Kritische Infrastrukturen (KRITIS) sichern unser tägliches Leben – sie versorgen uns mit Energie, Wasser, Lebensmitteln, medizinischer Hilfe, und sie ermöglichen Kommunikation, Mobilität und wirtschaftliche Abläufe. Geopolitische Machtverschiebungen, Kriege, Epidemien, aber auch Naturereignisse wie Orkane und Hochwasser machen uns immer stärker bewusst, wie verletzbar unsere Infrastruktur ist. Die 1.100 Betreiber kritischer Infrastrukturen in Deutschland haben 2024 allein 769 Cybersicherheitsvorfälle gemeldet, eine Steigerung um 43 Prozent gegenüber dem Vorjahr. Zu den besonders betroffenen Sektoren zählten Energieversorgung, Gesundheitswesen, Verkehr und IT-Dienstleister.
Deutschland hat das Problem erkannt: Seit Jahren wird über ein KRITIS-Dachgesetz diskutiert, das ein einheitliches hohes Sicherheitsniveau schaffen soll, zum Beispiel bei der Sicherung von Anlagen, bei Notfallplänen und der Meldepflicht bei Vorfällen. Zahlreiche Unternehmen haben bereits Maßnahmen getroffen, um den sogenannten hybriden Bedrohungen zu begegnen. Sie investieren unter anderem in Sicherheitskontrollen und schulen Mitarbeitende in sicherheitskritischen Bereichen. Bundesländer wie Niedersachsen haben Programme für Wirtschaft und Forschung aufgelegt, um robuste Sicherheitssysteme zu entwickeln. Die große Herausforderung ist, die vorhandenen ambitionierten Vorhaben in der Praxis umzusetzen – mit klaren Zuständigkeiten und konsequenter Verbindlichkeit.
Die Politik ist in der Pflicht
Aktuell liegen angemessene Sicherheitsvorkehrungen in der Verantwortung der Betreiberinnen und Betreiber kritischer Infrastrukturen. In Zukunft sollen sie verpflichtet werden, regelmäßige Risikobewertungen durchzuführen und geeignete Maßnahmen zur Risikominimierung umzusetzen. Einige Rechenzentren nehmen dabei schon heute eine Vorreiterrolle ein. Sie investieren in hohe Sicherheitsstandards. Interdisziplinäre Teams analysieren dabei umfassend mögliche Risiken – von geologischen und klimatischen Gefahren über bauliche Aspekte bis hin zu Brandmeldesystemen, dem physischen Schutz der Datenverkabelung sowie der Sicherstellung der Strom- und Kälteversorgung.
Die neue Bundesregierung hat im Koalitionsvertrag zugesagt, „zeitnah ein gutes KRITIS-Dachgesetz“ zu beschließen. Sie sollte dafür zügig den Rahmen definieren. Unternehmen müssen sich verstärkt mit den neuen Bedrohungen auseinandersetzen und eng mit den Behörden zusammenarbeiten. Den unabhängigen Prüforganisationen kommt die Aufgabe zu, die Konformität und Qualität der ergriffenen Maßnahmen zu überprüfen. Denn: Wer heute in Sicherheit investiert, vermeidet morgen existenzbedrohende Ausfälle. Deswegen braucht Deutschland jetzt eine entschlossene KRITIS-Strategie.
