 |
# taz.de -- IT-Experte über bedrohte Infrastruktur: „Es wird maximal rumgeei… |
|
|
|
> Ob Anschläge auf Strommasten oder Drohnenangriffe: Beim neuen |
|
> Kritis-Dachgesetz sieht IT-Sicherheitsexperte Manuel Atug |
|
> Verbesserungsbedarf. |
|
|
 |
Bild: Kastrup, Dänemark, 22. September: Polizeieinsatz nach Drohnensichtung |
|
|
|
taz: Herr Atug, [1][in Dänemark wurden mehrfach Drohnen über Flughäfen |
|
gesichtet], die dänische Regierung spricht von einem Anschlag. Wie ordnen |
|
Sie das ein? |
|
|
|
Atug: Es sind definitiv große Drohnen gewesen, die mehrere Stunden in der |
|
Nähe der Flughäfen unterwegs waren. Sie hatten sogar Lichter eingeschaltet |
|
– insofern handelte sich eher nicht um einen Zufall, sondern vermutlich |
|
Absicht. Vieles spricht für einen staatlichen Akteur, also |
|
geheimdienstliche Sabotage. |
|
|
|
taz: [2][Kürzlich drangen russische Drohnen in den polnischen Luftraum |
|
ein]. Auch in Deutschland gibt es immer wieder Drohnenüberflüge in |
|
unmittelbarer Nähe zu kritischer Infrastruktur – neben regelmäßigen |
|
Cyberangriffen, Attacken auf Unterseekabel in der Ostsee und vielem mehr. |
|
Würde das neue Gesetz zum Schutz kritischer Infrastruktur |
|
(Kritis-Dachgesetz) gegen Drohnenangriffe helfen? |
|
|
|
Atug: Es steht nicht wirklich was zu Drohnen in dem Gesetz drin. Es gibt im |
|
ganzen Kritis-Dachgesetz keine klaren Anforderungen an den Schutz vor |
|
unbemannten Luftfahrtsystemen. Der Begriff Drohne taucht nicht mal auf. Es |
|
heißt allgemein: Man soll sich gegen Spionage aufstellen. Es soll an |
|
Einrichtungen der kritischen Infrastruktur Zäune geben und klare |
|
Zutrittsregeln, aber der Luftraum spielt keine Rolle. |
|
|
|
taz: Wie kann sich ein Staat gegen Drohnen wehren? |
|
|
|
Atug: Man müsste eine Strategie zur Drohnenabwehr erstellen; zum einen zur |
|
strukturierten Erfassung mit transparenten Lageberichten; zum anderen |
|
bräuchte es einen Plan zur Detektion und Abwehr. Einige sagen: Schießt die |
|
einfach alle ab. Das allerdings halte ich nicht für sinnvoll: Wenn man |
|
nicht trifft, können die Projektile in mehreren Kilometern Entfernung |
|
herunterkommen – das kann in Siedlungsgebieten bis zur Todesfolge alles |
|
beinhalten. Es gibt auch andere Methoden wie Jamming – aber zur effektiven |
|
Bekämpfung braucht es zunächst vor allem auch Geld für |
|
Drohnenabwehrforschung statt für Cyberdome und KI. |
|
|
|
taz: Auch der Berliner Flughafen ist seit Tagen im Ausnahmezustand, weil es |
|
Cyberangriffe auf den IT-Dienstleister gegeben hat – offenbar ein |
|
Erpressungsversuch. Das kürzlich im Kabinett beschlossene Kritis-Dachgesetz |
|
soll generell kritische Infrastruktur – etwa Energienetze, Internet, |
|
Wasserversorgung – besser vor Sabotage, Terrorangriffen und |
|
Naturereignissen schützen. Welche Schwachstellen sehen Sie, neben der |
|
Leerstelle zu Drohnen? |
|
|
|
Atug: Erhebliche Teile der Bundesverwaltung sind vom Gesetz ausgenommen, |
|
ebenso die Landesverwaltung und die Kommunen. Dabei sind Staat und |
|
Verwaltung natürlich ein erheblicher Sektor der kritischen Infrastruktur. |
|
Der Staat selber ist nicht ausreichend gegen Sabotage, Terrorismus und |
|
Naturereignisse geschützt. Wir müssen im Falle solcher Ereignisse |
|
handlungsfähig bleiben – ein Gesetz, das den Staat nicht zur kritischen |
|
