Aufgrund der turbulenten Ereignisse im letzten Jahr ist immer wieder von kritischen Infrastrukturen und deren Schutz die Rede. Doch was ist überhaupt darunter zu verstehen und wie kann man ihren Schutz gewährleisten? Diese Fragen lassen sich natürlich pauschal nicht beantworten und so treten immer wieder Debatten darüber zu Tage. Über eine Angelegenheit herrscht jedoch größtenteils Konsens – nämlich darüber, dass die kritischen Infrastrukturen in Deutschland und den meisten anderen Ländern nicht ausreichend geschützt sind.
Doch warum wird erst seit dem Krieg in der Ukraine so hitzig über dieses Thema diskutiert? Immerhin hat sich an der Anzahl und dem Schutz der kritischen Infrastrukturen dadurch erst einmal nichts geändert. Was sich jedoch geändert hat, ist die Bedrohungslage und die daraus resultierende Dringlichkeit des Themas. Vor dem Krieg herrschte im Großteil der europäischen Staaten das Traumdenken vor, man hätte Kriege schon lange hinter sich gelassen und bewaffnete Auseinandersetzungen fänden nur noch in der unzivilisierten dritten Welt statt. Der erleuchtete Geist der Aufklärung sowie Grundsätze wie Wandel durch Handel alleine würden Europa davor bewahren, jemals wieder Krieg (auf europäischem Boden) zu führen. Der 24. Februar 2022 brachte dann jedoch das böse Erwachen und die Europäer fanden sich in einer Schockstarre wieder. Die Sabotageangriffe auf die Nordstream-Pipelines und die Deutsche Bahn taten ihr Übriges. Dabei sind Angriffe auf kritische Infrastrukturen nicht unbedingt etwas Neues, wie 2013 die Spionageaffäre um das Abhören von Angela Merkels Handy, sowie weiterer Spitzenpolitiker unter Beweis gestellt hat. Spätestens als man feststellte, dass man sogar von verbündeten Staaten so massive Spionageattacken zu erwarten hatte, hätte eigentlich ein großes Umdenken in Politik und Gesellschaft stattfinden müssen. Doch man ließ weitere neun Jahre vergehen, ehe man sich eingestehen musste, dass man in vielen sicherheitsrelevanten Bereichen blank dasteht.
Aber was ist eigentlich unter dem Begriff der kritischen Infrastruktur genau zu verstehen? Welche Strukturen müssen gewährleistet sein, damit der Staat oder die öffentliche Sicherheit nicht zusammenbricht und noch einigermaßen funktioniert? Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe definiert sie wie folgt: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bis 2022 begriff man diese Definition vor allem im Rahmen von Naturkatastrophen und hat Vorkehrungen entsprechend dieser Prämisse getroffen. Die Coronapandemie und die Flutkatastrophe in Deutschland 2021 bestärkten diesen Fokus zusätzlich, obwohl der Staat auch in diesen Fällen zumindest zeitweise versagte. Doch diese Krisen zeigten zumindest vielen Menschen auf, dass auch die Lebensmittel- und Hygieneartikelversorgung von kritischen Infrastrukturen abhängt und leicht ins Wanken geraten kann. Der Schutz vor vorsätzlichen Angriffen feindlicher (staatlicher) Akteure wurde jedoch insgesamt stark vernachlässigt. Sinnbildlich für diese Vernachlässigung steht der Cyberspace, obwohl schon vor dem Krieg in der Ukraine immer wieder Cyberangriffe auf unterschiedlichste Ziele in Deutschland stattfanden. Egal ob kommunale Verwaltungen oder große Ministerien, ob Kleinunternehmen oder Milliardenkonzern – keine Art von Ziel blieb von Angriffen verschont.
