Schutz von KRITIS gegen physische Angriffe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

Vorbemerkung

1 Einleitung
1.1 Problemstellung
1.2 Zentrale Fragestellungen
1.3 Aufbau und Konzeption

2 Theoretischer Hintergrund
2.1 Begriff der „Kritischen Infrastruktur (KRITIS)“
2.2 Segmentierung und Identifizierung Kritischer Infrastrukturen
2.3 Begriffe im Kontext des Schutzes Kritischer Infrastrukturen
2.3.1 Interdependenz
2.3.2 Schutzziel
2.3.3 Sicherheitsmaßnahme
2.4 Staatlicher Schutz Kritischer Infrastrukturen
2.5 Staatliche Empfehlungen gegen das Eindringen Unbefugter
2.5.1 Basisschutzempfehlungen
2.5.2 Empfehlungen zum Risiko- und Krisenmanagement
2.5.3 Vulnerabilität Kritischer Infrastrukturen
2.5.4 Stand der Forschung zu den Empfehlungen

3 Methodisches Vorgehen
3.1 Formulierung der Fragestellungen
3.2 Literaturrecherche
3.3 Literaturselektion und -extraktion
3.4 Datenanalyse

4 Darstellung und Interpretation der Ergebnisse
4.1 Erhobene Sicherheitsstandards gegen das Eindringen Unbefugter
4.1.1 Schutzzonen
4.1.2 Der Eindringtat präventiv vorbeugen
4.1.3 Die Eindringtat behindern
4.1.4 Die Eindringtat detektieren
4.1.5 Zutritts-, Zufahrtsberechtigung und Detektionsalarm verifizieren
4.1.6 Gegen den Eindringversuch intervenieren
4.1.7 Das Sicherheitsereignis dokumentieren
4.1.8 Erste Erkenntnisse zu den Sicherheitsstandards
4.2 Möglichkeiten und Grenzen der Operationalisierung
4.2.1 Prävention
4.2.2 Behinderung und Verifikation von Zutritts-, Zufahrtsberechtigung
4.2.3 Detektion und Verifikation von Alarmursachen
4.2.4 Intervention und Dokumentation von Ereignissen
4.2.5 Operationalisierung nach Gruppenebenen
4.3 Weitere Synergien und externe Akteure

5 Diskussion
5.1 Zusammenfassung und Einordnung der Ergebnisse
5.2 Limitationen und Methodenreflexion dieser Forschung
5.3 Implikationen für die weiterführende Forschung und Praxis

6 Fazit

Literaturverzeichnis

Anhang
Anhang 1: Identifizierung kritischer Stromerzeugungsanlagen (Anhang 1 KritisV [8])
Anhang 2: Typen von Schutzzielen [38, S. 161]
Anhang 3: Cybersicherheitspflichten
Anhang 4: Gefährdungstabelle [11, S. 27]
Anhang 5: Kodierleitfaden (eigene Darstellung in Anlehnung an [83])

Abbildungsverzeichnis

Abb. 1: KRITIS – Sektoren und Branchen (eigene Darstellung in Anlehnung an [25])

Abb. 2: Operationalisierung von Schutzzielen (eigene Darstellung)

Abb. 3: Ablaufdiagramm der Literaturarbeit (eigene Darstellung in Anlehnung an [85])

Abb. 4: Schutzzonengrenzen und -übergänge im idealisierten Modell (eigene Darstellung in Anlehnung an [90])

Abb. 5: Schutzzonengrenzen und -übergänge im alternativen Modell (eigene Darstellung)

Abb. 6: Detektionslinen und -flächen im idealisierten Modell (eigene Darstellung in Anlehnung an [90])

Tabellenverzeichnis

Tab. 1: Ausschnitt aus der Kritisverordnung (eigene Darstellung nach Anhang 5 Teil 3 [8])

Tab. 2: Publikationsformen von Schutzzielen (eigene Darstellung in Anlehnung an [37])

Tab. 3: Anzahl der potenziellen Quellen (eigene Darstellung)

Tab. 4: Auswahl und Einordung der Literatur (eigene Darstellung)

Abkürzungsverzeichnis

BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

BMI Bundesministerium des Innern, für Bau und Heimat

BSI Bundesamt für Sicherheit in der Informationstechnik

BSIG BSI-Gesetz

BSI-KritisV BSI-Kritisverordnung

EnWG Energiewirtschaftsgesetz

IT Informationstechnik

KRITIS Kritische Infrastruktur(en)

Vorbemerkung

In der Arbeit wird zur Erleichterung der Lesbarkeit die männliche Anredeform verwendet. Es versteht sich im Sinne der Gleichberechtigung der Geschlechter von selbst, dass dabei auch die weibliche und geschlechterneutrale Ansprache inbegriffen ist.

1 Einleitung

„Wir brauchen einen zuverlässigen Schutz kritischer Infrastrukturen, weil unser Wohlstand, unsere Freiheit und Sicherheit in zunehmendem Maße davon abhängig sind“ [1, S. 21].

Dieser einprägsame Satz von Wolfgang Schäuble fasst die Bedeutung von Kritischen Infrastrukturen (Akronym: KRITIS) und deren Schutz in ihrem Kern zusammen. Gleichzeitig ist die aktuelle Bedrohungslage von KRITIS vielfältig. So schrieb der Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) Christoph Unger zusammenfassend in dem 2020 veröffentlichten Rückblick zum deutschen KRITIS-Schutz, Deutschland stünde „[...] angesichts terroristischer und hybrider Bedrohungen, klimatischer Veränderungen oder systemischer Komplexitätssteigerungen nicht zuletzt im Zuge der Digitalisierung [...] vor großen Herausforderungen [...]“ [2, S. 6].

1.1 Problemstellung

Laut des ehemaligen Bundesministers des Innern Dr. Friedrich werden ein Großteil (ca. 80 %) der deutschen KRITIS von privaten oder privatisierten Unternehmen betrieben [3]. In diesen Fällen tragen primär die KRITIS bzw. ihre Betreiber die Verantwortung für den Schutz selbst [4], [5]. Dennoch wird die Gewährleistung des KRITIS-Schutzes als „[...] Kernaufgabe staatlicher und unternehmerischer Sicherheitsvorsorge und [als] zentrales Thema der Sicherheitspolitik [...]“ [4, S. 9] Deutschlands verstanden. Der Staat fungiert hauptsächlich als unterstützendes Organ und reguliert nur an wenigen Stellen [4]. Rechtsgrundlagen wie das BSI-Gesetz [6], das IT-Sicherheitsgesetz 2.0 [7] oder die BSI-Kritisverordnung [8], „[...] formulieren teilweise abstrakte Zielsetzungen, schreiben Befugnisse von Behörden fest oder machen konkrete Vorgaben für Betreiber“ [9, S. 41] zum Schutz informationstechnischer Systeme. Ein Gesetz zum physischen KRITIS-Schutz oder ein allgemeines KRITIS-Gesetz gibt es hingegen nicht [9].

Durch Kooperation zwischen den öffentlichen und privaten Akteuren sollen KRITIS dennoch ganzheitlich, also auch physisch geschützt werden [4]. So haben das Bundesministerium des Innern (BMI), das BBK und das Bundeskriminalamt in Zusammenarbeit mit privaten Akteuren bereits im Jahr 2005 Empfehlungen zur Objektsicherheit¹ Kritischer Infrastruktur-Einrichtungen ausgearbeitet [11]. Im Basisschutzkonzept „[...] als grundlegende Handlungsempfehlung für den physischen Schutz Kritischer Infrastrukturen [...]“ [4, S. 14] wurde der Schutz vor dem unbefugten Eindringen ² in „Kernschutzzielen“³ für KRITIS beschrieben [11, S. 21]. Dem Basisschutzkonzept zufolge ist die Erfüllung dieses Schutzziels und die Umsetzung der dazu empfohlenen Methoden eine unternehmerische Aufgabe [11]. Laut Wiater verdeutlicht die staatliche Übertragung derartiger Aufgaben an die privaten Betreiber, „[...] dass die Konkretisierung des ‚gewollten und akzeptablen Schutzniveaus‘ kritischer Infrastrukturen kaum verallgemeinerbar ist“ [12, S. 274]. Die KRITIS-Strategie aus dem Jahr 2009 beschreibt hingegen, dass die „[...] Konkretisierung der Schutzziele unter Einbeziehung vorhandener Schutzmaßnahmen [...] und gegebenenfalls Ableitung weiterer Maßnahmen zur Zielerreichung [...]“ [4, S. 14] vorrangig durch den Staat und erst die Maßnahmen selbst durch die Betreiber umzusetzen sind.

Obwohl Schutzziele – wie der Schutz vor dem Eindringen Unbefugter – deren Konkretisierung und daraus abzuleitende Maßnahmen im physischen KRITIS-Schutz von entscheidender Bedeutung sind [12], [13], ist Uneinigkeit darüber zu erkennen, welche Akteure bei der jeweiligen Bestimmung und Umsetzung beteiligt sein sollten. Ein aktuelles Forschungsprojekt namens DESKRIS ⁴ ergab, dass die Einbeziehung von wissenschaftlichen, politischen, behördlichen und privaten Akteuren zur Aushandlung und Konkretisierung von Schutzzielen im Bevölkerungsschutz zu empfehlen sei [14]. Im Bereich der Cybersicherheit konnten jedoch bereits einige Gruppen von KRITIS-Betreibern branchenspezifische Sicherheitsstandards in Zusammenarbeit ausarbeiten [12]. Ob derartige Kooperationen auch in der Objektsicherheit zu kollektiven Lösungen führen, scheint nicht abschließend geklärt zu sein. Unklar ist auch, wie konkret allgemeingültige Sicherheitsstandards zum Eindringschutz für ganze Gruppen Kritischer Infrastrukturen sein können.

1.2 Zentrale Fragestellungen

Anhand des beschriebenen Schutzziels soll in der vorliegenden Arbeit analysiert werden, ob sich in Kooperation allgemeingültige Sicherheitsstandards gegen das Eindringen Unbefugter für eine Gruppe (z. B. einer Branche) KRITIS bestimmen lassen. Da Sicherheitsstandards sich – z. B. in Form von allgemeinen Schutzzielen, konkreten Schutzzielen oder Schutzmaßnahmen – in ihrer Detailtiefe und Akteursbeteiligung unterscheiden können, müssen bei der Analyse verschiedene Ebenen berücksichtigt werden. Darüber hinaus sollen weitere Synergien im Hinblick auf die Objektsicherheit begründet dargelegt werden.

Die folgenden Fragestellungen führen durch diese Arbeit:

a) Auf welchen Ebenen ⁵ können für Gruppen Kritischer Infrastrukturen allgemeingültige Sicherheitsstandards gegen das Eindringen Unbefugter festgelegt werden?
b) Gibt es darüber hinaus Möglichkeiten zu Synergien und Kooperationen, die zur Objektsicherheit Kritischer Infrastrukturen beitragen?

1.3 Aufbau und Konzeption

Einführend werden im Kapitel 2 wichtige theoretische Grundlagen im Kontext des Forschungsthemas der vorliegenden Arbeit dargelegt. Zunächst werden Kritische Infrastrukturen erörtert, indem neben dem Begriffsverständnis aufgezeigt wird, welche Unternehmen im Allgemeinen und exemplarisch im Konkreten darunter einzuordnen sind. Darüber hinaus wird die Bedeutung des gemeinsamen Schutzes anhand der Interdependenz – einer inhärenten Eigenschaft von KRITIS – verdeutlicht. Wie ein einheitliches Schutzniveau in Form von unterschiedlich differenzierten Sicherheitsstandards angestrebt werden kann, wird durch das theoretische Verständnis sowie die Abgrenzung von Schutzzielen und Sicherheitsmaßnahmen verdeutlicht. Anschließend wird herausgestellt, inwieweit der Schutz Kritischer Infrastrukturen grundsätzlich und speziell gegen das Eindringen Unbefugter staatlich gefordert und gefördert wird, um politische Möglichkeiten und die aktuelle Ausgangssituation für KRITIS-Betreiber offenzulegen. Wissenschaftliche Einschätzungen dazu und eine kurze Zusammenfassung der Ausgangslage zur Sekundärforschung dieser Arbeit bilden den Abschluss des zweiten Kapitels. Kapitel 3 stellt – im Sinne der Reproduzierbarkeit der Forschung – das methodische Vorgehen transparent dar. Eng gefasste Regeln sollen dabei die Validität der systematischen Literaturrecherche und anschließenden qualitativen, inhaltlich strukturierenden Textanalyse verdeutlichen. Die Ergebnisse, deren Zusammenhänge und Interpretationen werden hinsichtlich der Forschungsfragen in Kapitel 4 übersichtlich dargestellt. In Kapitel 5 folgt eine Diskussion der Ergebnisse, bevor das Fazit in Kapitel 6 den Abschluss der Thesis bildet.

2 Theoretischer Hintergrund

Dieses Kapitel ist eine grundlegende Hinführung zur Beantwortung der Forschungsfragen. Es dient dazu, den Gegenstand der vorliegenden Arbeit zu skizzieren, ein einheitliches Verständnis von Begriffen zu erzeugen, den Stand der Forschung und rechtliche Grundlagen des physischen KRITIS-Schutzes in Deutschland zu vermitteln.

Zunächst bedarf es einer Erklärung des primär „politisch-administrativen“ [15, S. 7] Begriffs „Kritische Infrastruktur“. Er leitet sich im Deutschen ursprünglich von dem englischsprachigen Begriff „[...] ‚critical infrastructure‘ [ab], wie er in den USA seit 1996 durch staatliche Aktivitäten geprägt wurde“ [16]. Der Begriff ist in der geistes-, natur- und ingenieurwissenschaftlichen Literatur wie z. B. in der „Governance-, Katastrophen-, Krisen-, Notfall-, Risiko- und Sicherheitsforschung“ [16] verbreitet.

2.1 Begriff der „Kritischen Infrastruktur (KRITIS)“

Infrastrukturen werden im Allgemeinen vor allem als physische Bauwerke und technische Elemente mit fundamentaler Bedeutung für die Wirtschaft und Gesellschaft, verstanden [17]. Ist eine Infrastruktur unmittelbar an der Bereitstellung einer kritischen Dienstleistung beteiligt, so spricht man von einer Kritischen Infrastruktur. „ Kritische Dienstleistungen (kDL) sind Dienstleistungen zur Versorgung der Allgemeinheit, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“ [18, S. 5]. Somit leitet sich das Adjektiv „kritisch“ in diesem Kontext von der „Kritikalität“ ab, welche ein hohes Maß an Bedeutsamkeit sowie eine starke Abhängigkeit (von) der Infrastruktur [4, S. 5], [16] kennzeichnet. So werden KRITIS in der politischen Praxis Deutschlands wie folgt definiert [12, S. 20]:

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ [4, S. 3], [19].

Gesetzliche Erwähnung findet der Begriff in Deutschland erstmals 2008 im Raumordnungsgesetz (§2 Abs.2 Nr.3 S.4 [20]). Doch erst später wurde der Begriff, zunächst allgemeiner als „Infrastrukturen, bei deren Ausfall die Versorgung der Bevölkerung erheblich beeinträchtigt wird“ (§17 Abs.1 Nr.3 [21]) und anschließend differenzierter beschrieben. So werden KRITIS in den neueren Beschlüssen nicht nur als kritische Einrichtungen verstanden, sondern auch als kritische „Anlage oder Teile davon“ (§2 Abs.10 S.1 [6]). Auf europäischer Ebene zählen zusätzlich „Systeme oder Teile davon“ dazu (Art. 2a [22]). Außerdem akzentuiert die Europäische Union – neben dem staatlichen Gemeinwesen – die Gesundheit, die Sicherheit sowie das wirtschaftliche und soziale Wohlergehen der Bevölkerung als wichtiges Schutzgut (Art. 2a [22]).

Der Begriff Kritische Infrastruktur kann somit die kritische Einrichtung oder Organisation im gesamten oder auch nur einen Teil, z. B. eine kritische Anlage innerhalb der Einrichtung oder Organisation beschreiben. Mit eigenen Worten ausgedrückt, bestehen KRITIS aus mindestens einer physischen Funktionseinheit, dessen Störung oder Ausfall weitreichende negative Auswirkungen auf das Leben einer großen⁶ Menschengruppe haben kann. Die negativen Auswirkungen können dabei gesundheitlicher, sozialer und wirtschaftlicher Art sein. Sie können im unmittelbaren zeitlichen Zusammenhang mit der Störung oder dem Ausfall eintreten und sich nachhaltig auswirken.

Die nachfolgenden Gruppierungen von KRITIS in verschiedene Ebenen kann dabei helfen, den zunächst abstrakten Begriff „Kritische Infrastruktur“ zu operationalisieren. Zudem wird die politische Gruppierung KRITIS zur gezielten (literarischen) Informierung und Verständigung zwischen verschiedenen Akteuren des KRITIS-Schutzes genutzt, z.B. [23], [24].

2.2 Segmentierung und Identifizierung Kritischer Infrastrukturen

Mit der Änderung des BSI-Gesetzes (BSIG) von 2015 wird anhand von Sektoren beschrieben, welche Organisationen als KRITIS einzustufen sind (§2 Abs.10 Nr.1 [6]). Folgende Sektoren sind im BSIG beschrieben: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie – seit der Novellierung im Jahr 2021 – die Siedlungsabfallentsorgung. Gemäß dem BBK wurde letzteres noch nicht in der Bund-Länder-Arbeitsgemeinschaft abgestimmt, stattdessen werden dort zusätzlich die Sektoren Medien und Kultur sowie Staat und Verwaltung genannt [25]. Die Sektoren können weiter in Branchen differenziert werden (Abb. 1). Der Sektor Siedlungsabfallentsorgung wurde nicht in verschiedene Branchen gegliedert und derzeit noch nicht in die BSI-KritisV integriert. „Die Anlagen, Schwellenwerte und Fristen werden 2022 vom Bund noch in einer neuen KRITIS-Verordnung 2.0 festgelegt“ [26]. Nach dem BBK sind künftig alle zehn Sektoren und dessen Branchen bei der Betrachtung KRITIS zu berücksichtigen [25], [27].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: KRITIS – Sektoren und Branchen (eigene Darstellung in Anlehnung an [25])

Die BSI-Kritisverordnung unterteilt die im BSI-Gesetz beschriebenen Sektoren tabellarisch in kritische Dienstleistungen, die in Anlagenkategorien sowie weiter in Ober- und teilweise in Unterkategorien gegliedert sind (Anhang 1-7 Teil 3 [8]). Wie der nachfolgende Ausschnitt aus der Kritisverordnung verdeutlicht (Tab. 1: Ausschnitt aus der Kritisverordnung (eigene Darstellung nach Anhang 5 Teil 3 [8])), ist die Segmentierung mithilfe von Anlagen/Systemen bzw. Gebäuden deutlich differenzierter als die Einteilung in Branchen (Abb. 1). Für die unterste Ebene der Kategorien sind Schwellenwerte festgelegt (Tab. 1 Spalte D). Der Schwellenwert dient als Vergleichswert zur Identifizierung als KRITIS. Die Berechnungsformel der Schwellenwerte ist transparent dargestellt (S. XV Anhang 1).

Tab. 1: Ausschnitt aus der Kritisverordnung (eigene Darstellung nach Anhang 5 Teil 3 [8])

Abbildung in dieser Leseprobe nicht enthalten

Zur rechtlichen Bestimmung durch den Betreiber gilt demnach: Eine Infrastruktur kann eindeutig als KRITIS bestimmt werden, wenn sie einem kritischen Sektor gemäß § 2 Abs. 10 Nr. 1 BSIG zuzuordnen ist und Einrichtungen, Anlagen oder Teile davon betreibt, die kritische Dienstleistungen übernehmen [6]. Die Dienstleistungen sind als kritisch einzuordnen, wenn ihr Versorgungsgrad den zugehörigen Schwellenwert erreicht oder überschreitet. Liegen mehrere Anlagen derselben Art auf demselben Betriebsgelände⁷, sind sie mit gemeinsamen Betriebseinrichtungen verbunden, dienen sie einem vergleichbaren technischen Zweck und stehen sie unter gemeinsamer Leitung, so kann ihr Versorgungsgrad summiert werden (Anhang 1-7 Teil 1 Abs.6 [8]).

„Bisweilen ist nicht davon auszugehen, dass kritische Infrastrukturen außerhalb des vom IT-Sicherheitsgesetz definierten Rahmens bereits flächendeckend in einem formellen Verfahren identifiziert wurden“ [28, S. 580]. Daher fokussiert sich die vorliegende Arbeit auf die hier vorgestellten Gliederungen.

2.3 Begriffe im Kontext des Schutzes Kritischer Infrastrukturen

Durch die Bestimmung verschiedener Schlüsselbegriffe im Kontext KRITIS kann ein allgemeines Verständnis über die Bedeutung und Theorie des (physischen) KRITIS-Schutzes erlangt werden. Im Nachfolgenden wird dargelegt, warum es sinnvoll sein kann, den KRITIS-Schutz mithilfe gemeinsamer Sicherheitsstandards zu stärken und wie Sicherheitsstandards beschrieben werden können.

2.3.1 Interdependenz

Die „Interdependenz“ als wichtige Eigenschaft Kritischer Infrastrukturen [29] ist ein interdisziplinärer bildungssprachlicher Begriff mit einheitlicher Bedeutung [29]. Im akademischen KRITIS-Kontext konnte der Begriff jedoch in verschiedenen Dimensionen erfasst werden [31], [17], [12].

Eine gegenseitige Abhängigkeit zwischen KRITIS nennt man Interdependenz [29]. Die bisherigen Untersuchungen zu Interdependenzen zwischen KRITIS verdeutlichen, dass jeder KRITIS-Sektor als ein Teil eines Geflechtes aus der Vernetzung vieler verschiedener Sektoren gesehen werden kann [17]. Durch die fortschreitende Digitalisierung und Globalisierung von Unternehmen entstehen immer mehr Abhängigkeiten zwischen KRITIS [9]. Ein gutes Verständnis über die gegenseitigen Abhängigkeiten bietet die Betrachtung verschiedener Dimensionen von Abhängigkeiten nach Steven M. Rinaldi, James P. Peerenboom und Terrence K. Kelly [31, S. 11–25], [17, S. 17], [12, S. 22]: „Physische Interdependenzen“ bestehen, wenn zwei Infrastrukturen Produkte des jeweiligen anderen benötigen, um zu funktionieren (Bsp.: Güterverkehr benötigt Strom aus Kohlekraftwerk, welches über den Güterverkehr transportierte Kohle benötigt); „Cyber-Interdependenzen“ bestehen durch die Abhängigkeit von bereitgestellten Daten und Informationen; „geographische Interdependenzen“ können durch räumliche Nähe entstehen, wenn ein lokales Ereignis (z. B. Großbrand, Explosion, Überflutung) mehrere Infrastrukturen gleichzeitig betrifft; „logische Interdependenzen“ meint Abhängigkeiten ohne physische, informationstechnische und geographische Einflüsse anderer Infrastrukturen (z. B. menschliche Fehlentscheidungen). Riegel unterscheidet darüber hinaus verschiedene Arten von möglichen Ausfällen, die durch Interdependenzen verursacht werden können [18, S. 17]:

- kaskadierend, wenn ein Ausfall in einer Infrastruktur aufgrund einer Störung in einer vorgelagerten Infrastruktur stattfindet (z.B. Naturereignis à Stromausfall à Verkehrsstörungen),
- eskalierend, wenn eine Störung in einer Infrastruktur eine unabhängige Störung in einer anderen Infrastruktur verschlimmert, sowie als
- ursachengleich, wenn zwei oder mehr Infrastrukturnetzwerke aufgrund einer gemeinsamen Ursache gemeinsam ausfallen.

Die Interdependenzen zwischen KRITIS können demnach sehr vielfältig sein und den KRITIS-Schutz erschweren. Dies zeigt sich auch in aktuellen praktischen Erfahrungen. Das Hochwasserereignis im vergangenen Juli 2021 in Nordrhein-Westfalen und Rheinland-Pfalz verdeutlicht, welche katastrophalen Auswirkungen durch ein einzelnes Ereignis verursacht und durch Interdependenz-Effekte verschlimmert werden können. Große Teile der westdeutschen Bahn- und Straßen-Verkehrsinfrastruktur waren mehrere Tage lang beeinträchtigt oder gesperrt [33]. So war auch die Zufahrt in die betroffenen Gebiete zur Wiederherstellung der Infrastruktur erschwert [34]. Zudem kam es beispielsweise im Ahrtal zum Zusammenbruch der Trinkwasser- und Stromversorgung [33]. Durch den Ausfall der Stromversorgung waren auch die Telefon- und Mobilfunknetze stark eingeschränkt [33], wodurch sich wiederum die Suche nach Vermissten und weitere Hilfearbeiten erschwerten [35]. Insgesamt kam es dem Hochwasserbericht der CEDIM FDA Group zufolge zu über 170 Todesopfern, 823 Verletzten und schätzungsweise zu einem Gesamtschaden von ca. 11 bis 29 Mrd. € [33].

