| Politik & Regulierung | Kritische Infrastruktur

Kritische Infrastruktur

Definition und Abgrenzung

Kritische Infrastrukturen sind Organisationen und Einrichtungen, die für die Versorgungssicherheit der Gesellschaft von herausragender Bedeutung sind [1]. Einschränkungen in der Versorgung oder gar ein Ausfall derselben würden somit zu erheblichen Versorgungsengpässen und einer weitreichenden Beeinträchtigung der Funktionsfähigkeit von Staat und Gesellschaft führen [2]. Spezifisches Merkmal kritischer Infrastrukturen ist demnach die Kritikalität, die die Auswirkungen und Konsequenzen einer Störung oder eines Ausfalls der Infrastruktur bewertet [3].

In Deutschland werden die folgenden Sektoren als kritische Infrastrukturen eingestuft:

  • Energie
  • Ernährung
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Staat und Verwaltung
  • Siedlungsabfallentsorgung
  • Transport und Verkehr
  • Wasser

Jedem Sektor sind einzelne Branchen zugeordnet. Beim Sektor Energie sind dies die Branchen Elektrizität, Gas, Mineralöl und Fernwärme. Als Betreiber einer kritischen Infrastruktur gilt, wer einen spezifischen Schwellenwert an zu versorgenden Personen überschreitet. Dieser Schwellenwert kann je nach Sektor variieren. Die Sektoren Staat und Verwaltung sowie Medien und Kultur unterliegen einer anderen Gesetzgebung als die anderen sieben Sektoren. Hintergrund dafür bildet die Tatsache, dass der Sektor Staat und Verwaltung nicht durch eine zuständige Behörde geregelt werden kann. Beim Sektor Medien und Kultur liegt die Gesetzgebungskompetenz bei den Ländern und wird somit nicht vom Bund geregelt.

Geschichte

Bereits während des Ersten und Zweiten Weltkriegs wurde die Bedeutung von Infrastruktur ersichtlich, als diese gezielten Angriffen ausgesetzt war [4]. Dass Infrastruktur aber auch in Friedenszeiten geschützt werden sollte, unterstrich in den 1990er-Jahren eine US-amerikanische Expertenkommission, als sie besonders schützenswerte Sektoren in den USA definierte. Daraufhin bildete sich 1997 auch in Deutschland eine erste ressortübergreifende Arbeitsgruppe, die Sektoren als kritische Infrastrukturen definierte, Bedrohungsszenarien erarbeitete, Schwachstellen identifizierte und Möglichkeiten zur Schadensverhinderung aufzeigte.

Die Einordnung von kritischen Infrastrukturen als solche veränderte sich über die Zeit. Beeinflusst wurde dies unter anderem durch die zunehmende Privatisierung, da sich heute rund 80 % der kritischen Infrastrukturen in Deutschland in privater Hand befinden [5]. Zusätzlich hat sich die Sicherheitslage verändert. Gerade durch die Terroranschläge vom 11. September 2001 rückte die Bedrohung von kritischen Infrastrukturen in den Fokus der breiten Öffentlichkeit. Darüber hinaus ist durch die zunehmende Digitalisierung der letzten Jahre die Gefahr von Cyberangriffen auf kritische Infrastrukturen wahrscheinlicher geworden. Die äußeren Umstände sowie die stetige Gefahrenabschätzung machen eine kontinuierliche Evaluation der Einstufung kritischer Infrastrukturen notwendig [6].

Anwendung und Beispiele

Die zunehmende Digitalisierung sowie die Automatisierung wirken sich auf kritische Infrastrukturen aus. Einerseits ermöglicht die Digitalisierung eine bessere und einfachere Überwachung von kritischen Systemen. Beispielsweise können die Temperaturen in Reaktoren zur Energieerzeugung automatisch überwacht werden.

Andererseits werden die einzelnen Sektoren durch die Digitalisierung immer stärker miteinander vernetzt. Aber auch die Cyberkriminalität nimmt zu, sodass Cyberangriffe auf die digitale Infrastruktur in Zukunft immer wahrscheinlicher werden. Durch die stärkere Vernetzung steigt so die Vulnerabilität der Systeme, und Skaleneffekte werden beim Ausfall einer kritischen Infrastruktur wahrscheinlicher [7].

