Direkt zum Inhalt

Jeder KRITIS-Betreiber muss Sicherheit ganzheitlich denken und zur Chefsache machen

14.06.2024
Sicher­heits­konferenz STATE OF SECURITY von Kötter Security und German Business Pro­tection (GBP) in Berlin - Foto: Kötter GmbH & Co. KG
Sicher­heits­konferenz STATE OF SECURITY von Kötter Security und German Business Pro­tection (GBP) in Berlin - Foto: Kötter GmbH & Co. KG

Die Kritischen Infrastrukturen (KRITIS) stehen auch in Deutsch­land einer nicht gekannten Bedrohungslage gegenüber. Diese resultiert gleicher­maßen aus phy­sischen Angriffen z. B. auf Stromversorgung und Verkehrsinfrastruktur wie aus stetig stei­genden Cyber­attacken, denen Unternehmen, Behör­den, Kranken­häu­ser etc. ausgesetzt sind.  Angesichts dessen forderten hochrangige Politi­ker, Sicher­heits­exper­ten, Unter­neh­mens- und Behördenvertreter sowie Wissenschaftler bei der diesjährigen Sicher­heits­konferenz STATE OF SECURITY von Kötter Security und German Business Pro­tection (GBP) in Berlin einhellig die Auswei­tung von In­vestitionen in den KRITIS-Schutz sowie eine Aufwertung von Sicher­heits- und Risk Management zur „Chefsache“.

„Die Nachrichten sind voll von Berichten über erfolgte bzw. drohende Angriffe auf KRITIS-Ein­rich­tun­gen. Auch die Be­hörden warnen seit Langem nachdrücklich vor dem Risiko­poten­zial. Die Gefähr­dungslage ist somit klar beschrieben, jetzt geht es um die konsequente Umsetzung ganz­heitlicher Sicher­heits­lö­sun­gen durch KRITIS-Betreiber aller Größen und Sektoren“, sagte Friedrich P. Kötter, Ver­wal­tungs­rat der Kötter Se­cu­rity Gruppe, bei der Veranstaltung mit über 100 Teil­neh­mern im Allianz Forum am Bran­den­bur­ger Tor.

Die Konzerne in Deutschland sieht Friedrich P. Kötter dabei in Sachen KRITIS-Schutz gut aufgestellt. Damit seien sie gleichzeitig Vorbild für viele öffentliche Institutionen und Mittel­ständ­ler hinsichtlich der Umsetzung und fortlaufenden Optimierung umfassender KRITIS-Schutzmaßnahmen in Koope­ration mit qualifizierten Sicherheitsdienstleistern. Mit Blick auf Letzteres wird die im künftigen KRITIS-Dachgesetz vorgesehene Implementierung sektoren­übergreifender Mindest­stan­dards beim KRITIS-Schutz nach Einschätzung des Verwaltungsrates eine wichtige Ba­sis schaffen.

Gleichwohl geht das von der Bundesregierung bis Oktober umzusetzende KRITIS-Dachgesetz aus seiner Sicht nach wie vor nicht weit genug. Dies betrifft speziell die auch im überarbeitenden Refe­rentenentwurf erneut nicht enthaltene verbindliche Empfeh­lung an KRITIS-Betreiber, bei der Koo­pe­ration mit Sicher­heits­dienst­leistern Quali­tätsnormen anzuwenden, wie sie auf EU-Ebene in der ent­sprechenden CER-Richtlinie bereits längst nachdrücklich empfohlen wird. „Es wäre daher wünschenswert, wenn der Gesetz­geber die­sen Schritt im laufenden Gesetz­ge­bungsprozesses noch zügig nachholt. Die Um­set­zung ver­läss­licher Qua­li­täts­standards etwa bei Personaleinsatz, In­frastruktur und organisatorischen Prozessen, wie sie z. B. die mit Un­ter­stüt­zung un­seres euro­päi­schen Dach­ver­ban­des CoESS ent­wickelte Normen­reihe EN 17483 definiert, hat für den KRITIS-Schutz und die Einbindung geeigneter Dienst­leister zentrale Re­levanz“, so der Familien­unter­neh­mer. Gleichzeitig appellierte er auch an die Eigenverantwortung der KRITIS-Betreiber: „Soll­te unser an­geführter Wunsch im abschließenden Gesetz keine Berücksichtigung erfahren, möchte ich Sie umso mehr in Ihrer Ausrichtung bestärken, diese Qualitäts­anfor­derung konsequent in Eigen­regie an den jeweiligen Sicherheitsdienstleister zu stellen“, ver­deut­lichte Herr Kötter im Rah­men der zehnten Sicherheitskonferenz, die von Fritz Rudolf Körper, Staatssekretär a. D. und Mitglied des Kötter Sicherheitsbeirates, moderiert wurde.