Nicht nur große Naturereignisse können dramatische branchenübergreifende Folgen verursachen, in komplexen Systemen können schon kleinere Störungen ausreichen [29]. Denkbar ist, dass diese beabsichtigt – durch einen Eingriff eines Menschen – hervorgerufen werden können. Auch die brancheninterne Vernetzung nimmt laut dem BMI „[...] an Größe und Komplexität zu. Es bilden sich Knotenpunkte aus, die neuralgische Punkte darstellen und deren Beeinträchtigung zu regionalen, überregionalen, landesweiten oder gar weltweiten Ausfällen führen“ [29, S. 10]. Durch Interdependenzen kann ein Ereignis mehrere Unternehmen betreffen. So kann es auch für große Konzerne von Interesse sein, die Schadensanfälligkeit von externen Infrastrukturen z. B. durch eine Zusammenarbeit präventiv zu reduzieren. Durch ihre Vernetzung und Abhängigkeit, insbesondere im Bereich der Informationstechnik oder im Bereich von Lieferketten, steigt die Bedeutung der Widerstandsfähigkeit – sog. Resilienz [36] – kleiner und mittelständischer Unternehmen [12]. Demnach kann es unabhängig von der Größe und Komplexität KRITIS im gemeinsamen Interesse der Verantwortlichen liegen, sich gegenseitig in den Sicherheitsaufgaben zu unterstützen, um ein hohes Schutzniveau gegen Angriffe zu erreichen. Wie das Schutzniveau mithilfe von Schutzzielen festgelegt werden kann, wird im Nachfolgenden erörtert.

2.3.2 Schutzziel

Der Begriff „Schutzziel“ wird in der Literatur unterschiedlich definiert. Die Definitionen beschreiben „[...] jedoch alle einen herbeizuführenden Mindeststandard eines Schutzgutes [...]“ [37, S. 50]. In Bezug auf den KRITIS-Schutz gegen das Eindringen Unbefugter (als Mindeststandard) können die Schutzgüter das gesamte Betriebsgelände bzw. das Gebäudevorfeld, das Gebäude einer KRITIS-Einrichtung oder kritische Bereiche innerhalb des Gebäudes bzw. die Kritische Infrastruktur z. B. in Form einer Anlage⁸ sein [11]. Unabhängig davon können durch Erreichen des Schutzziels die Menschen innerhalb (z. B. Unversehrtheit am Arbeitsplatz) und außerhalb (z. B. Aufrechterhaltung der Versorgungssicherheit) der KRITIS-Einrichtung geschützt und somit als Schutzgut betrachtet werden [38].

Nach dem BBK ist ein Schutzziel ein „[a]ngestrebter Zustand eines [...] Schutzguts, der bei einem Ereignis [wie dem Eindringversuch] erhalten bleiben soll“ [39]. Demnach ist der Schutz vor dem unbefugten Eindringtäter auch als Soll-Zustand der Sicherheit zu verstehen. Ist dieser Soll-Zustand noch nicht erreicht, handelt es sich nach Hartmann, Schuchard und Gerhold um eine angestrebte Zielvorstellung. Betrachtet man hingegen den Ist-Zustand, spricht man von dem (gegenwärtigen) Schutzniveau [37]. Das Schweizerische Bundesamt für Bevölkerungsschutz (BABS) definiert das Schutzziel dementsprechend als „[...] das Niveau an Sicherheit, das bestimmte Verantwortungsträger in ihrem Verantwortungsbereich grundsätzlich anstreben“ [40, S. 24]. Sinngemäß wird die Bedeutung des Schutzziels nach dem BBK und BABS auch in der Definition weiterer Begriffe⁹ wiedergegeben [37, S. 51f]. Diese Synonyme werden, nach der Prüfung ihrer Relevanz in Bezug auf den Eindringschutz, im Forschungsteil dieser Arbeit berücksichtigt.

Einen Überblick über das vielseitige Querschnittsthema – Schutzziele im Kontext der Unternehmenssicherheit¹⁰ – bietet die Typisierung nach Von zur Mühlen. Nachfolgend werden die vier wesentlichen Kategorien von allgemeinen Schutzzielen beschrieben [38], welche im Anhang 1 (ohne abschließenden Charakter) weiter differenziert werden. Das in dieser Arbeit betrachtete Schutzziel ist der vierten Kategorie untergeordnet und wird unter dem Begriff „Intrusionsschutz“ gefasst.

1. Übergeordnete Schutzziele:
Können einen selbstverständlichen, allgemeingültigen Charakter haben (z. B. die Verfügbarkeit KRITIS oder die Personensicherheit).
2. Logische Schutzziele:
Haben immaterielle Verfügbarkeitsziele (z. B. Daten- und Informationsschutz oder Imageschutz).
3. Sicherheitsverantwortung gegenüber Dritten:
(z. B. Kunden, Lieferanten, Öffentlichkeit).
4. Ereignisorientierte Schutzziele:
Betrachtet die Sicherheit in Bezug auf bestimmte Szenarien oder Ereignisse (z. B. Brandschutz, Wasserschutz oder Intrusionsschutz) [38].

Schutzziele können im allgemeinen Sicherheitskontext auf unterschiedlichen Motivationen und Verbindlichkeiten basieren. Das angestrebte Sicherheitsniveau Kritischer Infrastrukturen kann sowohl von den internen als auch von externen Verantwortungsträgern festgelegt sein (Tab. 2). Schutzziele sind auf verschiedenen fachlichen und sachlichen Ebenen des KRITIS-Schutzes von bedeutender Relevanz. Der Bindungsgrad¹¹ [37] und die Relevanz von Schutzzielen spiegelt sich in den verschiedenen Publikationsformen wider [37].

Tab. 2: Publikationsformen von Schutzzielen (eigene Darstellung in Anlehnung an [37])

Abbildung in dieser Leseprobe nicht enthalten

Die folgenden zwei Beispiele zeigen, dass sich Schutzziele innerhalb der Ebenen zusätzlich in ihrem Abstraktionsniveau unterscheiden können [37].

1. Zum Schutz von (tele-)kommunikations- oder informationstechnischen Systemen werden die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit als Schutzziele betitelt (§7c Abs.2 [6]).
2. Als ein Schutziel von Krankenhäusern gilt, dass die Notstromversorgung durch Sicherheitsstromversorgungsanlagen mindestens drei Stunden bei einer maximalen Unterbrechungszeit von 15 Sekunden gewährleistet sein muss [37], (§10 Abs.2 Nr.2 [42]).

Beide Beispiele beschreiben verpflichtende Schutzziele innerhalb der Gesetzgebung, jedoch ist das Schutzziel im zweiten Beispiel deutlich spezifischer formuliert. In der Literatur wird daher häufig zwischen strategischen (Beispiel 1) und operationalisierten (Beispiel 2) Schutzzielen unterschieden [37], wobei die genaue Bedeutung der Begriffe nicht einheitlich definiert ist [43]. Einigkeit lässt sich jedoch darin erkennen, dass strategische Schutzziele als übergeordnete Zielsetzungen alleine nicht ausreichen, um Maßnahmen zu bestimmen [44]. Strategische Schutzziele sind vielmehr als Richtungsweiser und als Komponente der Vorplanung zu verstehen oder um Lösungsräume zu schaffen [29]. Ferner lassen sich strategische Schutzziele operationalisieren, um schließlich Maßnahmen ableiten zu können [45]. Methoden der Risikoanalyse können diesen Prozess anleiten und unterstützen [46], [29]. Es gibt jedoch verschiedene Vorstellungen davon, wie operationalisierte Schutzziele ausformuliert werden [37]. Ein populärer Ansatz im Bevölkerungsschutz ist es, Zuständigkeiten und Schwellenwerte zu bestimmen. Durch die Quantifizierung mittels eines Soll-Wertes kann das Erreichen des Schutzziels gemessen und überprüft werden [37]. Unklar ist jedoch die Notwendigkeit von Schwellenwerten im Kontext spezieller Sicherheitsaufgaben wie der Objektsicherheit. Die folgenden operationalisierten Schutzziele zeigen exemplarisch, dass die Festlegung von Soll-Werten in der Objektsicherheit sinnvoll sein kann, aber keine Zwangsläufigkeit darstellt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Operationalisierung von Schutzzielen (eigene Darstellung)

Viel entscheidender als die Quantifizierung mittels Zahlenwerten ist, dass operationalisierte Schutzziele möglichst exakt definiert sein müssen [47] und trotzdem das Ergebnis (die Maßnahme) nicht vorwegnehmen dürfen, um letztendlich ein günstiges Kosten-Nutzen-Verhältnis zu erzielen [38]. Der Umfang und die Qualität, um vor einer möglichen Gefahr zu schützen, wird hingegen mit der Operationalisierung gedanklich vorweggenommen und beschrieben. „Je konkreter [sie] festgelegt wird, desto effektiver und effizienter kann die Planung der [...] nötigen Maßnahmen [...] erfolgen“ [48, S. 61].

2.3.3 Sicherheitsmaßnahme

An dieser Stelle soll erwähnt sein, dass die „Maßnahme“ in ihrem Begriffsverständnis in dieser Arbeit von dem Schutzziel oder dessen Operationalisierung abzugrenzen ist. Der Begriff wird in der Literatur unterschiedlich aufgefasst. So werden z. B. ganze Systeme [11] oder auch konkrete Bestandteile eines Systems mit qualitativer Beschreibung als Maßnahme gefasst [49]. Das folgende Beispiel veranschaulicht, wie die Sicherheitsmaßnahme im Rahmen dieser Arbeit verstanden wird.

Die Sicherheitsmaßnahme soll zur Erreichung eines Schutzziels beitragen und daher so konkret wie möglich in ihren baulichen, technischen und organisatorisch-personellen Lösungen beschrieben werden [11]. Soll beispielsweise nur ein definierter Personenkreis einen bestimmten Sicherheitsbereich in einem bestimmten Zeitraum betreten dürfen, werden in der vorliegenden Arbeit beispielsweise nicht die Zutrittskontrolle oder das Zutrittskontrollsystem als Maßnahme verstanden, sondern einzelne Komponenten dessen, wie z. B. die zutrittskontrollierte Tür mit ihrer Beschreibung der Qualität. Denn die Zutrittskontrolle könnte als Maßnahme verschieden interpretiert werden. So gibt es hierfür rein mechanische oder auch technische Systeme, die unterschiedlich wirksam sind [50]. Die Beschreibung des Systems ist daher vielmehr als Oberkategorie für verschiedene Maßnahmen zu betrachten. Wird die einzelne Komponente hingegen qualitativ beschrieben, so gibt es weniger Raum zur Interpretation. Die bauliche Ausführung der Tür kann z. B. mithilfe von Normen in ihrer getesteten Widerstandsfähigkeit [51] oder der genauen Ausführung ihrer Komponenten (z. B. Vollholztür, Metallrahmen-Schließblech, Mehrfachverriegelung) beschrieben werden [49]. Technisch (z. B. Türöffner, Zutrittskontrollterminal) sowie organisatorisch-personell muss in gleicher Art und Weise genau beschrieben sein, wie der Zugang freigegeben wird [50].

2.4 Staatlicher Schutz Kritischer Infrastrukturen

Nachfolgend wird das Thema dieser Arbeit in den Gesamtkontext der Sicherheitsvorgaben für (kritische) Unternehmen eingeordnet. Dabei wird herausgestellt, in welchen Sicherheitsaufgaben der Staat formell Einfluss nimmt, um den präventiven Schutz von Unternehmen und vor allem von Kritischer Infrastrukturen aktiv mitzugestalten bzw. zu regulieren¹². Analog zur privaten Unternehmenssicherheit [52] kann der staatliche Präventivschutz (von Einrichtungen) zu diesem Zweck aus dem Blickwinkel des Dualismus von „Safety“ und „Security“ betrachtet werden [53].

Obwohl beide Begriffe mit „Sicherheit“ oder „Schutz“ übersetzt werden können, beinhalten sie dennoch unterschiedliche Begriffsverständnisse [54]. Das Themenfeld Safety beschreibt in erster Linie den Schutz des Menschen vor dem Arbeitssystem [52], [54], um ihn z. B. in seiner Arbeitsumgebung vor Unfällen, Krankheiten und vor natürlichen Einwirkungen zu schützen. Die Security steht hingegen für die Prävention vor intendierten bzw. kriminellen Handlungen [52], [54] und hat ebenfalls die Sicherheit des Menschen sowie den Funktionserhalt der Infrastruktur zum Ziel. Zusätzlich kann der Schutz weiterer Unternehmenswerte wie Sachwerte oder der Informations- und Datenschutz unter diesem Begriff gefasst werden. Daher meint die Security den Schutz vor physischen (Objektsicherheit) und virtuellen (z. B. Cybersicherheit) Angriffen [55].

Sowohl im Bereich Safety als auch im Bereich Security fördert der Staat die Unternehmenssicherheit durch verschiedene Politikinstrumente [12]. So zeigt sich anhand der Themenschwerpunkte Arbeits- und Brandschutz, dass der Staat im Bereich Safety unter anderem rechtliche Mittel anwendet, um die Sicherheit in Organisationen (unabhängig der Unternehmensart) zu erhöhen. So sind Organisationen beispielsweise durch das Arbeitsschutzgesetz [56] oder durch die jeweilige Landesbauordnung (z.B. [57]) sicherheitsrechtlich reguliert. Gemäß dem Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit hat der Arbeitgeber beispielsweise Sicherheitspersonal für bestimmte Safety-Aufgaben im Unternehmen zu bestellen (§§2-6 [58]). Die Einhaltung der Vorschriften kann durch die staatliche Gewerbeaufsicht (§22 Abs.2 [56]) oder Bauaufsichtsbehörde kontrolliert werden (§58 [57]). Außerdem werden von behördlicher Seite Technische Regeln publiziert, welche die Rechtsvorschriften weiter konkretisieren [59]. An dieser Stelle sei zu erwähnen, dass Bestimmungen aus dem Bereich Safety sich auf die Security und auch auf den Schutz vor einem Eindringtäter auswirken und dadurch besondere Lösungsansätze erforderlich werden können¹³.

Branchenübergreifende Security-Verpflichtungen für Unternehmen lassen sich unter anderem im Datenschutz erkennen [61]. Obwohl mit dem Datenschutzgesetz die Handhabung von nicht-physischen Schutzgütern – wie personenbezogene Daten –reguliert wird, gelten mit diesem Gesetz ebenfalls vereinzelte Einschränkungen, die im Objektschutz zu berücksichtigen sind¹⁴ [61]. Darüber hinaus gelten für verschiedene Unternehmensformen allgemeine Security-Anforderungen. Exemplarisch werden an dieser Stelle rechtliche Bestimmungen aufgeführt: Aktiengesellschaften haben ein Überwachungs- und ein Risikomanagementsystem einzurichten (§91 [62]). Betreiber von Störfallbetrieben haben „[...] die nach Art und Ausmaß der möglichen Gefahren erforderlichen Vorkehrungen zu treffen [...]“ (§3 Abs.1 [63]). Eingriffe Unbefugter seien dabei ebenfalls zu berücksichtigen¹⁵ (§3 Abs.2 [63]). Auch wenn KRITIS nicht explizit erwähnt werden, lassen sich in bestimmten Sektoren weitere gesetzliche Vorgaben erkennen. So besteht im Telekommunikationssektor die Betreiberpflicht, Anlagen „[...] nicht nur gegen technische Störungen und Umwelteinwirkungen, sondern auch gegen äußere Angriffe zu schützen“ [12, S. 103]. Dazu ist unter anderem ein Sicherheitsbeauftragter zu bestimmen und ein Sicherheitskonzept zu erstellen, welches von der Bundesnetzagentur überprüft werden kann (§166 [64]). Im Sektor Energie herrschen strenge Auflagen für die Atomenergiewirtschaft. Neben Schutz- und Vorsorgepflichten – hinsichtlich der Gefahrenquellen, möglicher Störmaßnahmen und Einwirkungen Dritter – sind Sicherheitsbeauftragte zu bestellen, welche Sicherheitsvorfälle den Aufsichtsbehörden zu melden haben [12, S. 103]. Darüber hinaus sind im Energiewirtschaftsgesetz (EnWG) mit Bezug auf das BSI-Gesetz für informationstechnische Systeme Security-Pflichten beschrieben. Hier werden beispielsweise Systeme zur Angriffserkennung gefordert (§11 Abs.1d [65]).

Wiater beschrieb in der im Jahr 2013 veröffentlichten Analyse zum staatlichen KRITIS-Schutz, dass gesetzliche Regularien nicht in allen KRITIS-Sektoren gleichermaßen existieren. Außerdem sei der „[...] ‚security‘-Aspekt [...] auch innerhalb eines Sektors [...] im unterschiedlichem Ausmaß gesetzlich ausgestaltet [...]“ [12, S. 103f]. Seitdem ist politische Bewegung in die Thematik Cybersicherheit gekommen. Im nationalen Recht sind Beschlüsse in Kraft getreten, welche im Zuge der europäischen „NIS-Richtlinie“ (RL 2016/11487/EU) weiter entwickelt wurden [9, S. 42]. Beschlüsse zum physischen Schutz aller KRITIS-Sektoren sind derzeit nicht verabschiedet. Auf europäischer Ebene liegt jedoch ein Vorschlag für eine Richtlinie „über die Resilienz kritischer Einrichtungen“ vor [66]. Mit dieser Richtlinie sollen die bestehenden Sektoren Europäischer Kritischer Infrastrukturen (EKI) – Energie und Verkehr – um die Sektoren Bankenwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Abwasserwirtschaft, digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt erweitert werden. In dem Presseportal der Europäischen Kommission heißt es [67]:

Die Mitgliedstaaten würden jeweils eine nationale Strategie zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen annehmen und regelmäßige Risikobewertungen durchführen.

Kritische Einrichtungen würden gemeinsamen Berichtspflichten unterliegen, einschließlich Risikobewertungen auf Ebene der Einrichtungen und Meldung von Vorfällen, und müssten technische und organisatorische Maßnahmen ergreifen, um ihre Widerstandsfähigkeit zu gewährleisten.

Bei der Bewertung der Risiken würde ein „All-Gefahren-Ansatz zu berücksichtigen sein, der unter anderem die Bedrohung durch Personen mit einschließe [67]. Ob die Richtlinie in Kraft tritt, im nationalen Recht konkretisiert wird und daraus Betreiberpflichten zum Objektschutz KRITIS oder zum Schutz vor dem Eindringen Unbefugter resultieren, ist derzeit unklar. Stand heute sind – so ist es auch im deutschen KRITIS-Rückblick von 2020 skizziert und beschrieben – lediglich „[...] einzelne Aspekte des Schutzes Kritischer Infrastrukturen in Fachgesetzen festgeschrieben [...]“ [9, S. 41].

So werden mit dem BSI-Gesetz [6] und der BSI-Kritisverordnung [8] zum Schutz Informationstechnischer Systeme KRITIS explizit benannt und sektorübergreifend reguliert (siehe Anhang 2). Das bis auf wenige Ausnahmen allgemeingültige BSIG ermöglicht dem Staat, Sicherheitsanforderungen an die informationstechnischen Systeme von KRITIS zu stellen und zu überprüfen. Beispielsweise wird als allgemeiner Standard ein System zur Angriffserkennung gefordert (§8a Abs.1a [6]). Dabei bleibt es vorrangig die Aufgabe des Betreibers, geeignete Maßnahmen zur Erfüllung dieser strategischen Schutzziele zu treffen und nachzuweisen [6].

Für den Sektor Energie werden durch das EnWG die Anforderungen an KRITIS-Betreiber durch einen IT-Sicherheitskatalog weiter spezifiziert [68]. In diesem sind konzeptionelle Strategien zur Informationssicherheit beschrieben. Für konkretere bzw. technische Maßnahmen wird an verschiedene Normen verwiesen. Die „Kernforderung des [...] Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 [...]“ [68, S. 3]. Gleichzeitig fordert die Europäische Datenschutz-Grundverordnung (DS-GVO) „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“, um „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme [...] sicherzustellen“ (Art. 32 [69]). Nach Metterhausen ist demnach abzuleiten, dass auch in diesem Kontext ein Informationssicherheits-Managementsystems (ISMS) gefordert ist [70]. Nach der DIN ISO/IEC 27001 für Informationssicherheits-Managementsysteme ist die physische Sicherheit ein wichtiger Bestandteil. Im Anhang (A) der Norm ist das Schutzziel beschrieben, unbefugte Zutritte, Beschädigungen und Beeinträchtigungen von informationsverarbeitenden Einrichtungen zu verhindern [71]. Zur Erreichung des Schutzziels sollen „Maßnahmen“ umgesetzt werden, die ebenfalls im Anhang benannt sind. Sie sind nach dem Begriffsverständnis dieser Arbeit jedoch eher als Schutzziele bzw. Operationalisierung zu verstehen. Eine Maßnahme sei es beispielsweise, Anlieferungs- und Ladebereiche zu überwachen, um den Zutritt von unbefugten Personen zu verhindern [71]. Die Maßnahmen seien in der DIN EN ISO/IEC 27002 durch Umsetzungshinweise näher erläutert. Einige Hinweise seien als Anleitung zur Umsetzung oder auch als Richtlinie zu verstehen [72]. Wie sich die darin beschriebenen Sicherheitsstandards im Sinne dieser Arbeit einordnen lassen, wird im Ergebnisteil (4.1) beschrieben. „Erneut sind es jedoch lediglich Einzelaspekte des von politischer Seite angemahnten KRITIS-Engagements betroffener Unternehmen, die in derartigen [...] Normungen verankert sind; fehlt es doch beispielsweise an einer übergreifenden KRITIS-DIN-Norm für die Gesamtheit der KRITIS-Unternehmen“ [12, S. 202].

Zusammenfassen lässt sich zu der formellen politischen Einflussnahme in Deutschland festhalten, dass die gesetzlich verpflichtende Realisierung außerhalb der Cybersicherheit nicht von der Eigenschaft eines Unternehmens als KRITIS abhängt, „[...] sondern vielmehr von [der Unternehmensform,] der Branchenzugehörigkeit und deren Regelungsdichte [...]“ [12, S. 158]. Das selbsternannte Ziel des Staates ist es, zum KRITIS-Schutz primär in Form von Kooperationen beizutragen [9]. Auf regulative Mittel soll erst zurückgegriffen werden, wenn erhebliche Sicherheitsdefizite zu erkennen sind [4, S. 13]:

Sofern erhebliche festgestellte Sicherheitsmängel in Kritischen Infrastrukturbereichen durch die freiwillige Selbstverpflichtung der Unternehmen nicht beseitigt werden oder bestehende gesetzliche Regelungen im Umfeld der Anlagen-, Netz-, Betreiber- oder Nutzersicherheit aufgrund neuer Gefahren und Risiken nicht ausreichenden Schutz bieten oder Anwendung finden, behält es sich der Bund für seinen Zuständigkeitsbereich vor, durch geänderte oder neue Rechtsetzung den Schutz der betreffenden Infrastrukturen zu optimieren.

Die bisherige Zusammenarbeit zeigt sich im Bereich der Cybersicherheit z. B. durch „UP KRITIS, eine öffentlich-private Koopera­tion zwischen Betreibern Kritischer Infrastruk­turen, deren Verbänden und den zuständigen staatlichen Stellen“ [9, S. 63]. Zum Thema Objektsicherheit wurden in Zusammenarbeit vor allem Leitfäden und Handlungshilfen erstellt und mit dem Appell zur sektorübergreifenden Umsetzung für alle KRITIS-Betreiber veröffentlicht [11], [12], [29]. Die Europäische Richtlinie „über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern“ beschreibt die Verantwortung der Mitgliedstaaten, durch ihre zuständigen Behörden den Eigentümern/Betreibern bewährte Verfahren und Methoden für den Schutz Kritischer Infrastrukturen aufzuzeigen [22].

2.5 Staatliche Empfehlungen gegen das Eindringen Unbefugter

Die Publikationen des Bundes zum KRITIS-Schutz sind grundlegend in ihrer Intention zu unterscheiden. Zum einen dienen sie dazu, die politische Strategie des deutschen KRITIS-Schutzes offenzulegen, allgemeine Zielvorstellungen zu manifestieren und für die Zusammenarbeit zwischen öffentlichen und privaten Akteuren zu werben¹⁶. Zum anderen sind sie als Umsetzungshilfe oder Leitfaden gekennzeichnet und an alle KRITIS-Betreiber adressiert. Der (physische) KRITIS-Schutz wird darin in seiner Gesamtheit betrachtet. Dennoch wird an einigen Stellen zwischen natürlichen und menschengemachten Gefahren differenziert. Nachfolgend sollen die Security-Aspekte fokussiert werden, die Schutz-Empfehlungen gegen das Eindringen¹⁷ Unbefugter beinhalten.

