Fragen & Antworten

Strom, Häfen, Bahn: Wie sicher ist Bremens kritische Infrastruktur?

Vor knapp zwei Wochen ging bei der Bahn im Norden nichts mehr. Der Grund: Sabotage. Es drängt sich die Frage auf, wie sicher solche Infrastrukturen auch in Bremen sind?

Am Morgen des 8. Oktobers geht auf den Schienen Norddeutschlands nichts mehr. Der Zugfunk war ausgefallen und ohne den können die Züge nicht sicher fahren. Um 7:21 Uhr schreibt die Deutsche Bahn auf Twitter, dass die Gründe "Reparaturen an der Strecke" seien. Doch schnell wird klar: Es handelt sich nicht einfach um eine Störung, sondern um Sabotage. Bisher unbekannte Täter hatten zwei wichtige Kabel für den Zugfunk GSM-R durchtrennt. Mittlerweile ermittelt in der Sache der Generalbundesanwalt. Man gehe von einer verfassungsfeindlichen Sabotage aus, sagte ein Sprecher vergangene Woche.

Bremerhaven Hafen Luftansicht
Auch der Hafen in Bremerhaven gilt als kritische Infrastruktur. Bild: Imago | IMAGO / blickwinkel

In den vergangenen Wochen und Monaten konnten die Menschen in Bremen und Deutschland immer wieder erleben, was es bedeutet, Ziel von hybriden Bedrohungen zu werden. Dazu zählen Hackerangriffe und Sabotage-Akte, wie jetzt bei der Bahn. Daher drängt sich die Frage auf, wie sicher Bremens kritische Infrastrukturen vor solchen hybriden Bedrohungen sind.

Was sind überhaupt kritische Infrastrukturen?

Kritische Infrastrukturen berühren nahezu jeden Teil des Alltags. Strom, fließendes Wasser oder Tankstellen gehören genauso zu kritischen Infrastrukturen, wie Behörden, die Feuerwehr oder die Polizei. Funktionieren sie mal nicht, hat das meistens große Folgen, zum Beispiel, wenn es über einen längeren Zeitraum keinen Strom mehr gibt.
Karl-Heinz Knorr, der Katastrophenschutzbeauftragte des Landes Bremen erklärt, dass die sichere Versorgung der Bevölkerung gestört oder die öffentliche Sicherheit gefährdet ist, wenn kritische Infrastrukturen ausfallen.
Kritische Infrastrukturen gibt es aber nicht nur an Land. Unterseekabel sind wichtig für die Internet-Verbindung an Land und zählen ebenso als kritisch wie der Hafen in Bremerhaven.

Gerade die maritimen Infrastrukturen sind für die Wirtschaft und Gesellschaft sehr wichtig, sagt auch Frank Sill Torres vom Institut für den Schutz maritimer Infrastrukturen des Deutschen Zentrums für Luft- und Raumfahrt (DLR). "Die aktuellen Diskussionen zu den Pipelines (Nordstream 1 und 2, Anm. d. Red.) zeigen sehr deutlich, wie wichtig diese für unsere Versorgungssicherheit sind, was im gleichen Maße auch für zukünftige LNG-Terminals gilt", so Sill Torres. Das LNG-Terminal, was aktuell in Wilhelmshaven gebaut wird, soll die Infrastruktur schaffen, um russisches Gas zu ersetzen. Seit Anfang Oktober wird die Baustelle rund um die Uhr von der Polizei überwacht – als Reaktion auf die Sabotage an den Nordstream-Pipelines.

Kritische Infrastrukturen finden sich also in allen Lebensbereichen und sind wegen ihrer Bedeutung für Gesellschaft und Wirtschaft auch immer mögliche Ziele von Angriffen.

Wie gut ist Bremens kritische Infrastruktur geschützt?