Cyber-Security: Umsetzung der NIS2-Richtlinie darf keine zusätzliche Bürokratielast schaffen

Zusätzlich richtete Friedrich P. Kötter einen Blick auf die „Network and Information Security Directive“, kurz NIS2-Richtlinie, mit der Deutschland bis Oktober eine weitere EU-Richtlinie in nationale Gesetz­gebung aufnehmen muss. Hieraus resultierend wird somit künftig das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, das sich aktuell ebenfalls im Status eines Referentenentwurfs befindet, die Cyber- und Informationssicherheit von Unternehmen und Institutionen federführend re­g­eln. Das mit großem Radius: Denn die NIS2-Richtlinie geht weit über die bisherigen klassischen KRITIS-Sektoren hinaus und bezieht auch zahlreiche neue Bereiche ein. Summa summarum wird die Gesetzgebung allein in Deutschland rd. 30.000 Firmen betreffen. Gleichzeitig steigen auch die inhaltlich-organisatorischen Anforderungen an die Unternehmen. Sie müssen Methoden für die Cybersicherheit entwickeln, die im künftigen Gesetz festgelegten Verfahren für das Gefahren­management einführen und sich an Meldepflichten halten – ansonsten drohen entsprechende Sanktionen.

Dabei richtete der Verwaltungsrat einen nachdrücklichen Appell an die Politik: „Jedes Unternehmen wird, schon aus Eigeninteresse, jegliche politische Anstrengung für mehr Cyberschutz unterstützen. Aber diese Gesetzgebung muss sich gleichzeitig immer an der Lebenswirklichkeit der Unternehmen orientieren. Und dies heißt heutzutage vor allem: Aus der NIS2-Regelung darf sich keine neue riesige Bürokratielast entwickeln. Hierfür ist u. a. unabdingbar, dass Unternehmen ihren Melde-, Nach­weis- und Registrierungspflichten volldigital entsprechen können, Kompetenzen zwischen Bundes- und Landesbehörden überlappungsfrei geregelt werden sowie europaweit agierende Unternehmen nur in einem Mitgliedsstaat gebündelt für die gesamte EU ihren Melde-, Nachweis- und Regis­trie­rungs­pflichten nachkommen müssen.“

Sicherheitskonvergenz soll Trennung speziell von physischer und IT-Sicherheit überwinden

Ähnliches unterstrich im Anschluss Alexander Frank, Deputy Director General bei der CoESS, in seinem Vortrag „KRITIS in der EU: Learnings aus den Erfahrungen unserer Nachbarländer“. Dabei plä­dierte er u. a. für die Umsetzung einer strategischen Sicherheitskonvergenz seitens der KRITIS-Betreiber: mit dieser soll die aktuell vielfach noch vorherrschende Aufgaben- und Verant­wor­tungs­trennung für die verschiedenen Sicherheitssektoren wie speziell physische und IT-Sicherheit gezielt über­wun­den werden. „Eine solche Splittung ist schon längst nicht mehr zeitgemäß. Und je wei­ter die Vernetzung u. a. durch Digitalisierung und KI in Wirtschaft, Staat und Gesellschaft voran­schrei­tet, umso mehr werden solche überholten Strukturen unsere Anfälligkeit für hybride Angriffe erhöhen“, warnte Alexander Frank. Entsprechende Handlungsempfehlungen für integrierte Schutzmaßnahmen bietet das neue CoESS-White­paper „Physische Cybersicherheit und kritische Infrastrukturen“.  