2.5.1 Basisschutzempfehlungen

Das Basisschutzkonzept soll den KRITIS-Betreibern „[...] als grundlegende Handlungsempfehlung für den physischen Schutz Kritischer Infrastrukturen [...]“ [4, S. 14] dienen, um die Verwundbarkeit zu reduzieren und die genannten gesetzlichen Bestimmungen (z. B. gem. AktG, StöV oder TKG) einzuhalten [11]. Mit dem Leitfaden wird ein methodisches Vorgehen empfohlen, welches durch die Betreiber umgesetzt werden soll, um anhand von Analysen das gewollte und akzeptable Schutzniveau zu ermitteln. Es orientiert sich an dem Leitfaden „Maßnahmen gegen Eingriffe Unbefugter“ der Störfallkommission [11]. Demnach werden im Basisschutzkonzept zunächst mögliche Gefährdungen und gefährdete Bereiche aufgezeigt [11]. Dabei sind verschiedene Tätergruppen zu berücksichtigen, deren Motivation und potenzielles Vorgehen in einer Gefährdungstabelle aufgeschlüsselt wird (S. XX Anhang 4). Anschließende Basisschutzempfehlungen seien als Mindestschutz zu verstehen, um den Gefährdungen entgegenzuwirken [11]. Auf Grundlage derer sollen die Unternehmen ihren Schutzbedarf analysieren und Schutzziele festlegen. Folgende wesentliche, sogenannte „Kernschutzziele“ aus dem Leitfaden wurden in dieser Arbeit zu einem übergeordnetem Schutzziel zusammengefasst und zu dem Schutz vor dem Eindringen ( bzw. Eingreifen) Unbefugter vereinfacht [11, S. 21]:

- Die Grenzen von Betriebsbereichen sind durch technische und organisatorische Maßnahmen so zu sichern, dass Unbefugte ohne Anwendung von Gewalt oder arglistige Täuschung nicht eindringen können und ein gewaltsames Eindringen in angemessener Zeit erkannt wird.
- Betriebsfremde sollten identifizierbar sein.
- Die Anlagen selbst sind so zu sichern, dass unbefugte Eingriffe ohne interne Kenntnisse und/oder technische Hilfsmittel nicht vorgenommen werden können.
Die zwei weiteren Kernschutzziele sind aus der Sicht des Autors als allgemeine Umsetzungshinweise und nicht als Schutzziele im Sinne der vorliegenden Arbeit zu verstehen [11, S. 21]:
- Finanzielle Ressourcen sollten gemäß Prioritätenlisten eingesetzt werden (integratives Sicherungsmanagement).
- Industrieparks stellen allein wegen der Vielzahl rechtlich und organisatorisch selbstständiger Betreiber besondere Anforderungen an die Sicherungsmaßnahmen. Die Angreifbarkeit gefährlicher Anlagen kann hier in der Regel nur durch gemeinsam abgestimmte Schutzziele und Maßnahmen minimiert werden. Die Auswahl geeigneter Maßnahmen erfolgt zweckmäßigerweise gemäß einer systematischen Sicherungsanalyse.

In dem Kapitel „Maßnahmen zur Erreichung der Schutzziele“ sind weitere Schutzziele nach dem Begriffsverständnis dieser Arbeit zu erkennen, während die zugehörigen „Maßnahmen“ zunächst sehr allgemein beschrieben sind [11, S. 22]:

- Eine wesentliche Komponente der Prävention terroristischer Anschläge oder Sabotage ist die Erzeugung von räumlicher und zeitlicher Distanz zum schützenswerten Objekt. Barrieren und Hindernisse können einen Zugang zu sensiblen Bereichen be- oder verhindern (Zugangszonen, Zugangskontrollen, Werkschutz, Pforte, Umzäunungen, Streifengänge, Poller, Betonelemente, Höhensprünge).

Das übergeordnete Schutzziel ist in diesem Fall die Prävention von terroristischen Anschlägen und Sabotagen. Die Erzeugung von räumlicher und zeitlicher Distanz zum schützenswerten Objekt kann als strategisches Schutzziel eingeordnet werden. Beschriebene „Maßnahmen“ wie die Umzäunung geben keinen Hinweis auf die genaue Qualität wie die Höhe der Umzäunung, die Stabilität, Notwendigkeit von Unterkriechschutz und Ausleger etc. oder ob die anderen beschriebenen „Maßnahmen“ z. B. Streifengänge, Betonelemente vorzuziehen sind.

Im Anhang werden in einer Checkliste „Maßnahmen“ zu bestimmten Schutz-Themen und -Bereichen wie die Gebäude- oder Vorfeldsicherung abgefragt. Dies soll ebenfalls den Betreibern als konkretes Hilfsinstrument für die Umsetzung dienen. Fragen wie „Ist das Unternehmensgelände eingefriedet?“, „Verläuft die Einfriedung geradlinig“ „Ist die Umfriedung relativ durchbruchsicher?“, „Existiert zusätzlich ein Übersteigschutz (zum Beispiel Ausleger mit Stachelband oder Stacheldraht)?“ und „Entsprechen alle Außentüren mindestens der Widerstandsklasse WK 5 gemäß DIN ENV 1627?“ sind dabei mit „Ja“, „Nein“ oder „Geplant“ zu beantworten [11, S. 32f]. Der Detaillierungsgrad unterscheidet sich dabei erheblich. Während zum einen an konkrete technische Normen verwiesen wird (die mittlerweile überholt sind [51]), sind zum anderen Formulierungen wie „relativ durchbruchsicher“ sehr abstrakt. Des Weiteren bleiben die Konsequenzen aus einer möglichen Verneinung der Fragen ungeklärt. Ohnehin habe die Checkliste keinen abschließenden Charakter, sie müsse je nach individuellen orts- und fachspezifischen Besonderheiten angepasst oder erweitert werden [11].

2.5.2 Empfehlungen zum Risiko- und Krisenmanagement

Neben dem Basisschutzkonzept wurde der sektorübergreifende Leitfaden für Risiko- und Krisenmanagement ebenfalls in Zusammenarbeit verschiedener Akteure entwickelt und 2 Jahre später sowie überarbeitet im Jahr 2011 vom BMI herausgegeben [9]. Er wurde von Akteuren aus Unternehmen, Behörden und einer wissenschaftlichen Einrichtung konzipiert und soll als „Selbstanalysewerkzeug“ für Einrichtungen bzw. Betreiber Kritischer Infrastrukturen dienen [29, S. 7]. Ziel sei es, „[...] die Betreiber Kritischer Infrastrukturen bei der strukturierten Ermittlung von Risiken, der darauf basierenden Umsetzung vorbeugender Maßnahmen sowie dem effektiven und effizienten Umgang mit Krisen“ [29, S. 5] zu unterstützen.

In diesem Managementkonzept wird neben der Objektsicherheit auch die Cybersicherheit fokussiert. Die Methoden bauen jedoch auf den allgemeinen Empfehlungen des Basisschutzkonzeptes auf [73] und das mehrphasige Vorgehen ist vergleichbar [12]. Es orientiert sich zudem an der DIN ISO 31000 „Risikomanagement - Leitlinien“ und entspricht demnach dem internationalen Stand der Technik [9, S. 30], [74]. Das Konzept besteht aus 5 Phasen – der Vorplanung, der Risikoanalyse, der Ableitung von vorbeugenden Maßnahmen, dem Krisenmanagement und der Evaluierung – sowie der begleitenden Risikokommunikation und Dokumentation aller Vorgänge [29]. Zur Vorplanung der Risikoanalyse sollen Ressourcen, Zuständigkeiten, rechtliche Pflichten und strategische Schutzziele vorgedacht werden [29]. Das Risiko selbst soll mithilfe weiterer Analysen wie die Kritikalitätsanalyse, Gefahrenanalyse und Verwundbarkeitsanalyse ermittelt werden. Dafür sind zu berücksichtigende Kriterien und deren grober Ablauf in einfachen Schemazeichnungen beschrieben [29]. Ist das Risiko bestimmt und bewertet worden, soll geprüft werden, ob die definierten Schutzziele trotz der Risiken erreicht werden können. „Bestehen zu viele hohe Teilrisiken, werden operative Schutzziele formuliert, die den Ausgangspunkt für die Umsetzung von vorbeugenden Maßnahmen bilden“ [29, S. 20].

Vorbeugende Maßnahmen werden hier in Risikomindernde, Risikovermeidende und Risikoüberwälzende¹⁸ unterschieden [29]. Zudem können akzeptable Restrisiken, welche zu dokumentieren sind, verbleiben. Die Unterscheidungen werden im Leitfaden kurz beschrieben. Erläutert wird beispielsweise, dass es eine vollständige Risikovermeidung nicht gibt. Jedoch können Risiken erheblich gemindert werden dadurch, dass z. B. besonders gefährdete Regionen bei der Standortwahl vermieden werden. Maßnahmen zur Risikominderung seien in einer umfangreichen Checkliste beschrieben [29]. In der Tabelle „V.3.4 Gelände, Gebäude – vorsätzliche Handlungen mit kriminellem und/oder terroristischem Hintergrund“ sind vier Fragestellungen zum „Zugang“, drei unter dem Punkt „Konstruktion“ und 2 Fragen zur „Elektronischen Überwachung“ gestellt [29, S. 60f]. Dazu gibt es teilweise ergänzende Hinweise oder Erläuterungen. An dieser Stelle sei ein Beispiel aus der Checkliste genannt [29, S. 60]:

Sind in den Bauwerken Zonen erschwerten Zugangs eingerichtet?

Es sollte geprüft werden, ob im Eingangsbereich und beim Zugang zu kritischen Bereichen Vereinzelungsanlagen installiert werden können, eventuell in Kombination mit Kartenlesegeräten, um den Zutritt zu kontrollieren und für nicht Betriebsangehörige zu erschweren.

Wie schon im Basisschutzkonzept stellt sich auch hier die Frage nach der Qualität der empfohlenen „Maßnahme“, denn unter dem Begriff „Vereinzelungsanlage“ können sowohl hüfthohe Drehkreuz-Anlagen als auch personenhohe Sicherheitsschleusen verstanden werden [49], [50]. Zudem stellt sich die Frage nach der sektorübergreifenden Gültigkeit der wenigen beschriebenen „Maßnahmen“. So lassen sich derartige Umsetzungen an öffentlichen Bahnhöfen nicht erkennen [75]. Außerdem wird auch hier der Umgang mit dem Bewertungsergebnis mittels Checkliste offengelassen. Darüber hinaus erhebt auch diese Checkliste keinen Anspruch auf Vollständigkeit [29].

Auf dieser Methodik aufbauend wurden weitere Leitfäden als Umsetzungshilfen veröffentlicht, die gegenüber den sektorübergreifenden Leitfäden branchenspezifische Aspekte berücksichtigen [9]. So wurden z. B. zur Sicherheit der Trinkwasserversorgung Empfehlungen zur Risikoanalyse veröffentlicht, in der „[...] Delikte wie Sachbeschädigung durch Vandalismus, Einbruch und Diebstahl bis hin zu Anschlägen mit toxischen Substanzen“ [76, S. 28] als mögliche Bedrohung herausgestellt wurden. Doch auch in diesen Leitfäden sind die Empfehlungen zur Objektsicherheit begrenzt. Es werden nur wenige Maßnahmen des Objektschutzes genannt, deren Prüfung teilweise explizit empfohlen wird [76], [77]. Die Bedeutung von Schutzzielen wird zwar hervorgehoben, wie sie definiert werden, wird jedoch nicht erläutert [37].

2.5.3 Vulnerabilität Kritischer Infrastrukturen

Der Leitfaden für Risiko- und Krisenmanagement beschreibt, dass zur Identifikation des Risikos eine Verwundbarkeitsanalyse, die auch Vulnerabilitätsanalyse genannt wird, sinnvoll sein kann. Zur Vorbereitung einer ganzheitlichen Risikoanalyse hat das BBK bereits im Jahr 2009 in dem Projekt „Vulnerabilität Kritischer Infrastrukturen und Vulnerabilitätsindikatoren“ allgemeine qualitative Indikatoren der Vulnerabilität herausgestellt [78, S. 65]. Als „[...] relatives Maß für die Fähigkeit einer KRITIS, der physischen Einwirkung eines Ereignisses widerstehen zu können und somit durch dieses nicht beschädigt oder in ihrer Funktionsfähigkeit beeinträchtigt zu werden“ wurde beispielsweise die „Robustheit“ als Indikator ermittelt [78, S. 51]. Diese gilt es nach Lenz weiter durch „[...] spezifischere Detailindikatoren für alle Ebenen des KRITIS Systems [...]“ [78, S. 68] zu operationalisieren. Die Detailindikatoren sollten „[...] messbar, relevant, umfassend, zuverlässig und nachvollziehbar [...]“ sein [78, S. 68]. Durch wen der Prozess weiter fortgeführt werden soll, ist an dieser Stelle nicht beschrieben. Als Adressaten ihrer Publikation nennt Lenz jedoch „[...] das BBK und andere Behörden, politische Entscheidungsträger, Betreiber Kritischer Infrastrukturen sowie Experten aus der Wissenschaft und Praxis, die sich mit dem Schutz Kritischer Infrastrukturen befassen“ [78, S. 9].

2.5.4 Stand der Forschung zu den Empfehlungen

Während sich Einigkeit über die Notwendigkeit der Risikoanalyse zur Ermittlung von Schutzzielen und Maßnahmen erkennen lässt und diese als anerkannter Stand der Technik gilt, scheint die genaue Umsetzung in Bezug auf den physischen Schutz KRITIS unklar. Beschriebene Konzepte innerhalb der Risikoanalyse wie das der Verwundbarkeit (Vulnerabilität) stehen laut Norf „[...] im Fokus der wissenschaftlichen und praktischen Diskussion [...]. Jedoch ist man sich bis jetzt auf der Seite sowohl der Risikoforschung als auch des Risikomanagements uneinig über ihre inhaltliche Bedeutung und ihren Nutzen für eine problemgerechte Risikobehandlung“ [79, S. 18].

Hartmann, Schuchardt und Gerhold begründen die Unschärfe des Leitfadens zum Risiko- und Krisenmanagement damit, dass er für alle Gefährdungslagen gilt. Allgemeiner beschreiben sie, dass Leitfäden wie dieser trotz Umsetzungshilfen und Checklisten schwierig zu verstehen und umzusetzen sein können. Anstatt alle Gefährdungsquellen gleichzeitig zu betrachten, sollten einzelne priorisiert und deren Risiko mittels Schutzziel gemindert werden [37]. Demzufolge werden in der vorliegenden Arbeit ausschließlich Standards zum Schutz vor dem Eindringen Unbefugter untersucht.

Laut Wiater können die beschriebenen Empfehlungen und die damit verbundene „[...] Zuweisung eines derart detaillierten Aufgabenkanons an privatwirtschaftliche Betreiber [...]“ [12, S. 274] als Ausdruck von staatlicher Abhängigkeit von der privatwirtschaftlichen Umsetzung verstanden werden. Die Dokumente zur staatlichen KRITIS-Strategie schweigen jedoch darüber, wie die Umsetzung der Empfehlungen evaluiert und überwacht wird [12]. Der Staat begründet den kooperativen Ansatz mit dem „[...] Unvermögen der verantwortlichen staatlichen und nicht-staatlichen Akteure, isoliert und alleinverantwortlich für die Sicherheit kritischer Infrastrukturen zu sorgen [...]“ [12, S. 175]. Er schreibt den KRITIS-Betreibern laut Wiater eine hohe Motivation zur Kooperation und zum eigenverantwortlichen Schutz zu. Dabei verlässt sich der Staat auf unternehmerische Eigeninteressen wie die Wirtschaftlichkeit oder das Interesse an einer gesamtgesellschaftlichen Sicherheitsvorsorge als Ausdruck von Rationalität. Die Entscheidungsträger KRITIS sind jedoch weniger dem Gemeinwohl, sondern vielmehr den Kapitalgebern und der Belegschaft verpflichtet [12].

Neben weiteren regulativen Vorgaben könnten nach Wiater Anreize wie finanzielle Subventionen, welche an zu kontrollierenden Sicherheitsstandards geknüpft sind, ein geeignetes Politikinstrument abbilden, um den KRITIS-Schutz von staatlicher Seite zu fördern.

Die Kontrollpflicht des Staates ist vermehrt dergestalt auszuüben, dass die Selbstkontroll-, Selbstregulierungs- und Selbststeuerungskapazitäten von privatwirtschaftlichen Netzwerken infolge staatlicher Anreize forciert und dadurch bewusst für den gemeinwohlorientierten Steuerungserfolg ‚Schutz kritischer Infrastrukturen‘ genutzt werden. Die Normungsverfahren und Zertifizierungsaktivitäten, die beispielsweise bereits durch den DIN e.V. oder den Deutschen Verein des Gas- und Wasserfaches e.V. (DVGW) praktiziert werden, verdeutlichen, dass derartige selbstregulierende und -kontrollierende Aktivitäten der Privatwirtschaft bereits existieren. Der KRITIS-Bezug solcher Aktivitäten ist von staatlicher Seite aktiver herzustellen und durch geeignete finanzielle Anreize zu fördern [12, S. 282].

Dass Zertifizierungsaktivitäten auch im Rahmen der Objektsicherheit möglich sind, zeigen die Richtlinien VdS 3406, „Sicherheitsmanagement für bauliche Objekte“, die unter anderem zur Gewährleistung des Schutzes „[...] gegen unberechtigten Zutritt oder unberechtigten Zugriff auf im Gebäude verwahrte Dinge“ [80, S. 4] dienen soll¹⁹. Auch im Hinblick solcher Anreizsysteme und Zertifizierungsverfahren kann die Festlegung von Sicherheitsstandards sinnvoll sein.

Es lässt sich zusammenfassen, dass Sicherheitsstandards gegen das Eindringen Unbefugter im KRITIS-Schutz von zentraler Bedeutung sind. Dennoch sind sie bislang nur in Teilbereichen gesetzlich verpflichtend. Die Empfehlungen des Bundes sind teilweise sehr allgemein und abstrakt gehalten. So werden vom Staat vor allem Methoden vorgegeben, um Sicherheitsstandards – auf der Ebene von strategischen Schutzzielen, operationalisierten Schutzzielen oder Maßnahmen – in Eigenverantwortung zu bestimmen. Gleichzeitig beschreibt der Staat die Abstimmung zwischen verschiedenen Akteuren als erfolgreiches und erforderliches Instrument im KRITIS-Schutz. Konkrete Anwendungsbeispiele sind jedoch nicht genannt. Dennoch wurden auch die vorgestellten Leitfäden in Kooperation zwischen Bund und privatwirtschaftlichen Akteuren erarbeitet. Jedoch fehlt es in den Veröffentlichungen an einer Erklärung, warum gerade diese für die Zusammenarbeit ausgewählt wurden [12]. Daher soll in der vorliegenden Arbeit analysiert werden, ob Sicherheitsstandards auf den verschiedenen Ebenen für ganze KRITIS-Gruppen festgelegt werden können. Mögliche Gruppen können gemäß der politischen Segmentierung Betreiber gleicher Sektoren, Branchen und Anlagen sein. Darüber hinaus lassen die behördlichen Empfehlungen Fragen zur konkreten politischen Unterstützung und weiteren Akteursbeteiligung in der Praxis der Objektsicherheit offen. Die erhobene Literatur soll daher auch auf Hinweise dazu untersucht werden.

3 Methodisches Vorgehen

Zur Erfassung und Analyse von weiteren Sicherheitsstandards für Gruppen Kritischer Infrastrukturen oder Untersuchungen zur Aushandlung dieser war eine Literaturarbeit ein geeignetes Mittel²⁰. Der Vorteil der Literaturarbeit – auch Review oder Übersichtsarbeit genannt – liegt darin, dass sie einen Überblickscharakter haben und sich ihr Erkenntnisgewinn aus der Sammlung und (Neu-)Bewertung bestehender Informationen erzielen lässt [81]. Dabei können unterschiedliche Publikations- und Kommunikationsformen berücksichtigt werden [82]. Bewusst wurden mit der wissenschaftlichen Methode des Reviews die Informationen fokussiert, die ebenfalls den KRITIS-Betreibern in Druck- oder Internetveröffentlichungen zugänglich gemacht wurden. Die Literaturarbeit erlaubte die Betrachtung der Gesamtheit von öffentlich zugänglichen Sicherheitsstandards aller KRITIS (-Sektoren, -Branchen, etc.) und ermöglichte somit Fehlschlüsse z. B. aufgrund von Ungleichgewichten im Schutzniveau zu vermeiden. Dabei war nicht zu verkennen, dass neben den öffentlichen Quellen einzelne vertrauliche Sicherheitsstandards existieren konnten. Vergangene Forschungen zeigten, dass aufgrund der Sicherheitsrelevanz Informationen als „Verschlusssache“ [12, S. 52] zurückgehalten werden können. Um dennoch nachvollziehbare Schlüsse zur Festlegung von Sicherheitsstandards in der Objektsicherheit ziehen zu können, waren für die Datenerhebung, -entnahme und Datenanalyse strenge Kriterien zu definieren. Es empfahl sich ein systematisches, regelgeleitetes Vorgehen, das mithilfe von Ablaufmodellen beschrieben werden kann [83].

Abb. 3: Ablaufdiagramm der Literaturarbeit (eigene Darstellung in Anlehnung an [85])

Abbildung in dieser Leseprobe nicht enthalten

Das Modell (Abb. 3) beschreibt den Ablauf der vorliegenden Literaturarbeit in ihren Grundzügen in Anlehnung an Templier und Paré [84]. Bestandteil dieser Vorgehensweise waren Möglichkeiten der Iteration, welche Korrekturen oder Ergänzungen im Forschungsprozess erlaubten. Theoriegeleitete Entscheidungen und Festlegungen halfen jedoch dabei, Regeln im Vorhinein festzulegen und Änderungen zu vermeiden. Ziel war es, die Systematik so zu beschreiben, „[...] dass ein zweiter Auswerter die Analyse ähnlich durchführen kann“ [83, S. 51], sodass die Forschung reproduzierbar ist. Anhand der abgebildeten Schritte kann im Nachfolgenden die Durchführung des systematischen Reviews beschrieben werden.

3.1 Formulierung der Fragestellungen

Bevor die Regeln der Recherche festgelegt werden, sind nach Bettle und Gambling zwei Fragen zu beantworten [85, S. 230]: „1. Why are you doing the search?“ und „2. What are you searching for?“. Zur Begründung der Recherche als Antwort auf die erste Frage wurde die Ausgangsposition bereits ausführlich beleuchtet. Wie bereits dargelegt, beschreiben die Publikationen des Bundes zum Schutz Kritischer Infrastrukturen nicht, auf welcher Ebene Sicherheitsstandards der Objektsicherheit zur Erreichung des Schutzziels für eine Gruppe Kritischer Infrastrukturen festgelegt werden können. Zudem lassen die staatlichen Veröffentlichungen alleine keine validen Rückschlüsse zu, an welchen Stellen Kooperationen sinnvoll sind. Mithilfe der einleitend und nachfolgend erwähnten zentralen Fragestellungen sollten die verantwortlichen Akteure des physischen KRITIS-Schutzes zu dieser Problematik aufgeklärt werden.

1. Auf welchen Ebenen können für Gruppen Kritischer Infrastrukturen allgemeingültige Sicherheitsstandards gegen das Eindringen Unbefugter festgelegt werden?

2. Gibt es darüber hinaus Möglichkeiten zu Synergien und Kooperationen, die zur Objektsicherheit Kritischer Infrastrukturen beitragen?

Diese Fragestellungen helfen jedoch nicht dabei, die zweite Frage nach Bettle und Gambling differenziert zu beantworten. Becker schreibt zur Frage, wonach gesucht wird: „Je fokussierter eine bestimmte Suchfrage ist, desto einfacher ist die Suche und desto besser passen die Ergebnisse zur Frage. Um spezifische Fragen zu erhalten, muss ein Forschungsthema eventuell in mehrere unabhängige Fragen aufgeteilt werden“ [86, S. 6]. Mayring schreibt zur Vorbereitung auf die Analyse ebenfalls, „[...] dass die Fragestellung [...] vorab genau geklärt sein muss, theoretisch an die bisherige Forschung über den Gegenstand angebunden und in aller Regel in Unterfragestellungen differenziert werden muss“ [83, S. 60]. Die folgenden Suchfragen dienten als Mittel für eine differenzierte Suche, um nachfolgend die zentralen Fragestellungen der Arbeit beantworten zu können.

3. Werden strategische oder operationalisierte Schutzziele oder Maßnahmen gegen das Eindringen Unbefugter empfohlen, die speziell für einzelne Kritische Infrastrukturen oder mehrere allgemein gelten (sollen)?

Diese Suchfrage erlaubte es, unabhängig von den genannten Empfehlungen des Bundes, weitere öffentlich zugängliche Sicherheitsstandards zu finden. Des Weiteren sollten Hinweise zu Akteursbeteiligungen im Hinblick der Gefährdung des unbefugten Eindringens in KRITIS mithilfe der nachfolgenden Suchfrage gefunden werden.

4. Werden Hinweise zur Aushandlung von Sicherheitsstandards gegen das unbefugte Eindringen in Kritische Infrastrukturen veröffentlicht?

3.2 Literaturrecherche

Für die Sammlung der Literatur ist es von besonderer Bedeutung, den Rechercheprozess detailliert zu planen und zu dokumentieren [87]. Die zuvor festgelegten Fragestellungen legen den Fokus der Literaturrecherche offen. Zusätzlich mussten jedoch Rahmenbedingungen, Suchfelder und die Werkzeuge der Recherche definiert werden, damit die Forschung valide ist. Auch diese werden nachfolgend transparent dargelegt.

Die Suche im Rahmen dieser Arbeit wurde zwischen dem 4. und 30. April 2022 durchgeführt. Die Recherche beschränkte sich auf alle Quellen, die während dieses Zeitraums frei oder über den lizenzierten Zugang des studentischen Nutzeraccounts der Bergischen Universität Wuppertal zugänglich waren. Zur Auseinandersetzung mit der Handhabung des deutschen KRITIS-Schutzes konzentrierte sich die Suche auf deutschsprachige Literatur. Auf weitere Einschränkungen wie Publikationszeitraum oder Publikationsformat verzichtete der Autor bewusst, da er möglichst viele Quellen berücksichtigen wollte und keine Notwendigkeit dazu erkennen konnte. Das Suchfeld dieser Arbeit ergab sich aus der Nutzung des Katalog plus der Bergischen Universität Wuppertal, welcher auf die Datenbank des hbz Verbundkataloges zurückgreift und somit die parallele Suche in ungefähr 580 Bibliothekskatalogen, Fachdatenbanken, Volltextservern und Nachschlagewerken ermöglichte [88]. Ergänzend dazu wurde die Online-Suchmaschine Google Scholar und die Online-Anwendung Perinorm, welche die Suche von relevanten Normen aus fast zwei Millionen Datensätzen ermöglicht [89], genutzt. Als Werkzeug konnten verschiedene theoriegeleitete Schlüsselbegriffe und ihre Verknüpfung mittels Booleschen Operatoren dienen.

