Zum Schutz der Infrastruktur

KRITIS steht für kritische Infrastrukturen. Nach Angaben der Bundesregierung sind das Organisationen oder Einrichtungen mit großer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Laut Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gehören beispielsweise die Energie- und Wasserversorgung, der Verkehr, aber auch die medizinische Versorgung zu den kritischen Infrastrukturen.

Die Anlagen und Einrichtungen können durch verschiedene Umstände gefährdet werden – vom menschlichen Versagen über klimabedingte Katastrophen bis hin zu hybriden Bedrohungen, Terrorismus oder Sabotage.

Die Corona-Pandemie, die Hochwasserkatastrophe im Ahrtal, der Krieg in der Ukraine und jüngst der Angriff auf das Stromnetz im Südosten Berlins haben gezeigt, wie verwundbar die kritische Infrastruktur in Deutschland ist. Nach Einschätzung des Bundesinnenministeriums (BMI) sind die kritischen Infrastrukturen in Deutschland grundsätzlich sehr gut geschützt. Allerdings fehlen laut BMI bislang einheitliche bundesrechtliche Regelungen für deren physischen Schutz. Die entsprechenden Vorschriften sind in den Sektoren und Branchen sehr heterogen: Sie reichen von unverbindlichen Leitlinien bis hin zu bundes- und landesgesetzlichen Spezialregelungen oder genau festgelegten DIN-Normen.

Eine höhere Widerstandsfähigkeit der kritischen Infrastruktur, um die Versorgungssicherheit zu garantieren. Betreiber sollen in die Lage versetzt werden, den Betrieb der Anlagen oder Einrichtungen auch bei Störfällen aufrechtzuerhalten. Ziel ist, Vorfälle so weit wie möglich zu verhindern oder besser auf sie zu reagieren, negative Auswirkungen wie Folgekosten zu begrenzen oder zu gewährleisten, dass kritische Dienstleistungen zügig wiederhergestellt werden. Das KRITIS-Dachgesetz soll die bestehenden Regelungen aber nicht ersetzen, sondern durch staatliche und Betreiber-seitige Risikoanalysen Lücken und Schwachstellen aufzeigen. Zugleich will die Bundesregierung damit erstmals einen einheitlichen bundesrechtlichen Rahmen für den physischen Schutz der kritischen Infrastrukturen schaffen.

Einen Entwurf für ein KRITIS-Dachgesetz hatte bereits das Ampel-Kabinett am 6. November 2024 verabschiedet, nach dem Scheitern der Koalition fand sich dafür allerdings keine Mehrheit mehr im Bundestag. Nun hat die neue Regierungskoalition aus Union und SPD den Gesetzentwurf mit geringfügigen Änderungen erneut auf den Weg gebracht. Im Vergleich zum Ampel-Entwurf mit 1.400 Betreibern nimmt der neue Gesetzentwurf 1.700 kritische Anlagen in den Blick. Anfang September hatte das BMI einen Referentenentwurf vorgelegt. Der Regierungsentwurf, dem das Bundeskabinett am 10. September zugestimmt hat, blieb fast unverändert.

In erster Linie die Unternehmen selbst. Sie müssen sich umfassend gegen Gefahren wie Naturkatastrophen, Terrorismus, Sabotage sowie menschliches Versagen wappnen. Dennoch ist der Schutz der KRITIS laut BMI eine gesamtstaatliche Aufgabe, bei der Bund, Länder und Kommunen eng mit den Betreibern zusammenarbeiten, um die Versorgungssicherheit der Bevölkerung mit lebenswichtigen Dienstleistungen sicherzustellen.

Der Entwurf legt fest, welche Infrastruktureinrichtungen unentbehrlich sind, um die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Für die Betreiber legt er Mindestanforderungen fest. Das können zum Beispiel Notfallteams, ein stärkerer Objektschutz und Maßnahmen zur Ausfallsicherheit sein. Eine Grundlage hierfür sind Risikoanalysen und -bewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden. 

Dabei gilt der „All-Gefahren-Ansatz“: Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Außerdem sollen die Betreiber verpflichtet werden, Vorfälle zu melden. Dafür werden das BBK und das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig ein gemeinsames Onlineportal betreiben.

