# taz.de -- Von Notz zur kritischen Infrastruktur: „Wir haben ein Sicherheitsproblem“
> Konstantin von Notz sorgt sich um die kritische Infrastruktur in
> Deutschland. Der Grüne fordert massive Investitionen in die
> Sicherheitsarchitektur.
IMG Bild: Schutzlos, aber neu ausgeliefert: frisch ausgetauschte Kabel am Ort der Sabotage vom 9.Oktober 2022
taz: Herr von Notz, wir erleben derzeit [1][Sabotagen an den Nord-Stream
Pipelines], womöglich auch [2][bei der Bahn], dazu eine Debatte um eine
russisch infiltrierte Cybersicherheitsarchitektur in Deutschland. Sie sind
Vorsitzender des Gremiums im Bundestag zur Kontrolle der drei Geheimdienste
BND, BfV und BAMAD und maßgeblich mit diesen Themen befasst. Macht Ihnen
die Lage Angst?
Konstantin von Notz: Angst hat noch nie jemanden geholfen. Und ich habe
auch keine. Aber es ist offensichtlich, dass wir sicherheitspolitisch in
einer ganz neuen Art gefordert sind. Wir befinden uns in einer maximal
ernsten Situation. Die offensichtliche Sabotage an den Pipelines, seit
Jahren laufende Desinformationskampagnen, aber auch Vorfälle wie die
Drohnenüberflüge über Gelände der Bundeswehr, auf denen Ukrainer
ausgebildet werden: Das sind alles sehr beunruhigende Vorgänge, die darauf
hinweisen, dass auch Deutschland längst Ziel einer hybriden Kriegsführung
ist.
Und Russland führt diesen hybriden Krieg?
Ermittelt werden muss in alle Richtungen. Bei einigen der jüngsten
IT-Angriffen und Desinformationskampagnen weist aber sehr viel auf eine
russische Verantwortung hin. Und mit Putins Angriffskrieg in Europa haben
wir eine extrem große Baustelle, die uns zwingt, schnell zu handeln. Wenn
Kriege nicht mehr nur konventionell, sondern auch mit hybriden Mitteln
geführt werden, müssen wir darüber reden, wer bei Polizei, Bundeswehr und
sonstigen Sicherheitsbehörden für die Erkennung und Abwehr dieser Gefahren
zuständig ist.
Zu den Pipelines und der Bahn ermittelt jetzt die Bundesanwaltschaft.
Aber es dauerte mehrere Tage, bis klar war, wer in die Verantwortung geht.
Für den Schutz am Meeresboden liegender Infrastruktur fühlt sich bis heute
niemand richtig zuständig. Die letzten Tage haben noch einmal gezeigt: Wir
brauchen klare Verantwortlichkeiten und Rechtsgrundlagen. Wir müssen uns
beim Schutz der kritischen Infrastruktur insgesamt deutlich besser
aufstellen.
Wie verwundbar ist denn die kritische Infrastruktur in Deutschland?
Wir haben hier ein ernsthaftes Sicherheitsproblem. Das gilt übrigens längst
nicht nur für Pipelines oder Unterseekabel, sondern auch für den Bereich
der Digitalisierung, wo wir mit allem, was wir haben, reingeritten sind.
Bei der Stromversorgung, der Energieversorgung, der Kommunikation wurde die
Sicherheit viel zu oft an letzter Stelle mitgedacht. Die Geschichte mit dem
russischen Gas ist doch eigentlich eine Geschichte des Ignorierens solcher
Sicherheitsrisiken.
Und wie wir momentan über 5G und das Verbauen von chinesischer Technik
sprechen, irritiert mich, denn hier passiert wieder genau das Gleiche: Wir
hoffen, dass Länder, die unsere Grundwerte explizit nicht teilen, sich doch
bitte künftig uns gegenüber recht freundlich verhalten. Dass dies
bestenfalls naiv ist und wir damit nicht gut fahren, sehen wir spätestens
seit dem 24. Februar.
Was also tun?
