gegen Leute, die beides abreißen wollen. | |
Eine Säule der Cybersicherheit ist das Bundesamt für Sicherheit in der | |
Informationstechnik (BSI) – das wegen seines Präsidenten momentan heftig in | |
der Kritik steht. Innenministerin [6][Faeser will Arne Schönbohm entlassen] | |
wegen seiner Nähe zu einem Verein, der Russlandkontakte pflegen soll. | |
Hier müssen wir zunächst die dringend [7][notwendige Sachaufklärung] | |
entschlossen voranbringen. Die offenkundig heikle Frage ist, ob es | |
russische Spionageaktivitäten im Umfeld einer sehr wichtigen deutschen | |
Sicherheitsbehörde gegeben hat. Auch bezüglich der Zertifizierungsprozesse | |
stellen sich derzeit noch viele Fragen. Bevor ich Personalien diskutiere, | |
hätte ich hierauf gerne belastbare Antworten. | |
Also handelt Nancy Faeser überstürzt? | |
Soweit ich es sehe, ist Herr Schönbohm noch im Amt. | |
Sie selbst sprachen aber auch von „skandalösen Vorgängen“? | |
Der Sachverhalt ist offenkundig skandalös. Dass ein Verein, den Herrn | |
Schönbohm gründete, als Cybersicherheitsrat Deutschland e.V. auftritt und | |
damit einen quasistaatlichen Anschein erweckt, fanden wir von Anfang an | |
sehr bedenklich und haben das auch sehr deutlich kritisiert. Vor | |
personellen Konsequenzen braucht es aber eine Klärung des Sachverhalts und | |
der Verantwortlichkeiten. | |
Nancy Faeser will das BSI zu einer Zentralstelle für Cybersicherheit | |
ausbauen. Richtig so? | |
Ja. Das BSI ist eine maximal relevante Sicherheitsbehörde mit vielen | |
hochkompetenten Mitarbeiterinnen und Mitarbeitern, bei der zentrale Infos | |
zusammenlaufen. Deshalb ist es wichtig, dass das BSI in seiner Integrität | |
nicht weiter verletzt wird. | |
Cybersicherheit ist komplex. Wie kann die deutsche Sicherheitsarchitektur | |
effektiver werden? | |
Wir müssen auch hier Zuständigkeiten klären und die bestehenden Befugnisse | |
sehr genau evaluieren. Auch das ist im Koalitionsvertrag angelegt. Die | |
Sicherheitsarchitektur wird einer Generalrevision unterzogen. Insgesamt ist | |
eine Verrechtlichung dieses viel zu lange vernachlässigten Bereichs das | |
Gebot der Stunde. | |
Gehören auch Hackbacks zur Sicherheit dazu, mit denen Faeser liebäugelt? | |
Also gezielte Gegenschläge nach Hackerangriffen? | |
Der Koalitionsvertrag schließt Hackbacks klar aus. Bevor wir darüber reden, | |
wie wir andere Server hacken, sollten wir viele mögliche Schritten vorher | |
gehen. Verteidigung bleibt die beste Verteidigung. Die Debatte um Hackbacks | |
ist wie die Diskussion um die Gründung eine Fußballmannschaft: Man hat kein | |
Mittelfeld, keine Abwehr und auch keinen Torhüter, spricht aber die ganze | |
Zeit davon, Ronaldo zu verpflichten, weil der so toll im Angriff ist. So | |
verliert man jedes Spiel, auch bei der IT-Sicherheit. Wir müssen erst mal | |
das System resilient aufstellen. Ich wünsche mir, dass wir bei | |
Sicherheitsdebatten die Dinge tun, die man gut und schnell machen kann und | |
die der Sicherheit effektiv helfen – und sich nicht hinter | |
Schlagwortdiskussionen versteckt wird. | |
17 Oct 2022 | |
## LINKS | |
[1] /Lecks-an-Nord-Stream-Pipelines/!5880367 | |
[2] /Signalkabel-durchtrennt/!5886558 | |
[3] /Digitale-Agenda-im-Bundestag/!5033662 | |
[4] https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritisc… | |
[5] /Bundeswehr-Sondervermoegen-im-Bundesrat/!5848306 | |
[6] /Kritik-an-Cybersicherheits-Bundesamt/!5886689 | |
[7] /BSI-Chef-Arne-Schoenbohm-vor-Rauswurf/!5883746 | |
## AUTOREN | |
Tanja Tricarico | |
Konrad Litschko | |
## TAGS | |
Infrastruktur | |
Cybersicherheit | |
IT-Sicherheit | |
Konstantin von Notz | |