Sicherheitsmaßnahmen im Cyberspace sind besonders wichtig, da in einem derart vernetzten Industriestaat über Cyberangriffe Schäden in allen kritischen Bereichen möglich sind. Das IT-Sicherheitsgesetz definiert drei Kategorien für kritische Infrastrukturen: Grundversorgung (Energie, Wasser, Ernährung, Gesundheit), Versorgung (Transport und Verkehr, Entsorgung) und Dienstleistungen (IT und Telekommunikation, Finanzen und Versicherungen). Seit dem IT-Sicherheitsgesetz 2.0 sind auch Unternehmen im besonderen öffentlichen Interesse Gegenstand der Regulierung. Sobald ein Unternehmen bei der Versorgung bestimmte Schwellenwerte (meist 500.000 Menschen) überschreitet, gehört es zur kritischen Infrastruktur. Die AG KRITIS bemängelt diese Schwellenwerte allerdings als viel zu hoch. So versorgen viele kleinere Anbieter zusammengenommen weitaus mehr Menschen, doch die Regulierung geht vollständig an ihnen vorbei. Die aktuelle Gesetzeslage sieht Verpflichtungen zu Sicherheitsmaßnahmen nämlich erst ab den genannten Schwellenwerten vor und es werden von staatlicher Seite auch kaum Anreize für kleinere Versorger dafür geboten, präventiv in Sicherheitsarchitekturen zu investieren.
Wie bereits erwähnt, stellt der Krieg in der Ukraine eine Zäsur bei der Betrachtung kritischer Infrastrukturen dar. Das Abzielen auf ebendiese lässt sich auch im Krieg selbst beobachten. So gingen die russischen Streitkräfte zuletzt vermehrt dazu über, gezielt die ukrainische Wasser- und Energieversorgung zu zerstören. Sogar das Atomkraftwerk in Tschernobyl wurde dabei ins Visier genommen. In vielen bewaffneten Auseinandersetzungen kommt es zu solchen Sabotageaktionen, um den Gegner zu zermürben. Auch präventiv oder außerhalb von konventionellen Kriegen im Rahmen hybrider Kriegsführung werden entsprechende Ziele anvisiert. So wurde beispielsweise die Atomanlage Natanz im Iran immer wieder Opfer israelischer Sabotageaktionen. Die Atomanlage wurde jahrelang immer wieder von Cyberangriffen heimgesucht, bei denen es unter anderem zur Explosion von Zentrifugen kam. Darüber hinaus kam es 2021 laut iranischen Darstellungen sogar zu einer Explosion, die durch physische Sabotage ausgelöst wurde. Bei all diesen Aktionen muss jedoch bedacht werden, dass sie grenzübergreifende Auswirkungen haben können. Je globalisierter die Welt, desto größer die Wechselwirkungen und somit auch die (potenziell) internationale Tragweite regionaler Ereignisse. So kann auch der Ausfall von einzelnen Zulieferern ganze Staaten oder Kontinente vor massive Probleme stellen, wie der Mangel an Mikrochips oder die Energiekrise durch den Wegfall von russischem Gas aufzeigt. Was passieren würde, wenn die (momentan) freien Handelswege plötzlich wegfallen würden, ließe sich kaum ausmalen.
Insgesamt lässt sich festhalten, dass weitaus mehr Bereiche zu kritischen Infrastrukturen gehören als oft vermutet und innerhalb dieser Bereiche der Schutz nicht ansatzweise ausreichend ist. Das böse Erwachen aus dem jahrzehntelangen Wunschdenken, man hätte Kriege schon lange hinter sich gelassen, führt jetzt zu hastigen Versuchen entsprechende Kapazitäten aufzubauen und schnell nachzurüsten. Dass sich so komplexe Abwehrkräfte, die sich auf riesige Bereiche erstrecken, nicht kurzerhand und innerhalb kürzester Zeit aufbauen lassen, war dabei von Anfang an klar. Zur jahrelangen Vernachlässigung gehört auch die fehlende Ausbildung von IT-Sicherheitsexperten, denn die aktuellen Anbieter können die plötzlich riesige Nachfrage kaum decken. Außerdem müssen die durch jahrzehntelangen Wohlstand und Frieden verwöhnten Europäer einsehen, dass es so etwas wie absolute Sicherheit nicht gibt. Egal wie viel sie in den Schutz ihrer kritischen Infrastrukturen investieren – so große Bereiche lassen sich aufgrund ihrer Beschaffenheit nie vollumfänglich und lückenlos schützen. Es verhält sich wie ein Raketenschild, der zwar im Idealfall viele Raketen abfangen, bei zunehmender Größe des gegnerischen Raketenschwarms mit steigender Wahrscheinlichkeit jedoch auch Raketen durchlassen wird. Gedanken, mit denen sich nun auch EU-Bürger befassen müssen, seitdem sie durch den Ukraine-Krieg aus ihrer liberalen Traumwelt gerissen wurden.