IT-Experte über bedrohte Infrastruktur: „Es wird maximal rumgeeiert“

taz: Herr Atug, in Dänemark wurden mehrfach Drohnen über Flughäfen gesichtet, die dänische Regierung spricht von einem Anschlag. Wie ordnen Sie das ein?

Atug: Es sind definitiv große Drohnen gewesen, die mehrere Stunden in der Nähe der Flughäfen unterwegs waren. Sie hatten sogar Lichter eingeschaltet – insofern handelte sich eher nicht um einen Zufall, sondern vermutlich Absicht. Vieles spricht für einen staatlichen Akteur, also geheimdienstliche Sabotage.

taz: Kürzlich drangen russische Drohnen in den polnischen Luftraum ein. Auch in Deutschland gibt es immer wieder Drohnenüberflüge in unmittelbarer Nähe zu kritischer Infrastruktur – neben regelmäßigen Cyberangriffen, Attacken auf Unterseekabel in der Ostsee und vielem mehr. Würde das neue Gesetz zum Schutz kritischer Infrastruktur (Kritis-Dachgesetz) gegen Drohnenangriffe helfen?

Atug: Es steht nicht wirklich was zu Drohnen in dem Gesetz drin. Es gibt im ganzen Kritis-Dachgesetz keine klaren Anforderungen an den Schutz vor unbemannten Luftfahrtsystemen. Der Begriff Drohne taucht nicht mal auf. Es heißt allgemein: Man soll sich gegen Spionage aufstellen. Es soll an Einrichtungen der kritischen Infrastruktur Zäune geben und klare Zutrittsregeln, aber der Luftraum spielt keine Rolle.

taz: Wie kann sich ein Staat gegen Drohnen wehren?

Atug: Man müsste eine Strategie zur Drohnenabwehr erstellen; zum einen zur strukturierten Erfassung mit transparenten Lageberichten; zum anderen bräuchte es einen Plan zur Detektion und Abwehr. Einige sagen: Schießt die einfach alle ab. Das allerdings halte ich nicht für sinnvoll: Wenn man nicht trifft, können die Projektile in mehreren Kilometern Entfernung herunterkommen – das kann in Siedlungsgebieten bis zur Todesfolge alles beinhalten. Es gibt auch andere Methoden wie Jamming – aber zur effektiven Bekämpfung braucht es zunächst vor allem auch Geld für Drohnenabwehrforschung statt für Cyberdome und KI.

taz: Auch der Berliner Flughafen ist seit Tagen im Ausnahmezustand, weil es Cyberangriffe auf den IT-Dienstleister gegeben hat – offenbar ein Erpressungsversuch. Das kürzlich im Kabinett beschlossene Kritis-Dachgesetz soll generell kritische Infrastruktur – etwa Energienetze, Internet, Wasserversorgung – besser vor Sabotage, Terrorangriffen und Naturereignissen schützen. Welche Schwachstellen sehen Sie, neben der Leerstelle zu Drohnen?

Atug: Erhebliche Teile der Bundesverwaltung sind vom Gesetz ausgenommen, ebenso die Landesverwaltung und die Kommunen. Dabei sind Staat und Verwaltung natürlich ein erheblicher Sektor der kritischen Infrastruktur. Der Staat selber ist nicht ausreichend gegen Sabotage, Terrorismus und Naturereignisse geschützt. Wir müssen im Falle solcher Ereignisse handlungsfähig bleiben – ein Gesetz, das den Staat nicht zur kritischen Infrastruktur zählt, ist eher eine dekorative Hülle, als ein ernstzunehmendes Gesetz. Resilienz sieht anders aus.

taz: Klingt so, als seien wir komplett schutzlos?

Atug: Ganz schutzlos sind wir natürlich nicht. Die Landes- und Bundesverwaltungen machen natürlich schon etwas, aber es bleibt an vielen Stellen überschaubar und riskant. Private Betreiber kritischer Infrastruktur wie etwa Telekommunikationsfirmen haben natürlich auch ein wirtschaftliches Eigeninteresse, funktionsfähig zu bleiben, aber all das läuft dann unter der Prämisse der Erlösmaximierung, viele Risiken werden auf Staat und Kunden abgewälzt. Das gilt insbesondere, da private Versorger nicht der Daseinsvorsorge verpflichtet sind. Der Staat aber schon. Daher muss das für kritische Infrastrukturen reguliert werden.

taz: In der Wirtschaft, etwa beim Branchenverband Bitkom, fürchtet man vor allem das derzeit allgegenwärtige Schreckgespenst Bürokratie. Wie sehen Sie das?

