Cybersicherheit: Wie Infrastruktur besser geschützt werden soll

Rund 1,4 Millionen Kilometer Kommunikations- und Stromkabel sind weltweit unterseeisch verlegt. Sie sind die Lebensadern unserer hochmodernen Gesellschaft und immer wieder Ziel von Angriffen - auch in der Ostsee, wo am 25. Dezember 2024 das Unterseekabel Estlink 2 beschädigt wurde, das vor der Küste Finnlands liegt.

Als der Schaden bemerkt wurde, überquerte gerade der Tanker Eagle S das Kabel. Er steht im Verdacht, seinen Anker absichtlich über den Meeresboden gezogen zu haben, um das Kabel zu beschädigen. Ermittler vermuten, dass der Tanker "Eagle S" zur sogenannten russischen Schattenflotte gehört, mit der Russland das vor zwei Jahren im Zuge des Ukraine-Krieges verhängte Öl-Embargo umgeht.

Der Vorfall ist nur ein Beispiel von vielen. Auch in Deutschland gibt es nahezu täglich Angriffe auf die Infrastruktur. Laut des Branchenverbandes Bitkom verliert allein die deutsche Wirtschaft jährlich 267 Milliarden Euro durch Cyberangriffe, Sabotage oder Spionage.

Dabei entstehen die meisten Schäden nicht bei den großen Betreibern der kritischen Infrastruktur wie zum Beispiel Energie- oder Telekommunikationsdienstleistern. Experten für Cybersecurity sehen das größte Risiko beim Mittelstand. Christian Dörr vom Potsdamer Hasso-Plattner-Institut sagt:

Da gebe es erheblichen Nachholbedarf, schließlich sei der Mittelstand das Rückgrat unserer Wirtschaft.

Ein Grund für den fehlenden Schutz in kleineren Unternehmen könnte ein fehlender rechtlicher Rahmen sein, der den gestiegenen Herausforderungen gerecht wird. Bislang hat die Politik die Vorgaben zum Schutz der kritischen Infrastruktur nicht erweitert. Das so genannte KRITIS-Dachgesetz soll Betreiber von Energienetzen, Flughäfen oder Krankenhäusern zu stärkerem Schutz verpflichten. Dabei geht es unter anderem um Meldepflichten, Schulung des Personals und Krisenmanagement.

Laut den Vorgaben der EU hätte das neue Gesetz spätestens im Oktober 2024 in Kraft treten müssen. Doch der Gesetzentwurf wurde erst im November im Kabinett verabschiedet und bekam nach dem Ampel-Aus keine Mehrheit mehr im Bundestag.

Auch die neue NIS-2-Richtlinie der EU müsste längst in Deutschland umgesetzt sein. Sie wird über 29.000 Unternehmen in Deutschland dazu verpflichten, sich besser gegen Cyberangriffe zu schützen. Sie müssen dabei auch sicherstellen, dass Lieferanten, die nicht direkt von der Richtlinie betroffen sind, die neuen Sicherheitsstandards einhalten, vor allem, wenn ihre Netzwerke miteinander verbunden sind. Unternehmen, die sich nicht daran halten, drohen Bußgelder.

Neben den neuen politischen Rahmenbedingungen setzen die EU und die Nato auf Abschreckung. Um zum Beispiel Unterseekabel zu schützen, patrouillieren im Rahmen der Mission "Baltic Sentry" seit diesem Jahr mehr Schiffe in der Ostsee und kontrollieren verdächtige Ziele. Unterstützt werden sie durch Flugzeuge und Satelliten. Künftig soll moderne Technologie eine größere Rolle spielen - darunter Marinedrohnen und eine neue Nato-Einrichtung: das Maritime Centre for the Security of Critical Undersea Infrastructure.

Auch die Betreiber von Unterseekabeln rüsten auf, um Bedrohungen frühzeitig zu erkennen und mögliche Schäden schneller lokalisieren zu können. Viele nutzen dabei die Technik eines deutschen mittelständischen Unternehmens. AP Sensing baut als einziger Hersteller in Deutschland Messgeräte, die Veränderungen am Kabel fühl- und hörbar machen. Sie verwenden die in den Kabeln verbauten Glasfasern als Sensoren. Diese sind so präzise, dass sie in Echtzeit erkennen, ob sich ein Anker, Taucher oder U-Boot den Unterseekabeln nähert.

Alexander Eschment berichtet aus den ZDF-Studios in Potsdam und Berlin.