Die kritische Infrastruktur in Deutschland und Europa

… im Fadenkreuz einer sich verändernden Welt.

Ein Blick auf die Lage in Deutschland, Sabotageakte und einen Deal in Hamburg.

Kritische Infrastruktur | Sabotage | Abhängigkeit
(12 Minuten Lesezeit)

Blitzzusammenfassung_ (in 30 Sekunden)

  • Kritische Infrastruktur steht in Deutschland und Europa im Fokus, ausgelöst durch physische Anschläge auf Pipelines und Schienennetze.
  • Parallel stellt Cyberkriminalität seit einigen Jahren die wohl unmittelbarste Gefahr dar.
  • In Deutschland mangelt es bislang an Investitionen und politischer Koordination, wenn es um die Sicherheit der kritischen Infrastruktur geht.
  • Was ist eigentlich kritische Infrastruktur? Deutschland definiert elf Sektoren; im Kern geht es um Pipelines, Kraftwerke, Strommasten, Krankenhäuser und alles andere, was ein Staat zum Funktionieren benötigt.
  • Gehören Terminals am Hamburger Hafen dazu? Eine geplante Transaktion rund um einen chinesischen Staatskonzern wirft ein Licht auf komplizierte Abwägungen und die Gefahren von Abhängigkeiten bei kritischer Infrastruktur.

Kritische Infrastruktur_

(5 Minuten Lesezeit)

Im Frühjahr 2022 gingen die Ostsee-Nachbarn Finnland und Estland gemeinsam auf Shoppingtour. Sie erwarben für insgesamt rund 460 Millionen Euro ein schwimmendes Terminal für Flüssigerdgas (LNG), ein sogenanntes FSRU, welches LNG entgegennehmen und in regulärer Gasform ins Gasnetz einspeisen kann. Zuerst galt es allerdings, eine passende Anlegestelle zu errichten. Also begannen Bauarbeiten im finnischen Hafen Inkoo und im estnischen Hafen Paldiski. Ursprünglich sollte das FSRU dort seine Heimat finden, wo die Arbeiten zuerst fertig werden und dann beide Länder über die Gaspipeline Baltic Connector versorgen. Paldiski schien das Rennen zu machen, schließlich würde es einen Monat früher fertig werden. Doch im September gaben Tallinn und Helsinki überraschend bekannt, dass das Terminal sofort in den finnischen Hafen Inkoo gehen wird. Was nach einer regionalen Angelegenheit klingt, lehrt in Wahrheit viel über den Zustand der kritischen Infrastruktur Europas im Jahr 2022.

Die Entscheidung für Inkoo anstelle von Paldiski fiel aufgrund von Sicherheitsbedenken, und zwar in zweierlei Form. Erstens, Finnland war in seinen Gasimporten weitestgehend von Russland abhängig, doch Moskau hatte schon im Sommer 2022 den Gashahn zugedreht, als Vergeltung für die finnische NATO-Bewerbung. Das vergrößerte für Finnland die Notwendigkeit, das schwimmende LNG-Terminal in der Nähe zu haben. Zweitens, vermehrte Anschläge auf die europäische Infrastruktur im Herbst 2022 hatten die Risiken für die Baltic Connector-Pipeline aufgezeigt. Würde diese zerstört werden, während das FSRU vor Estland liegt, wäre Finnland – mit seinem fünfmal höheren Bedarf als Estland – plötzlich ohne Gasversorgung. Also einigten sich die zwei Nachbarn auf die finnische Lösung. 

Die finnisch-estnische Erfahrung ist eine zutiefst europäische und ein Vorbote für das, was den Kontinent in den 2020ern langfristig begleiten wird. Denn wenn es um sogenannte kritische Infrastruktur geht, diskutiert Europa so sehr wie noch nie die Abhängigkeit von fremden Akteuren, insbesondere Russland und China, und sorgt sich um die physische Unversehrtheit seiner Infrastruktur. 