Fester Bestandteil der Suche von Sicherheitsstandards und -empfehlungen war der Begriff Kritische Infrastruktur . Er führte in Perinorm zu 34 gültigen Normen. Für die weitere Recherche wurde der Begriff mithilfe der Und-Verknüpfung AND jeweils mit bestimmten Schlüsselbegriffen und deren Synonymen verknüpft. Die Schlüsselbegriffe waren zunächst Schutzziel, Maßnahme, Schutzniveau, Sicherheitsziel, Risikogrenzwert, Soll-Wert, Mindestversorgungsziel, Mindeststandard, Leistungsziel, Norm, Oberziel, Bewertungskriterium, Sicherheitsniveau und Sicherheitsstandards. Um weitere Standards zu erfassen, die nicht unter den bekannten Begriffen publiziert werden, wurden des Weiteren die Schlüsselbegriffe Schutz, Sicherheit, Abwehr, schützen, sichern und abwehren im Katalog Plus verwendet. So konnten in Summe 564 Dokumente gefunden werden. Die Suche mit den Verknüpfungen Kritische Infrastruktur AND Schutz sowie Kritische Infrastruktur AND Sicherheit in Google Scholar ergaben über 2100 Suchtreffer. Schnell konnte erkannt werden, dass die Quellen sich vor allem thematisch der Cybersicherheit unterordnen ließen. Die differenzierte Suche mit den Schlüsselbegriffen physischer Schutz, physische Sicherheit, Objektschutz und Objektsicherheit ergab hingegen nur 57 Suchtreffer. Zur Suche mithilfe von Google Scholar empfahl sich daher eine ergänzende Suchstrategie, welche die Tat (das Eindringen) und die physische Einheit der KRITIS fokussierte. Zunächst wurde die Verknüpfung Kritische Infrastruktur AND Gebäude gewählt und jeweils mit den Schlüsselbegriffen Eindringen, Eingreifen, Eingriff, Intrusion, Einbruch, Durchdringen, Sabotage, Penetration, penetrieren, angreifen und Angriff kombiniert. Auch hier konzentrierten sich die Mehrzahl der Quellen auf die Cybersicherheit KRITIS. Anschließend wurde der Begriff Gebäude durch die Begriffe Unternehmen und Anlage ersetzt, wobei zusätzlich die Begriffe Hacker und Hacken ausgeschlossen wurden. So konnte – ohne Dokumente zum physischen Schutz von IT-Infrastrukturen auszuschließen – erzielt werden, dass sich die Anzahl der Quellen zur Cybersicherheit zur Vereinfachung der Suche reduzierten.

Die dokumentierte Korrektur der Suchbegriffe und deren Kombinationen während des Recherche-Prozesses ermöglichte somit eine nachvollziehbare, zielgerichtete und dennoch umfangreiche Suche nach potenziellen Quellen. Insgesamt wurden mithilfe der Verknüpfungen 4635 Suchtreffer erzielt, welche die genannten Schlüsselbegriffe beinhalten (Tab. 3). Eine differenzierte Suche hätte unfreiwillig zum Ausschluss wichtiger Quellen führen können. Somit ließ sich eine umfangreiche Sammlung von Quellen verschiedenster Schutz-Bereiche KRITIS nicht vermeiden. Der nachfolgend beschriebene Prozess verhalf jedoch dabei, sich auf die wichtigen Informationen zum physischen KRITIS-Schutz zu konzentrieren.

3.3 Literaturselektion und -extraktion

Der Selektionsprozess von (un)geeigneten Quellen ermöglicht es, die Literatur zur Analyse auszuwählen und zu extrahieren, welche nach ausgewählten Regeln als geeignet erscheint [86].

Zunächst wurden die Titel gelesen, um im Zuge dessen Duplikate und bereits einige Quellen, die keine thematische Nähe zu den Forschungs- und Unterfragen der Arbeit erkennen ließen, auszuschließen. Beispielsweise konnte Literatur identifiziert und verworfen werden, die ausschließlich Möglichkeiten der Informationssicherheit durch technische Software beschrieb oder militärische Maßnahmen vor und im Kriegsfall aufzeigte. Informationen zur Katastrophenvorsorge sowie -nachsorge von Naturereignissen konnten dabei ebenfalls ausgeschlossen werden. Insgesamt wurden somit 124 Quellen herausgearbeitet, dessen Inhalte entweder nicht direkt ersichtlich, potenziell für die Arbeit von Interesse und für den Autor zugänglich waren (Tab. 3). Von diesen Quellen wurden anschließend die Inhaltsverzeichnisse, die Abstracts und/oder in der Datenbank verzeichnete Schlagworte gesichtet. Im Zweifelsfall wurden bereits einzelne Kapitel, wie beispielsweise die Zielsetzungen und Schlussfolgerungen von wissenschaftlichen Berichten kurz überlesen.

Tab. 3: Anzahl der potenziellen Quellen (eigene Darstellung)

Abbildung in dieser Leseprobe nicht enthalten

Mithilfe dieses Vorgehens konnten 16 verschiedene literarische Quellen identifiziert werden, deren genauere Betrachtung für die Arbeit von Interesse war. Der Auswahlprozess wurde in mithilfe des Computerprogramms Microsoft Excel übersichtlich dokumentiert und die Texte wurden gespeichert. Nach dem Lesen der Textstellen, die potenziell für die Arbeit von Bedeutung sein konnten, wurde die Anzahl der Dokumente weiter reduziert und deren Analyseabschnitte bestimmt. Dabei wurde berücksichtigt, dass die ausgewählte Literatur ein möglichst ausgeglichenes Verhältnis zwischen Wissenschaft und Praxis abbildet. Insgesamt wurden somit sechs verschiedene Dokumente bzw. deren relevante Kapitel zur Analyse ausgewählt, mithilfe derer verschiedene Perspektiven berücksichtigt werden konnten (Tab. 4).

Da die DIN EN ISO/IEC 27001 unter den ausgewählten Dokumenten [90], wie auch in den theoretisch beschriebenen Vorschriften zu Energieinfrastrukturen Erwähnung findet, wurde sie ebenfalls als potenzielle Quelle im Selektionsprozess berücksichtigt. Dabei wurde ersichtlich, dass die Sicherheitsstandards gegen das Eindringen Unbefugter in der DIN EN ISO/IEC 27002 konkretisiert werden. Da (internationale) Normen die anerkannten Regeln der Technik abbilden [74], [91] und somit Sicherheitsstandards beinhalten können, wurde diese Norm – ergänzend zu den sechs Dokumenten – einer Analyse gemäß den nachfolgenden Regeln unterzogen. Die beschriebene Rückwärtssuche sollte jedoch in der vorliegenden Arbeit eine Ausnahme darstellen, damit die Nachvollziehbarkeit und Reproduzierbarkeit durch simple Regeln gewährleistet bleibt [87].

3.4 Datenanalyse

Die Dokumente wurden einer qualitativen Inhaltsanalyse unterzogen, um sie auf Sicherheitsstandards und mögliche Akteursgruppen zu untersuchen. In Anlehnung an die inhaltliche Strukturierung nach Mayring [83] wurden dazu die relevanten Textstellen in den Kontext dieser Arbeit eingeordnet und zielgerichtet analysiert. „Ziel inhaltlicher Strukturierungen ist es, bestimmte Themen, Inhalte, Aspekte aus dem Material herauszufiltern und zusammenzufassen. Welche Inhalte aus dem Material extrahiert werden sollen, wird durch theoriegeleitete entwickelte Kategorien und (sofern notwendig) Unterkategorien bezeichnet“ [83, S. 103]. Durch das regelgeleitete Vorgehen nach Mayring sollte die Nachvollziehbarkeit und Intersubjektivität auch bei der Analyse gewährleistet werden [83].

Mayring empfiehlt zunächst die Dimensionen, nach denen das Material anhand von Kategorien strukturiert werden soll, deduktiv festzulegen [83]. Die Dimensionen der Analyse sind zum einen durch die Sicherheitsstandards selbst beschrieben. Empfehlungen und Informationen, die das allgemeine ereignisorientierte Schutzziel – der Schutz vor dem Eindringen Unbefugter – konkretisieren bzw. dabei helfen, dieses zu erfüllen und für mehr als eine KRITIS gelten, werden in der vorliegenden Arbeit als Sicherheitsstandards betitelt. Sicherheitsstandards können je nach Konkretisierungsgrad unterschiedlich eingeordnet werden. So wurden zunächst alle ermittelten Sicherheitsstandards den Kategorien „Strategisches Schutzziel“, „Operationalisierungen eines Schutzziels“ und „Maßnahme“ zugeordnet. Zum anderen sollten weitere Empfehlungen zu Kooperationen sowie Empfehlungen zur Risikoanalyse herausgearbeitet werden. Somit sollte mithilfe der Kategorien „Kooperation & Akteure“ und „Risikoanalyse“ vermieden werden, wichtige Argumente zu Akteursbeteiligungen zu missachten.

Nach Mayring ist es für die Vergleichbarkeit bzw. Intersubjektivität der Forschung wichtig, die Kategorisierung genauer zu beschreiben und in einem Kodierleitfaden offenzulegen. Bestandteil des Kodierleitfadens sind neben der Kategoriebezeichnung und Definition Ankerbeispiele, die als konkrete Beispiele für mögliche Textbestandteile dienen [83]. Zur übersichtlicheren Kodierung der Datensätze wurden den Kategoriebezeichnungen Kurzbezeichnungen bzw. Codes zugeordnet. Wie bereits dargelegt wurden fünf Kategorien theoriegeleitet festgelegt. Anschließend wurden Ankerbeispiele im Material gefunden und tabellarisch zugeordnet. Daraufhin wurde das Material mithilfe dieser Kategorien analysiert. Dabei wurden auffällige Parallelen zwischen den Dokumenten erkannt. Strategische Schutzziele konnten im Analyseprozess differenzierter betrachtet werden und ähnliche Operationalisierungen waren auf die gleichen strategischen Schutzziele zurückführen. Mithilfe der induktiven Kategorienbildung – das heißt aus dem Material heraus [83] – konnten somit Unterkategorien für strategische Schutzziele definiert werden, welche die Interpretation der Dokumente erleichterten. So wurden sieben Unterkategorien induktiv festgelegt. Anhand der Textstellen konnte somit das Kategoriensystem um weitere (Unter-) Kategorien ergänzt werden (S. XXI Anhang 5). Daraufhin wurde das gesamte Material kodiert und inhaltlich strukturiert.

Neben den strukturierten Inhalten der Dokumente war es für die Arbeit von Bedeutung, an welche KRITIS-Gruppe die Inhalte adressiert waren. Um dies zu erfassen, wurde keine übergeordnete Kategorisierung gewählt, da das Kategoriensystem komplex und unübersichtlich geworden wäre. Stattdessen wurden die Dokumente in einzelnen Tabellen in Excel kategorisiert, sodass sich die Textstellen jederzeit der Literatur zuordnen ließen. In einigen Fällen konnte anhand der Dokumententitel erkannt werden, auf welche KRITIS-Gruppen sich die Empfehlungen und Informationen beziehen. In Ausnahmefällen wurde dies erst im Text selber beschrieben. Die Zuordnung zu verschiedenen Gruppenebenen erfolgte anhand der theoretisch dargelegten Segmentierung von KRITIS. Demnach wurden Sicherheitsstandards, welche (gemäß Abb. 1 und KritisV):

- für mehrere KRITIS-Sektoren gelten sollen, als „sektorübergreifende“,
- für bestimmte Sektoren bzw. mehrere Branchen innerhalb eines Sektors gelten sollen, als „branchenübergreifend“,
- für eine bestimmte Branche bzw. mehrere Anlagen/Gebäude innerhalb einer Branche gelten sollen, als „branchenspezifisch“ oder
- für gleiche Anlagen, Systeme oder Gebäude innerhalb einer Branche gelten sollen, als „anlagenspezifisch“ betitelt. Alle weiteren Darlegungen, die in Bezug zu einer einzelnen Anlage, einem einzelnen System oder Gebäude genannt werden, wurden als „individuell“ beschrieben.

4 Darstellung und Interpretation der Ergebnisse

Durch die umfangreiche Literaturrecherche und den anschließenden Selektionsprozess wurden Empfehlungen und Informationen zum Schutz vor dem Eindringen Unbefugter ermittelt, die auf verschiedenen Ebenen an KRITIS-Gruppen adressiert sind. So konnten sektorübergreifende, branchenübergreifende, branchenspezifische, anlagenspezifische und individuelle Sicherheitsstandards aus der Wissenschaft und Praxis analysiert werden. Die nachfolgende Übersicht beschreibt das Ergebnis der Literaturauswahl und ordnet die untersuchte Literatur namentlich den Publikationsformen und den beschriebenen Ebenen zu.

Tab. 4: Auswahl und Einordung der Literatur (eigene Darstellung)

Abbildung in dieser Leseprobe nicht enthalten

Eine eindeutige Abgrenzung der Gruppenebenen war teilweise nur mit Bezug zur analysierten Textstelle möglich. Zu sehen war jedoch, dass grundsätzlich auf allen Ebenen Empfehlungen oder Informationen zum präventiven Schutz vor dem Eindringen Unbefugter zu finden sind. Inwieweit sich das Abstraktionsniveau unterscheidet, wird in dem nachfolgenden Ergebnisteil der vorliegenden Arbeit ersichtlich.

4.1 Erhobene Sicherheitsstandards gegen das Eindringen Unbefugter

Nachfolgend werden vor allem Sicherheitsstandards hervorgehoben, die auf einer bestimmten Gruppenebene kollektiv gültig sind. Dennoch werden im Kontext eines Krankenhauses auch individuelle Sicherheitsstandards gegen das Eindringen Unbefugter beschrieben, da sie möglicherweise für weitere Krankenhäuser (anlagenspezifisch) gültig sein können. Die Analyse erlaubte es, wichtige Sicherheitsstandards für die verschiedenen Gruppenebenen strukturiert – gemäß Kategorienordnung – zusammenzufassen und inhaltlich in Verbindung zu bringen. Mit der Schutzzone wurde eine weitere Kategorie herausgearbeitet, die sich nicht den unterschiedlichen Standards unterordnen lässt und dennoch wichtig für das Verständnis dieser Arbeit ist.

4.1.1 Schutzzonen

Wie bereits theoretisch erörtert, hat der Begriff KRITIS im physischen Sinne unterschiedliche Dimensionen. Er kann beispielsweise ganze Einrichtungen und Betriebe oder auch einzelne Anlagen bzw. Gebäude innerhalb dessen beschreiben. Betrachtet man nun einzelne Gebäude, so stellt sich die Frage, ob sie einzeln geschützt werden oder der Schutz schon vorgelagert wie z. B. an der Grenze des Betriebsgeländes beginnt. Und weiter gefragt: Muss das Gebäude geschützt werden, wenn nur die einzelne Anlage, die innerhalb des Gebäudes liegt, als kritisch einzustufen ist?

Die Literatur ist sich darüber einig, dass der ideale Schutz vor dem Eindringen Unbefugter grundsätzlich in mehrere Sicherheitszonen bzw. Schutzzonen zu staffeln ist. Man spricht in diesem Kontext auch von dem „Zwiebelschalenprinzip“ [90, S. 39]. Beispielsweise hat sich branchenübergreifend bei Verkehrsinfrastrukturen laut Schnieder „[...] eine Aufteilung in vier Sicherheitszonen, Außenbereich, kontrollierter Innenbereich, interner Bereich und Hochsicherheitsbereich“ bewährt [90, S. 39]. Wobei der Personenkreis, der zum Zutritt der jeweiligen Zone befugt ist, sich von außen nach innen minimiert [90]. Des Weiteren gilt es auch sektorübergreifend zum Schutz informationstechnischer Systeme als anerkannter Stand der Technik, dass durch die Verwendung mehrerer Barrieren ein zusätzlicher Schutz erzielt wird [72]. Auch in den Quellen, die das Konzept der Schutzzonen nicht explizit erwähnen, ist eine Aufteilung der Sicherheitsstandards auf mehrere Flächen bzw. Grenzen (Grundstück, Gebäude, Räume) zu erkennen. Neben den Schutzzonen und deren (Schutzzonen-) Grenzen werden vor allem Zufahrten sowie Zugänge (z. B. Außentüren, Raumtüren) in den Dokumenten beschrieben. Diese könnte man als Zonenübergänge betiteln. Die Ausbildung der Schutzzonen unterscheidet sich zwischen den KRITIS und kann von lokalen Gegebenheiten abhängen. So werden beispielsweise im Zusammenhang mit Einrichtungen von Häfen, Flughäfen und Bahnhöfen dreidimensionale Schutzsysteme erwähnt, die das Eindringen über die Luft oder im Über- und Unterwasserbereich berücksichtigen [75].

Ob und wie es für jede KRITIS möglich ist, (mehrere) Schutzzonen gemäß der Standards auszubilden, wird im Kapitel 4.2 erörtert. Zunächst kann diese allgemeine Empfehlung als Ideal betrachtet werden, dessen Umsetzung mithilfe von strategischen Schutzzielen, operationalisierten Schutzzielen und Maßnahmen analysiert werden sollte. In allen untersuchten Datensätzen wurden strategische Schutzziele ermittelt. Dabei konnten Parallelen zwischen den Dokumenten erkannt werden, die sich zusammenfassend in den strategischen Schutzzielen Prävention, Behinderung, Detektion, Verifikation, Intervention und Dokumentation abbilden lassen und nachfolgend dargestellt werden.

4.1.2 Der Eindringtat präventiv vorbeugen

Der bestmögliche Schutz vor dem intendierten Eindringen eines Unbefugten ist es, seine Motivation zu mindern und somit die Tat im Voraus zu verhindern. Dazu wurden in der Literatur verschiedene strategische Ansätze erkannt, die darauf abzielen, eine bestimmte optische Wirkung auf den Täter zu erzielen. Die Empfehlungen beschreiben jedoch nicht, in welcher Qualität das Schutzziel erreicht werden soll.

Seehäfen setzen beispielsweise auf Abschreckung; diese „[...] sei hier [branchenspezifisch] die beste Verteidigung, deshalb müsse man so viel absichern wie möglich“ [94, S. 13]. Gemeint ist, durch von außen erkennbare Sicherheitsmaßnahmen ein hohes Schutzniveau zu vermitteln. Auch im Kontext KRITIS von Flughäfen und Bahnhöfen heißt es: „Sicherheitstechnologien können sowohl die Hürden für Anschläge als auch das Risiko für die Angreifer erhöhen: Abschreckung ist auch hier die beste Verteidigung“ [75, S. 19]. Neben der Sicherheitstechnik sind auch andere Möglichkeiten wie z. B. Beleuchtung, Einsehbarkeit oder die Abschreckung durch Sicherheitspersonal bzw. Ordnungskräfte grundsätzlich denkbar. So wird anlagenspezifisch in Bezug zu Bahnhöfen der Deutschen Bahn AG die Präventionsarbeit operationalisiert, indem die Kooperation zwischen dem Sicherheitsdienst der Bahn und der Bundespolizei als praktisches Beispiel für einen personellen Lösungsansatz erwähnt wird [93].

Zum Schutz von Büros, Räumen und Einrichtungen mit informationstechnischen Systemen wird hingegen die Unauffälligkeit der Gebäude empfohlen. Auf eine entsprechende Kennzeichnung sollte beispielsweise verzichtet werden [72]. Nach Proske gilt im Allgemeinen, je höher der Bekanntheitsgrad eines Gebäudes ist, desto größer ist das Risiko für terroristische Angriffe [92]. Bei wenig Abschreckung könnte der Täter hingegen eine Schwachstelle vermuten. Betrachtete Schwachstellen und die Stärke des Angreifers können in Bezug auf Kritische Verkehrsinfrastrukturen einen direkten Einfluss auf die Häufigkeit von Angriffen unbefugter Dritter haben [90].

4.1.3 Die Eindringtat behindern

Physische Barrieren haben es neben ihrer optischen Wirkung zum Ziel, den Täter in seinem Vorhaben zu behindern²¹. Dieses strategische Schutzziel ist in den analysierten Dokumenten vielfach beschrieben. Unterschiedlich konkretisiert ist in einigen Fällen, an welcher Stelle dieses Schutzziel erreicht werden soll. So kann die Umfriedung des Geländes, das Gebäude oder einzelne Räume mit allen konstruktiven Elementen (Dach, Decke, Wand, Fenster, Tür) den Täter von den Werten bzw. kritischen Elementen trennen und den Zutritt oder Zugriff behindern.

Im Zusammenhang mit den Gebäuden eines Krankenhauses wird beispielsweise die Einzäunung als geeignetes individuelles Mittel genannt, jedoch nicht näher beschrieben. Konkretere Informationen wie z. B. zur Höhe und Stabilität oder warum der Zaun anderen Ausführungen wie einer Mauer vorgezogen wurde, war weder in diesem noch in den anderen Dokumenten zu finden [95]. In Bezug zum „Zwiebelschalenprinzip“ bzw. Schutzzonenmodell von Verkehrsinfrastrukturen kann die Umfassung der Grundstücksgrenze als erste physische Barriere dienen [90]. An den Zonenübergängen der Grenze von Verkehrsinfrastrukturen sowie explizit von Flug- und Seehäfen kann die erste Zutritts- und Zufahrtskontrolle vorgenommen werden [75], [90], [94]. Durch diese Empfehlung sollen Berechtigte die Schutzzonengrenze passieren und Unbefugte am Zonenübergang behindert werden. Jedoch ist diese physische Zugangsbarriere nicht grundsätzlich branchenübergreifend umsetzbar. „Bahnsysteme haben vielfältige Zugangspunkte und meistens keine Zugangsbarrieren, weil sie ja große Mengen an Menschen und Gütern schnell befördern sollen. [...] Damit unterscheiden sich Bahnsysteme deutlich von anderen neuralgischen Punkten kritischer Infrastrukturen [...]“ [75, S. 18]. Zudem wird die Empfehlung nicht weiter in ihrer möglichen Ausführung beschrieben. Dem Basisschutzkonzept zur Folge können Zufahrtskontrollen „[...] zum Beispiel durch Schiebe-/Flügeltor mit Übersteigschutz, gegebenenfalls mit Schleusenfunktion (Doppeltor), Ausweisleser und/oder Tastaturcode, Videotechnik, Gegensprechanlage“ [11, S. 33] technisch realisiert werden. Tore und Türen innerhalb der Einfriedung sollten dabei die gleiche behindernde Wirkung wie die Einfriedung selbst haben [11]. Die Literatur schweigt jedoch über die Qualität und Notwendigkeit dieser Einfriedung.

Ebenso unspezifisch sind die Empfehlungen für die nächste Schutzzone, das Gebäude. „Die erforderlichen Sicherheitsmaßnahmen müssen diesem Schutzbedarf angepasst sein. Entsprechend muss die bauliche Ausführung von Wänden, Fenstern und Türen sein [...]“ [90, S. 39]. Ebenso allgemein werden gemäß DIN EN ISO/IEC 27002, die z. B. für die Standorte des Energiesektors gilt, stabile Dächer, Wände und Bodenbeläge sektorübergreifend empfohlen [72]. Für Schutzzonenübergänge zum kontrollierten Innenbereich von Verkehrsinfrastrukturen wird branchenübergreifend eine „[...] angemessene Zutrittskontrolle (Pförtner oder Zutrittskontrollsystem) [...]“ [90, S. 40] vorgeschlagen. Fraglich bleibt hierbei neben der Operationalisierung der Ausführung, ob die personelle und technische Umsetzung grundsätzlich als gleichwertig zu betrachten ist. Für eine Uniklinik hat eine anlagenspezifische Sicherheitsanalyse eindeutig eine elektronische Zutrittsbeschränkung vorgesehen. Ob diese auch im Bereich der empfohlenen strengen Zugangskontrolle des OPs, Aufwachraums und der Intensivstation eingesetzt wird, ist nicht eindeutig beschrieben [95].

Zu internen Sicherheitsbereichen empfiehlt die DIN EN ISO/IEC 27002 ebenfalls unspezifisch, dass sie von einer physischen Barriere zu umschließen und dessen Zugänge zu kontrollieren sind. Zudem seien Bereiche mit unterschiedlichen Sicherheitsanforderungen „möglicherweise“ physisch zu trennen und zu kontrollieren [72, S. 49]. So heißt es beispielsweise: Der „[...] Anlieferungs- und Ladebereich sollte so beschaffen sein, dass Waren beladen und entladen werden können, ohne dass das Lieferpersonal Zutritt zu anderen Teilen des Gebäudes erhält“ [72, S. 51]. Etwas konkreter ist gemäß Norm die Verriegelung bestimmter Räume, Fenster und Türen ebenfalls als Sicherheitsstandard vorgesehen [72], der durch bauliche, technische und/oder organisatorisch-personelle Maßnahmen umgesetzt werden kann. Jedoch lässt sich auch aus dieser Empfehlung keine Qualität ²² ableiten, die zur Festlegung der genauen Maßnahmen erforderlich wäre.

