Die Sicherheitsbranche ist gerüstet

Herr Harter, wie sehen die aktuellen Bedrohungsszenarien für kritische Infrastrukturen aus?

Harter: Wir gehen immer von einem All-Gefahren-Ansatz aus. Kritische Infrastrukturen (Kritis) sind nicht nur von alltäglichen Störungen bedroht, sondern auch von menschlichem und technischem Versagen, extremen Naturereignissen und Sabotageakten. Beim Hochwasser Anfang Juni beispielsweise musste die Feuerwehr ein Umspannwerk sichern. Erst Anfang Mai brannte es auf einem Gebäudekomplex eines Rüstungskonzerns – eine Spur soll mutmaßlich nach Russland führen. Die deutsche Unterstützung von Sanktionen bei internationalen Konfliktfällen hat die Gefährdungslage noch einmal verschärft. Die Infrastruktur und Anlagen zu unserer Versorgung mit Energie und Wasser sind aufgrund ihrer hohen gesellschaftlichen und wirtschaftlichen Relevanz besonders gefährdet und müssen vor Ausfall und Manipulation geschützt werden.

Lesetipp: Bewusstsein zu Cybersicherheit steigt

Welche gesetzlichen Anforderungen kommen auf Betreiber zu?

Es geht nicht mehr nur um IT-Sicherheit. Auch physische Angriffe und Gefahren gilt es abzuwenden. Aktuell haben wir die Situation, dass zwei Verordnungen zeitgleich kommen und daher oft miteinander vermischt werden. Dabei müssen sie getrennt betrachtet werden:

• Die NIS-2-Richtlinie (Network and Information Security Directive) regelt die Cybersicherheit.
• Das Kritis-Dachgesetz überführt die CER-Richtlinie (EU 2022/2557 beziehungsweise EU RCE Directive) in deutsches Recht. CER steht für Critical Entities Resilience. Die Richtlinie reguliert die Resilienz, also die physische Widerstandskraft, kritischer Infrastrukturen in der Europäischen Union (EU) und fordert vor allem ihre Ausfallsicherheit.

Aber: Jeder Fall ist ein Einzelfall. Nicht jeder Betreiber braucht diese physische Resilienz, nicht jeder auch IT-Sicherheit – und umgekehrt.

Kritis: Betroffenen Unternehmen bleibt nur wenig Zeit

Ist allen Beteiligten beziehungsweise den Verantwortlichen bewusst, was zu tun ist?

Eben nicht durchgängig. Aktuell liegt erst der zweite Referentenentwurf der CER-Richtlinie vor und wir warten auf das finale dritte Papier. Das verzögert sich jedoch zusehends, unter anderem, weil viele verschiedene Stellen daran mitwirken, die Umsetzbarkeit bewerten und Vorgaben machen müssen. Für den Sektor Lebensmittel ist beispielsweise das Gesundheitsamt zuständig. Es muss beschreiben, was getan werden soll und welche Schwellenwerte erreicht werden müssen. Dabei drängt die Zeit: Schon im Oktober müssen sich betroffene Unternehmen als kritische Infrastruktur registrieren. Zehn Monate später sollen sie bereits die notwendigen Sicherheitsmaßnahmen umgesetzt haben. Das ist sehr wenig Zeit: Sind bauliche Veränderungen erforderlich – etwa, wenn Zäune errichtet werden müssen – vergehen allein dafür schnell bis zu zwölf Monate. Ohnehin wird aktuell im Geschäftsfeld Energie, also Strom, Gas und Wasserstoff, viel gebaut – On- und Offshore: Dazu zählen etwa der Neu- oder Umbau von Umspannwerken, das Errichten von Konverter-Anlagen, die Umstellung des Gasnetzes auf Wasserstoff und die kommunale Wärmeplanung. Und die Branche muss schon jetzt hohe finanzielle Belastungen für die Umstellung auf regenerative Energiequellen stemmen.

Lesen Sie ebenfalls: Safety und Security für die Transformation der Industrie

Können Sie sich Ausnahmen zu diesem gedrängten Zeitplan vorstellen?

Die wichtige Frage wird sein: Welcher Erfüllungsgrad wird letztlich verlangt – der Vollschutz, eine fertige Planung oder erst mal „nur“ eine abgeschlossene Analyse? Und wie streng wird es gehandhabt werden? Um die Frage zu beantworten: Ich kann mir gut vorstellen, dass für bestimmte Sektoren die Vorgaben etwas kulanter ausfallen könnten. Insbesondere die Vereinigung der Fernleitungsnetzbetreiber Gas e. V. (FNB Gas) hat den engen Zeitrahmen in ihrer Stellungnahme zum Referentenentwurf kritisiert. Sie befürchtet zudem Engpässe bei Dienstleistern. Einig sind sich FNB Gas und der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) darin, dass der Staat seinen Teil zur Abwehr von terroristischen und militärischen Bedrohungen beitragen muss.

Finanzierung erforderlicher Kritis-Maßnahmen unklar

Gibt es mögliche weitere Unabwägbarkeiten?

Unklar ist etwa auch die Finanzierung der erforderlichen Kritis-Maßnahmen: Denkbar sind Umlagen für Strom und Gas oder Förderungen. Deswegen richten sich jetzt alle Augen auf den Gesetzgeber. Das nächste Problem ist die Zertifizierung: Für kerntechnische Anlagen haben wir schon seit mehr als 20 Jahren entsprechende Verfahren. Für andere Sektoren gibt es noch keine Grundlagen in dieser Richtung. Die IT ist da schon weiter: Für NIS 2 gibt es unter anderem die ISO 27k (ISO-27000-Normenreihe). Große Übertragungsnetzbetreiber sind in der Regel gut aufgestellt. Die Ebene darunter tut gut daran, ihrem Vorbild zu folgen. Eine weitere große Herausforderung in Zeiten des Fachkräftemangels ist natürlich das Planungs- und Betreuungspersonal, das häufig erst rekrutiert werden muss. Und nicht zuletzt: Wer prüft dann die installierten Anlagen? Das können und sollen weder Betreiber noch Errichter. Auch dieser Aspekt ist noch ungelöst. Dafür infrage kämen etwa die Behörde unter dem Dach des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) oder ein Zertifizierungsdienstleister. In diesem Sommer sind also noch eine ganze Reihe offener Fragen zu beantworten.

Ganzheitliche Sicherheit ist das Ziel – welche Schritte führen dahin?

Der erste wichtige Schritt ist eine Risikoanalyse für die eigenen Liegenschaften oder Infrastruktureinrichtungen. Der Betreiber muss zunächst die kritischen Bereiche identifizieren. Im nächsten Schritt sollte ein Anbieter mit Branchenerfahrung gefunden werden, der das Unternehmen bei der Erstellung eines Sicherheitskonzepts im Hinblick auf die jeweiligen Gefahrenpotenziale unterstützt. Jede Topografie muss dabei ganz individuell betrachtet werden – vom einzelnen Schachtdeckel bis zum Pipeline-System. Die Sicherheitsexpertinnen und -experten beraten, wie Risiken am besten zu minimieren sind. Dann folgt die betriebswirtschaftliche Berechnung. Man kann nicht jeden Mast sichern, das wäre nicht angemessen. Deshalb lässt das Gesetz auch einen gewissen Spielraum und betont die Verhältnismäßigkeit von Risiko und Aufwand.

Lesen Sie auch: Quantentechnologien für sichere Energie-Infrastruktur

Müssen sich Betreiber immer für oder gegen eine Maßnahme und das damit verbundene Risiko entscheiden oder gibt es auch Alternativen?

Unter Umständen können organisatorische Maßnahmen technische ersetzen. Lösen umgekehrt technische Maßnahmen organisatorische ab, werden eigentlich immer Risiken weiter minimiert und Personal gespart. Und natürlich fällt Technik beispielsweise aufgrund von Krankheit auch nicht aus.

Schneller als die Täter bleiben

Was müssen Sicherheitskonzepte und -systeme für den Objekt- und Perimeterschutz heute können?

Täter und Tatmittel entwickeln sich immer weiter, und mit ihnen die Sicherheitstechnik. Häufig ist Betreibern gar nicht bekannt, welche Möglichkeiten es inzwischen gibt, Fähigkeitslücken in der elektronischen Sicherheit zu schließen. Alle kennen zum Beispiel Videokameras. Viele wissen aber nicht, wie intelligent und leistungsfähig sie heute sind. Videomanagementsysteme nehmen dem Menschen viele Aufgaben ab – mit dem Vorteil, dass sie nicht ermüden. Noch wichtiger: Eine elektrische Überwachung kann bereits die Tatvorbereitung und das Auskundschaften aufdecken und somit eine Tat verhindern. Das System erkennt mithilfe von intelligenten Videoanalysen definierte Situationen und löst automatisch Alarm aus – etwa, wenn unbefugte Personen versuchen in sensible Bereiche einzudringen. Bausteine eines ganzheitlichen Sicherheitskonzepts sind zusammengefasst: hochfunktionale intelligente Videosicherheitssysteme, Zaundetektion, Einbruchschutz, Zutrittskontrolle oder selbst Drohnendetektion und -abwehr. Keine Frage: All diese Systeme müssen auch selbst IT-sicher sein.

Securiton hat den Begriff „Dome Security“ geprägt. Was unterscheidet sie von bisherigen Videosicherheitssystemen?

Dafür arbeiten mehrere oder alle eben genannten Einzelsysteme effizient zusammen. Wir sprechen von „Dome Security“, weil sie den Rundumschutz wie eine Kuppel lückenlos über die Liegenschaft spannt. Ein Kernsystem ist dabei auch die Luftsicherheit zum Schutz vor Drohnen, die wir inzwischen als die größte Gefahr aus der vertikalen Dimension verstehen. Vor zehn Jahren waren solche ganzheitlichen Systeme noch undenkbar. Heute ist vieles auch für den zivilen Bereich erforderlich.

Herr Harter, vielen Dank für das Gespräch.