Was zu KRITIS gehört und wer sich darum kümmert

Was genau ist eigentlich kritische Infrastruktur? Eine relativ grobe Definition muss herhalten. Die Bundesregierung bezeichnet kritische Infrastruktur, im Behördensprech “KRITIS“, als “Einrichtungen, Anlagen oder Teile davon, [welche] von hoher Bedeutung für das Funktionieren des Gemeinwesens sind” und bei deren Ausfall eine “Gefährdung der öffentlichen Sicherheit” eintreten würde. Ganz konkret fällt darunter ein weites Bouquet aus elf Sektoren wie Energie, Telekommunikation, Transport, Gesundheit, Medien, Wasser, Finanzwesen und Verwaltung. Noch ein Stückchen konkreter geht es um Glasfaserkabel, Kraftwerke, Pipelines, IT-Systeme oder Stromleitungen. 

Die Frage nach der Sicherheit der kritischen Infrastruktur wurde in Deutschland allein im Oktober 2022 gleich viermal ins öffentliche Gedächtnis gerufen. Zuerst durch den mutmaßlichen Sprengstoffanschlag gegen die Ostseepipelines Nord Stream, dann durch einen mutmaßlichen Sabotageakt, welcher den gesamten Schienenverkehr in Norddeutschland lahmlegte, einen (möglicherweise medial aufgeblähten) Skandal rund um das Bundesamt für Sicherheit in der Informationstechnik (BSI) und zuletzt durch den sich abzeichnenden Einstieg eines chinesischen Staatskonzerns im Hamburger Hafen.

Höchste Zeit, denn ungeachtet der jüngsten Paukenschläge ist die Sicherheit der kritischen Infrastruktur schon seit Jahren ein Thema in Expertenkreisen. Sie beklagen einen Mangel an Investitionen und eine hohe Verwundbarkeit der Infrastruktur, gerade im IT-Bereich, der deutschen Achillesferse. Politisch war das Thema längste Zeit höchstens ein Hintergrundrauschen. Die Zuständigkeit lag beim Innenministerium, dort mehrheitlich beim BSI, teilweise beim Bundesamt für Bevölkerung und Katastrophenschutz (BBK). Noch bis 2015 erklärte der Bund die Infrastruktur gebetsmühlenartig für “gut geschützt” und investierte nur wenig. Dabei spielte eine Rolle, dass die Politik sich nicht allzu zuständig fühlte, da knapp 80 Prozent der kritischen Infrastruktur in privater Hand liegt – was obendrein zentralisierte Maßnahmen erschwert. Erst seit 2016 gibt es überhaupt sonderlich konkrete Gesetze, auch zur Cybersicherheit. Unternehmen ab einer bestimmten Größe müssen sich beim BSI registrieren, Kontaktstellen benennen, erfolgreiche Cyberangriffe berichten und ihre IT-Sicherheit auf einen vom BSI definierten “Stand der Technik” bringen. 

So wie beim Staat gab es auch seitens der Firmen jahrelang wenig Lust, sich der Sicherheit zu widmen. Die AG KRITIS, eine 2018 gegründete unabhängige Expertengruppe rund um das Thema kritische Infrastrukturen, spricht davon, dass sich die Wirtschaft gegen die Umsetzung der Regeln “teilweise energisch sträubt“. Hohe Sicherheitsstandards seien so verschlafen, wichtige Investitionen nicht getätigt worden – gerade in kleineren Firmen, für welche Maßnahmen relativ gesehen teurer sind. Eine Welle aus Cyberattacken in den vergangenen Jahren hat zwar zu einem Umdenken geführt, doch Analysten blicken nach wie vor skeptisch auf Investitionsvolumen und Präventionskultur in der Bundesrepublik; beklagen schwache Abstimmung und uneindeutige Rollenverteilungen auf politischer Ebene.