Infrastruktur zählt, ist eher eine dekorative Hülle, als ein |
|
ernstzunehmendes Gesetz. Resilienz sieht anders aus. |
|
|
|
taz: Klingt so, als seien wir komplett schutzlos? |
|
|
|
Atug: Ganz schutzlos sind wir natürlich nicht. Die Landes- und |
|
Bundesverwaltungen machen natürlich schon etwas, aber es bleibt an vielen |
|
Stellen überschaubar und riskant. Private Betreiber kritischer |
|
Infrastruktur wie etwa Telekommunikationsfirmen haben natürlich auch ein |
|
wirtschaftliches Eigeninteresse, funktionsfähig zu bleiben, aber all das |
|
läuft dann unter der Prämisse der Erlösmaximierung, viele Risiken werden |
|
auf Staat und Kunden abgewälzt. Das gilt insbesondere, da private Versorger |
|
nicht der Daseinsvorsorge verpflichtet sind. Der Staat aber schon. Daher |
|
muss das für kritische Infrastrukturen reguliert werden. |
|
|
|
taz: In der Wirtschaft, etwa beim Branchenverband Bitkom, fürchtet man vor |
|
allem das derzeit [3][allgegenwärtige Schreckgespenst Bürokratie]. Wie |
|
sehen Sie das? |
|
|
|
Atug: Viele unklare Papiervorgaben ohne Umsetzung und Wirkung in der |
|
Resilienz sind in der Tat nur nutzlose Bürokratie. |
|
|
|
taz: Was sind Ihre konkreten Kritikpunkte am Gesetz? |
|
|
|
Atug: Behörden sollen erst bis 2030 verbindlich Vorgaben für Resilienzpläne |
|
entwickeln – bis dahin soll zunächst geklärt werden, wer überhaupt die |
|
Aufsichten übernimmt. Und dann steht noch alles unter Haushaltsvorbehalt. |
|
Es wird maximal rumgeeiert. Insgesamt fehlen konkrete Handlungsanweisungen |
|
und Mindestverpflichtungen – was eigentlich das Ziel der EU-Richtlinie war, |
|
die dem deutschen Gesetz zugrunde liegt. Wir haben da ein erhebliches |
|
strukturelles Defizit. |
|
|
|
taz: Was könnte man konkret noch verbessern? |
|
|
|
Atug: Es sind maximal Bußgelder von 500.000 Euro vorgesehen, meistens sogar |
|
nur 200.000 Euro. Als privater Betreiber von kritischer Infrastruktur |
|
müsste ich aber zum Schutz Millionen investieren – viele werden dann lieber |
|
die Strafe zahlen, weil das deutlich billiger ist. Das Gesetz ist ohne |
|
wirksame Bußgelder ein zahnloser Tiger. |
|
|
|
taz: Wie sind staatliche Stellen aufgestellt? |
|
|
|
Atug: Der zweite Warntag kürzlich lief schon mal deutlich besser als der |
|
erste – das ist gut, dafür übt man ja. Dennoch gibt es zahlreiche Probleme: |
|
Stand heute sind rund die Hälfte aller Notwasserbrunnen in Deutschland |
|
nicht gewartet, ausgetrocknet, kaputt oder verrostet. Das lässt sich aber |
|
kaum thematisieren, weil die Liste der Notbrunnen geheim ist, damit „die |
|
Bösen“ nicht wissen, wo die sind. Es ist allerdings eher eine Simulation |
|
von Geheimhaltung: Denn natürlich kann man über die Kommune gut begründet |
|
erfahren, wo die Standorte sind. Ebenso weiß jede Feuerwehr, wo es im |
|
Notfall Wasser gibt. Die Geheimhaltung verschleiert hier eher, dass die |
|
Hälfte der Brunnen nicht funktioniert. Das geht in Richtung Fahrlässigkeit, |
|
hier würde mehr Transparenz helfen. |
|
|
|
taz: Sie beschäftigen sich in der unabhängigen Arbeitsgruppe AG Kritis |
|
bereits einige Zeit mit Sicherheitslücken in der kritischen Infrastruktur. |
|
Die EU-Richtlinie fordert schon lange, dass Mitglieder sich besser schützen |
|
müssen, gegen Deutschland läuft ein Vertragsverletzungsverfahren. Wie kann |
|
es sein, dass die Bundesrepublik erst jetzt ein Kritis-Dachgesetz |