Wir brauchen dringend auch eine Diskussion, mit wem wir wie und unter
welchen Voraussetzungen in sicherheits- und infrastrukturpolitischen Fragen
kooperieren und mit wem eben nicht.
[3][Sie fordern das seit Jahren], passiert ist wenig. Warum?
Es ist ein komplexes Thema. Und unser politisches System ist in sich
durchaus träge. Wir sind eine Konsensdemokratie, in der sich
unterschiedlichste Institutionen einigen müssen und keine Partei allein
einen Hebel umlegen kann. Und das gilt im Sicherheitsbereich noch viel
stärker, der bis heute sehr von den Bundesländern geprägt wird. Das hat
historisch gut erklärbare Gründe und damit ist Deutschland bisher gut
gefahren. Aber es bringt in Krisenzeiten, in denen man schnell reagieren
und Dinge anpassen muss, durchaus auch Probleme mit sich. Im Grunde hatte
das Innenministerium schon vor Jahren erkannt, dass es große Probleme gibt
– und dann ist doch wieder jahrelang nichts passiert.
Weil…
… man viel zu lang lieber Scheinlösungen wie die Vorratsdatenspeicherung
gefordert hat, die nichts kosten und nach Law and Order klingen, statt
proaktiv Zuständigkeiten zu klären, in gute IT-Sicherheit zu investieren
und Strukturen zur Erkennung und Abwehr hybrider Bedrohungen aufzubauen.
Jetzt müssen wir das Thema unter maximalem Druck angehen und über Jahre
Verpasstes schleunigst aufholen.
Aber: Auch unter der Ampel und Innenministerin Nancy Faeser hat sich hier
wenig getan.
Es muss zweifellos mehr Drive rein. Aber es geht nicht um die
Innenministerin, sondern in erster Linie um die Kultur ihres Hauses. Alle
sind gefragt und deswegen arbeitet auch das Auswärtige Amt derzeit mit
Hochdruck an einer nationalen Sicherheitsstrategie. Der Koalitionsvertrag
der Ampel stellt hier die richtigen Weichen. Die dortigen Vorhaben zur
Kritischen Infrastruktur müssen nun priorisiert umgesetzt werden. Der
Schutz der Kritischen Infrastruktur ist essentielle Grundlage unserer
Sicherheit. Daher ist es gut, dass die Innenministerin diese Woche
angekündigt hat, sich des Themas jetzt sehr entschlossen annehmen zu
wollen.
Faeser hat angekündigt, dass das vereinbarte [4][Kritis-Dachgesetz] bald
kommen soll, mit dem Betreiber kritischer Infrastruktur mehr
Gefahrenvorsorge treffen sollen. Ein richtiger Schritt?
Die bisherige IT-Sicherheitsgesetzgebung leistet keinen ausreichenden
Schutz. Das Dachgesetz ist wichtig und muss jetzt schnell kommen, um
Mindeststandards vorzugeben und Zuständigkeiten zu klären. Dabei geht es um
ganz triviale Fragen. Nehmen wir das Beispiel Bahn: Wie schütze ich
neuralgische Kabelknotenpunkte? Stelle ich Kameras auf oder schicke ich
Sicherheitsstreifen? Dürfen kritische Infrastrukturen an das Internet
angeschlossen sein, wenn dies überhaupt nicht nötig ist? Werden die Systeme
regelmäßig geupdatet? Wofür sind die Unternehmen zuständig, wofür das BMI
(Bundesinnenministerium, d.R.), das BSI (Bundesamt für Sicherheit in der
Informationstechnik, d.R.), die Polizei, die Nachrichtendienste? Wo braucht
es einen Austausch mit anderen Bundesländern, dem Bund oder europäischen
und internationalen Partnern?
Allein die Bahn hat 34.000 Kilometer Streckennetz, die
Nord-Stream-Pipelines sind über 1.200 Kilometer lang. Lässt sich das
überhaupt schützen?