Zeit für Redundanz

Umso wichtiger also, dass Politik, Wirtschaft und Öffentlichkeit ob des Themas langsam aufwachen. Das Bundesinnenministerium hat die Koordinierungsstelle “Gekkis” (Gemeinsamer Koordinierungsstab Kritische Infrastruktur) ins Leben gerufen, in welcher sämtliche Ministerien gemeinsam beraten und auf relevante Vorfälle ad-hoc reagieren. Ein KRITIS-Dachgesetz soll Zuständigkeiten genauer regeln. Das Auswärtige Amt dürfte KRITIS in seine Nationale Sicherheitsstrategie aufnehmen. Politiker aus Ampelkoalition und Opposition überbieten sich darin, auf die Anfälligkeiten der Infrastruktur hinzuweisen. Die Wirtschaft investiert derweil kräftiger oder ruft – wie der Mittelstandsverband BVMW – nach staatlichen Notprogrammen (€), um die Finanzierung zu vereinfachen.

Immerhin, nicht alles ist schlecht. Die AG KRITIS lobt die Stromanbieter und Netzbetreiber, vergleichsweise gut aufgestellt zu sein. Der Gas- und Wasserstoffspeicherverband INES hat jüngst seine Sicherheitsvorkehrungen verschärft, so wie zahlreiche andere Branchen. Der Bundesverband der Energie- und Wasserwirtschaft sieht ein “hohes Sicherheitsniveau”, welches flächendeckende Ausfälle “sehr unwahrscheinlich” mache. Dabei hilft auch die kleinteilige, dezentrale Natur vieler kritischer Branchen, darunter der Wasserwirtschaft: Fällt ein Anbieter einer Cyberattacke oder einem physischen Sabotageakt zum Opfer, hat das nur lokale oder regionale Folgen. Es gibt dort auf Systemebene also genug Redundanzen, was auch die Hauptaufgabe in der Sicherung der kritischen Infrastruktur ist. Nicht jedes Kabel, nicht jeder Strommast, nicht jedes Software-Einfallstor lässt sich perfekt sichern, doch wenn ausreichend Redundanz vorhanden ist, kann ein gelungener Angriff nicht zu einem systemischen Risiko eskalieren.

Genau das scheint beim Sabotageakt gegen die Deutsche Bahn Anfang Oktober nicht der Fall gewesen zu sein. Die Täter mussten zwei Kommunikationskabel kappen, um den gesamten Schienenverkehr in Norddeutschland drei Stunden lang lahmzulegen, ein Ersatzsystem scheiterte – viel weniger Redundanz geht nicht. Die Bahn möchte künftig mehr Sicherheitskontrollen entlang der Strecke durchführen, aber eben auch besagte Redundanzen aufbauen.

Sabotage_

(3,5 Minuten Lesezeit)

Handarbeit

Der Bahn-Vorfall bietet auch eine Antwort auf die Frage, vor wem kritische Infrastruktur eigentlich geschützt werden müsse. Einwandfrei ermittelt ist der Täter hinter dem Sabotageakt Stand Ende Oktober noch nicht, doch klar scheint, dass dahinter organisierte und ressourcenreiche Akteure stecken mussten. Sie wussten genau, welche zwei Kabel – eins in Berlin, eins in Nordrhein-Westfalen – sie ins Visier nehmen mussten und waren offenbar imstande, an einen Kabelschacht zu gelangen, obwohl schwere Gewichte den Weg blockierten. Ermittler halten deswegen eine staatlich gesteuerte Sabotage für “denkbar”; der Staatsschutz sieht eine “politisch motivierte Tat”. Viele Finger zeigen auf Russland, welches die Möglichkeiten besäße und derzeit wohl auch eine Motivation: Es könnte mit solchen Taten zeigen, dass es imstande ist, jederzeit die kritische Infrastruktur in Europa zu attackieren und für Chaos zu sorgen. Bewiesen ist eine russische Täterschaft allerdings nicht.