|
verabschiedet? Musste erst Nord Stream 2 gesprengt werden? |
|
|
|
Atug: Es ist leider so, dass man viel redet und befürchtet, aber dann wenig |
|
macht. Papier ist geduldig. Die Ampel war zwar willens was zu machen, aber |
|
leider gab es einen Infiltrator, der die Koalition zerschießen wollte – was |
|
ja auch funktioniert hat. Deswegen ist das vorbereitete Gesetz nicht mehr |
|
umgesetzt worden. In der neuen Legislatur musste das Gesetzgebungsverfahren |
|
von vorne aufgerollt werden. |
|
|
|
taz: Sie haben schon bei der Ampelvorlage ähnliche Schwachstellen |
|
kritisiert. Hat sich auch etwas verbessert im Vergleich zum Ampelgesetz? |
|
|
|
Atug: Leider nein. Es wird zwar viel über Verbesserungen diskutiert und |
|
alle Parteien sagen, wir müssen hier dringend handeln und investieren, aber |
|
am Ende passiert wenig. Im Hintergrund heißt es dann: Es kostet alles zu |
|
viel Geld. Die einen wollen nicht, dass staatliche Einrichtungen unter das |
|
Gesetz fallen und viel investieren müssen, die anderen wollen nicht, dass |
|
die Wirtschaft unter Sicherheitsvorgaben leidet. Und schließlich braucht es |
|
auch innerhalb der Behördenstrukturen Ansprechpartner – auch das kostet |
|
Geld. Und anstatt den Schutz von real bedrohter Infrastruktur in die Hand |
|
zu nehmen, spricht CSU-Innenminister Alexander Dobrindt lieber vom |
|
Cyberdome, also einem kommenden Maut 2.0 Desaster. |
|
|
|
taz: Gibt es auch eine Sache, die Sie am Gesetz gut finden? |
|
|
|
Atug: Es ist sehr sinnvoll, das Meldewesen zu synchronisieren. Betreiber |
|
müssen Vorfälle nur beim BSI melden, wofür nun eine einheitliche |
|
Meldestelle geschaffen wird. Das reduziert den Aufwand für Unternehmen, |
|
aber man ermöglicht auch ein einheitliches und übergreifendes Lagebild. Wir |
|
fordern wiederum, dass diese Lagebilder auch immer in einer öffentlichen |
|
Version verfügbar sein müssen, damit man Defizite transparent verbessern |
|
kann. |
|
|
|
25 Sep 2025 |
|
|
|
## LINKS |
|
|
 |
[1] /Drohnen-ueber-Daenemark/!6115808 |
|
[2] /Drohnen-ueber-Polen/!6109336 |
|
[3] https://www.bitkom.org/Presse/Presseinformation/Bitkom-KRITIS-Dachgesetz |
|
|
|
## AUTOREN |
|
|
|
Gareth Joswig |
|
|
|
## TAGS |
|
|
|
Kritische Infrastruktur |
|
IT-Sicherheit |
|
Innere Sicherheit |
|
Sicherheit |
|
Flughafen Berlin-Brandenburg (BER) |
|
Cybersicherheit |
|
Drohnen |
|
GNS |
|
wochentaz |
|
Kritische Infrastruktur |
|
Notfallversorgung |
|
Longread |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Angriffe auf kritische Infrastruktur: Stich um Stich um Stich |
|
|
|
Drohnen über Flughäfen, zerstörte Kabel in der Ostsee, Spionage und |
|
Sabotage: Wie schützt man die kritische Infrastruktur? |
|
|
|
Kritis-Dachgesetz der Bundesregierung: Kabinett beschließt mehr Schutz für In… |
|
|
|
Risikoanalysen und Vorschriften sollen Versorgung auch bei Krisen und Krieg |
|
sichern. Wie nötig das ist, zeigt der Anschlag auf das Berliner Stromnetz. |
|
|
|
Blackout ohne Folgen?: Mehr Alarm geht nicht |
|
|
|
Spätestens nach dem Blackout im Süden Europas sollte Katastrophenhilfe kein |
|
Orchideenthema mehr sein. Deutschland setzt aber bisher auf Volksfeste. |
|
|
|
Angriff auf die taz: Gezielt getroffen |
|
|
|
Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht |
|
der erste dieser Art. Warum das kein Zufall ist. |