Das Innenressort des Bremer Senats erklärt auf Anfrage, dass das Schutzniveau insgesamt hoch und wirksam sei. Aber die Sabotage bei der Deutschen Bahn und Erfahrungen aus der Vergangenheit hätten auch Schwachstellen offenbart. Zur Wahrheit gehört in diesem Zusammenhang auch, dass kritische Infrastrukturen nie zu einhundert Prozent geschützt werden können.

Strommasten stehen rund um ein Kohlekraftwerk.
Ein vollständiger Schutz vor physischen Angriffen ist bei kritischer Infrastruktur unmöglich. Bild: dpa | Christoph Hardt

Ein Sprecher der SWB erklärt zum Beispiel, dass man nicht jedes Schalthaus und jeden Strommast vor physischen Angriffen schützen könne, das sei "nicht leistbar". Trotzdem habe man die Sicherheitsvorkehrungen erhöht und schaue bei der Videoüberwachung genauer hin. Nicht erst seit der Bahn-Sabotage, sondern schon seit Beginn des Krieges in der Ukraine.

Dass es keinen vollumfänglichen Schutz für kritische Infrastruktur gibt, weiß auch Sill Torres vom DLR: "Was wir jedoch machen können, ist die Wahrscheinlichkeit für erfolgreiche Angriffe zu reduzieren." Beispielsweise durch intelligente Überwachung des Seeraums und agile Sicherheitskräfte. Die maritime Infrastruktur ist beim Schutz vor Angriffen besonders heikel, da sie sich in "exponierten Lagen" befinde, so der Experte. Das heißt, dass Offshore-Windparks, Pipelines und Datenkabel sehr großflächig sind und so auch viel Angriffsfläche bieten. Zudem brauchen Sicherheitskräfte länger, um zu den Anlagen zu gelangen.

Eine Cybersicherheitsstrategie für das Land Bremen ist längst überfällig.

Experte für Cybersicherheit Dennis Kipker
Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht

Neben dem Schutz vor physischen Angriffen spielt auch IT-Sicherheit eine wichtige Rolle. Je nach Ziel der Angreifer sind unterschiedliche Szenarien denkbar: "Angriffe auf kommunale Behörden können dem Ziel dienen, Informationen vom Staat zu erbeuten oder auf Unternehmen zielen, um die Versorgung etwa des Stromnetzes, lahmzulegen," erklärt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Je nach Art der kritischen Infrastruktur sei das Schutzniveau hoch, ein vollständiger Schutz sei aber auch bei der Cybersicherheit nicht möglich. "Wenn wir von den großen Konzernen reden, die bundesweit, aber auch in Bremen kritische Infrastruktur betreiben, dann sind die in der Regel recht gut aufgestellt, was Cybersicherheit angeht", so Kipker. Das liege auch daran, dass für große Unternehmen in diesem Bereich bestimmte gesetzliche Auflagen zu erfüllen haben.

Problematischer seien hier vor allem kleine und mittelständische Unternehmen sowie kommunale Behörden. "Da ist noch Luft nach oben", sagt Kipker. Bremen brauche dringend eine Cybersicherheitsstrategie. An der wird bereits gearbeitet, allerdings sei die Strategie "längst überfällig", so Kipker.

Gab es seit Beginn des Ukraine-Krieges Angriffe auf die kritische Infrastruktur in Bremen?

Karl-Heinz Knorr sagt, dass es keine herausragenden Angriffe auf Bremens kritische Infrastrukturen seit Kriegsbeginn in der Ukraine gab. Auch auf die Infrastrukturen der SWB gab es keine physischen Angriffe, so der Sprecher. Angriffe in Häfen finde man im Ausland viele, erklärt Frank Sill Torres vom DLR. In Deutschland beschränkten sich Vorfälle in Häfen bisher vor allem auf den Bereich Betriebssicherheit, etwa brennende Container mit Gefahrengut.

Die Auswirkungen auf die Windkraftanlagen in Deutschland waren Kollateralschäden.

Experte für Cybersicherheit Dennis Kipker
Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht

Im Bereich der Cyberangriffe ist das Bild ein etwas anderes. Phishing-Attacken kommen häufig vor, erklärt IT-Sicherheitsrechtsexperte Kipker: "Ich bekomme täglich Mails, die Schadcodes enthalten." Den meisten Bremerinnen und Bremen dürfte es ähnlich gehen, allerdings handele es sich dabei hauptsächlich um schlecht gemachte Massenattacken.

Grundsätzlich könne man seit Beginn des Krieges in der Ukraine vermehrt Cyberangriffe beobachten, erklärt Kipker. Nicht nur auf kritische Infrastrukturen, sondern auch auf kleinere Unternehmen, die wichtig für die Versorgungssicherheit sind. Allerdings ist das Ausmaß dieser Angriffe eher überschaubar. "Wir haben keinen Cyberwar", sagt Kipker. Zu Beginn des Krieges war befürchtet worden, dass russische Hackergruppen im Rahmen des Krieges gegen die Ukraine auch in Deutschland aktiv werden könnten. Das ist aber ausgeblieben. Der einzig nennenswerte Cyberangriff, der Auswirkungen auf deutsche Windkraftanlagen hatte, war der russische Angriff auf Kommunikationssatelliten am ersten Tag der Invasion. "Die Auswirkungen auf die Windkraftanlagen waren aber Kollateralschäden", so Kipker.

Wer ist für den Schutz kritischer Infrastruktur zuständig?

Wer im Einzelfall für den Schutz kritischer Infrastruktur zuständig ist, ist nicht leicht zu beantworten. Im "Gesetz über das Bundesamt für Sicherheit in der Informationstechnik" (BSIG) ist festgelegt, welche Einrichtungen und Unternehmen zur kritischen Infrastruktur gehören. In Bremen seien das aktuell 15 Unternehmen, erklärt der Bremer Katastrophenschutzbeauftragte Knorr. Diese Unternehmen haben bestimmte Auflagen zum Schutz der kritischen Infrastruktur., zum Beispiel müssen sie Vorkehrungen zur IT-Sicherheit treffen und Kontaktstellen einrichten, um Störfälle melden zu können. Verantwortlich für die Sicherheit sind die Unternehmen aber letztlich selbst.

Eine Fotomontage aus einem Luftbild von Bremen und dem Text eines Computers
Bremen benötige dringend eine Cybersicherheitsstrategie, sagt Dennis-Kenji Kipker von der Hochschule Bremen. Bild: Radio Bremen

"Das BSIG wird in der Regel auch gut umgesetzt", erklärt IT-Sicherheitsrechtsexperte Kipker. Allerdings beschränkt sich das Gesetz auf die Cybersicherheit und erfasst nur sehr große Unternehmen. Es sei illusorisch zu glauben, dass sich die IT-Sicherheit von den vielen kleinen und mittelständischen Unternehmen regulieren und kontrollieren ließe, sagt Kipker.

Das BSIG ist das aktuell einzige Gesetz, das kritische Infrastruktur in Deutschland definiert und Kriterien festlegt, nach denen ein Unternehmen als "kritisch" gilt. Das Innenressort erklärt auf Anfrage von buten un binnen, dass für den Bremer Senat deutlich mehr Unternehmen unter den Bereich der kritischen Infrastruktur fallen. Zum Beispiel der Flughafen oder die BSAG. Die seien zwar nach der Gesetzesdefinition nicht "kritisch", aber systemrelevant, heißt es vom Innenressort. Diese kleineren Unternehmen sind laut Kipker auch ins Visier von Hackern geraten und unter Umständen schlecht aufgestellt, was ihre Cybersicherheit angeht. "Die Awareness ist da aber seit Beginn des Krieges in der Ukraine gestiegen", so der Experte.

Autor

  • Hannes Kalter
    Hannes Kalter Volontär

Dieses Thema im Programm: Bremen Zwei, Der Morgen, 21. Oktober 2022, 07:10 Uhr