Es gibt nie hundertprozentige Sicherheit, aber wir können viel für mehr
Sicherheit tun. Ein zentraler Punkt sind klare Zuständigkeiten. Daher
werben wir auch weiterhin für eine gesetzliche Regelung zur Kooperation in
Einrichtungen wie dem Nationalen Cyberabwehrzentrum. Nehmen wir diese
Drohnenüberflüge: Es ist untragbar, dass hier offensichtlich
nachrichtendienstliche Aufklärung stattfindet und wir diese nicht stoppen,
weil es angeblich so schwierig ist, diese kleinen, flinken Dinger
einzufangen. Das kann keine Antwort sein. Auch hier muss geklärt werden:
Wer ist für die Abwehr dieser Gefahren zuständig?
Der Staat ist das eine, die Betreiber der kritischen Infrastruktur das
andere. Sind auch sie mehr in der Pflicht?
Absolut. Der Staat kann kein Rundum-sorglos-Paket schnüren. Natürlich muss
auch ein Energieversorger für den Schutz seiner Anlagen sorgen. Das muss
der Gesetzgeber einfordern und durchsetzen. Aber gerade mit Blick auf
kleine oder mittelständische Unternehmen müssen wir stärker als bisher
unterstützen, Fördertöpfe aufsetzen und steuerliche Anreize schaffen, damit
freiwillig in beste IT-Sicherheit investiert wird. Durch Hackingangriffe
und Erpressungen entstehen alljährlich Milliardenschäden. Daher ist
Prävention unterm Strich so wichtig und letztlich auch oftmals günstiger.
Wie viel soll der Staat für diese Maßnahmen zahlen?
Wir Grüne hatten bei der Diskussion um das
[5][100-Milliarden-Sondervermögen] für die Bundeswehr auch 20 Milliarden
für die IT-Sicherheit und den Zivilschutz eingefordert – als Antwort auf
neue Gefahren. CDU und CSU bestanden darauf, die 100 Milliarden komplett
für die Bundeswehr zu verwenden. Das kann man argumentieren. Aber dann
stehen zu bleiben und zu sagen, dann kriegt die IT-Sicherheit 0 Euro, ist
ein großer Fehler. So oder so brauchen wir einen zweistelligen
Milliardenbetrag in diesem längst hochsicherheitsrelevanten Bereich. Und
nach 16 Jahren Verantwortung für den Ist-Zustand sollten CDU und CSU raus
aus der Fundamentalopposition und ihrer Verantwortung realpolitisch gerecht
werden.
Letztlich entscheidet aber nicht die Union über das Geld, sondern die
Ampel.
Beim Sondervermögen hatte die Union durchaus erhebliche Mitsprache. Aber
klar, wir werden nicht drum herumkommen, gemeinsam Geld für die
IT-Sicherheit und den Zivilschutz in die Hand zu nehmen. Auch hier gilt:
Wenn eines Tages ein AKW, ein Gasspeicher oder LNG-Terminal erfolgreich
angegriffen würde, wäre das verheerend. Deswegen sollten wir das Geld
lieber proaktiv in eine verbesserte Resilienz unserer digitalen
Gesellschaft investieren. Wir schützen damit unsere Freiheit und unseren
Wohlstand in Europa, gegen Leute, die beides abreißen wollen.
Eine Säule der Cybersicherheit ist das Bundesamt für Sicherheit in der
Informationstechnik (BSI) – das wegen seines Präsidenten momentan heftig in
der Kritik steht. Innenministerin [6][Faeser will Arne Schönbohm entlassen]
wegen seiner Nähe zu einem Verein, der Russlandkontakte pflegen soll.
Hier müssen wir zunächst die dringend [7][notwendige Sachaufklärung]
entschlossen voranbringen. Die offenkundig heikle Frage ist, ob es
russische Spionageaktivitäten im Umfeld einer sehr wichtigen deutschen
Sicherheitsbehörde gegeben hat. Auch bezüglich der Zertifizierungsprozesse
stellen sich derzeit noch viele Fragen. Bevor ich Personalien diskutiere,
hätte ich hierauf gerne belastbare Antworten.
Also handelt Nancy Faeser überstürzt?
Soweit ich es sehe, ist Herr Schönbohm noch im Amt.
Sie selbst sprachen aber auch von „skandalösen Vorgängen“?