Um die Relevanz von kritischen Infrastrukturen für die Gesellschaft und die Volkswirtschaft zu verdeutlichen, kann das Szenario eines landesweiten Stromausfalls herangezogen werden. Ein landesweiter Ausfall hätte zur Folge, dass alle Privathaushalte, Wirtschaftsunternehmen und staatlichen Einrichtungen ohne Notstromaggregate oder eine eigene Versorgung ohne Strom wären. Große Teile der Volkswirtschaft kämen zum Erliegen. Banken könnten keine Auszahlungen mehr tätigen, Supermärkte könnten nicht auf ihre Kassensysteme zurückgreifen und würden keine Lebensmittellieferungen mehr erhalten, da die Zapfsäulen an Tankstellen nicht mehr funktionierten. Gleichzeitig käme die Wasserversorgung großflächig zum Erliegen, da die Wasserpumpen in Häusern ohne Strom nicht mehr funktionierten. Ebenso fielen zahlreiche Heizungen aus. Auch die Gesundheitsversorgung wäre betroffen: Apotheken könnten keine Medikamente mehr bereitstellen, da das vollautomatische Logistik- und Lagersystem ohne Strom nicht funktionieren würde. Krankenhäuser, die meist über ein Notstromaggregat verfügen, könnten zwar noch agieren, müssten aber ihre Kapazitäten zurückfahren. De facto käme das gesamte gesellschaftliche und wirtschaftliche Leben zum Erliegen. Um diesem Szenario vorzubeugen, kommt dem Schutz von kritischen Infrastrukturen und der Gewährleistung der IT-Sicherheit eine große Bedeutung zu.

Kritik und Probleme​​

Kritik an der momentanen Einordnung der kritischen Infrastruktursektoren in Deutschland gibt es unter anderem in der Form, dass wichtige Sektoren und Branchen bis dato nicht mit ihrer Kritikalität erfasst werden. So wird beispielsweise gefordert, dass auch die Chemieindustrie sowie Großforschungsanlagen als kritische Infrastrukturen klassifiziert werden sollten. Darüber hinaus wird kritisiert, dass die Einordnung als Betreiber von kritischen Infrastrukturen durch die Festlegung von Schwellenwerten an zu versorgenden Personen zu undifferenziert ist [8, 9].

Forschung

Das bidt fördert unter anderem das Dissertationsprojekt „Sichere leichtgewichtige authentifizierte Verschlüsselung für kritische Infrastrukturen im Internet der Dinge“, das an der Technischen Universität München sowie der Ostbayerischen Technischen Hochschule Regensburg angesiedelt ist. Das Projekt setzt sich mit kryptografischen Verfahren auseinander, die insbesondere für die Verwendung in vernetzten Systemen geeignet sind.

Weiterführende Links und Literatur​​​​

Informationen zu kritischen Infrastrukturen:

Literaturempfehlung:
Schulze, Tillmann (2006): Bedingt abwehrbereit. Schutz kritischer Informations-Infrastrukturen in Deutschland und den USA. Wiesbaden: VS Verlag für Sozialwissenschaften/GWV Fachverlage GmbH Wiesbaden.

Quellen

[1] Wiater, Patricia (2013): Sicherheitspolitik zwischen Staat und Markt. Der Schutz kritischer Infrastrukturen. Baden-Baden: Nomos (Sicherheit und Gesellschaft. Freiburger Studien des Center for Security and Society, 6).

[2] Bundesministerium des Innern (2009): Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie).

[3] Krings, Susanne (2020): Doppelt relevant: Kritische Infrastrukturen der Daseinsvorsorge, Raumforschung und Raumordnung / Spatial Research and Planning, ISSN 1869-4179, Sciendo, Warsaw, Vol. 78, Iss. 6, pp. 575–593.

[4] Folkers, Andreas (2018): Was ist kritisch an Kritischer Infrastruktur? Kriegswichtigkeit, Lebenswichtigkeit, Systemwichtigkeit und die Infrastruktur der Kritik. In: Engels, Jens-Ivo & Nordmann, Alfred (Hg.) (2018): Was heißt Kritikalität? Zu einem Schlüsselbegriff der Debatte um Kritische Infrastrukturen, S.123–154.

[5] König, Wolfgang; Popescu-Zeletin, Radu; Schliesky, Utz; Beck, Roman (Hg.) (2014): IT und Internet als kritische Infrastruktur. Vernetzte Sicherheit zum Schutz kritischer Infrastrukturen. Kiel: Lorenz-von-Stein-Inst. für Verwaltungswiss. an der Christian-Albrechts-Univ. zu Kiel (Schriften zur Modernisierung von Staat und Verwaltung, 19).

[6] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (2020): 10 Jahre „KRITIS-Strategie“.

[7] Nye, Joseph S. (2017): Deterrence and Dissuasion in Cyberspace. In: International Security 41 (3), S. 44–71.

[8] Marburger Bund (2019): Alle Krankenhäuser besser vor Hacker-Angriffen schützen.

[9] AG KRITIS (2021): Stellungnahme für die Anhörung des Bundestagsausschusses für Inneres und Heimat – Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit Informationstechnischer Systeme 2.0 (IT-Sicherheitsgesetz 2.0).