Sehr ähnlich sieht es beim anderen prominenten physischen Sabotagefall der letzten Wochen aus: An den Ostseepipelines Nord Stream und Nord Stream 2 wurden Anfang Oktober Lecks entdeckt, welche später mit Explosionen in Zusammenhang gebracht wurden. Die Art der Lecks deutet auf gezielte Sabotage hin. Erneut beschuldigt der Westen Russland, was auf den ersten Blick paradox wirkt, immerhin ist das Land in die Pipelines involviert. Doch Moskau lieferte durch die Pipelines ohnehin kein Gas mehr (oder im Falle Nord Streams 2, hatte noch nie geliefert) und könnte durch die Zerstörung für Nervosität in den europäischen Regierungen, Bevölkerungen und Gasmärkten sorgen. Denn wenn Nord Stream zerstört werden kann, warum dann nicht auch die erst Ende September eröffnete “Baltic Pipe“-Pipeline, welche norwegisches Gas nach Polen transportiert? Oder Baltic Connector zwischen Finnland und Estland? Oder gleich die Unterwasser-Kommunikationskabel, welche zwischen Europa und Nordamerika im Atlantik verlaufen, wie es die NATO mutmaßlich durchspielt? (€) In Deutschland rief der Städte- und Gemeindebund (€) unter dem Eindruck der Ostsee-Attacken bereits nach nationalen Notstromreserven, Notbrunnen und Lebensmittel- sowie Medikamentenvorräten. Andere zivilgesellschaftliche und politische Akteure äußern sich ähnlich.

Gut zu wissen: Russland weist jegliche Schuld von sich und wirft den USA vor, die Nord-Stream-Lecks verursacht zu haben, um mehr LNG in Europa zu verkaufen. Das ist ein skurriles Argument, wo gerade doch alles andere als ein globaler Nachfragemangel nach LNG besteht. Zudem ist Europa seit Neuestem ohne jegliches transatlantisches Zutun daran interessiert, sich von Russland als Lieferanten so gut wie möglich zu emanzipieren. Zu guter Letzt geht auch die Kosten-Nutzen-Abwägung kaum auf: Würde eine hypothetische “False Flag”-Attacke der USA auffliegen, wäre es ein strategisches Fiasko, wo Washington doch derzeit eine gemeinsame Front gegen Russland benötigt. Die inkrementellen kommerziellen Vorteile stehen gegen dieses Abwärtsrisiko in keinem Verhältnis.

Der graue Cyberkrieg

Physische Sabotage ist nicht neu, aber doch eher rarDas Mittel der Wahl heutzutage sind Cyberattacken. Sie sind logistisch einfacher durchzuführen, können gemessen an ihrem erforderlichen Aufwand deutlich mehr Schaden anrichten und operieren noch tiefer in einer Grauzone – da sich die Täterschaft einfacher zurückweisen lässt und unklar ist, ab wie viel Cybersabotage denn von einem kriegerischen Akt die Rede sein könne.

Prominente Cyberattacken gegen kritische Infrastruktur gibt es seit mindestens 12 Jahren in gewisser Regelmäßigkeit. 2010 legte Israel mit dem Virus “Stuxnet” eine iranische Nuklearanlage lahm; 2012 schien Iran den saudi-arabischen Staatskonzern Aramco mittels “Shamoon” zu attackieren; und 2017 griff Russland die ukrainische Energieversorgung durch “NotPetya” an. Einen wahren Boom erlebte die Cyberkriegsführung aber in den vergangenen zwei Jahren, nicht zuletzt dank der Covid-Krise und ihrer unvorbereiteten Impromptu-Digitalisierung. Kommerzielle Attacken, vor allem durch sogenannte Ransomware (Erpressersoftware), wurden zur Milliardenbranche; die whathappened-Redaktion schrieb ihnen mit dem Explainer “Die goldene Ära der Cyberunsicherheit” im Juni 2021 ein kleines Monument. So wie die kommerziellen Hackerbanden reichlich dazulernten und sich professionalisierten, so auch die staatlichen Hacker; nicht zuletzt, da sich die beiden Gruppen oft alles andere als sauber trennen lassen (auch hierzu unser Explainer).

Kritische Infrastruktur geriet ins Fadenkreuz. Kein Wunder, schließlich stellt sie ein kommerziell wie auch geopolitisch lukratives Ziel dar. Im Mai 2021 legten Hacker die Colonial Pipeline in den USA lahm und kappten so die Ölversorgung der gesamten Ostküste; Folge waren ein ausgerufener Notstand und Hamsterkäufe in der Bevölkerung. Im selben Monat nahmen Angreifer das irische Gesundheitssystem in Geiselhaft und zwangen Ärzte, wieder auf Stift und Papier zurückzuwechseln. Der Landkreis Bitterfeld-Anhalt, Sachsen-Anhalt, musste im Sommer 2021 als erster Kreis Deutschlands den Cyber-Katastrophenfall ausrufen, nachdem Hacker sämtliche Server unter Kontrolle gebracht hatten. Auch dort hieß es Stift und Papier statt Cloud und E-Akte. Noch 15 Monate später leidet die Verwaltung unter der Attacke und wartet darauf, dass ein neues IT-System zu Ende eingerichtet ist.
 

Abhängigkeit_

(4 Minuten Lesezeit)

Hamburg, Peking und Olaf S.

Physische Sabotage zerstört kritische Infrastruktur, Cybersabotage macht sie unbrauchbar. Abhängigkeiten tun per se nichts von beidem, doch sorgen dafür, dass die eigene Kontrolle über kritische Infrastruktur geschwächt wird. Europa musste das im Kontext des Ukrainekriegs mit Hinblick auf seine Energiesicherheit feststellen, bei welcher eine hohe Abhängigkeit von Russland schmerzhaft aufgezeigt worden ist. Da der eigene Energiebedarf in weiten Teilen unverhandelbar ist und Energiequellen nicht schlagartig gewechselt werden können – beides inzwischen trivial wirkende Wahrheiten in Europa -, bot die Abhängigkeit einen exzellenten politischen Hebel für Russland. Also machte sich Europa daran, seine Abhängigkeit zu senken. Sei es bei russischer Energie, taiwanischen Halbleitern oder chinesischer Mobilfunktechnologie (€).

Vor diesem Hintergrund irritierte Ende Oktober das Bekanntwerden eines Deals um den Hamburger Hafen. Die chinesische Reederei Cosco (ursprünglich die China Ocean Shipping Company, heute allerdings die China COSCO Shipping Corporation), ist ein Staatskonzern und eine der größten Reedereien der Welt. Ihre Terminal-Tochter Cosco Shipping Ports einigte sich 2021 mit der Hamburger Hafenbetreiberin HHLA darauf, 35 Prozent am Containerterminal Tollerort CTT zu übernehmen. Für HHLA war es ein zugleich vergifteter und goldener Apfel: Cosco verspricht, CTT künftig als europäischen Umschlagort zu priorisieren, was für Hamburg ein wichtiger Befreiungsschlag im schwierigen Wettbewerb mit den Häfen Rotterdam und Antwerpen wäre. Andersherum ist die implizite Drohung, dass Ladung bei einer Ablehnung in andere Häfen verlagert werden könnte, für HHLA kritisch, wie das Kieler Institut für Weltwirtschaft (IfW Kiel) hervorhebt. Entsprechend wichtig ist der Cosco-Deal für HHLA und die Stadt Hamburg.

Zugleich wirft die Transaktion allerdings die altbekannten Fragen rund um kritische Infrastruktur auf. Darf einem chinesischen Staatskonzern die Kontrolle über einen Teil des Hamburger Hafens geboten werden? Die CDU, Grünen und FDP sagen Nein. Ein chinesischer Einstieg würde “zutiefst die Sicherheitsinteressen unseres Landes” berühren, so Oppositionschef Friedrich Merz, da Cosco “Zugang zu wesentlichen Daten des Frachtverkehrs” erhalten würde. Ähnlich äußerte sich offenbar schon im Frühjahr die EU-Kommission, welche vor dem Abfließen sensibler Informationen über das Hafengeschäft warnte. Manfred Weber, Chef der konservativen EVP-Fraktion im EU-Parlament, nennt den Einstieg “riskant und kaum vertretbar”. Und auch sämtliche sechs Bundesministerien, welche mit der Investitionsprüfung befasst waren, rieten, ihn zu blockieren. Zu groß die Gefahr, sich bei kritischer Infrastruktur Fremdkontrolle und Abhängigkeit einzuladen. 