GNS | |
Katastrophenschutz | |
Nancy Faeser | |
Bundestag | |
Cyberattacke | |
Mecklenburg-Vorpommern | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
Deutsche Bahn | |
Netzsicherheit | |
Infrastruktur | |
BSI | |
Ampel-Koalition | |
Infrastruktur | |
Schwerpunkt Krieg in der Ukraine | |
Schwerpunkt Krieg in der Ukraine | |
## ARTIKEL ZUM THEMA | |
Bundesweiter Warntag 2022: Warnung auf Taste | |
Wie die Bevölkerung im Notfall alarmiert werden kann, wird an diesem | |
Donnerstag um 11 Uhr getestet. Fraglich ist aber, wer wie erreicht wird. | |
Schutz von Kritischer Infrastruktur: Bollwerk gegen Saboteure | |
Die Bundesregierung will Kritische Infrastruktur besser schützen und die | |
Betreiber in die Pflicht nehmen. Unklar ist die konkrete Finanzierung. | |
Bundeshaushalt für das Jahr 2023: Nicht am Klima sparen | |
Der Bund muss nächstes Jahr Stellen streichen. Ausgenommen sind Behörden | |
wie Polizei und Zoll, erstmals dabei auch der Umwelt- und Naturschutz. | |
Treffen der G7-Innenminister: „Putin muss diesen Krieg beenden“ | |
Beim Treffen in Hessen treten die G7-Innenminister vereint auf. Um Angriffe | |
auf die kritische Infrastruktur zu verhindern, wollen sie mehr kooperieren. | |
Ex-Ministerpräsident Erwin Sellering: Attacke als Strategie | |
Mecklenburg-Vorpommerns Ex-Ministerpräsident Erwin Sellering steht wegen | |
seiner Russlandnähe weiter in der Kritik. Einsichtig zeigt er sich nicht. | |
Reservisten der Bundeswehr: Mehr Kriegsdienstverweigerer | |
Fast 200 Reservisten haben dieses Jahr Antrag auf Kriegsdienstverweigerung | |
gestellt, 2021 waren es nur zehn. Hintergrund ist wohl der Krieg in der | |
Ukraine. | |
Bericht zu IT-Sicherheit: Enorme Bedrohung im Cyber-Raum | |
Ransomware und Attacken auf die Verwaltung: Der BSI-Lagebericht bescheinigt | |
digitalen Systemen eine hohe Verletztlichkeit. | |
Schutz Kritischer Infrastruktur: Bundesministerien richten Stab ein | |
Die Kritik am vernachlässigten Schutz der Kritischen Infrastruktur ist | |
groß. Ein Koordinierungsstab soll das Zuständigkeitsgerangel ordnen. | |
Infrastruktur in Deutschland: Dezentralität schützt | |
Die Infrastruktur muss resilienter gegen Angriffe werden. Durch die | |
Digitalisierung sind die Gefahren und Schwachpunkte aber noch größer | |
geworden. | |
Umstrittene Planung für Hamburger Hafen: Scholz will den Cosco-Deal | |
Ein chinesisches Staatsunternehmen soll beim Hafen einsteigen dürfen. Das | |
sorgt für Unverständnis in Ministerien und Bundestag. | |
Nancy Faeser entlässt BSI-Präsident: Schönbohm ist weg | |
Schon vor Tagen wollte Faeser den BSI-Präsidenten entlassen, nun ist Arne | |
Schönbohm abberufen worden. Grünenpolitiker fordern Aufklärung. | |
Streit um Atomkraftwerke: Scholz ordnet Weiterbetrieb an | |
Der Bundeskanzler spricht ein Machtwort. Alle drei AKW sollen bis April | |
weiterlaufen. Im Streit mit FDP und Grünen beruft er sich auf seine | |
Richtlinienkompetenz. | |
Infrastruktur-Experte über Bahn-Sabotage: „Es gibt noch Luft nach oben“ | |
Betreiber müssten verpflichtet werden, ihre kritischen Infrastrukturen zu | |
schützen. Das sagt Michael Wiesner von der AG Kritische Infrastrukturen. | |
Sabotage im Krieg: Kritische Infrastruktur gefährdet? | |
Der russische Invasionskrieg in der Ukraine trifft auch unsere | |
Versorgungswege. Wie angreifbar sie sind? Die wichtigsten Fragen und | |
Antworten. | |
Gefahren für die kritische Infrastruktur: Willkommen im hybriden Krieg | |
Nach der Zerstörung der Gasleitungen in der Ostsee dämmert es dem Westen: | |
Lebenswichtige Adern wie Pipelines oder Internetkabel sind schlecht | |
geschützt. |