Der Sachverhalt ist offenkundig skandalös. Dass ein Verein, den Herrn
Schönbohm gründete, als Cybersicherheitsrat Deutschland e.V. auftritt und
damit einen quasistaatlichen Anschein erweckt, fanden wir von Anfang an
sehr bedenklich und haben das auch sehr deutlich kritisiert. Vor
personellen Konsequenzen braucht es aber eine Klärung des Sachverhalts und
der Verantwortlichkeiten.
Nancy Faeser will das BSI zu einer Zentralstelle für Cybersicherheit
ausbauen. Richtig so?
Ja. Das BSI ist eine maximal relevante Sicherheitsbehörde mit vielen
hochkompetenten Mitarbeiterinnen und Mitarbeitern, bei der zentrale Infos
zusammenlaufen. Deshalb ist es wichtig, dass das BSI in seiner Integrität
nicht weiter verletzt wird.
Cybersicherheit ist komplex. Wie kann die deutsche Sicherheitsarchitektur
effektiver werden?
Wir müssen auch hier Zuständigkeiten klären und die bestehenden Befugnisse
sehr genau evaluieren. Auch das ist im Koalitionsvertrag angelegt. Die
Sicherheitsarchitektur wird einer Generalrevision unterzogen. Insgesamt ist
eine Verrechtlichung dieses viel zu lange vernachlässigten Bereichs das
Gebot der Stunde.
Gehören auch Hackbacks zur Sicherheit dazu, mit denen Faeser liebäugelt?
Also gezielte Gegenschläge nach Hackerangriffen?
Der Koalitionsvertrag schließt Hackbacks klar aus. Bevor wir darüber reden,
wie wir andere Server hacken, sollten wir viele mögliche Schritten vorher
gehen. Verteidigung bleibt die beste Verteidigung. Die Debatte um Hackbacks
ist wie die Diskussion um die Gründung eine Fußballmannschaft: Man hat kein
Mittelfeld, keine Abwehr und auch keinen Torhüter, spricht aber die ganze
Zeit davon, Ronaldo zu verpflichten, weil der so toll im Angriff ist. So
verliert man jedes Spiel, auch bei der IT-Sicherheit. Wir müssen erst mal
das System resilient aufstellen. Ich wünsche mir, dass wir bei
Sicherheitsdebatten die Dinge tun, die man gut und schnell machen kann und
die der Sicherheit effektiv helfen – und sich nicht hinter
Schlagwortdiskussionen versteckt wird.
17 Oct 2022
## LINKS
DIR [1] /Lecks-an-Nord-Stream-Pipelines/!5880367
DIR [2] /Signalkabel-durchtrennt/!5886558
DIR [3] /Digitale-Agenda-im-Bundestag/!5033662
DIR [4] https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html
DIR [5] /Bundeswehr-Sondervermoegen-im-Bundesrat/!5848306
DIR [6] /Kritik-an-Cybersicherheits-Bundesamt/!5886689
DIR [7] /BSI-Chef-Arne-Schoenbohm-vor-Rauswurf/!5883746
## AUTOREN
DIR Tanja Tricarico
DIR Konrad Litschko
## TAGS
DIR Infrastruktur
DIR Cybersicherheit
DIR IT-Sicherheit
DIR Konstantin von Notz
DIR GNS
DIR Cybersicherheit
DIR Katastrophenschutz
DIR Nancy Faeser
DIR Bundestag
DIR Cyberattacke
DIR Mecklenburg-Vorpommern
DIR Schwerpunkt Krieg in der Ukraine
DIR Schwerpunkt Krieg in der Ukraine
DIR Deutsche Bahn
DIR Netzsicherheit
DIR Infrastruktur
DIR BSI
DIR Ampel-Koalition
DIR Infrastruktur
DIR Schwerpunkt Krieg in der Ukraine
DIR Schwerpunkt Krieg in der Ukraine
## ARTIKEL ZUM THEMA
DIR Pläne für mehr IT-Sicherheit: Angriffsschutz mit Schwachstellen
Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Expert:innen
kritisieren bei einer Anhörung Lücken – darunter eine zentrale.