In Verkehrsinfrastrukturen sollen die Räume, z. B. um teure Hardware oder wichtige Daten zu schützen, gegen einen Einbruchversuch physisch standhalten. Resistance Classes (RC) sollen dabei helfen, das strategische Schutzziel an dieser Stelle zu erreichen [90]. Dem Basisschutzkonzept zur Folge können die Widerstandsklassen jedoch auch zur Planung von Außentüren eines Gebäudes eingesetzt werden [11]. Unklar bleibt jedoch, welche Klasse für Verkehrsinfrastrukturen geeignet ist. Beschrieben wird hingegen, durch welche Merkmale sich die Widerstandsklassen unterscheiden. Demnach werden die Zeit, Fähigkeit und Ausstattung des Täters betrachtet, dem die Bauteile standhalten sollen. „Die Bandbreite reicht von einem unerfahrenen Täter/Vandalismus ohne Werkzeug bis zu einem erfahrenen, sehr motivierten Täter, dem eine ganze Reihe leistungsfähiger Elektrowerkzeugen [sic] zur Verfügung stehen. Dazu gibt es jeweils Zeitvorgaben, in denen der Prüfung dem Angriff standhalten muss, um den Test zu bestehen“ [90, S. 40]. Für den Hochsicherheitsbereich von Verkehrsinfrastrukturen wird eine Sicherheitsschleuse zur Vereinzelung empfohlen [90]. Auch diese Barriere wird nicht weiter konkretisiert. Im Kontext terroristischer Anschläge wurden im Hinblick auf spezielle Bauwerke weitere Normen genannt, die eine Vielzahl von Explosionsszenarien abdecken sowie Gebäude für Splitter und Beschuss auslegen. In diesem Zusammenhang wurde das Kraftwerk als eine mögliche KRITIS erwähnt und eine potenzielle Tätergruppe festgelegt [92].

4.1.4 Die Eindringtat detektieren

Wie erörtert hat die konstruktive Behinderung je nach Energie, Zeit, Erfahrung und Hilfsmittel des Täters physische Grenzen, sodass ohne weitere Maßnahmen ein unbemerktes Eindringen möglich wäre. Daher wird die Detektion von bestimmten Schutzzonen sektor- und branchenübergreifend als weiteres strategisches Schutzziel auch mit Begriffen wie „Kontrolle“ und „Überwachung“ beschrieben. So werden über die allgemeine Empfehlung zur Detektion hinaus an einigen Stellen Melder-, Sensortechniken oder bestimmte Systeme genannt. Ob es sich dabei um Operationalisierungen des Schutzziels oder konkrete Maßnahmen handelt, wird im Folgenden dargelegt.

Aus der Analyse der Dokumente ging hervor, dass die Detektion grundsätzlich schon außerhalb des Gebäudes stattfinden kann, um einen potenziellen Unbefugten / Täter schon vor dem Eindringen in einen kritischen Bereich zu erkennen. Dabei sind gegebenenfalls verschiedene Angriffswege zu berücksichtigen. So wird in Bezug zu Seehäfen beschrieben, dass es neben der Überwachung des unbefugten Zugangs über Landflächen auch der Luftraum, die Wasseroberfläche und den Unterwasserbereich aus sicherer Distanz zu überwachen gilt, um Schnellboote, Taucher etc. ebenfalls zu detektieren [94]. Demnach scheint hier branchenspezifisch eine lückenlose Detektionslinie im Außenbereich gefordert. Anhand von verschiedenen physikalischen Parametern wie Geschwindigkeit, Akustik und optischen Größen sowie verschiedenen Systemen wie Sonar und Radar sollen Eindringlinge entdeckt werden.

Der in der Literatur beschriebene Hafenschutz berücksichtigt auch eine Gefährdung durch Terroristen [94]. Demnach ist davon auszugehen, dass die Detektion auch Unbefugte mit hoher krimineller Energie erfassen soll. „Die Aufstellung einzelner Sensoren ist dafür unzureichend“ [94, S. 15]. In diesem Kontext werden auch Schutztechnologien genannt, an denen besonders intensiv gearbeitet wurde oder wird, um die empfohlene mehrdimensionale Überwachung zu ermöglichen [94]. Zwar geht von dem beschriebenen Dokument keine eindeutige Empfehlung für eine spezielle Maßnahme aus, jedoch lässt sich festhalten, dass die Detektion teilweise branchenspezifisch operationalisiert wurde. So wurde für Seehäfen beschrieben, von welchen Gefährdungen ausgegangen werden kann und mithilfe welcher Parameter sich die Gefahrenquellen an bestimmten Stellen – Über-/Unterwasser – detektieren lassen [94]. Die Detektion auf Landflächen ist dagegen in der analysierten Literatur weder in Bezug zu Seehäfen operationalisiert noch in Bezug zu anderen KRITIS beschrieben²³.

Erst das Gebäude wird in der DIN EN ISO/IEC 27002 als weitere, sektorübergreifend mögliche Detektionslinie beschrieben und operationalisiert. Dazu sollen den regionalen, nationalen oder internationalen Normen entsprechend geeignete Einbruchmeldeanlagen installiert und regelmäßig überprüft werden, um Außentüren und alle zugänglichen Fenster (von ungenutzten Bereichen rund um die Uhr) mit Alarmvorrichtungen zu sichern [72]. „Die Sicherung sollte sich auch auf andere Bereiche wie z. B. Computerräume oder Besprechungsräume erstrecken“ [72, S. 48]. Hierbei ist davon auszugehen, dass je nach KRITIS unterschiedliche Sonderschutzbereiche gemeint sind, die je nach Kritikalität überwacht werden können. Betrachtet man das Gebäude ganzheitlich, so stellt sich die logische Frage, ob es neben den Fassadenöffnungen (Türen und Fenster) und den Zonenübergängen innerhalb des Gebäudes (Raumtüren) weitere Detektionsmöglichkeiten für die Schutzzonen gibt, um auch hier eine geschlossene Detektionslinie zu erreichen. Zu begründen ist dies damit, dass möglicherweise nicht jedes kritische Bauwerk massive Böden, Wände und Decken hat, die den Eindringtäter im ausreichenden Maße behindern²⁴. Wie bereits beschrieben, schlägt die Norm für die Außenhaut des Gebäudes eine stabile Bauweise vor [72] und verzichtet möglicherweise unter dieser Bedingung auf eine weitere Detektion über den Öffnungen hinaus. Inwieweit der Schutz des gesamten Raumes im Vergleich zu seiner Zugangstür gleichwertig ausfällt, ist jedoch nicht beschrieben.

Die Literatur zu kritischen Verkehrsinfrastrukturen erwähnt hingegen branchenübergreifende Möglichkeiten zur Detektion innerhalb der Schutzzonen, indem sie Meldesysteme wie Bewegungsmelder oder Videokameras exemplarisch nennt [90]. Im Allgemeinen beschreibt sie den Einsatz einer Gefahrenmeldeanlage – bestehend „ [...] aus einer Vielzahl lokaler Melder [...]“ [90, S. 40] – als Sicherheitsstandard gegen Einbrüche z. B. exemplarisch in Bezug zu bestimmten IT-Räumen. Es heißt, dass die Meldesysteme entsprechend der Sicherheitsanforderungen und der Umgebung individuell zu bestimmen sind [90]. Demnach ist diesbezüglich keine branchenübergreifende Operationalisierung anzustreben. Die Zutrittskontrollen an verschiedenen Zonenübergängen werden zumindest etwas konkretisiert. So ist beispielsweise der interne Bereich „[...] durch elektromechanische Sicherungseinrichtungen (Fluchtwegsicherungssysteme) gegen missbräuchliche Nutzung zu sichern“ [90, S. 40]. Darüber hinaus wurde für die innerste Schutzzone – dem Hochsicherheitsbereich – branchenübergreifend operationalisiert, dass die vorgesehene Einbruchmeldeanlage nach dem Verlassen des letzten Befugten automatisch scharf geschaltet und somit überwacht wird. Dazu ist eine Bilanzierung des Zu- und Austritts erforderlich [90].

Die Videoüberwachung (oder auch Videobewegungsmelder) ist auch in Bezug zu Häfen, Flughäfen und Bahnhöfen als Mittel zur Detektion genannt [75], [93]. Konkretisiert ist, zu welchem Zweck die Videoüberwachung an Häfen, Flughäfen und Bahnhöfen (künftig) dienen soll. Sie soll, verknüpft mit einer automatischen Software und Datenbanken, verdächtige Szenen wie z. B. „[...] herrenlose Koffer oder auffällige Bewegungsmuster“ [75, S. 20] sowie Täter(-profile), Gift- und Sprengstoffe detektieren. Inwieweit die beschriebene Operationalisierung schon heute oder künftig als Standard umgesetzt werden kann und welche alternativen Detektionsmethoden geeignet sind, war aus den Dokumenten nicht ersichtlich [75, S. 20]:

Gesucht wird deshalb nach einer Software, die verdächtige Szenen aus der Bilderflut herausfiltert (Lehmann 2006). Eine weitgehend automatische Tätererkennung erfordert die Eingabe biometrischer Täterprofile oder eines prognostizierten Verhaltens. Hier müssen intelligente Algorithmen entwickelt werden, um auf Verdachtsmomente aufmerksam zu machen, z. B. auf herrenlose Koffer oder auffällige Bewegungsmuster (Pohler 2007). Verfahren videobasierter Biometrie mittels automatischer Gesichtskontrolle existieren bereits, sie gelten aber nach einem Großversuch im Mainzer Hauptbahnhof als noch nicht verwendungsreif (Geisler 2007). Gearbeitet wird auch an einer Koppelung von Detektion, Videoüberwachung und Anbindung an das Internet, um möglichst schnell zu erkennen, um welchen Giftstoff es sich bei einem Anschlag handelt.

Der genaue Einsatzort der Videoüberwachung ist nicht eindeutig beschrieben, sodass sich keine endgültige Aussage zur Verwendung für eine bestimmte Schutzzone treffen lässt. Es scheint jedoch so, als wäre sie vor allem an öffentlich-zugänglichen Orten bzw. urbanen Räumen angebracht, um z. B. Bahnhöfe, Gleisanlagen und Züge, die für jedermann leicht zugänglich sind, vor Terroristen zu schützen [75].

Grundsätzlich kann auch Personal sektorübergreifend dabei helfen, potenzielle Unbefugte oder Verdächtige in den Schutzzonen zu erkennen und zu melden [72]. Wie zuverlässig dies funktioniert, hängt möglicherweise von der Sensibilität und dem Sicherheitsbewusstsein der Mitarbeiter ab. Maßnahmen werden diesbezüglich nachfolgend im Zusammenhang der Verifikation genannt.

4.1.5 Zutritts-, Zufahrtsberechtigung und Detektionsalarm verifizieren

Die Notwendigkeit zur Verifikation ist in zweierlei Hinsicht als logische Konsequenz aus dem Schutzzonen- bzw. Zwiebelschalenprinzip zu betrachten. Zum einen kann mithilfe von Schutzzonen festgelegt werden, welcher Personenkreis für den Zonenübergang befugt oder unbefugt ist. In einigen Dokumenten wird daher beschrieben, dass die Zugänge und Zufahrten kontrolliert werden und die Personen für den Zonenübergang einen Berechtigungsnachweis erbringen. Zum anderen ist dargelegt, dass der ungewollte Zonenübertritt bzw. das unbefugte Eindringen detektiert werden sollte und die Detektionssysteme nicht fehlerfrei funktionieren [94]. Daher ist eine Verifikation der Alarme nicht zu vermeiden.

In der analysierten Literatur sind Schutzzonengrenzen und Zonenübergänge außerhalb von Gebäuden genannt – die Rede ist an dieser Stelle allgemein von „Zugangskontrollen zum Hafengelände“ [94, S. 9] und der Zufahrtskontrolle [90, S. 40] an der Grundstücksgrenze – und dennoch findet die Verifikation hier nur in einem der Dokumente Erwähnung²⁵. So soll gemäß DIN EN ISO/IEC 27002 „[...] ein mit Personal besetzter Empfangsbereich oder dergleichen eingerichtet werden, um den physischen Zugang zum Standort bzw. Gebäude zu kontrollieren. Der Zutritt zu Standorten und Gebäuden sollte nur befugte [sic] Beschäftigten gestattet werden“ [72, S. 48]. Wie genau die Kontrolle durch das Empfangspersonal gestaltet wird und ob es nur einen (Zonen-) Zugang über den Empfangsbereich geben soll, ist hierfür weder sektorübergreifend noch auf einer anderen Ebene in der Literatur weiter konkretisiert [72], [90].

Ähnlich allgemein ist der Zonenübergang zum Anlieferungs- und Ladebereich in der DIN EN ISO/IEC 27002 strategisch beschrieben. So heißt es, von außerhalb des Gebäudes sollen hier nur identifizierte und befugte Beschäftigte Zutritt erhalten [72]. Jedoch kann die Identifizierung der Beschäftigten auch als Operationalisierung verstanden werden. In diesem Fall wäre die Zutrittskontrolle entweder personell zu lösen oder mithilfe eines technischen Systems wie die biometrische Zutrittskontrolle, welches zur Identifikation ein Alleinstellungsmerkmal der Personen abfragt und verifiziert. Ob eine derartige Interpretation zu dieser Schutzzone gemeint ist, ist insofern fraglich, als sich ein gleichwertiges Schutzniveau in Bezug auf andere in der Norm genannte Bereiche nicht erkennen lässt. Die biometrische Zutrittskontrolle wird beispielsweise zum Schutz vor Terrorismus und organisierter Kriminalität im Zusammenhang mit Atomkraftwerken, Häfen und Flughäfen erwähnt [75]. So kann sie zwar sektorübergreifend eingesetzt, jedoch nicht gleichzeitig als sektorübergreifender Standard verstanden werden. Vielmehr scheint der Einsatz von Identifikationstechniken von der erwarteten Bedrohung abzuhängen.

Wie bereits dargelegt, werden in der DIN EN ISO/IEC 27002 auch Schutzzonen innerhalb des Gebäudes sektorübergreifend festgelegt, die nur von Befugten betreten werden sollen. Dafür werden exemplarisch technische Verifikationsmöglichkeiten beschrieben. So wird für eine geeignete Zutrittssteuerung von Bereichen, in denen vertrauliche Informationen verarbeitet oder gespeichert werden, die Kombination aus Zutrittskarte und einer geheimen PIN als Beispiel genannt. Eine derartige Kombination aus zwei verschiedenen Verifikationsmöglichkeiten nennt man gemäß Norm „Zwei-Faktor-Authentifizierungsmechanismus“ [72, S. 49]. In Bezug zu Hochsicherheitsbereichen in Verkehrsinfrastrukturen wird eine „Zwei-Faktor-Authentisierung“ und eine Vereinzelung in einer Sicherheitsschleuse empfohlen [90, S. 40]. Nicht operationalisiert ist an dieser Stelle, ob die Sicherheitsschleuse durch eine technische Verifikation vereinzeln soll oder dem Befugten die Verantwortung zugetragen wird, das Alleinsein in der Schleuse festzustellen, um ein unentdecktes bzw. unbefugtes Nachlaufen zu vermeiden. Diese Konkretisierung könnte jedoch Einfluss auf das Sicherheitsniveau haben²⁶.

Die Analyse zeigte, dass sich die Verifikation auch über organisatorisch-personelle Maßnahmen sektorübergreifend beschreiben und realisieren lässt. Dies wird z. B. anhand der Empfehlung zur sichtbaren Ausweistragepflicht in Zonen mit hohem Schutzbedarf deutlich [90]. So lassen sich verdächtige Personen erkennen und beispielsweise durch die Ansprache eines Mitarbeiters hinterfragen. Die DIN EN ISO/IEC 27002 empfiehlt die gut sichtbare Kennzeichnung im Allgemeinen für alle Beschäftigte, Auftragnehmer und externe Parteien sowie die Meldung an das Sicherheitspersonal, falls diese bei einer Person nicht zu erkennen ist [72]. „In der Uniklinik Göttingen und im Klinikum Minden werden Mitarbeiter deshalb in Schulungen aufgefordert, Unbekannte anzusprechen. ‚Kann ich Ihnen helfen?‘ Fragen wie diese können Missetäter verunsichern und geben dem Mitarbeiter Gelegenheit, Verdachtshinweise wahrzunehmen“ [95, S. 32]. Für besonders schutzbedürftige (öffentliche) Orte „[...] wie Flughäfen, Bahnhöfen, Versorgungseinrichtungen, Gerichts- und Behördengebäude oder auch Rundfunkanstalten“ [93, S. 353] ist gesetzlich festgelegt, dass Identitätsfeststellungen oder sogar Durchsuchungen von Personen z. B. durch die Polizei durchgesetzt werden können.

Eine weitere Möglichkeit zur Verifikation bietet die Videoüberwachung im Zusammenhang mit einem Analysesystem bzw. einer automatischen Gesichtskontrolle [75]. So kann sie nicht nur zur Detektion von Auffälligkeiten dienen (siehe 4.1.4), sondern theoretisch auch – durch den Abgleich biometrischer Daten – einzelne Personen identifizieren [75]. Die genannten Detektionssysteme wie Sonar, Radar oder Einbruchmeldeanlagen können zwar Alarmmeldungen abgeben, jedoch ist dabei die Verifikation nicht inhärent durch das jeweilige System gegeben. Um den Personaleinsatz und Falschalarme zu reduzieren, wird vorgeschlagen, verschiedene Systeme zu vernetzen [75]. So wird erläutert, dass die Detektion mit der Videoüberwachung verknüpft werden könnte. In diesem Zusammenhang werden auch „unbemannten Drohnen (Unmanned Aerial Vehicles, UAVs)“ erwähnt [75, S. 21] und für den Unterwasserbereich können „Unbemannte Unterwasserfahrzeuge (UUV’s), ferngesteuerte (ROV’s) und autonome Unterwasserfahrzeuge (AUV’s) [...] eine Vielzahl von Sensoren tragen, die verlässliche und umfassende Details für eine Bewertung der Bedrohungslage liefern“ [94, S. 16]. Ob diese Fahrzeuge tatsächlich in der Sicherheitspraxis von Häfen, Flughäfen und Schienenverkehrsinfrastrukturen eingesetzt werden, ist in den Dokumenten nicht ersichtlich. Dennoch scheint die Verifikation von Alarmen wichtig, um gegen einen Alarmverursacher oder gegen einen Täter entsprechend angemessen zu intervenieren.

4.1.6 Gegen den Eindringversuch intervenieren

Die Detektion und die Verifikation eines Eindringtäters sind erst in der Kombination mit der Intervention zielführend. Lässt der Unbefugte sich nicht abschrecken oder durch konstruktive Barrieren an den Schutzzonengrenzen aufhalten, so ist die Intervention das letzte Schutzziel, welches dem Täter direkt entgegenwirken kann und dennoch sind Sicherheitsstandards für dieses strategische Schutzziel nur selten beschrieben.

Die Intervention wird in zwei Dokumenten eher beiläufig genannt, um den Nutzen von Sicherheitstechniken zu verdeutlichen. So heißt es, durch sie „[...] lassen sich Gefahren frühzeitig erkennen und Gegenmaßnahmen einleiten“ [90, S. 41] oder „[d]ie Lagebeurteilung kann durch technische Systeme erleichtert werden, die Komplexität von Intervention und Management bei Schadensereignissen kann handhabbarer gemacht werden [...]“ [94, S. 19]. Eine Operationalisierung war in diesen beiden Dokumenten nicht zu finden. Im Kontext von Klinken ist erwähnt – jedoch nicht weiter konkretisiert – dass die Polizei zu rufen ist, „[w]enn Situationen brenzlig werden [...]“ [95, S. 34]. In Ausnahmefällen kann Sicherheitstechnik auch zur direkten Intervention eingesetzt werden. So nennt ein Dokument beiläufig den Einsatz von „[...] Robotiktechnologien zur Entschärfung von Bomben [...]“ [75, S. 19]. Es ist jedoch nicht davon auszugehen, dass der Besitz derartiger Technologien als Standard für KRITIS zu verstehen ist. In der Literatur ist Sicherheitspersonal, welches Interventionsmaßnahmen einleiten oder vollziehen könnte, mehrfach genannt. So wird in der DIN EN ISO/IEC 27002 Sicherheitspersonal genannt, jedoch fehlt jeglicher Hinweis zu dessen Qualifikation oder Aufgabenfeld [72]. Nolte beschreibt, dass private Sicherheitsdienste nur selten besondere Befugnisse zur Intervention haben [93]. Bewaffnete Wachen, welche in zwei weiteren Dokumenten Erwähnung finden [75], [92], lassen jedoch vermuten, dass diese unter anderem zur Intervention vorgesehen sind. Deren Einsatz gilt z. B. in Flughäfen als Standard, wo von Eindringtätern mit hoher krimineller Energie ausgegangen werden muss [75].

In Verkehrsinfrastrukturen soll eine – z. B. durch einen Wach- oder Sicherheitsdienst – ständig besetzte Stelle Gefahrenmeldungen empfangen. Da in diesem Zusammenhang die Weiterleitung und Alarmierung genannt wird [90], ist auch die Intervention durch externe Kräfte wie Sicherheitsdienstleister oder die Polizei denkbar. Beispielsweise ist für den Schutz bestimmter Objekte von Verkehrsinfrastrukturen „[...] die Zuständigkeit besonderer Polizeibehörden vorgesehen“ [93, S. 354]. Dafür können die Zuständigkeitsbereiche räumlich festgelegt werden bzw. gesetzlich festgelegt sein [93, S. 355]:

Die Zuständigkeit der Bundespolizei als Luftsicherheitsbehörde oder Bahnpolizei beschränkt sich örtlich auf das Flughafengelände (§ 16 Abs. 1 LuftSiG)[...] bzw. auf die Bahnanlagen und Bahnhofsgelände (§ 3 Abs. 1 BPolG).[...] Außerhalb dieser Bereiche sind nur die allgemeinen Polizeibehörden zur Abwehr jeglicher Gefahr zuständig, auch wenn der Luft- oder Bahnverkehr gefährdet ist.

Genaue Maßnahmen der Intervention waren in der Literatur nur teilweise definiert, so etwa in Bezug zum Hausrecht²⁷, welches auch an die Behörden übertragen werden kann. Beispielsweise hat die Bahn AG ihr Hausrecht zum Schutz von Bahnhöfen und Bahnanlagen an lokale Polizeibehörden übertragen oder die Bundespolizei die Pflicht zur Unterstützung bei der Wahrnehmung des Hausrechts und der Polizeigewalt im Bundestag [93]. Allgemein gilt sektorübergreifend für KRITIS: „Zur zwangsweisen Durchsetzung von Maßnahmen ist der Hausrechtsinhaber in jedem Fall auf die Vollzugshilfe der Polizei angewiesen, soweit er nicht selbst auch Inhaber der Polizeigewalt ist“ [93, S. 359]. Demnach ist abzuleiten, dass die Alarmierung der Polizei nach der Verifikation der Alarmursache grundsätzlich mit organisatorisch-personellen und technischen Maßnahmen vorgedacht sein sollte.

4.1.7 Das Sicherheitsereignis dokumentieren

Die Dokumentation von Vorfällen wurde als weiteres strategisches Schutzziel in wenigen Dokumenten erkannt und an einer Stelle operationalisiert. Auch wenn sie dem Eindringtäter nicht direkt entgegenwirkt, lässt sich die Relevanz dieses Schutzziels für die vorliegende Arbeit begründen. Die Dokumentation kann beispielsweise dazu beitragen, den Eindringtäter und/oder Sicherheitslücken zu ermitteln und dadurch weitere Vorfälle zu vermeiden. Des Weiteren kann sie z. B. bei unübersichtlichen Lagen bis zum Eintreffen der Interventionskräfte wichtige Beweise sammeln, um ein zielgerichtetes Eingreifen zu ermöglichen.

„So bald wie möglich nach dem Erkennen eines Sicherheitsvorfalls sind Beweise zu sammeln“ [90, S. 42], das „Sicherstellen, dass alle Reaktionen auf einen Sicherheitsvorfall für eine spätere Analyse ordnungsgemäß protokolliert werden“ [90, S. 42] oder die Archivierung nach Abschluss eines Vorfalls sind Anforderungen, die Schnieder an Verkehrsinfrastrukturen branchenübergreifend in diesem Zusammenhang stellt, jedoch nicht weiter operationalisiert. Auch die DIN EN ISO/IEC 27002 beschreibt sektorübergreifend, dass Beweismaterial zu Informationssicherheitsvorfällen zu sammeln ist. Sie erwähnt jedoch lediglich in diesem Zusammenhang, dass dabei Rechtsvorschriften einzuhalten sind und verweist zudem auf die ISO/IEC 27037, welche „[...] Richtlinien zur Ermittlung, Sammlung, Aneignung und Aufbewahrung [von] digitalen Beweismaterials enthält“ [72, S. 97], jedoch nicht Untersuchungsgegenstand dieser Arbeit war²⁸.

In der Fachzeitschrift für Klinikmanagement wird die Dokumentation konkretisiert. So wurden für eine Uniklinik anlagenspezifisch Überwachungskameras geplant, welche an einen Ringspeicher gekoppelt werden sollen, um die gesicherten Aufzeichnungen alle 7 bis 14 Tage zu löschen [95]. Die Videoüberwachung kann somit ein technisches System zur Dokumentation darstellen. Sie wird in der Literatur mehrfach genannt, ohne den genauen Zweck bzw. das Schutzziel erkennen zu lassen. Möglicherweise soll sie an einigen Stellen mehrere Funktionen gleichzeitig erfüllen. Die Literatur hat gezeigt, dass die Videoüberwachung mit Ausnahme der konstruktiven Behinderung grundsätzlich zu allen genannten Schutzzielen beitragen kann. Sie sei jedoch in der Praxis ein sensibles Thema. Die Akzeptanz von Mitarbeitern, beispielsweise des Datenschutzes, Betriebs- und Personalrates, kann erforderlich sein, um Problemen in der Umsetzung vorzubeugen [95]. Wie jedoch die Akzeptanz für Sicherheitsmaßnahmen geschaffen wird, ist in der analysierten Literatur nicht erwähnt.

