Nach der Sprengattacke auf die Nordstream-Pipelines warnte das Bundeskriminalamt (BKA) in einem Schreiben an Wirtschaftsunternehmen, dass mit weiteren Angriffen auf die kritische Infrastruktur „möglicherweise auch in quantitativ und gegebenenfalls auch in qualitativ gesteigerter Form“ gerechnet werden müsse. Als potentielle Ziele nannte das BKA Stromleitungen, Internetkabel oder Windkraftanlagen, auch mit Cyberattacken müsse gerechnet werden.

Wie berechtigt das war, zeigte sich nur wenige Tage nach der BKA-Gefahrenbewertung: Anfang Oktober kam es zu offensichtlich nach intensiver Vorbereitung exakt aufeinander abgestimmten Sabotageakten bei Berlin und in Nordrhein-Westfalen auf das Glasfasernetz der Deutschen Bahn. Stundenlang war der Schienenverkehr weitflächig lahmgelegt.

„Die kritische Infrastruktur ist die Achillesferse unserer Gesellschaft“, sagte der nordrhein-westfälische Innenminister Herbert Reul (CDU) am Freitag bei einer Fachtagung zum Thema in seinem Haus. „Die Lage ist ernst und die Zeit drängt“, das hätten die jüngsten Ereignisse gezeigt. Nach Einschätzung von Reul gibt es beim Schutz der von den Sicherheitsbehörden kurz KRITIS genannten kritischen Infrastruktur selbst in elementaren Fragen wie Abstimmung oder Rollenverteilung erhebliche Defizite.

Reul fordert mehr Eile vom Bund

„Im Klartext: Wer macht was und wer ist für was verantwortlich. Was koordiniert der Bund? Wo sind die Länder, wo die Unternehmen selbst gefragt? Wo liegen die Pflichten der Betreiber?“

Der Bund sei bei dem existenziell wichtigen Thema „ausdrücklich in der Pflicht“. Es sei gut, dass Bundesinnenministerin Nancy Faeser (SPD) ein KRITIS-Dach-Gesetz auf den Weg bringe, lobte der nordrhein-westfälische Innenminister. „Allerdings brauchen wir da deutlich mehr Eile. Die Vorstellung von ‚Eckpunkten noch in diesem Jahr‘ ist schlicht zu langsam.“ Der Bund müsse zudem die Länder in den Prozess einbinden, um endlich klare Zuständigkeiten und Maßnahmen zu vereinbaren, anstatt Doppelstrukturen oder – noch schlimmer – „weiße Flecken“ zu schaffen. Angesichts der Dimension der Bedrohung sei die Frage nicht, was Staat und Unternehmen der Schutz kosten dürfe. „Die Frage ist, was muss er uns kosten.“

Zur kritischen Infrastruktur werden unter anderem die Energie- und Wasserversorgung, der Verkehr, Krankenhäuser und weitere Einrichtungen gezählt, deren Ausfall nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sie ziehen würde.

Vorbereitungen auf einen schweren Cyberangriff

Eine klare Definition gibt es bisher aber nicht, deshalb müsse nun auch dringend geklärt werden, „wer und was genau zur kritischen Infrastruktur unserer Gesellschaft eigentlich gehört“, monierte Reul. Tatsächlich ist der Kreis der systemrelevanten Unternehmen und Institutionen viel größer, als oft angenommen. Wie gefährdet auch kommunale Behörden sind, erlebte Andy Grabner (CDU), der Landrat von Bitterfeld-Anhalt vor etwas mehr als einem Jahr. Im Sommer 2021 musste der nördlich von Leipzig gelegene Kreis als erste Gebietskörperschaft in Deutschland den Cyber-Katastrophenfall ausrufen. Hacker hatten sämtliche Server des Kreises verschlüsselt, es gab keinen Zugang mehr zum System. Rund 160 Fachanwendungen – darunter die Auszahlung der Sozialhilfe oder die Kraftfahrzeug-Anmeldung – waren lahmgelegt. „Nur die Telefone funktionierten noch“, berichtete der per Videokonferenz zugeschaltete Landrat.

„Wir haben uns in die achtziger und neunziger Jahre zurückgesetzt gefühlt, mit dem kleinen Unterschied, dass es damals noch Papierakten gab, heute ist so gut wie alles digitalisiert“, sagte Grabner. Zwar ist die neue IT-Struktur nach Angaben des Kreises zu 94 Prozent aufgebaut, doch mit den Auswirkungen des Hackerangriffs hat die Verwaltung auch 15 Monate nach der Attacke noch zu kämpfen.

Wie bei bisherigen Attacken auf andere Behörden oder Unternehmen standen hinter dem Angriff auf den Kreis kriminelle Hacker. Den von vielen nach dem Einmarsch Russlands in die Ukraine befürchteten russischen Cyberkrieg auf Deutschland hat es nach Erkenntnissen des Cybercrime Kompetenzzentrum des Landeskriminalamts Nordrhein-Westfalen dagegen (bisher) nicht gegeben. Große Angriffe fänden nicht statt, hatte Peter Vahrenhorst vom LKA-Kompetenzzentrum bereits am Dienstag mitgeteilt.

„Einen Cyberkrieg muss man vorbereiten, man muss technische Waffen produzieren und vorhalten.“ In der Regel würden schon in Friedenszeiten Vorbereitungen getroffen, um in ausländische Systeme eindringen zu können. Doch weil Russland wohl mit einem schnellen Sieg über die Ukraine gerechnet habe, sei das offenbar nicht geschehen, so Vahrenhorst. Alle verfügbaren Warnsysteme gegen Hacker-Angriffe seien nach dem 24. Februar hochgefahren worden. Seither sei es aber wie bisher nur zu einzelnen digitalen Störmanövern gekommen.

Die Fälle Nordstream und Deutsche Bahn haben jedoch deutlich gemacht, wie akut die Gefahr durch physische Attacken und ihre Folgen ist. Dafür müsse auch die Sicherheitsarchitektur gewappnet werden, mahnte Reul am Freitag. „Im Fall eines langanhaltenden, großflächigen Stromausfalls oder auch einer massiven Gasmangellage etwa müssen Polizei, Feuerwehr, Rettungsdienste und Katastrophenschutz reibungslos funktionieren.“

Als Konsequenz aus den Erfahrungen seit Beginn der Corona-Pandemie hat die nordrhein-westfälische Polizei unter anderem ihre Zapfsäulen mit einem Notstrombetrieb ausgestattet und Kraftstoffdepots strategisch über das ganze Land verteilt. Und damit die Polizei auch beim Ausfall aller Netze erreichbar ist, gibt es laut Reul nun „ausreichend Satellitentelefone“.