Atug: Viele unklare Papiervorgaben ohne Umsetzung und Wirkung in der Resilienz sind in der Tat nur nutzlose Bürokratie.

taz: Was sind Ihre konkreten Kritikpunkte am Gesetz?

Atug: Behörden sollen erst bis 2030 verbindlich Vorgaben für Resilienzpläne entwickeln – bis dahin soll zunächst geklärt werden, wer überhaupt die Aufsichten übernimmt. Und dann steht noch alles unter Haushaltsvorbehalt. Es wird maximal rumgeeiert. Insgesamt fehlen konkrete Handlungsanweisungen und Mindestverpflichtungen – was eigentlich das Ziel der EU-Richtlinie war, die dem deutschen Gesetz zugrunde liegt. Wir haben da ein erhebliches strukturelles Defizit.

taz: Was könnte man konkret noch verbessern?

Atug: Es sind maximal Bußgelder von 500.000 Euro vorgesehen, meistens sogar nur 200.000 Euro. Als privater Betreiber von kritischer Infrastruktur müsste ich aber zum Schutz Millionen investieren – viele werden dann lieber die Strafe zahlen, weil das deutlich billiger ist. Das Gesetz ist ohne wirksame Bußgelder ein zahnloser Tiger.

taz: Wie sind staatliche Stellen aufgestellt?

Atug: Der zweite Warntag kürzlich lief schon mal deutlich besser als der erste – das ist gut, dafür übt man ja. Dennoch gibt es zahlreiche Probleme: Stand heute sind rund die Hälfte aller Notwasserbrunnen in Deutschland nicht gewartet, ausgetrocknet, kaputt oder verrostet. Das lässt sich aber kaum thematisieren, weil die Liste der Notbrunnen geheim ist, damit „die Bösen“ nicht wissen, wo die sind. Es ist allerdings eher eine Simulation von Geheimhaltung: Denn natürlich kann man über die Kommune gut begründet erfahren, wo die Standorte sind. Ebenso weiß jede Feuerwehr, wo es im Notfall Wasser gibt. Die Geheimhaltung verschleiert hier eher, dass die Hälfte der Brunnen nicht funktioniert. Das geht in Richtung Fahrlässigkeit, hier würde mehr Transparenz helfen.

taz: Sie beschäftigen sich in der unabhängigen Arbeitsgruppe AG Kritis bereits einige Zeit mit Sicherheitslücken in der kritischen Infrastruktur. Die EU-Richtlinie fordert schon lange, dass Mitglieder sich besser schützen müssen, gegen Deutschland läuft ein Vertragsverletzungsverfahren. Wie kann es sein, dass die Bundesrepublik erst jetzt ein Kritis-Dachgesetz verabschiedet? Musste erst Nord Stream 2 gesprengt werden?

Atug: Es ist leider so, dass man viel redet und befürchtet, aber dann wenig macht. Papier ist geduldig. Die Ampel war zwar willens was zu machen, aber leider gab es einen Infiltrator, der die Koalition zerschießen wollte – was ja auch funktioniert hat. Deswegen ist das vorbereitete Gesetz nicht mehr umgesetzt worden. In der neuen Legislatur musste das Gesetzgebungsverfahren von vorne aufgerollt werden.

taz: Sie haben schon bei der Ampelvorlage ähnliche Schwachstellen kritisiert. Hat sich auch etwas verbessert im Vergleich zum Ampelgesetz?

Atug: Leider nein. Es wird zwar viel über Verbesserungen diskutiert und alle Parteien sagen, wir müssen hier dringend handeln und investieren, aber am Ende passiert wenig. Im Hintergrund heißt es dann: Es kostet alles zu viel Geld. Die einen wollen nicht, dass staatliche Einrichtungen unter das Gesetz fallen und viel investieren müssen, die anderen wollen nicht, dass die Wirtschaft unter Sicherheitsvorgaben leidet. Und schließlich braucht es auch innerhalb der Behördenstrukturen Ansprechpartner – auch das kostet Geld. Und anstatt den Schutz von real bedrohter Infrastruktur in die Hand zu nehmen, spricht CSU-Innenminister Alexander Dobrindt lieber vom Cyberdome, also einem kommenden Maut 2.0 Desaster.

taz: Gibt es auch eine Sache, die Sie am Gesetz gut finden?

Atug: Es ist sehr sinnvoll, das Meldewesen zu synchronisieren. Betreiber müssen Vorfälle nur beim BSI melden, wofür nun eine einheitliche Meldestelle geschaffen wird. Das reduziert den Aufwand für Unternehmen, aber man ermöglicht auch ein einheitliches und übergreifendes Lagebild. Wir fordern wiederum, dass diese Lagebilder auch immer in einer öffentlichen Version verfügbar sein müssen, damit man Defizite transparent verbessern kann.