4.1.8 Erste Erkenntnisse zu den Sicherheitsstandards

Die analysierte Literatur ergibt ergänzend zu den behördlichen Empfehlungen einen guten Überblick, wie dem Unbefugten bzw. Eindringtäter durch bauliche, technische und organisatorisch-personelle Lösungsansätze entgegengewirkt werden kann. Obwohl die genannten KRITIS viele Unterschiede aufweisen und sich bei der ersten Betrachtung der Dokumente verschiedene Abstraktionsniveaus sowie vor allem branchenspezifische Lösungen vermuten ließen, konnten einige Gemeinsamkeiten erkannt werden. So beschreiben sie auf verschiedenen Gruppenebenen gleiche Strategien und wie diese durch allgemeine Systeme praktisch umgesetzt werden oder durch ihr Entwicklungspotential künftig umgesetzt werden könnten. Es sind vor allem technische Systeme wie die Videoüberwachung, Zutrittskontrolle und Einbruchmeldesysteme, aber auch Personal sektorübergreifend genannt. An einigen Stellen wird angedeutet, welches strategische Ziel sie verfolgen sollen und dennoch wird ihre Operationalisierung nur teilweise angeschnitten. So soll beispielsweise die elektronische Zutrittskontrolle je nach Zielsetzung unterschiedlich streng verifizieren und muss daher unterschiedlich umgesetzt werden (Ausweiskontrolle vs. biometrisches Merkmal).

Genaue Maßnahmen sind nur auf organisatorisch-personeller Ebene genannt. Es bedarf einer präziseren Operationalisierung der beschriebenen Schutzziele, um konkrete Maßnahmen abzuleiten. Andernfalls ist der Raum zur Interpretation zu groß und das Schutzniveau könnte sich je nach Auslegung unterscheiden. Die Analyse zeigte darüber hinaus, dass für ein strategisches Schutzziel mehrere Operationalisierungen erforderlich sind. Das folgende Kapitel verdeutlicht differenzierter die Zusammenhänge und Diversität von Schutzzielen und deren Operationalisierungen.

4.2 Möglichkeiten und Grenzen der Operationalisierung

Wie bereits dargelegt, werden die strategischen Schutzziele in der Literatur auch branchenübergreifend bzw. -intern und selten auch individuell operationalisiert. Diese Sicherheitsstandards haben zwar keine grundsätzliche sektorübergreifende Gültigkeit, dennoch sind sie innerhalb weiterer Sektoren und Branchen in gleicher oder ähnlicher Form denkbar. Daher werden nachfolgend die Operationalisierungen konsolidiert dargelegt, welche sich mit den sektorübergreifenden Sicherheitsstandards vereinbaren lassen. Darüber hinaus wurden Grenzen und weitere Möglichkeiten der Operationalisierung, wie nachfolgend dargelegt, abgeleitet.

4.2.1 Prävention

Die analysierte Literatur lässt keine Einigkeit darüber erkennen, wie die Prävention im Allgemeinen zu operationalisieren ist. Im Gegenteil, es sind zwei konträre Ansätze genannt. So steht der Abschreckung durch auffällige Sicherheitsmaßnahmen die Unauffälligkeit der KRITIS-Einrichtungen entgegen. Dabei scheint die psychologische Wirkung auf den potenziellen Täter entscheidend. Da es diesbezüglich in der analysierten Literatur keinen Verweis zu einer wissenschaftlichen Untersuchung gibt und es an einer Begründung fehlt, wurden die unterschiedlichen Operationalisierungen in einem möglichen Interpretationsansatz durch den Verfasser dieser Arbeit hergeleitet. Dazu bediente sich der Verfasser in Anlehnung an die Literatur dem allgemeinen Narrativ einer Tätergruppe von Gelegenheitstätern mit wenig krimineller Energie und einer Tätergruppe aus organisierten Kriminellen/Terroristen mit hoher Energie.

Gelegenheitstäter könnten sich von einem hohen, erkennbaren Sicherheitsniveau abschrecken lassen, auch wenn dieses möglicherweise (aus Kostengründen) nur vorgetäuscht wäre. Sie sind auf schnelle Beschaffungskriminalität aus und bevorzugen das Eindringen in unauffällige Einrichtungen, in denen sie möglicherweise kleine Werte und ein geringeres Risiko des Auffallens vermuten. Die andere Tätergruppe mit einer hohen kriminellen Energie lässt sich möglicherweise nicht von der Unauffälligkeit von Einrichtungen beeinflussen. Sie ist gut informiert, hat eventuell Zugriff auf Insiderwissen und weiß um die Bedeutung der KRITIS und ihrer Werte. Nur unter der Prämisse der höchsten Geheimhaltung wäre es denkbar, einzelne kritische Bereiche innerhalb einer KRITIS-Einrichtung unauffällig zu gestalten, um die Aufmerksamkeit auf andere Bereiche zu lenken. Gleichzeitig kann auch der Abschreckungseffekt auf diese Tätergruppe kleiner sein. Zudem könnten die Täter durch ihre hohe kriminelle Energie Sicherheitssysteme oder vorgetäuschte Sicherheit erkennen und diese dadurch möglicherweise einfacher überwinden/überlisten. Dennoch ist davon auszugehen, dass organisierte Kriminelle/Terroristen bei vergleichbaren Werten oder vergleichbarer Bedeutung der KRITIS, um nicht zu scheitern, das Eindringen in diejenige kritische Einrichtung bevorzugen würden, bei der ein geringeres Sicherheitsniveau vermutet wird.

Demzufolge scheint die Abschreckung grundsätzlich für die Gesamtheit von KRITIS-Einrichtungen anzustreben zu sein. Vereinzelt kann eventuell durch unsichtbare Sicherheitssysteme ein höheres Schutzniveau erzielt werden, um nicht alle Maßnahmen offenzulegen. Dies ist jedoch von der weiteren Operationalisierung des strategischen Schutzziels abhängig. In der Literatur konnte kein Hinweis dazu erkannt werden, in welcher Akteursgruppe die Abschreckung zu operationalisieren ist. Wird gedanklich der Annahme gefolgt, dass verschiedene Tätergruppen sich durch ein unterschiedliches Mindestniveau an Abschreckung vom Eindringversuch abhalten lassen, so könnte eine brancheninterne oder zumindest anlagenspezifische Operationalisierung die Schlussfolgerung sein. Denn auf dieser Ebene ist mit gleichen Tätergruppen zu rechnen²⁹. Die Annahme, dass Täter möglicherweise das Ziel mit dem geringsten Widerstand wählen, kann für, aber auch gegen eine anlagenspezifische Lösung sprechen. Möchte der KRITIS-Betreiber nur seine eigene Anlage schützen, so kann er theoretisch auch eine individuelle Lösung bevorzugen, um möglicherweise sein Risiko auf andere Unternehmen abzuwälzen.

Da die Abschreckung vor allem im Zusammenhang mit anderen strategischen Schutzzielen zu erreichen ist, kann an dieser Stelle keine unabhängige Aussage über die weitere Operationalisierung getroffen werden. Sie ist jedoch grundsätzlich in der Planung zu berücksichtigen, da das Errichten oder Weglassen von sichtbaren Schutzmaßnahmen eine bestimmte Wirkung auf einen potenziellen Täter haben kann.

4.2.2 Behinderung und Verifikation von Zutritts-, Zufahrtsberechtigung

Die Behinderung des Unbefugten ist im Idealfall in mehrere hintereinanderliegende konstruktive Barrieren zu staffeln. Ziel ist es, den Außentäter gleich mehrfach zu behindern und einem Innentäter ebenfalls keinen ungehinderten Zugriff auf besondere Werte oder kritische Bereiche des Unternehmens zu ermöglichen. Daher werden in der Literatur vor allem verschiedene Schutzzonengrenzen und Zonenübergänge quantitativ genannt, die anhand eines vereinfachten zweidimensionalen Modells beschrieben werden können. Das Modell visualisiert beispielsweise ein Betriebsgelände, auf dem ein einzelnes Gebäude steht, welches zwei gleichwertige kritische Bereiche oder Anlagen enthält. Die Zufahrt bzw. die Zugänge sind jeweils nummeriert:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Schutzzonengrenzen und -übergänge im idealisierten Modell (eigene Darstellung in Anlehnung an [90])

Die physische Behinderung beginnt in den Dokumenten entweder mit der Umschließung des Außenbereiches z. B. an der juristischen Grenze oder mit der Umschließung des Innenbereiches – in der Regel die Fassade der Gebäude. Darüber hinaus werden im Inneren des Gebäudes weitere Barrieren beschrieben, die besondere Bereiche abgrenzen sollen. Diese Grenzen sind mit Ausnahme der Schutzzonenübergänge geschlossen zu halten. Die Schutzzonenübergänge (1), (2) & (3) sind zu kontrollieren. In dem Zusammenhang wird mehrfach die Zufahrts- bzw. Zutrittskontrolle (1) allgemein beschrieben und dass nur bestimmte Personengruppen die Zonen betreten dürfen.

Nur teilweise ist operationalisiert, dass die Zutrittsberechtigung mithilfe von Personal (2) oder anhand (mehrerer) genannter Merkmale wie PIN, Zutrittskarte oder Biometrie technisch geprüft werden soll (2) & (3). Dem Anschein nach nimmt dabei das Schutzniveau der Verifikation von außen (1) nach innen (3) zu³⁰. Nicht operationalisiert ist, in welcher Qualität die Schutzzonengrenzen und -übergänge den Unbefugten behindern sollen. So sind zwar Normen genannt, die dabei helfen, Bauteile wie z. B. Fenster und Türen so zu dimensionieren, dass sie einfachen Einbruchswerkzeugen wie dem Schraubendreher oder auch einer Sprengladung standhalten, jedoch werden die tatsächlich erforderlichen Anforderungen verschwiegen. Betreiber können somit keine genauen Maßnahmen ableiten. Auch hier bedarf es, gemäß der beschriebenen Norm, zunächst einer Analyse der zu erwartenden Tätergruppen.

Darüber hinaus beschreiben die Dokumente, dass dieses Idealmodell bzw. -konzept in der Praxis nicht immer umzusetzen ist. Möglicherweise grenzen in der Realität interne Zonen teilweise direkt an öffentliche Zonen oder kritische Anlagen sind vom Außenbereich zugänglich (Abb. 5). So könnte sich ein viel höheres Schutzniveau für bestimmte Zonengrenzen und -übergänge ergeben. Auch das Schutzniveau innerhalb einer Grenze oder in Bezug auf verschiedene Übergänge könnte sich je nach angrenzender Zone unterscheiden. Möchte man beispielsweise die kontrollierte Innenzone im nachfolgenden Modell (Abb. 5) gleichwertig schützen, so wäre der Teil der Zonengrenze und der Übergang (2a) zur öffentlichen Zone möglicherweise stärker zu sichern als die Zonengrenze und der Übergang (2b) zur kontrollierten Außenzone. Denkbar sind weitaus komplexere Konzepte, z. B. wenn Teile der KRITIS-Einrichtung während bestimmter Öffnungszeiten im Tagbetrieb bzw. im Allgemeinen öffentlich zugänglich sind, kritische Anlagen direkt im öffentlichen Bereichen stehen oder es eine Vielzahl von schutzbedürftigen Bereichen mit unterschiedlichen Anforderungen gibt. Dementsprechend könnten Barrieren im Außenbereich wegfallen oder weitere Schutzzonen im Innenbereich erforderlich sein.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5: Schutzzonengrenzen und -übergänge im alternativen Modell (eigene Darstellung)

Auch wenn das Ideal für KRITIS nicht immer optimal umzusetzen ist, verdeutlichen die analysierten Dokumente, dass mehrere vorgelagerte Schutzzonen vor kritischen Bereichen grundsätzlich als Standardkonzept anzustreben sind. Dabei sind die Schutzzonenübergänge so zu gestalten und organisieren, dass nicht jeder Beschäftigte oder externe Dienstleister (z. B. Anlieferung, Reinigung und Entsorgung) in jeden Bereich gelangen kann. Sonderschutzzonen sollten nur für einen möglichst kleinen Personenkreis zugänglich sein. Dies könnte beispielsweise in der Planung von Umbauten oder Neubauten berücksichtigt werden.

Angenommen man könnte auch in der Praxis für gleiche Anlagentypen oder Gebäude wie z. B. Krankenhäuser ein standardisiertes Modell abbilden und das erwartete Täterprofil wäre eindeutig, so könnten örtliche Differenzen wie Vegetation / Bewuchs, Gewässer, erwarteter Schneefall, Bauordnungen (auch Denkmalschutz) etc. unterschiedliche Maßnahmen oder unterschiedliche Qualitäten der gleichen Maßnahme (wie die Zaunhöhe) zumindest im Außenbereich erfordern. Durch die Analyse der Literatur konnte nicht ausgeschlossen werden, dass es neben den Bahnanlagen weitere KRITIS gibt, die hingegen des empfohlenen Schutzzonenkonzeptes grundsätzlich keine vorgelagerten Barrieren haben. Denkbar wäre dies bei freistehenden Anlagen oder öffentlich zugänglichen Gebäuden. Des Weiteren kann es möglich sein, dass bei bestimmten KRITIS grundsätzlich von einem Innentäter ausgegangen werden muss. In diesen speziellen Fällen könnten einheitliche anlagenspezifische Standards für die Behinderung des Täters an der Anlage selbst oder für die letzte Grenze der Sonderschutzzone festgelegt werden. Voraussetzung dafür ist, dass die Zonen oder Anlagen unter vergleichbaren Umgebungsbedingungen stehen, die einheitliche Maßnahmen zulassen.

4.2.3 Detektion und Verifikation von Alarmursachen

Analog zur Behinderung des Eindringtäters wird auch die Detektion für mehrere hintereinanderliegende Schutzzonen empfohlen. Dabei kann nicht nur an den Schutzzonengrenzen und deren Übergänge, sondern auch innerhalb der Schutzzonen selbst detektiert werden. Demnach ist die Detektion abhängig vom Schutzzonenkonzept. Wie die Detektion in der analysierten Literatur beschrieben wird, kann auch hier anhand eines vereinfachten konsolidierten Schutzzonenmodells wiedergegeben werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 6: Detektionslinen und -flächen im idealisierten Modell (eigene Darstellung in Anlehnung an [90])

Anhand der äußeren Schutzzone wird in den Dokumenten ersichtlich, dass nicht jede Beschreibung der physischen Schutzzonengrenze oder Kontrolle des Zonenübergangs zwangsläufig zur Beschreibung der Detektion dieser oder der dahinterliegenden Schutzzone führt. Daher ist kritisch zu hinterfragen, ob in diesem Fall die äußere Schutzzone nur die strategischen Schutzziele der Behinderung oder auch der Prävention erfüllen soll oder darüber hinaus, gemäß der erörterten Möglichkeiten, der geschlossen Überwachung dient. Im Fall der angestrebten Überwachung sind verschiedene Umgebungsbedingungen zu berücksichtigen. Technische Lösungen sind dementsprechend zu wählen, an örtliche Gegebenheiten und am Ist-Zustand des Bestands individuell anzupassen, sofern die KRITIS nicht neu geplant wird.

In Bezug zu den Gebäuden und Sonderschutzzonen in ihrem Inneren wurde hingegen keine geschlossene Detektionslinie beschrieben. Es sind die „zugänglichen“ Fenster und Türen, die auf Einbruch sektorübergreifend überwacht werden sollen. Diese Elemente sind oft „[...] das schwächste Glied im Gebäudeschutz [...]“ [92, S. 250]. Nicht konkretisiert ist, welche Fenster unter „zugänglich“ zu verstehen sind. Bestimmte KRITIS haben Angriffe über den Luftweg zu erwarten, sodass auch Dach- oder Terrassenfenster zugänglich werden können. Auch der Angriff durch unbefugte Kletterer ist z. B. bei einer hohen kriminellen Energie nicht auszuschließen. Hier bedarf es je nach zu erwartenden Angriffswegen bzw. Tätergruppen einer Operationalisierung. Nur teilweise operationalisiert ist die Überwachung von Zonenübergängen ((1) & (2) Abb. 6), die gegebenenfalls nicht durch Türen gestaltet sind. Erwähnt wird in diesem Zusammenhang Personal (2), welches möglicherweise ein Eindringen erkennen soll. Alternativ wäre es vorstellbar, Zutrittssysteme wie die technische Vereinzelung so zu gestalten (deckenhoch), dass sie nicht überstiegen werden können (2) & (3). Vor- und Nachteile von personellen bzw. technischen Lösungen sind dabei nicht beschrieben. Gleiches gilt für die Überwachung innerhalb der Schutzzonen. Diese kann sowohl technisch mit Videoüberwachung und Bewegungsmeldern als auch personell z. B. durch Maßnahmen wie die allgemeine Kennzeichnung und Schulung der Mitarbeiter umgesetzt werden. Erkennen die Mitarbeiter auffällige Personen, so soll durch sie selbst oder durch Sicherheitspersonal verifiziert werden, ob es sich um einen Unbefugten handelt. Wie jedoch mit Alarmmeldungen technischer Systeme umgegangen, ist nicht genau operationalisiert. Die Videoüberwachung wird mehrfach erwähnt. Sie könnte z. B. im Zusammenspiel von Personal und intelligenter Software dabei helfen, reale Bedrohungen von Falschalarmen zu unterscheiden. Dafür sind die Schnittstellen und der Zweck bzw. die Qualität des Videoüberwachungssystems genauer zu definieren. Operationalisiert werden muss beispielsweise, ob die Videotechnik Auffälligkeiten wie bestimmte Bewegungsmuster oder Gegenstände entdecken oder genauer den Täter sowie das Tatmittel identifizieren soll und wie automatisiert sie arbeitet.

Es scheint, als sei zumindest die Überwachung von Gebäuden oder von innenliegenden Schutzzonen als sektorübergreifenden Sicherheitsstandard von KRITIS festzulegen. Dabei ist vor allem die Synergie von Technik und Mensch unklar. Demnach bedarf es weiterer Operationalisierungen, damit Vor- und Nachteile der beschriebenen Lösungsansätze ersichtlich werden. Einen möglichen Ansatz sieht der Verfasser darin, zwischen verschiedenen Betriebsmodi wie dem Tag-, Nacht-, Wochenend- und Feiertagsbetrieb zu unterscheiden oder anlagenspezifisch erforderliche Aufenthaltsmodi zu bestimmten Uhrzeiten festzulegen. Zu der Zeit, in der in einer bestimmten Schutzzone keine Arbeiten zu erwarten sind, könnten Türen und Fenster auf Einbruch sowie die Flächen auf Aufenthalt überwacht werden. Wie bereits dargelegt, ist dabei auch eine automatische Verknüpfung mit der Zutrittskontrolle möglich. Es ist davon auszugehen, dass es darüber hinaus Bereiche oder Anlagen gibt, die im Regelfall keinen Aufenthalt erfordern. Diese könnten grundsätzlich technisch überwacht werden. Dennoch bedarf es je nach Anzahl und Größe der Überwachungsbereiche eines Mindestmaßes an Personal, welches die Alarmmeldungen verifiziert und verarbeitet. Eine rein technische Lösung, die ohne Verifikation durch den Menschen eine direkte Intervention einleitet, ist in den Dokumenten nicht zu erkennen. Ob grundsätzlich eine ständig besetzte Stelle erforderlich ist, kann anlagenspezifisch operationalisiert werden. Auch der Einsatz von externem Personal ist dabei denkbar. Herrscht hingegen reger Betrieb, könnten die Mitarbeiter gemäß der beschriebenen Maßnahmen in die Verantwortung genommen werden, ihre Tätigkeitsbereiche selbst zu überwachen. Für eine bessere Überschaubarkeit sollte die Anzahl der Zonenübergänge auf das nötige Minimum reduziert werden.

4.2.4 Intervention und Dokumentation von Ereignissen

In der Literatur genanntes Sicherheitspersonal kann Detektionsalarme oder Meldungen von Mitarbeitern empfangen und gegebenenfalls mithilfe von Videotechnik aus sicherer Distanz verifizieren, ob es sich um einen Eindringtäter oder sonstigen Unbefugten handelt. Aus den Dokumenten geht nicht hervor, ob das Personal auch selbst Unbefugten entgegentreten oder stattdessen bis zum Eintreffen externer Kräfte Beweise sammeln und den Täter nachverfolgen sollte.

Es ist davon auszugehen, dass dies zum einen von dem Szenario bzw. der erwarteten Bedrohung abhängt. Beispielsweise könnte ein Kind, welches über den Zaun eines Betriebsgeländes klettert, um seinen Spielball zu holen oder ein Mitarbeiter, der sich dem Anschein nach versehentlich in einen unkritischen Bereich verirrt, durch das Sicherheitspersonal ermahnt und hinausbegleitet werden. Z um anderen könnte die Ausbildung, Qualifikation und Befugnisse des Personals entscheidend sein, um einem Eindringtäter entgegenzutreten. So könnte das bewaffnete, z. B. am Flughäfen eingesetzte Sicherheitspersonal möglicherweise einem Eindringtäter entgegenwirken, während beispielsweise ein einfacher unbewaffneter Sicherheitsmitarbeiter einer kritischen Kultureinrichtung externe Kräfte hinzuziehen sollte. Das entsprechende Vorgehen ist dazu ebenfalls zu festzulegen.

Demnach bedarf es einer klaren Abgrenzung der Aufgabenfelder und einer Operationalisierung von Schnittstellen zwischen internen und externen Einsatzkräften. Diesbezüglich könnte anlagenspezifisch festgelegt werden, bei welchen Szenarien, Tätergruppen oder ab welcher Schutzzone die Intervention durch externe Kräfte bzw. die Polizei erforderlich ist. Voraussetzung ist eine frühzeitige Detektion, Verifikation und gegebenenfalls Nachverfolgung an der entsprechenden Schutzzone. Zur ganzheitlichen Betrachtung des Schutzziels ist darüber hinaus, besonders im Zusammenhang externer Interventionskräfte, eine Operationalisierung mittels Interventionszeiten³¹ vorstellbar, welche wiederum von erwarteten Widerstandszeiten der physischen Barrieren abhängen könnten. Die Literatur zeigt, dass grundsätzlich in Abstimmung mit Polizeibehörden auch Partnerschaften möglich sind, um bei verkürzten Interventionszeiten bedarfsgerecht zu intervenieren. Doch auch ohne partnerschaftliche Vertragsverhältnisse können mit den örtlichen Behörden Anfahrtszeiten und Anfahrtswege im Vorhinein abgestimmt und im Sicherheitskonzept bzw. Schutzzonenkonzept berücksichtigt werden.

Zudem kann während eines Ereignisses auch die Zusammenarbeit vor Ort erforderlich sein. So können den Interventionskräften gesammelte Beweise und Aufzeichnungen zur Verfügung gestellt werden, um den Täter oder seine aktuelle Position in der Einrichtung zu ermitteln. Dazu muss genau operationalisiert werden, was die Dokumentation leisten soll. Möglicherweise wird eine Eindringtat oder die Vorbereitung darauf bei unzureichender Detektion oder im Zusammenhang mit einem Innentäter erst im Nachhinein erkannt. Möchte man dennoch den Umstand zurückverfolgen können, so ist eine Dokumentation z. B. mittels Videoaufzeichnung und Ringspeicher über einen längeren Zeitraum erforderlich. Daher sollten auch die Zeitdauer und Qualität der Dokumentation für alle KRITIS operationalisiert werden. Inwieweit bestehende Vorschriften und Richtlinien dementsprechende Operationalisierungen bereits beschreiben, wurde in dieser Arbeit aus genanntem Grund nicht analysiert.

4.2.5 Operationalisierung nach Gruppenebenen

Zusammenfassend werden in diesem Unterkapitel mögliche Gruppen zur Operationalisierung beschrieben. Die Analyse und Interpretation der ausgewählten Literatur verdeutlichte dahingehend, dass strategische Schutzziele sektorübergreifend festgelegt werden können, jedoch deren ganzheitliche Operationalisierung vor allem im Hinblick auf bauliche und technische Ansätze individuell sowie unter bestimmten Voraussetzungen anlagenspezifisch zu bestimmen ist. In einzelnen Bereichen wie der Sicherheitsorganisation oder in Personalfragen konnten dennoch Möglichkeiten zur Konkretisierung der strategischen Schutzziele in größeren Gruppen erkannt werden.

Die genannten Möglichkeiten zeigen, dass die Operationalisierungen der strategischen Schutzziele nur in Ausnahmefällen getrennt voneinander festzulegen sind. Die Schutzziele bedingen sich in der Regel gegenseitig. So kann die Widerstandszeit physischer Barrieren z. B. Zeit zur Intervention schaffen, wenn frühzeitig detektiert und verifiziert wird. Andersherum nutzt die frühzeitige Detektion wenig, wenn dem Täter keine physische Barriere entgegengesetzt wird und die Interventionsmaßnahme zu langsam oder unwirksam ist. Daher bedarf es einer differenzierten Betrachtung der Abhängigkeiten, die zu einer Gesamtkonzeption gegen das Eindringen eines Unbefugten führt. Die Literatur beschreibt vereinzelte und weitestgehend unbegründete sektor-, branchenübergreifende und brancheninterne Operationalisierungen, die wie im Basisschutzkonzept den Betreibern als gedankliche Stütze dienen können. Es wird jedoch deutlich, dass ein Gesamtkonzept bzw. vollständig aufeinander abgestimmte Standards auf diesen Ebenen nicht zu erkennen ist.