Gut zu wissen: Deutschland ist bei chinesischen Transaktionen bereits ein gebranntes Kind. Die Übernahme des deutschen Robotikherstellers Kuka durch den chinesischen Konzern Midea sorgte 2016 (oder zumindest in den Jahren danach) für Unverständnis und spielte eine maßgebliche Rolle in der Verschärfung des Außenwirtschaftsrechts. Heute darf die Bundesregierung weitaus robuster in solche Deals intervenieren und sie blockieren, so etwa 2018, als sie einen chinesischen Einstieg beim Netzbetreiber 50Hertz in letzter Sekunde stoppte. Auf chinesischer Seite folgen die Übernahmen einer mindestens genauso politischen wie kommerziellen Logik: Die “Made in China 2025“-Strategie sieht unter anderem vor, sich in kritische Technologien und Infrastruktur im Ausland einzukaufen, um Technologietransfer nach China zu bezwecken.

Nicht alle Beobachter stimmen allerdings zu. Das Kanzleramt hält an der Transaktion fest und möchte sie offenbar an den Bedenken seiner Ministerien vorbei durchsetzen. Unterstützt wird es von Peking, welches seitens Deutschland “Offenheit” einfordert, und in etwas schüchterner Form von der SPD, welche ihren Kanzler Olaf Scholz zu verteidigen hat. Parteichef Lars Klingbeil beklagt eine “teilweise sehr verkürzt” geführte Debatte und betont, dass es lediglich um eine Minderheitenbeteiligung an einem von vier Terminals gehe. “Die Infrastruktur gehört der Stadt Hamburg und das wird auch so bleiben”. Ähnlich äußern sich der Hamburger Bürgermeister Peter Tschentscher (ebenfalls SPD) und die Hafenbetreiberin HHLA, welche “gestärkte Lieferketten, gesicherte Arbeitsplätze und geförderte Wertschöpfung” vorhersagt. Die Zeit liegt auf Seiten der Unterstützer: Fällt bis Ende Oktober kein Beschluss, wird das Geschäft automatisch zustande kommen.

Der Sturm und der Klimawandel

Der Fall Tollerort hat damit einiges über die Zukunft des Themas kritische Infrastruktur zu erzählen. Erstens, dass bei ihr politische und kommerzielle Interessen kollidieren können; zweitens, dass nicht immer ganz Einigkeit herrschen mag, was nun überhaupt tatsächlich kritische Infrastruktur darstellt oder wann Abhängigkeit beginnt. Ähnlich – und das ist kein sonderlich vorteilhafter Vergleich – lief es bereits bei der Frage nach der deutschen Energiesicherheit und der Abhängigkeit von Russland. Die USA hatten jahrelang eine solche Abhängigkeit beklagt; Berlin dies als amerikanische Spinnerei abgetan (zur sanften Verteidigung der deutschen Politik sei gesagt, dass im Nachhinein so manches völlig offenkundig wirkt). Die dritte Lehre aus Tollerort ist, dass es in Zukunft sehr oft China sein dürfte, welches im Kontext von kritischer Infrastruktur und Abhängigkeit diskutiert wird. Das Land ist zunehmend selbstbewusst, wirtschaftlich hochdynamisch und agiert außenpolitisch immer robuster. 

Als 1937 inmitten des chinesischen Bürgerkriegs die japanische Invasion hineinbrach, stand Chinas Generalissimo Chiang Kai-shek vor der Wahl, den Krieg gegen die Kommunisten fortzusetzen oder sich mit ihnen gegen die vorrückenden Japaner zu verbünden. Er wählte ersteres und begründete es in bester chinesischer Poesie: “Die Japaner sind eine Krankheit der Haut, die Kommunisten eine Krankheit des Herzens“. Ungewollt ähnlich klingt es, wenn der Präsident des deutschen Bundesamts für Verfassungsschutz, Thomas Haldenwang, ungenannte ausländische Partner bei der Frage zitiert, wie Nachrichtendienste Chinas Beteiligungen an kritischer Infrastruktur werten. “Russland ist der Sturm, China ist der Klimawandel“. Und es wäre schließlich töricht, dem Klimawandel unvorbereitet zu begegnen.

Scroll to Top