Ohne Kritische Infrastrukturen ist eine moderne, leistungsfähige Gesellschaft nicht lebensfähig. Die KRITIS-Unternehmen aus Bereichen wie der Energie- und Wasserversorgung, aus Transport und Verkehr oder der Informationstechnik und Telekommunikation werden nicht ohne Grund als das Rückgrat unserer Gesellschaft bezeichnet.
Umso wichtiger ist auch ihre Sicherheit. Hier muss umfassend gedacht und intelligent sowie nachhaltig geplant werden. Denn einerseits ist es notwendig, die IT-Sicherheit zu schützen, andererseits ist auch die physische Sicherheit angesichts der jüngsten geopolitisch verändernden Ereignisse (Russlands Krieg gegen die Ukraine) ein äußerst brisantes und drängendes Thema. Und hier herrscht Nachholbedarf, wie Prof. Dr. Clemens Gause in seinem Vortrag über „NIS-2 und das KRITIS Dachgesetz“ anlässlich der Axis Roadshow 2023 betont.
Während das deutsche Bundesministerium des Inneren und für Heimat auf seiner Webseite von einer veränderten Sicherheitslage in Deutschland und Europa schreibt[1], geht Prof. Dr. Clemens Gause einen Schritt weiter und betont, dass die Ereignisse rund um den Ausbruch des Krieges in Osteuropa zwar klare Weckrufe sind, aber die Entwicklung dahingehend bereits (viel) früher gestartet ist – und weder ausreichend erkannt noch darauf reagiert wurde.
Aber immerhin steht die erhöhte Gefährdung der Kritischen Infrastrukturen in Deutschland und im übrigen Europa in der Politik inzwischen an der Tagesordnung und macht eine Aktualisierung des Bevölkerungs- und Zivilschutzes sowie ein paradigmatisches Umdenken im Bereich Sicherheit und Verteidigung notwendig.
Folgende Maßnahmen sind hier zu nennen:
· KRITIS-Dachgesetz
Das sogenannte KRITIS-Dachgesetz soll ab Ende Oktober 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen regulieren. Umfassende, sektorübergreifende Mindestvorgaben für Resilienzmaßnahmen und Meldepflichen für Störungen sollen die Resilienz der KRITIS in Deutschland weiter stärken. Dieses Gesetz wird mit Hochdruck erarbeitet und derzeit innerhalb der Bundesregierung und im Deutschen Bundestag abgestimmt. Die Länder- und Verbändebeteiligung erfolgt derzeit. (Quelle: BMI)
Kurz gesagt: das KRITIS-Dachgesetz setzt in Deutschland die neue EU RCE-Direktive bzw. CER-Richtlinie um und befasst sich mit Perimeterschutz und physischen Schutzmechanismen. Hier gibt es noch Aufholbedarf. Denn die beste IT-Sicherheit bringt wenig, wenn mutmaßliche Saboteure zum Beispiel in ein Rechenzentrum einbrechen können und die Rechner physisch entwenden können. Das KRITIS-Dachgesetz gibt hier also erstmals umfangreiche Richtlinien für den physischen Schutz vor.
· Umsetzung der NIS-2-Richtlinie
Das Gesetz zur Umsetzung der EU-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-2-Richtline) umfasst zukünftig nicht nur klassische KRITIS-Betreiber, sondern auch weitere Unternehmen in unterschiedlichen Sektoren wie Energie, Verkehr, Gesundheit oder digitale Infrastruktur. Im Mittelpunkt stehen hierbei IT-Sicherheitsvorgaben sowie Meldepflichten, die im Fall von IT-Sicherheitsvorfällen erfüllt werden müssen. Dieser Ansatz ist nicht völlig neu, wurde aber mit der europäischen NIS-2-Richtlinie umfangreich aktualisiert und den aktuellen Gegebenheiten angepasst: damit wird EU-weit die Resilienz der Wirtschaft von Cybergefahren gestärkt. Der Referentenentwurf für ein aktualisiertes NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird gegenwärtig innerhalb der Bundesregierung beraten und muss bis Oktober umgesetzt werden. In einem nächsten Schritt wird die Länder- und Verbändebeteiligung erfolgen. (BMI)
KRITIS-Dachgesetz: Nachfrage nach Sicherheitstechnik steigt
Nicht nur die Politik, sondern (in der Folge) auch der Markt reagieren. „In den vergangenen Wochen und Monaten sehe ich von Betreibern von Kritischen Infrastrukturen mehr und mehr Nachfrage nach Sicherheitstechnik“, erklärt Prof. Dr. Gause, „eine Entwicklung, die durch das KRITIS-Dachgesetz noch deutlich an Schub gewinnen wird.“ Als Geschäftsführer des Verbands für Sicherheitstechnik e.V. (VfS) kennt er die Zahlen und sieht, dass zum Beispiel der Bereich Videosicherheitstechnik durch die veränderte geopolitische Lage an Auftrieb gewonnen hat. Die verantwortlichen Betreiber Kritischer Infrastrukturen wollen vorsorgen, denn ab dem Zeitpunkt, in dem das KRITIS-Dachgesetz in Kraft tritt, müssen sie sich weiter rüsten für die aktualisierte Gesetzgebung. „Die Sicherheitstechnik ist wieder salonfähig geworden“, bringt es Prof. Dr. Gause auf den Punkt.