Es ist davon auszugehen, dass sich KRITIS-Einrichtungen je nach Anlagentyp(en) grundlegend unterscheiden, sodass auch das Schutzzonenkonzept unterschiedlich auszubilden ist. Dabei können sogar bei gleichen Anlagentypen gegebenenfalls örtliche Differenzen wie Umgebungsbebauungen, Gelände oder Vegetation Einfluss auf die Ausbildung von Schutzzonen und dessen Gestaltung durch Sicherheitsmaßnahmen nehmen. Jedes der beschriebenen strategischen Schutzziele ist bezüglich der Frage nach dem Ort seines Wirksamwerdens individuell zu operationalisieren – z. B.: Welche Schutzzonengrenze soll abschreckend oder behindernd wirken? Vor, nach oder an welcher Schutzzonengrenze soll ein Unbefugter detektiert, Zugänge verifiziert und ein Ereignis dokumentiert werden? Ab dem Eindringversuch in welche Schutzzone sollen bestimmte Interventionen eingeleitet und vollzogen werden?

Darüber hinaus sind einige der strategischen Schutzziele gemäß ihrer Befugnisse und Zuständigkeiten zu operationalisieren – z. B.: Wer darf welche Bereiche betreten? Wer vergibt Zutrittsberechtigungen? Wer verifiziert Alarmursachen und leitet die Intervention ein? Welches Interventionspersonal ist gefordert? Wer darf archivierte Dokumentationen einsehen? Hierzu bedarf es einer geeigneten Sicherheitsorganisation. Gegebenenfalls könnten Stellenbeschreibungen zur Operationalisierung der Zuständigkeiten oder ein Mindestmaß an Sicherheitspersonal und notwendige Aufgabenkataloge, wie es im Bereich Safety unternehmensübergreifend rechtlich festgelegt ist, je nach Anlagen- oder Gebäudetypus also anlagenspezifisch bestimmt werden.

Neben den strategischen Schutzzielen ist in der Literatur ein weiterer sektorübergreifender Sicherheitsstandard zu erkennen. So können Mitarbeiter dabei helfen, Unbefugte zu erkennen. Inwieweit die Mitarbeiter neben ihren Tätigkeiten dazu (z. B. durch Betriebsvereinbarungen) in die Pflicht genommen werden können und überhaupt die Übersichtlichkeit ihrer Arbeitsbereich dahingehend gegeben ist, kann jedoch nur bei gleicher Bauweise und vergleichbarem Personalaufwand anlagenspezifisch bestimmt werden. Andernfalls sind auch hier individuelle Lösungen zu erarbeiten. Dennoch kann die Sensibilisierung der Mitarbeiter grundsätzlich angestrebt werden. So kann auch Akzeptanz für die Sicherheitsmaßnahmen geschaffen werden. Dass Operationalisierungen bis hin zu organisatorisch-personellen Maßnahmen dahingehend sektorübergreifend möglich sind, zeigen z. B. die Empfehlungen zur sichtbaren Kennzeichnung von Beschäftigten.

Die vorgestellten Ergebnisse verdeutlichen, dass die strategischen Schutzziele vorwiegend individuell durch die KRITIS-Betreiber selbst umzusetzen sind. Begründen lässt sich dies zum einen mit der Komplexität eines ganzheitlichen Sicherheitskonzeptes gegen das Eindringen Unbefugter und zum anderen mit der Individualität von KRITIS-Einrichtungen und -Standorten. Da die deutsche Gesetzgebung bislang kaum einheitliche Vorgaben zum Objektschutz KRITIS festlegt, sind die Konkretisierung der Schutzziele selbst motiviert anzustreben. Dennoch haben die Betreiber Möglichkeiten Kooperationen einzugehen, Synergien zu nutzen und Unterstützung hinzuzuziehen. Dies ließ sich aus den empfohlenen Sicherheitsstandards und weiteren Hinweisen aus der Literatur – wie im nachfolgenden Kapitel dargestellt – ableiten.

4.3 Weitere Synergien und externe Akteure

Mithilfe der Kategorie Kooperation & Akteure konnten neben den Sicherheitsstandards Textstellen erkannt werden, die darauf hinweisen, dass die Zusammenarbeit zwischen verschiedenen Akteuren des physischen KRITIS-Schutzes sinnvoll ist. Konkrete Ansätze wurden jedoch dahingehend nur selten erkannt und genaue Gruppierungen wurden nicht beschrieben. Daher werden in diesem Kapitel zusätzlich einige erhobene Sicherheitsstandards betrachtet, um Kooperationsmöglichkeiten abzuleiten. Darüber hinaus wurden mithilfe der Kategorie Risikoanalyse Hinweise dazu gefunden, wie sich die strategischen Schutzziele operationalisieren lassen. Welche Schlüsse sich daraus für die Zusammenarbeit KRITIS ergeben, wird nachfolgend beschrieben. Zunächst wird jedoch auf die Akteure zur Aushandlung von strategischen Schutzzielen eingegangen.

Die Autoren der recherchierten Dokumente aus der Wissenschaft und Praxis waren sich in grundsätzlichen Ansätzen des KRITIS-Schutzes einig. So konnten aus der Literatur einheitliche strategische Schutzziele entnommen werden, welche für den Schutz gegen das Eindringen Unbefugter sektorübergreifend zu empfehlen, jedoch keinesfalls gesetzlich verpflichtend sind. Demnach ist es möglich, dass sich Sicherheitsexperten verschiedener Sektoren und Branchen auf Sicherheitsstandards auf der Ebene von strategischen Schutzzielen einigen. Auf diesem Abstraktionsniveau können nicht nur die Betreiber selbst, sondern auch externe Wissenschaftler und Praktiker Empfehlungen aussprechen, da es hierzu keines Nischenwissens zu einzelnen kritischen Dienstleistungen, Anlagen oder Abläufen bedarf. Kooperationen könnten verschiedene Sichtweisen vereinen. Wie beispielsweise in Bezug zur Cybersicherheit theoretisch erörtert, haben auch politische Akteure Möglichkeiten, strategische Schutzziele festzulegen oder in öffentlich-privaten Partnerschaften zu erarbeiten.

Eine weitere wichtige Erkenntnis, die aus der Literatur hervorgeht, ist, dass die Betrachtung von potenziellen Tätergruppen einen wesentlichen Einfluss auf das erforderliche Schutzniveau und somit auf die Operationalisierung der Schutzziele hat. Dies wurde bereits im Zusammenhang mit der Prävention, Behinderung oder auch Intervention erläutert. Dem entgegenzusetzen sei der Gedanke an ein extrem hohes Schutzniveau, welches alle Objekte gegen extreme Tätergruppen schützt. Doch eine derartige Strategie ist nicht zu erkennen. Es zeigt sich, dass Sicherheitsmaßnahmen verhältnismäßig sein müssen. Während „[...] sich die Flugabfertigung [beispielsweise] in geschlossenen und kontrollierbaren Orten mit nur wenigen Zugangspunkten“ befindet, haben Bahnsysteme mit hohen Durchflusszahlen entsprechend viele unkontrollierte Zugänge [75, S. 18]. So könnten nicht zwingend erforderlichen Sicherheitsmaßnahmen möglicherweise die Praktikabilität und Akzeptanz entgegenstehen. Die Literatur beschreibt daher, dass Sicherheitsmaßnahmen gemäß des Kosten-Nutzen-Prinzips vertretbar sein und mit dem zu vermindernden Risiko in Einklang gebracht werden müssen [75]. Gleichzeitig ist gemäß der Sorgfaltspflicht Rechtssicherheit zu schaffen [95].

In den Dokumenten sind die Risikoanalyse oder Teile davon wie die Bedrohungsanalyse [90] oder systematische Gefährdungsbeurteilung als geeignete Methoden genannt [95]. Doch nur im Kontext kritischer Verkehrsinfrastrukturen wird die Bedrohungsanalyse differenzierter beschrieben. Sie ist demnach der Ausgangspunkt der Sicherheitsplanung. Maßgeblich ist dafür die Stärke des Angreifers, die sich wie folgt zusammensetzt [90, S. 28]:

- die Motivation des potenziellen Angreifers (die Zufälligkeit oder Absicht des Angriffes),
- die verfügbaren Ressourcen des potenziellen Angreifers (Rechenkapazität, finanzielle Mittel, Zeit),
- das für einen erfolgreichen Angriff erforderliche Wissen,
- sowie die Motivation des potenziellen Angreifers für die Attacke (Spieltrieb, Geld, Diebstahl, Vandalismus, Geltungsbedürfnis).

Wie schon in den behördlichen Empfehlungen werden hier Ansätze in Bezug zu möglichen Kategorisierungen von Tätergruppen genannt, jedoch keine einheitlichen Methoden vorgestellt. Die Normenwelt zeigt jedoch, dass Kategorisierungen grundsätzlich möglich sind [90]. Hier sieht der Verfasser eine Möglichkeit darin, dass Polizeibehörden oder staatliche Kriminalexperten zusammen mit Sicherheitsexperten verschiedener KRITIS-Sektoren einheitliche Tätergruppen definieren und Methoden zur Einordnung vorgeben. So könnten Betreiber gleicher Anlagentypen die Bedrohung gemeinsam einschätzen. Dies könnte insgesamt neue Betrachtungswege eröffnen und Betreiber könnten von den unterschiedlichen Perspektiven zur potenziellen Bedrohung profitieren. Ein regelmäßiger Austausch könnte dabei helfen, auf dynamische Bedrohungslagen frühzeitig zu reagieren.

Des Weiteren können mit den Polizeibehörden Interventionszeiten individuell oder bei örtlicher Nähe zusammen mit weiteren KRITIS abgestimmt werden. Diese haben Einfluss auf erforderliche Widerstandszeiten physischer Barrieren, welche wiederum vom erwarteten Täterprofil abhängen. Für Kooperationen z. B. mit der Bundespolizei und bestimmten KRITIS wie Flughäfen oder Bahnhöfen sind gesetzliche Grundlagen bereits geschaffen und diese werden auch praktisch umgesetzt. „Für den Schutz bestimmter Objekte und öffentlicher Leistungen ist die Zuständigkeit besonderer Polizeibehörden vorgesehen“ [93, S. 354]. Wenn davon ausgegangen wird, dass nicht jede KRITIS-Branche für den Staat und das Gemeinwesen gleichbedeutend ist, sind gegebenenfalls im Hinblick geografischer Interdependenzen Interventionen seitens der Politik zu priorisieren. Eine Diskussionsrunde mit Vertretern aus Branchenverbänden und der Politik könnte einerseits dabei helfen, die Bedeutung der KRITIS zu unterscheiden, andererseits zu Interessenskonflikten führen.

Zur Verifikation von Alarmursachen (interdependenter) kritischer Anlagen aus der Ferne, zur Kontaktaufnahme und Koordination örtlicher sowie externer Interventionskräften wäre zudem eine gemeinsame ständig besetzte Leitstelle denkbar. Voraussetzung wäre ein geeignetes technisches Konzept mit vernetzten Sensorsystemen und einer entsprechenden Videoüberwachungsanlage. „Die vernetzten Sensordaten müssen sodann in einer Einsatzzentrale zusammengeführt, dreidimensional dargestellt und ausgewertet werden. Es gilt, Personaleinsatz und vor allem Falschalarme weiter zu reduzieren“ [94, S. 15]. Der Vorteil läge in der Nutzung gemeinsamer Ressourcen und von Sicherheitsvorfällen der vernetzten KRITIS zu erfahren. Nachteilig könnte die Schaffung von einer weiteren gegenseitigen Abhängigkeit sein. Um dem entgegenzuwirken und dennoch die Synergien zu nutzen, kann die ständig besetzte Stelle auch als Redundanz genutzt werden. Ob ein derartiger personeller und technischer Mehraufwand verhältnismäßig ist, ergibt die Risiko- bzw. Kosten-Nutzen-Analyse.

Im Allgemeinen können Technologien dabei helfen, den Personalaufwand und somit auch menschliche Fehler zu reduzieren. Um geeignete Sicherheitstechniken zu etablieren, können weitere Kooperationen sinnvoll sein. Das Know-how für Sensortechnik z. B. im Luft- und (Unter-)Wasserbereich „[...] kommt vor allem aus dem militärischen Bereich“ [94, S. 15]. Hier könnten Beratungsangebote für die innere Sicherheit und Terrorismusabwehr seitens der Politik geschaffen werden. Insgesamt sieht Küchle in Deutschland viele Kompetenzen und eine gute Forschungslandschaft im Bereich der Sicherheitstechnik. Daher gilt es, entsprechende Akteure der Forschung, Industrie und Politik zu vernetzen [94]. Derartige unternehmensübergreifende Cluster würden Informations- und Kostenvorteile bieten. Synergien würden laut Küchle nur durch intensive Kooperationen entstehen, die durch die Politik aktiv gefördert werden müssen. So könnten beispielsweise alle Betreiber von Pilotprojekten in einzelnen KRITIS profitieren [94].

Da ganzheitliche Sicherheitskonzepte nicht nur aus technischen, sondern auch aus baulichen und personellen Komponenten bestehen, ist auch in diesen Bereichen Expertenwissen zu bündeln und an die KRITIS-Betreiber zu vermitteln. In der Literatur genannte Normen zum Widerstand von Bauteilen verdeutlichen, dass im Bauwesen bereits sektorübergreifende Lösungsansätze geschaffen wurden [92]. So könnten auch im personellen Bereich Hilfestellungen von Politik, Polizeibehörden, Sicherheitswirtschaft oder -Forschung für Betreiber geschaffen werden. Denkbar wäre z. B. ein Standard zur Berechnung des Aufwandes an Sicherheitspersonal oder übergreifende Schulungsangebote zur Akzeptanzwerbung und Sensibilisierung von Beschäftigten. Da die Schulung von Sicherheitspersonal beispielsweise in Luftfahrtunternehmen zu den Sicherungspflichten gehört [93], werden auch branchenspezifische Schulungsangebote als sinnvoll erachtet.

5 Diskussion

In diesem Kapitel werden die Ergebnisse der qualitativen Literaturrecherche und -analyse in den theoretischen Kontext dieser Arbeit eingeordnet, Limitationen der Forschung beschrieben sowie Empfehlungen für die künftige Forschung und Praxis ausgesprochen.

5.1 Zusammenfassung und Einordnung der Ergebnisse

Da sich Kritische Infrastrukturen in ihrer unumstrittenen Bedeutung von anderen Unternehmen und Organisationen abgrenzen, gleichzeitig durch dynamische Bedrohungen gefährdet und größtenteils privatisiert sind, werden die Betreiber in Teilbereichen zu verschiedenen Sicherheitsstandards verpflichtet oder informiert. So sind es im Bereich der Objektsicherheit vom Bund veröffentlichte Leitfäden, welche methodische Analysewerkzeuge, Basisempfehlungen und eine enge Zusammenarbeit vorschlagen. Da diese Leitfäden jedoch gleich mehrere Gefährdungen gleichzeitig berücksichtigen, wird seitens der Sicherheitsforschung Ungenauigkeit kritisiert. Die Literatur, die ergänzend dazu im Hinblick der konkreten Gefährdung eines Eindringtäters auf Sicherheitsstandards und Lösungsansätze untersucht wurde, lässt ebenfalls Fragen offen. Dennoch konnten aus den analysierten Dokumenten wichtige Schlüsse abgeleitet werden.

So werden in der Literatur für verschiedene KRITIS-Gruppen – wie schon in den behördlichen Empfehlungen – teilweise abstrakte und unbegründete Sicherheitsstandards beschrieben. Beispiele dafür sind empfohlene technische Systeme, deren Umsetzung oder Personal, dessen Aufgaben nur in Ansätzen beschrieben sind. Durch die tiefgründige Analyse konnten diese in Verbindung gebracht werden und strategische Schutzziele erkannt werden, welche für KRITIS aller Sektoren gelten. Das Festlegen von strategischen Schutzzielen kann in der Objektsicherheit KRITIS dazu beitragen, wichtige Lösungsräume zu schaffen [29]. Diese Lösungsräume geben den KRITIS-Betreibern zwar eine Richtung vor, wie dem Eindingtäter entgegengewirkt werden kann, sie geben jedoch keinen Aufschluss über das erforderliche Schutzniveau oder über erforderliche Maßnahmen. Dennoch sind Ansätze zur Konkretisierung der strategischen Schutzziele genannt. Diese können als Operationalisierungen beschrieben werden. Einige konnten direkt in der Literatur erkannt werden, weitere Ansätze zur Operationalisierung wurden daraus abgeleitet. Operationalisierungen eines strategischen Schutzziels sind sehr vielfältig und bedingen sich gegenseitig. Die Analyse ergab, dass es an einigen Stellen an der Operationalisierung der allgemeinen Zielvorstellung fehlt und diese auch nur in Gruppen gleicher Anlagen oder für jede KRITIS-Anlage individuell durch den Betreiber selbst festzulegen ist. Möglicherweise sind je nach KRITIS-Anlage die Wahrscheinlichkeiten für bestimmte Tätergruppen unterschiedlich oder individuelle Umgebungsbedingungen und Bauweisen erfordern besondere Lösungen. Daher konnten in der Literatur nur sehr wenige konkrete Sicherheitsstandards und ausschließlich in Form organisatorisch-personeller Maßnahmen erkannt werden.

Ein ganzheitliches Sicherheitskonzept ist in der Regel individuell umzusetzen. Dennoch können bei der Erarbeitung oder Umsetzung Kooperationen sinnvoll sein und Synergien genutzt werden. Nicht zuletzt aufgrund von diversen gegenseitigen Abhängigkeiten, sogenannten Interdependenzen zwischen KRITIS sollte ein möglichst hohes Schutzniveau aller KRITIS angestrebt und gegenseitig gefördert werden. So betonen auch staatliche Akteure die Notwendigkeit der Abstimmung. Dennoch fehlte es bislang weitestgehend an konkreten Vorschlägen, an welchen Stellen der KRITIS-Schutz in der Objektsicherheit gemeinsam gestaltet werden kann. Dies könnte damit zusammenhängen, dass strategische Zielvorstellungen in diesem Bereich nicht ausreichend öffentlich formuliert sind. Grundsätzlich ist es jedoch möglich, allgemeingültige strategische Schutzziele für alle KRITIS durch verschiedene KRITIS-Betreiber, Sicherheitswissenschaftler und/oder behördliche Sicherheitsexperten festzulegen.

Ebenso könnten Tätergruppen durch die öffentlich-private Zusammenarbeit von Kriminalbehörden und Betreibern kategorisiert und eine Methode zur entsprechenden Einordnung vorgegeben werden. Dies würde KRITIS-Betreibern dabei helfen, die Bedrohungslage gegebenenfalls gemeinsam für gleiche Anlagen, Systeme und Gebäude einzuschätzen und die Schutzziele zu operationalisieren. Weitere Kooperationsmöglichkeiten konnten im Hinblick des internen und externen Sicherheitspersonals bzw. in Bezug zur Polizeiarbeit ermittelt werden, um Ressourcen, Aufgaben sowie Räumlichkeiten zu teilen. Bei der Umsetzung von Sicherheitsmaßnahmen könnten KRITIS-Betreiber ebenfalls durch Akteure der Polizei, Forschung, Industrie und Politik unterstützt werden. So könnten mehrere KRITIS beispielsweise von Programmen zur Schulung von Personal, technischen und baulichen Normen oder Pilotprojekten im Kontext der Schutzziele profitieren.

Die beschriebenen aktuellen Sicherheitsstandards und Kooperationen sind in der Regel für KRITIS-Betreiber freiwillig. Sie sind als potenzielle Hilfestellung zu verstehen. Dies könnte sich in Folge des Inkrafttretens einer im Entwurf vorliegenden EU-Vorschrift zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen zumindest teilweise ändern. In diesem Entwurf sind – analog zur Cybersicherheit – eine nationale Strategie zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen und regelmäßige Risikobewertungen von staatlicher Seite gefordert. Darüber hinaus sollen kritische Einrichtungen individuelle Risikobewertungen durchführen, Vorfälle melden und technische sowie organisatorische Maßnahmen ergreifen [67]. Die vorliegende Arbeit zeigt im Kontext der potenziellen Umsetzung dieser Vorschriften vorhandene Defizite, aber auch Möglichkeiten auf. Sie setzt durch die Verbindung und Deutung vorhandener Theorien neue Denkimpulse und gibt sowohl staatlichen als auch privaten Akteuren Lösungsansätze vor.

5.2 Limitationen und Methodenreflexion dieser Forschung

Eine besondere Herausforderung der vorliegenden Bachelorarbeit war zum einen die enge Eingrenzung des Themas anhand einer konkreten Gefährdung, welche jedoch wissenschaftlich gefordert war. Zum anderen zeigte sich bei näherer Betrachtung der Literatur, dass es kein einheitliches Begriffsverständnis der Sicherheitsstandards bzw. keine genaue Abgrenzung zwischen Schutzziel und Sicherheitsmaßnahme gab. Zudem muss man sich bewusst sein, dass es im Gegensatz zu anderen empirischen Studien zur hier gewählten Übersichtsarbeit nur wenige explizite Methoden oder standardisierte Richtlinien gibt [87]. Dennoch hat sich die Übersichtsarbeit nach beschriebenen Regeln als geeignete Methode erwiesen. So konnten mittels einer differenzierten Recherche und eines strengen Kodierungsverfahrens Sicherheitsstandards auf verschiedenen Ebenen für verschiedene KRITIS-Gruppen ermittelt und analysiert werden. Die vorliegende Bachelorarbeit bietet daher Einblicke über Möglichkeiten und Grenzen, einheitliche Sicherheitsstandards gegen das Eindringen Unbefugter festzulegen sowie Kooperationen und Synergien zwischen Akteuren des KRITIS-Schutzes zu nutzen. Dennoch muss nachfolgend zur wissenschaftlichen Einordnung der Forschungsarbeit auf einige begründete Limitationen hingewiesen werden.

Trotz umfangreicher Recherche führte die Auswahl der zu analysierenden Dokumente zu wenigen Quellen, die einen Mehrwert für das Forschungsthema vermuten ließen und im Laufe der Arbeit tatsächlich darstellten. Dennoch kann es sein, dass mit einer gut dargelegten Begründung der Literaturauswahl wenige Quellen einen größeren wissenschaftlichen Mehrwert bieten als ein breites Spektrum an Datensätzen [87]. So konnten nicht auf jedem Abstraktionsniveau viele Sicherheitsstandards ermittelt und in Beziehung gesetzt werden. Je konkreter nach Beschreibungen gesucht wurde, wie, wo und welchem Eindringtäter entgegengewirkt werden soll, desto weniger Standards konnten erkannt werden. Dies lässt sich in Anbetracht der Ergebnisse damit begründen, dass Konkretisierungen vorrangig individuell festzulegen sind und Sicherheitsstandards – wie bereits dargelegt – möglicherweise aufgrund des sensiblen Themas durch Geheimhaltung der Öffentlichkeit vorenthalten sind. Dennoch war die Suche nach konkreten Sicherheitsmaßnahmen nicht aussichtslos. Unter Sicherheitsexperten gibt es die Ansicht, dass Sicherheitskonzepte auch dann wirksam sein müssen, „[...] wenn die professionellste Gang jedes ihrer Details kennen würde“ [96, S. 301]. Von zur Mühlen berichtet in dem Zusammenhang von dem Beispiel eines Geldspeichers, dessen Sicherheit trotz zugänglicher Planunterlagen und technisch-konstruktiver Beschreibungen bestand [96]. So wurden in dieser Arbeit (wenn auch wenige) veröffentlichte Sicherheitsmaßnahmen herausgestellt. Insgesamt konnten, trotz unterschiedlicher Informationsdichte der verschiedenen Standards, durch eine tiefgründige Datenauswertung wichtige Erkenntnisse begründet dargelegt werden. Dahingehend ist jedoch kritisch zu reflektieren, dass die Codierung im Zuge der inhaltlich-strukturierenden Inhaltsanalyse ausschließlich durch den Forschenden selbst vorgenommen wurde. Mayring empfiehlt hingegen im Sinne der sogenannten „ Intercoderreliabilität “ die unabhängige Codierung mehrerer Inhaltsanalytiker zur Steigerung der Reliabilität und Validität [83, S. 53]. Da dies nicht gewährleistet werden konnte, war der Forschende darauf bedacht, die Kategorien mithilfe der bestehenden theoretischen Grundlagen möglichst genau und nachvollziehbar zu beschreiben. Daher wurde eine Übersicht des Kategoriensystems in Form des Kodierleitfadens im Anhang 5 (S. XXI) der Arbeit beigelegt.

Im Rahmen dieser Arbeit wurde nicht analysiert, inwieweit die Konkretisierung und Umsetzung der Schutzziele durch den Schutz gegen weitere Gefährdungen der Objektsicherheit wie z. B. Brand beeinflusst wird. Gleichzeitig deutet die Literatur jedoch darauf hin, dass spätestens bei der Planung von Sicherheitsmaßnahmen gegen Gefährdungen von außen auch Schutzziele gegen Gefährdungen aus dem Inneren zu berücksichtigen sind und andersherum. So darf beispielsweise die Behinderung des Eindringtäters nicht der Entfluchtung von Personen im inneren Brandfall entgegenstehen. Unter anderem bedarf es hierzu – wie nachfolgend erörtert – weiterer Untersuchungen.