Einheitliche Standards schaffen / Kooperation von Staat und Privat ausbauen

Sebastian Fiedler, Mitglied des Deutschen Bundestages (MdB), hob im Rahmen seines Vortrages „Aktuelle kriminalpolitische Ent­wick­lungen und ihre Bedeutung für deutsche Wirt­schafts­unter­neh­men“ u. a. hervor, „dass wir es durchaus mit außerordentlich ernstzunehmenden Bedrohungs­situa­tionen zu tun haben, die die Wirt­schaftsunternehmen auf ganz unterschiedliche Weise treffen“. Dabei bestehe mit Blick auf „ge­rade eben die Wirtschaftsunternehmen, bei denen wir einig sind, dass wir sie wegen ihrer existen­ziellen Relevanz besonders schützen müssen“, aus seiner Sicht, „Common sense, dass wir hier zu ein­heit­lichen Standards kommen müssen“, so das Mit­glied des Ausschusses für Inneres und Heimat und Sprecher der Arbeitsgruppe „Kriminalpolitik“ im Deutschen Bundestag.

Christian Hochgrebe, Staatssekretär in der Senatsverwaltung für Inneres und Sport des Landes Berlin, verwies in seinem Vortrag „Das KRITIS-Dachgesetz: Der Status Quo aus politischer Sicht“

u. a. auf die vielfältigen und weiter steigenden Herausforderungen für Unternehmen aufgrund der hybriden Bedrohungslage. Er plädierte vor diesem Hintergrund nachhaltig für einen weiteren Koope­rations­aus­bau von öffentlicher Hand und Wirtschaft: „All diese Dinge gehen nur gemeinsam mit­ein­ander. Wir müssen sowohl behördlich als auch privat zusammendenken. Wir müssen horizontal und vertikal übergreifend uns diesen Herausforderungen stellen.“ Zumal es neben dem konkreten KRITIS-Schutz zusätzlich auch „um das wichtige Ver­trau­en in die Schutzfähigkeit und das Vertrauen in die Leistungsfähigkeit des Staates“ gehe.

Weitere namhafte Referenten und Diskussions-Teilnehmer zeigen KRITIS-Bedeutung auf

Dem Status Quo aus unternehmerischer Sicht zum KRITIS-Dachgesetz widmete sich in seinem Vor­trag Alexander B. Krause, SIEMENS Energy Global & Hub Security (Senior Security Manager). Mit der Konvergenz von Cyber-Security und physischer Sicherheit befasste sich außerdem Prof. Dr. Sachar Paulus, Professor für IT-Sicherheit und Studiengangleiter „Cyber Security“ an der Hoch­schu­le Mannheim. Er gab dabei u. a. einen Überblick über die Auswirkungen im Kontext des KRITIS-Dachgesetzes, der europäischen CER-Richtlinie sowie der EU-Cyber-Security-Richtlinie NIS 2. Der Bedeutung von KRITIS für die öffentliche Sicherheit widmete sich gleichzeitig Martin Zeidler, Leiter der Abteilung I - Krisenmanagement im Bundesamt für Bevöl­ke­rungsschutz und Katastrophenhilfe. Welche weiteren Anforderungen sich für die Wirtschaft er­geben, stand darüber hinaus im Mittelpunkt der von Prof. Dr. Harald Olschok, Mitglied des KÖTTER Sicherheitsbeirates und Honorarprofessor am Fachbereich Polizei und Sicherheitsmanagement der HWR Berlin, in der Diskussionsrunde mit Dr. Peter Schwark, Haupt­geschäftsführer des Bundesverbandes der Sicherheitswirtschaft (BDSW), MdB Leon Eckert und Dr. Kay Ruge, stellvertretender Hauptgeschäftsführer des Deutschen Land­kreistages, sowie Alexander B. Krause.

Mehr Artikel vom Autor