Gesundheitswesen, Energie, Finanzwesen, Transport und Verkehr, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung. Welche Anlagen in den einzelnen Sektoren konkret in den Anwendungsbereich des KRITIS-Dachgesetzes fallen, orientiert sich laut BMI etwa an der Anzahl der versorgten Personen, der Bedeutung der kritischen Dienstleistung für andere Dienstleistungen oder am Marktanteil. „Wenn eine Einrichtung zum Beispiel essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs“, teilt das Ministerium mit. Zudem würden wechselseitige Abhängigkeiten berücksichtigt. So hingen vom Energiesektor alle anderen Sektoren ab, genauso seien Wasser und Transportwege für alle unverzichtbar. Welche kritischen Dienstleistungen und Anlagen dazugehören, soll in einer Rechtsverordnung festgelegt werden.

Das KRITIS-Dachgesetz formuliert erstmals sektorenübergreifende Ziele für die Betreiber. Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen. Ergebnis dieses Prozesses kann zum Beispiel ein erhöhtes Risiko für Hochwasserschäden sein. In der Folge müssten in der betreffenden Anlage etwa Klappschotten oder andere Dichtungen eingebaut werden, um solche Schäden zu vermeiden.

Vorgeschrieben sind keine konkreten Regelungen, das Gesetz verpflichtet die Betreiber lediglich dazu, geeignete und verhältnismäßige Maßnahmen zu ergreifen. Welche das sind, kann sich von Sektor zu Sektor und von Unternehmen zu Unternehmen unterscheiden. In Hochwassergebieten sind andere Maßnahmen erforderlich als in anderen örtlichen Umgebungen; ein Krankenhaus muss anders geschützt werden als das Stromnetz. Bereiten sich Betreiber nicht ausreichend auf mögliche Risiken vor oder halten staatliche Vorgaben nicht ein, sollen Bußgelder von 50.000 bis 500.000 Euro drohen.

Krankenhäuser: Die Deutsche Krankenhausgesellschaft (DKG) wirft insbesondere die ungeklärte Finanzierungsfrage auf. Allein die Mehrkosten für die schon geltenden Vorgaben für die Informationssicherheit in allen Krankenhäusern betragen schon jetzt rund 1,5 Milliarden Euro pro Jahr. Unter den aktuellen finanziellen Rahmenbedingungen für die Krankenhäuser könnten viele der im Entwurf enthaltenen Maßnahmen „einer Wirtschaftlichkeitsbetrachtung kaum standhalten“. Eine aktuelle Reaktion auf den nur wenig veränderten Kabinettsentwurf lag zum Redaktionsschluss dieser Ausgabe nicht vor.

Krankenkassen: Der GKV-Spitzenverband begrüßt, dass unterschiedliche Vorgaben zur physischen Resilienz und zum Schutz gegen Digitalangriffe vereinheitlicht und Zuständigkeiten geklärt werden sollen. Beifall findet auch der Plan, für das Melden von Störungen innerhalb von 24 Stunden eine gemeinsame digitale Plattform des BSI und des BBK einzurichten. Zentraler Kritikpunkt: Der Entwurf lässt ihre IT-Dienstleister außen vor. Die wesentlichen Risiken für die Versorgungssicherheit entstünden jedoch nicht bei den Krankenkassen selbst, sondern bei deren IT-Dienstleistern. Ein Ausfall oder eine Beeinträchtigung bei diesen Dienstleistern könne unmittelbar die Leistungserbringung der Krankenkassen gefährden. 

AG KRITIS: Die AG KRITIS, eine unabhängige Expertengruppe, sieht keine echte Verbesserung. Sie kritisiert, dass das Gesetz vollständig erst im Jahr 2030 in Kraft treten soll. Zudem werde nicht festgelegt, bis wann die Verordnungen bereitstehen sollen. Die AG bemängelt außerdem, dass wesentliche Bereiche ausgenommen sowie Länder und Kommunen nicht adressiert seien. Bereiche wie die innere Sicherheit und Verteidigung seien pauschal ausgenommen, ebenso der Schutz vor Drohnen oder der Schutz der kommunalen Infrastruktur. Weiterhin moniert die AG, dass die Strafen für Betreiber viel zu niedrig angesetzt seien.

Als Nächstes muss der Gesetzentwurf Bundestag und Bundesrat passieren. Geht es nach der Bundesregierung, soll das Gesetz noch in diesem Jahr in Kraft treten.