5.3 Implikationen für die weiterführende Forschung und Praxis

Auch wenn KRITIS-Betreiber letztendlich für die Umsetzung der Objektsicherheit ihrer KRITIS selbst verantwortlich sind, verdeutlichen die in dieser Arbeit vorgestellten Ergebnisse, wie der Staat – auch in seinem eigenen Interesse – konkrete Hilfestellungen geben kann. In den bisher veröffentlichten Hilfestellungen konnten Defizite erkannt werden. Ob KRITIS-Betreiber sich daher in bestimmten Sicherheitsthemen mehr bzw. bessere Unterstützung wünschen, könnte in einer empirischen Forschungsarbeit ermittelt werden. Dem Anschein nach werden im aktuellen Sicherheitsdiskurs vor allem die Cybersicherheit KRITIS diskutiert und Informationen dazu veröffentlicht. Doch aufgrund von dynamischen und vielfältigen Bedrohungen sowie neuartiger Ideen und Technologien muss auch die physische Sicherheit stetig weiterentwickelt werden. Hierzu könnte das BSI, BBK und übergeordnet das BMI die politischen Hauptverantwortung übernehmen³². So sind die empfohlenen Methoden gefährdungsspezifisch zu konkretisieren, sodass beispielsweise Bedrohungen durch Tätergruppen einheitlich bewertet werden können. Kriminologen könnten dabei unterstützen. Ebenso könnte die Festlegung von eindeutigen strategischen Schutzzielen mehr Klarheit in künftigen oder in dem Verständnis bisheriger Konzepte wie dem Basisschutzkonzept schaffen. Gegebenenfalls ist zu definieren, was einzelne Systeme und Technologien heutzutage leisten können und zur Erreichung welcher Schutzziele sie eingesetzt werden können. Zudem ist Klarheit darüber zu schaffen, an welchen Stellen Zielkonflikte mit weiteren Sicherheitsthemen auftreten können und wie diese baulich, technisch oder organisatorisch-personell zu lösen sind. Dazu sind gegebenenfalls Expertenmeinungen aus der sicherheitswirtschaftlichen Praxis oder Forschung hinzuzuziehen oder weitere Studien zu beauftragen. Nachdem ein einheitliches Verständnis über die Bedrohungslage, zu erreichende strategische Schutzziele und moderne Lösungswege geschaffen wurden, ist zu empfehlen, das Schutzniveau (regelmäßig) zu evaluieren. Hierzu könnten auch Vertraulichkeitsvereinbarungen erforderlich sein, um an umfangreiche Informationen zu gelangen. Bei auffälligen Defiziten oder geringer Kooperationsbereitschaft der Betreiber sollte die Politik verschiedene Steuerungsmöglichkeiten wie Anreizsysteme oder Regulierungen prüfen.

Durch die vorliegende Übersichtsarbeit konsolidierter Informationen wurden Betreibern Kritischer Infrastrukturen Lösungsansätze erörtert, wie dem Eindringtäter von innen und außen entgegengewirkt werden kann. Das Aufzeigen des Weges über konkrete strategische Schutzziele, exemplarische Operationalisierungen und Sicherheitsmaßnahmen setzt möglicherweise neue Impulse, das eigene Schutzniveau zu überprüfen. Darüber hinaus sind Ideen vorgegeben, bestehende Kooperationen und Synergien zur Objektsicherheit zu erweitern oder neue zu ergründen. Hier dargestellte Möglichkeiten könnten in einer weiteren Forschungsarbeit zusammen mit KRITIS-Betreibern verschiedener Branchen evaluiert und ergänzt werden. Beispielsweise könnte untersucht werden, ob bestimmte gleichartige Anlagen unter ähnlichen Umgebungsbedingungen stehen und inwieweit sich bestehende Maßnahmen unterscheiden oder bereits als Standard für weitere Betreiber festgelegt werden können.

6 Fazit

Der Funktionserhalt Kritischer Infrastrukturen ist für die Lebensgrundlage der Gesellschaft und Ordnung des Staates von essenzieller Bedeutung und demnach in einem besonderen Maße zu schützen. Dynamische Bedrohungen und die Zunahme vielfältiger Interdependenzen erfordern im physischen KRITIS-Schutz eine öffentliche und private Zusammenarbeit. Einheitliche Sicherheitsstandards legen dafür einen wichtigen Grundstein. In staatlichen und sicherheitswissenschaftlichen Publikationen ist daher die Zusammenarbeit verschiedener Akteure gefordert, jedoch im Kontext der Objektsicherheit kritischer Einrichtungen nicht eindeutig beschrieben. Zudem fehlt es an aktuellen behördlichen Empfehlungen für KRITIS-Betreiber mit eindeutigen Sicherheitsstandards gegen das Eindringen Unbefugter in kritische Einrichtungen sowie gegen das Eingreifen von internen und externen Tätern in eine kritische Anlage. Dieses ereignisorientierte Schutzziel und dessen Konkretisierung auf verschiedenen Ebenen mit unterschiedlichen Abstraktionsniveaus ist jedoch ein wichtiger Teil der Objektsicherheit. Das Ziel dieser Bachelorthesis war es daher, durch eine Literaturanalyse bestehende Sicherheitsstandards zu untersuchen, um Möglichkeiten und Grenzen zur kollektiven Festlegung dieser sowie Möglichkeiten für Kooperationen und Synergien zwischen verschiedenen Sicherheitsakteuren zu ermitteln.

Die Analyse ergab, dass ganzheitliche Sicherheitskonzepte mit detaillierten Sicherheitsstandards primär durch die KRITIS-Betreiber, d. h. meistens innerhalb des privatisierten Unternehmens individuell zu bestimmen sind. Insbesondere bauliche und technische Operationalisierungen und Sicherheitsmaßnahmen müssen in ihrer letzten Konsequenz in Eigenverantwortung festgelegt, aufeinander abgestimmt und umgesetzt werden. Nur unter bestimmten Bedingungen wie vergleichbare Bauart, Personal- und Umgebungsbedingungen können Betreiber gleicher Anlagen gemeinsame Operationalisierungen oder sogar Sicherheitsmaßnahmen als Standard definieren. Wenige „bedingungslose“ Ausnahmen konnten im Hinblick der Mithilfe von Beschäftigten oder Schulung von Sicherheitspersonal im organisatorisch-personellen KRITIS-Schutz analysiert werden. In diesem Kontext wurden Sicherheitsmaßnahmen genannt, die als Sicherheitsstandard für alle KRITIS dienen können oder branchenspezifisch festgelegt sind. Für die Umsetzung dieses Standards könnten übergreifende Programme entwickelt werden. Diese Maßnahmen sind jedoch nur ein kleiner Baustein eines funktionierenden Sicherheitskonzeptes, welches viele weitere erfordert. Weder die Beschreibung eines ganzheitlichen Sicherheitskonzeptes mit aufeinander abgestimmten Operationalisierungen oder Sicherheitsmaßnahmen noch die Vorgabe eines standardisierten Verfahrens zur Bestimmung dessen wurde in der Literatur gefunden. Die vorliegenden Ergebnisse verdeutlichen, dass KRITIS-Betreiber (gemeinsam) insbesondere vom Staat weitaus mehr Unterstützung auf dem Weg zu zielführenden Sicherheitsmaßnahmen erhalten sollten, als es die bisherigen Publikationen vermuten lassen.

Strategische Schutzziele, die den Grundstein für Operationalisierungen und daraus abzuleitende Sicherheitsmaßnahmen darstellen, sind für alle KRITIS sektorübergreifend zu bestimmen. Sie können als staatliche Vorgaben oder Empfehlungen z. B. in öffentlich-privater Zusammenarbeit mit Akteuren der Politik und wirtschaftlichen Branchenverbänden festgelegt werden oder als Zielvereinbarungen unter den KRITIS dienen. Zur Operationalisierung der Zielvorstellungen sind Lösungsansätze in Form von konkreten Methoden und Beispielen z. B. durch Akteure der Politik, Kriminologie und Sicherheitsexperten der Praxis zu erarbeiten und veröffentlichen. Das Festlegen von potenziellen Tätergruppen dient beipielsweise als wichtige Hilfestellung für KRITIS-Betreiber, um die Bedrohung zu bewerten und daraus erforderliche Operationalisierungen abzuleiten. Darüber hinaus sind in Bezug zu bestimmten Schutzzielen Synergien, Kooperationen und Abstimmungen zwischen bestimmten KRITIS anlagenspezifisch oder individuell mit den Polizeibehörden möglich. Wenn die Schutzziele ausreichend operationalisiert wurden, können Betreiber sich zur individuellen Festlegung bestimmter Sicherheitsmaßnahmen über bestehende Normen, Sicherheitsforschungen oder Beratern aus der Sicherheitswirtschaft informieren. Kooperationen sind im Hinblick neuer Forschungsfelder zwischen den Akteuren ebenfalls denkbar.

Die vorliegenden Forschungserkenntnisse liefern wichtige Implikationen sowohl für politische Entscheidungsträger als auch Unternehmer selbst und bieten eine gute Grundlage für zukünftige Forschungsprojekte. Ziel aller genannter Akteure sollte es sein, ältere Konzepte und vergangene Denkmuster zu hinterfragen sowie an Entwicklungen zu partizipieren, um den gemeinsamen KRITIS-Schutz stetig weiterzuentwickeln und an moderne Herausforderungen anzupassen.

Literaturverzeichnis

[1] W. Schäuble, „Schutz kritischer Infrastrukturen als Aufgabe der Politik“, in Schutz kritischer Infrastrukturen. IT und Energie, 1. Aufl., M. Kloepfer, Hrsg. Nomos Verlagsgesellschaft mbH & Co. KG, 2010, S. 21–26. Zugegriffen: 16. Februar 2022. [Online]. Verfügbar unter: https://www.nomos-elibrary.de/10.5771/9783845224114-21/schutz-kritischer-infrastrukturen-als-aufgabe-der-politik

[2] C. Unger, „Vorwort“, in 10 Jahre „KRITIS-Strategie“: Einblicke in die Umsetzung der Nationalen Strategie zum Schutz Kritischer Infrastrukturen, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg. Rheinbach: WM-Druck + Verlag, 2020. Zugegriffen: 5. Februar 2022. [Online]. Verfügbar unter: https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/PiB/PiB-21-zehn-jahre-kritis-strategie.pdf?__blob=publicationFile&v=7

[3] H.-P. Friedrich, „Vorwort“, in Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement Leitfaden für Unternehmen und Behörden, 2. Aufl., Bundesministerium des Innern, Hrsg. Berlin, 2011. [Online]. Verfügbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis-leitfaden.pdf;jsessionid=D8DFDB0A3A947A88E727C20141933461.1_cid287?__blob=publicationFile&v=6

[4] Bundesministerium des Innern Referat KM 4, Hrsg., Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). 2009. Zugegriffen: 5. Februar 2022. [Online]. Verfügbar unter: http://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.html;jsessionid=DA0C2C4B89367B89166269A40CB75215.1_cid287?nn=9390988

[5] J. Birkmann, C. Bach, S. Guhl, M. Witting, T. Welle, und M. Schmude, State of the Art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom, Stromausfall. Berlin: Forschungsforum Öffentl. Sicherheit, 2010.

[6] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). 2009.

[7] Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0). 2021.

[8] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV). 2016.

[9] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg., 10 Jahre „KRITIS-Strategie“: Einblicke in die Umsetzung der Nationalen Strategie zum Schutz Kritischer Infrastrukturen, Bd. 21. Rheinbach: WM-Druck + Verlag, 2020. Zugegriffen: 5. Februar 2022. [Online]. Verfügbar unter: https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/PiB/PiB-21-zehn-jahre-kritis-strategie.pdf?__blob=publicationFile&v=7

[10] Bundesamt für Verfassungsschutz, Bundesamt für Sicherheit in der Informationstechnik, und ASW Bundesverband, Hrsg., „Wirtschaftsgrundschutz Baustein IS1 Objektsicherheit“. Juli 2017. [Online]. Verfügbar unter: https://www.wirtschaftsschutz.info/DE/Veroeffentlichungen/Wirtschaftsgrundschutz/Bausteine/Objektsicherheit.pdf?__blob=publicationFile&v=2#:~:text=Sicherheitsma%C3%9Fnahmen%20(A),darin%20befindenden%20Werte%20angemessen%20umzusetzen.

[11] Bundesministerium des Innern Referat P II 1, Hrsg., Schutz Kritischer Infrastrukturen – Basisschutzkonzept. Empfehlungen für Unternehmen, 2. Aufl. Berlin, 2005. [Online]. Verfügbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritische-infrastrukturen-basisschutzkonzept.pdf?__blob=publicationFile&v=3

[12] P. Wiater, Sicherheitspolitik zwischen Staat und Markt: der Schutz kritischer Infrastrukturen, 1. Aufl. Baden-Baden: Nomos, 2013.

[13] L. Gerhold, „Einleitung“, in Definition von Schutzzielen für Kritische Infrastrukturen: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2021.

[14] L. Gerhold, A. Schuchardt, und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg., Definition von Schutzzielen für Kritische Infrastrukturen: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2021.

[15] D. F. Lorenz, Kritische Infrastrukturen aus Sicht der Bevölkerung. Berlin, 2010.

[16] A. Fekete, „Schlüsselbegriffe im Bevölkerungsschutz zur Untersuchung der Bedeutsamkeit von Infrastrukturen – von Gefährdung und Kritikalität zu Resilienz & persönlichen Infrastrukturen“, in Krisenmanagement, Notfallplanung, Zivilschutz: Festschrift anlässlich 60 Jahre Zivil- und Bevölkerungsschutz in Deutschland, D. Freudenberg und M. Kuhlmey, Hrsg. Berlin: Berliner Wissenschafts-Verlag, 2021.

[17] C. Riegel, Die Berücksichtigung des Schutzes kritischer Infrastrukturen in der Raumplanung. Zum Stellenwert des KRITIS-Grundsatzes im Raumordnungsgesetz. Aachen: ISB, 2015. Zugegriffen: 16. Februar 2022. [Online]. Verfügbar unter: http://nbn-resolving.de/urn/resolver.pl?urn=urn:nbn:de:hbz:82-rwth-2015-030944

[18] „Klärung und Erweiterung des KRITIS-Vokabulars“, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Bonn, Jan. 2021. Zugegriffen: 23. März 2022. [Online]. Verfügbar unter: https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/KRITIS/baukasten-kritis-identifizierung-2.pdf?__blob=publicationFile&v=7

[19] „Was sind Kritische Infrastrukturen?“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis.html?nn=126640 (zugegriffen 16. Februar 2022).

[20] Raumordnungsgesetz (ROG). 2008.

[21] Gesetz über den Zivilschutz und die Katastrophenhilfe des Bundes (ZSGK). 2020.

[22] Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, Bd. RL 2008/114/EG. 2008.

[23] „Übersicht der Branchenspezifischen Sicherheitsstandards (B3S)“, Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/Uebersicht-der-B3S/uebersicht-der-b3s.html;jsessionid=F5EE64B2C710D5C6FBB711CB1F7E737E.internet461?nn=126610 (zugegriffen 6. Februar 2022).

[24] V.-T. Gizewski, Schutz kritischer Infrastrukturen: Studie zur Versorgungssicherheit mit Lebensmitteln. Bonn, 2012.

[25] „Sektoren und Branchen KRITIS“, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/Sektoren-Branchen/sektoren-branchen_node.html (zugegriffen 17. Februar 2022).

[26] P. Weissmann, „KRITIS-Sektor Siedlungsabfallentsorgung – OpenKRITIS“, OpenKRITIS. https://www.openkritis.de/it-sicherheitsgesetz/sektor_siedlungsabfallentsorgung.html (zugegriffen 4. März 2022).

[27] K. Stolzenburg, Hrsg., Schutz Kritischer Infrastrukturen - Identifizierung in sieben Schritten: Arbeitshilfe für die Anwendung im Bevölkerungsschutz: Fachinformation, Stand: Oktober 2017. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2017.

[28] S. Krings, „Doubly relevant: Critical infrastructures of Daseinsvorsorge“, Raumforsch. Raumordn. Spat. Res. Plan., Bd. 78, Nr. 6, S. 575–593, Dez. 2020, doi: 10.2478/rara-2020-0034.

[29] Bundesministerium des Innern, Hrsg., Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement Leitfaden für Unternehmen und Behörden, 2. Aufl. Berlin, 2011. [Online]. Verfügbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis-leitfaden.pdf;jsessionid=D8DFDB0A3A947A88E727C20141933461.1_cid287?__blob=publicationFile&v=6

[30] „interdependence, n.“, OED Online. Oxford University Press. Zugegriffen: 23. Februar 2022. [Online]. Verfügbar unter: https://www.oed.com/view/Entry/97699

[31] S. M. Rinaldi, J. P. Peerenboom, und T. K. Kelly, „Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies“, IEEE Control Mag., S. 11–25, Dez. 2001.

[32] R. G. Little, „Toward More Robust Infrastructure: Observations on Improving the Resilience and Reliability of Critical Systems“, in Proceedings of the 36th Annual Hawaii International Conference on System Sciences: 6 - 9 January 2003, Big Island, Hawaii ; abstracts and CD-ROM of full papers ; [HICSS-36], R. H. Sprague, Hrsg. Los Alamitos, Calif.: IEEE Computer Society Press, 2003.

[33] A. Schäfer u. a., „Hochwasser Mitteleuropa, Juli 2021 (Deutschland) : 21. Juli 2021 – Bericht Nr. 1 „Nordrhein-Westfalen & Rheinland-Pfalz”“, Karlsruher Institut für Technologie (KIT), 2021. doi: 10.5445/IR/1000135730.

[34] S. Schaffers, „Unwetter sorgt für Ausfälle im Stromnetz“, westenergie, 16. Juli 2021. https://news.westenergie.de/unwetter-sorgt-fuer-ausfaelle-im-stromnetz/ (zugegriffen 17. Februar 2022).

[35] J. Staib, „Situation nach der Flut: Kein Empfang im Katastrophengebiet“, FAZ.NET, 17. Juli 2021. Zugegriffen: 17. Februar 2022. [Online]. Verfügbar unter: https://www.faz.net/aktuell/politik/inland/handynetz-im-katastrophengebiet-nach-flut-zusammengebrochen-17442603.html

[36] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg., Sendai Rahmenwerk für Katastrophenvorsorge 2015 - 2030. 2019. [Online]. Verfügbar unter: https://www.bbk.bund.de/SharedDocs/Downloads/DE/Fremd-Publikationen/SENDAI/sendai-rahmenwerk-2015-2030.pdf?__blob=publicationFile&v=4

[37] J. Hartmann, A. Schuchardt, und L. Gerhold, „Schutzziele“, in Definition von Schutzzielen für Kritische Infrastrukturen: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2021.

[38] R. Von zur Mühlen, „Schwerpunkt: Ganzheitliches Sicherheitsmanagement – Warum Schutzzieldefinitionen so wichtig sind“, Nr. 11/18, Juni 2018.

[39] „BBK-Glossar“, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. https://www.bbk.bund.de/DE/Infothek/Glossar/_functions/glossar.html?cms_lv2=19848 (zugegriffen 17. Februar 2022).

[40] Bundesamt für Bevölkerungsschutz (BABS), „Leitfaden Schutz kritischer Infrastrukturen“, Bern, 2018.

[41] A. Zemp und O. Kaupp, „Wegleitung für die Sicherheitsplanung von Veranstaltungen“, Fachstelle Crowd Management Stadtpolizei Zürich, Mai 2021.

[42] Verordnung über bauaufsichtliche Anforderungen an Krankenhäuser und Pflegeheime im Land Brandenburg (Brandenburgische Krankenhaus- und Pflegeheim-Bauverordnung - BbgKPBauV). 2006.

[43] A. Schuchardt u. a., „Fazit“, in Definition von Schutzzielen für Kritische Infrastrukturen: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2021.

[44] P. Lauwe u. a., „Verhinderung und Vorbereitung“, in Bevölkerungsschutz: Notfallvorsorge und Krisenmanagement in Theorie und Praxis, H. Karutz, W. Geier, und T. Mitschke, Hrsg. Berlin, Heidelberg: Springer, 2017, S. 129–223. doi: 10.1007/978-3-662-44635-5_5.

[45] „Kritische Infrastrukturen und Schutzziele“, Deutsches Komitee Katastrophenvorsorge (DKKV), Mai 2019. https://www.dkkv.org/de/kritische-infrastrukturen-und-schutzziele (zugegriffen 1. März 2022).

[46] L. Schüller, A. Schuchardt, J. Hartmann, L. Gerhold, B. Thiebes, und A. Thieken, „Verfahrensanleitung zur Festlegung von Schutzzielen“, in Definition von Schutzzielen für Kritische Infrastrukturen: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2021.

[47] H.-P. Büttner, K. Behling, und J. Schulz, Planungshandbuch Videoüberwachungsanlagen: Grundlagen, technische Komponenten, Planungsbeispiel. Bonn: TeMedia, 2011.

[48] Ständige Konferenz für Katastrophenvorsorge und Katastrophenschutz, Hrsg., Wörterbuch für Bevölkerungsschutz und Katastrophenhilfe, 2. Aufl. Köln, 2006. Zugegriffen: 25. März 2022. [Online]. Verfügbar unter: http://www.ag-notfunk.de/w%C3%B6rterbuch%20skk.pdf

[49] A. Merschbacher, Sicherheitsfibel. Wiesbaden [Heidelberg]: Springer Vieweg, 2018.

[50] G. Walz, „Zutrittskontrolle“, in Handbuch der Sicherheitstechnik: Freigeländesicherung, Zutrittskontrolle, Einbruch- und Überfallmeldetechnik, Berlin, Heidelberg: Springer, 1992. Zugegriffen: 30. Mai 2022. [Online]. Verfügbar unter: http://link.springer.com/openurl?genre=book&isbn=978-3-642-95684-3

[51] „DIN EN 1627 – Türen, Fenster, Vorhangfassaden, Gitterelemente und Abschlüsse – Einbruchhemmung – Anforderungen und Klassifizierung“. November 2021. Zugegriffen: 15. März 2022. [Online]. Verfügbar unter: https://secure.beuth.de/cmd%3Bjsessionid=Q5LCYSQXVAR51DDZCQ9NO12H.3?workflowname=instantdownload&customerid=227109&docname=3222396&contextid=eeas&servicerefname=eeas&LoginName=berguniwuppertal

[52] C. Bieder und K. Pettersen Gould, Hrsg., The coupling of safety and security: exploring interrelations in theory and practice. Cham: Springer Open, 2020. doi: 10.1007/978-3-030-47229-0.

[53] B. Frevel und V. Schulze, „Public Safety and Security Governance“, in Pluralismus – Strategien – Entscheidungen, N. C. Bandelow und S. Hegelich, Hrsg. Wiesbaden: VS Verlag für Sozialwissenschaften, 2011, S. 235–253. doi: 10.1007/978-3-531-94169-1_13.

[54] M. B. Line, O. Nordland, L. Røstad, und I. A. Tøndel, „Safety vs security?“, 2006.

[55] F. Timtschenko, Professionelles Sicherheitsmanagement für Unternehmen: Leitfaden für erfolgreiche Corporate Security. Wiesbaden: Springer Fachmedien Wiesbaden, 2021. doi: 10.1007/978-3-658-35047-5.

[56] Gesetz über die Durchführung von Maßnahmen des Arbeitsschutzes zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Beschäftigten bei der Arbeit (Arbeitsschutzgesetz - ArbSchG). 2021.

[57] Bauordnung für das Land Nordrhein-Westfalen (Landesbauordnung 2018 – BauO NRW 2018). 2022.

[58] Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (Arbeitssicherheitsgesetz – ASiG). 2013.

[59] „BAuA - Bundesanstalt für Arbeitsschutz und Arbeitsmedizin - Technische Regeln für Arbeitsstätten (ASR)“. https://www.baua.de/DE/Angebote/Rechtstexte-und-Technische-Regeln/Regelwerk/ASR/ASR.html (zugegriffen 8. März 2022).

[60] „Fluchtwege – Safety versus Security“, Sicherheits-Berater, 1. Mai 2012. https://www.sicherheits-berater.de/startseite/artikel-ohne-abo/fluchtwege-safety-versus-security.html (zugegriffen 8. März 2022).

[61] Bundesdatenschutzgesetz (BDSG). 2021.

[62] Aktiengesetz (AktG). 2021.

[63] Zwölfte Verordnung zur Durchführung des BundesImmissionsschutzgesetzes (Störfall-Verordnung - 12. BImSchV). 2020.

[64] Telekommunikationsgesetz (TKG). 2021.

[65] Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG). 2021.

[66] Vorschlag für eine Richtline des Europäischen Parlaments und des Rates über die Resilienz kritischer Einrichtungen. 2020. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52020PC0829&from=EN

[67] „Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen“, European Commission, 16. Dezember 2020. https://ec.europa.eu/commission/presscorner/detail/de/qanda_20_2392 (zugegriffen 10. März 2022).

[68] Bundesnetzagentur, Hrsg., „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“. August 2015.

[69] Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). 2016.

[70] W. Metterhausen, „DS-GVO fordert ISMS“, Nr. 7/18, Apr. 2018.

[71] „DIN EN ISO/IEC 27001 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“. Juni 2017.

[72] „DIN EN ISO/IEC 27002 – Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen“. Juni 2017.

[73] „Publikationen – Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement (Leitfaden für Unternehmen und Behörden)“, Bundesministerium des Innern und für Heimat, 2021. http://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis-leitfaden.html;jsessionid=3DF53591A5A72864AD8E76184ADC5F0C.1_cid287?nn=9390988 (zugegriffen 16. März 2022).

[74] „ISO - