Auf diesem von den dänischen Streitkräften zur Verfügung gestellten Foto überwacht die Besatzung eines Hubschraubers der Streitkräfte das Gasleck in der Ostsee. | AP

Lecks bei Nord Stream Wer schützt die kritische Infrastruktur?

Stand: 03.10.2022 15:52 Uhr

Die Explosionen an den Nord-Stream-Pipelines haben gezeigt: Die kritische Infrastruktur ist unverzichtbar und höchst verwundbar. Doch wer ist eigentlich für den Schutz zuständig?

Von Florian Flade, WDR

Die Ostsee blubbert fast nicht mehr. Aus den beiden Nord-Stream-Pipelines, die in der vergangenen Woche offenbar durch vier Explosionen nahe der dänischen Insel Bornholm beschädigt worden waren, strömt kaum noch Gas aus, teilten dänische und schwedische Behörden am Sonntag mit. Bald schon sollen die Lecks in den Röhren genauer inspiziert werden und die Aufklärung des Vorfalls beginnen. Dass es Sabotage war, daran gibt es indes kaum Zweifel.

Florian Flade

Röhren werden von Geheimdiensten ausgespäht

Die Explosionen der beiden Pipelines in der Ostsee haben schlagartig die Verwundbarkeit von kritischer Infrastruktur im Meer verdeutlicht. Dabei wurde in der Vergangenheit wiederholt davor gewarnt, dass die Röhren und insbesondere die Glasfaserkabel auf dem Meeresgrund, die für Kommunikation und Energieversorgung von großer Bedeutung sind, kaum vor Angriffen geschützt sind und zudem schon lange von Militärs und Geheimdiensten ausgespäht werden.

Innerhalb der Bundesregierung herrschte vergangene Woche zunächst einige Unklarheit: Wer ist überhaupt für den Schutz von solcher Infrastruktur auf hoher See zuständig? Und welche Schutzmaßnahmen sind möglich und sinnvoll? Auf Anfrage des WDR teilte ein Regierungssprecher dazu mit, die Bundesregierung sei "insgesamt mit den Vorgängen um die Havarie an den Ostsee-Pipelines Nord Stream 1 und Nord Stream 2 befasst".

Die Bundesregierung stimmt sich zu diesem Vorfall mit europäischen und internationalen Partnern eng ab, insbesondere mit Dänemark und Schweden, und steht auch mit der Europäischen Kommission und den NATO-Alliierten im engen Austausch.

Bundeswehr, Bundespolizei und BND im Einsatz

Diese Aussage wirft wiederum die Frage auf: Wenn alle damit befasst sind, wer ist am Ende federführend in der Verantwortung? Die Bundeswehr entsandte zunächst das Minentauchereinsatzboot "Bad Rappenau", um die Pipelines nach weiteren Beschädigungen abzusuchen. Die Bundespolizei kündigte verstärkte Kontrollen an der deutschen Küste an. Und auch der Bundesnachrichtendienst (BND) soll bei der Aufklärung der Pipeline-Explosionen helfen. Der Dienst hatte in der Vergangenheit vor möglicher Unterwasser-Sabotage an Datenkabeln gewarnt.

Bisher vor allem Betreiber in der Pflicht

Über den Schutz von kritischer Infrastruktur vor Cyberangriffen und über Mindeststandards bei der IT-Sicherheit wurde in den vergangenen Jahren viel diskutiert. Dabei wurden vor allem die Betreiber der Infrastruktur in die Pflicht genommen, sie müssen bestimmte Schutzmaßnahmen ergreifen. Plötzlich aber geht es nicht um Hacker und Computerviren, sondern um physische Angriffe auf einen Bereich der kritischen Infrastruktur, der essenziell ist für die Versorgung mit Energie oder Internet. Möglicherweise um militärische Sabotageakte und de facto um Kriegshandlungen.

Wie sollen sich Betreiber vor solchen Gefahren schützen und welchen Schutzauftrag hat der Staat in diesem Fall? Und was, wenn der Betreiber selbst in Verdacht steht, die Zerstörung vorgenommen zu haben? Die Zuständigkeiten innerhalb der deutschen Behördenlandschaft sind bei diesen Fragen längst nicht so klar, wie man vermuten könnte. Als kritische Infrastrukturen, kurz KRITIS, gelten laut Definition "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden". Das sind beispielsweise die Strom- und Trinkwasserversorgung, die Lebensmittelproduktion, das Gesundheitswesen, Telekommunikation oder der Transport- und Verkehrsbereich.

Mehr als 500 Unternehmen gehören zu KRITIS

Mehr als 500 Unternehmen gehören derzeit zu den KRITIS-Sektoren. Sie müssen bestimmte, strenge Maßnahmen für den Schutz ihrer Einrichtungen ergreifen und stehen dafür in Kontakt mit dem Bundesinnenministerium oder nachgeordneten Behörden wie dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Welche Dienstleitungen zur KRITIS gehören, wird bislang durch die sogenannte KRITIS-Verordnung des BSI festgelegt. Zu dieser besonders zu schützenden Infrastruktur zählen überraschenderweise nicht die Datenkabel, die auch an der deutschen Küste verlaufen und die Internetversorgung sicherstellen. Für deren Schutz sind laut Bundesinnenministerium zunächst die Betreiber zuständig.

95 Prozent aller Daten werden über Kabel übertragen

Zwischen 400 und 500 Datenkabel umspannend derzeit den Globus und sorgen für eine Vernetzung der Kommunikationssysteme, denn rund 95 Prozent aller Daten werden auf diese Weise inzwischen übertragen. Die Kabel werden nahezu ausschließlich von privaten Unternehmen verlegt, betrieben und gewartet. Es gibt zudem nur rund ein Dutzend Spezial-Schiffe weltweit, mit denen neue Kabel verlegt oder Reparaturarbeiten durchgeführt werden können.

Erst im Juni wurde eine im Auftrag des EU-Parlaments erstellte Studie zu "Sicherheitsbedrohungen für Untersee-Kommunikationskabel und Infrastruktur - Konsequenzen für die EU" veröffentlicht. Darin warnten die Autoren vor der Verwundbarkeit von Datenkabeln am Meeresgrund und regten an, dass die EU-Mitgliedsstaaten eigene Risikobewertungen vornehmen, technische Überwachungssysteme etablieren und vernetzen sowie den Schutz der Einrichtungen besser koordinieren.

Laut Koalitionsvertrag soll ein Gesetz kommen

In Deutschland könnte dabei ein KRITIS-Dachgesetz helfen, das laut Koalitionsvertrag der Bundesregierung auf den Weg gebracht werden soll. Vor allem die Grünen fordern schon länger ein solches Gesetz, das nicht nur die IT-Sicherheit, sondern auch den physischen Schutz von kritischer Infrastruktur regeln soll. Im Juli hatte Bundesinnenministerin Nancy Faeser (SPD) angekündigt, bald Eckpunkte dazu im Kabinett vorzulegen. Bislang ist dies nicht geschehen.

Über dieses Thema berichtete das ARD Morgenmagazin am 29. September 2022 um 08:13 Uhr.