DIR Bundesweiter Warntag 2022: Warnung auf Taste
Wie die Bevölkerung im Notfall alarmiert werden kann, wird an diesem
Donnerstag um 11 Uhr getestet. Fraglich ist aber, wer wie erreicht wird.
DIR Schutz von Kritischer Infrastruktur: Bollwerk gegen Saboteure
Die Bundesregierung will Kritische Infrastruktur besser schützen und die
Betreiber in die Pflicht nehmen. Unklar ist die konkrete Finanzierung.
DIR Bundeshaushalt für das Jahr 2023: Nicht am Klima sparen
Der Bund muss nächstes Jahr Stellen streichen. Ausgenommen sind Behörden
wie Polizei und Zoll, erstmals dabei auch der Umwelt- und Naturschutz.
DIR Treffen der G7-Innenminister: „Putin muss diesen Krieg beenden“
Beim Treffen in Hessen treten die G7-Innenminister vereint auf. Um Angriffe
auf die kritische Infrastruktur zu verhindern, wollen sie mehr kooperieren.
DIR Ex-Ministerpräsident Erwin Sellering: Attacke als Strategie
Mecklenburg-Vorpommerns Ex-Ministerpräsident Erwin Sellering steht wegen
seiner Russlandnähe weiter in der Kritik. Einsichtig zeigt er sich nicht.
DIR Reservisten der Bundeswehr: Mehr Kriegsdienstverweigerer
Fast 200 Reservisten haben dieses Jahr Antrag auf Kriegsdienstverweigerung
gestellt, 2021 waren es nur zehn. Hintergrund ist wohl der Krieg in der
Ukraine.
DIR Bericht zu IT-Sicherheit: Enorme Bedrohung im Cyber-Raum
Ransomware und Attacken auf die Verwaltung: Der BSI-Lagebericht bescheinigt
digitalen Systemen eine hohe Verletztlichkeit.
DIR Schutz Kritischer Infrastruktur: Bundesministerien richten Stab ein
Die Kritik am vernachlässigten Schutz der Kritischen Infrastruktur ist
groß. Ein Koordinierungsstab soll das Zuständigkeitsgerangel ordnen.
DIR Infrastruktur in Deutschland: Dezentralität schützt
Die Infrastruktur muss resilienter gegen Angriffe werden. Durch die
Digitalisierung sind die Gefahren und Schwachpunkte aber noch größer
geworden.
DIR Umstrittene Planung für Hamburger Hafen: Scholz will den Cosco-Deal
Ein chinesisches Staatsunternehmen soll beim Hafen einsteigen dürfen. Das
sorgt für Unverständnis in Ministerien und Bundestag.
DIR Nancy Faeser entlässt BSI-Präsident: Schönbohm ist weg
Schon vor Tagen wollte Faeser den BSI-Präsidenten entlassen, nun ist Arne
Schönbohm abberufen worden. Grünenpolitiker fordern Aufklärung.
DIR Streit um Atomkraftwerke: Scholz ordnet Weiterbetrieb an
Der Bundeskanzler spricht ein Machtwort. Alle drei AKW sollen bis April
weiterlaufen. Im Streit mit FDP und Grünen beruft er sich auf seine
Richtlinienkompetenz.
DIR Infrastruktur-Experte über Bahn-Sabotage: „Es gibt noch Luft nach oben“
Betreiber müssten verpflichtet werden, ihre kritischen Infrastrukturen zu
schützen. Das sagt Michael Wiesner von der AG Kritische Infrastrukturen.
DIR Sabotage im Krieg: Kritische Infrastruktur gefährdet?
Der russische Invasionskrieg in der Ukraine trifft auch unsere
Versorgungswege. Wie angreifbar sie sind? Die wichtigsten Fragen und
Antworten.
DIR Gefahren für die kritische Infrastruktur: Willkommen im hybriden Krieg
Nach der Zerstörung der Gasleitungen in der Ostsee dämmert es dem Westen:
Lebenswichtige Adern wie Pipelines oder Internetkabel sind schlecht
geschützt.