In diesem Zusammenhang ist die Videotechnologie, genauer gesagt die Videoanalysesensorik nur ein Baustein von vielen. Doch statistisch gesehen, verhindert die Videosicherheitstechnik nachweislich Sicherheitsvorfälle. Durch ihren Einsatz ist es möglich, Sicherheitsräume zu schaffen. Zudem erhöht sie auch das (subjektive) Sicherheitsgefühl.
„Die Sicherheitstechnik lässt sich in drei Hauptfelder aufteilen: erstens die materielle und physische Sicherheit, zweitens die elektronische Sicherheit und drittens die Sicherheit der Informations- und Kommunikationstechnologie. Ersteres betrifft die physische Sicherheit von Objekten in der Umwelt, zweitere die elektronische Sicherheit wie etwa der Videosicherheitstechnik, letzteres die der Informations- und Kommunikationstechnologie, also der Netzwerk- und Informationssicherheit auf Rechnern, Servern und der Cloud sowie allen miteinander vernetzten Systemen der elektronischen und physischen Sicherheit“, erklärt Gause weiter. Die Sicherheit der IKT wird in der neuen NIS2-Richtlinie geregelt, die national in der Novelle des BSIG ihren Niederschlag findet.
Mit dem KRITIS-Dachgesetz versuche man jetzt, die in der Normengesetzgebung bis dato weniger beachtete physische Sicherheit von der Bedeutung her aufzuwerten und mit den durch die NIS2-Richtlinie abgedeckten Bereichen auf ein Niveau zu heben.
Für den Gesetzgeber bleibt noch bis Ende Oktober 2024 Zeit, die EU-Direktive EU RCE (CER-Richtlinie) zum KRITIS-Dachgesetz umzusetzen. Unternehmen sind daher gut beraten, so früh wie möglich tätig zu werden. Denn die neue Rechtsvorschrift ist nicht nur inhaltlich umfangreicher, sondern wird wahrscheinlich auch auf Unternehmen ausgedehnt, die zuvor nicht als KRITIS definiert wurden.
Fazit:
Sicherheitstechnik für Kritische Infrastrukturen ist weit mehr als nur ein Schutzmechanismus. Sie ist ein wesentlicher Bestandteil des Risikomanagements und der Betriebseffizienz in einem Unternehmen. Optimale Sicherheitslösungen bieten nicht nur Schutz, sondern liefern wichtige Einblicke in sicherheitsrelevante Vorgänge, tragen zur Effizienzsteigerung bei und unterstützen die Einhaltung gesetzlicher Anforderungen.
Prof. Dr. Clemens Gause ist Geschäftsführer des Verbands für Sicherheitstechnik e.V und ist seit 2022 als Professor am Lehrstuhl für den Bereich Sicherheitsmanagement an der Northern Business School in Hamburg tätig. Er hat neben vielen Büchern und Aufsätzen zahlreiche Gutachten und Studien zu industrie- und sicherheitspolitischen Themen verfasst und war viele Jahre Lehrbeauftragter an der Universität Potsdam und der Deutschen Universität für Weiterbildung.
[1] BMI – Schutz kritischer Infrastrukturen (bund.de) (Letzter Zugriff: 6. November 2024)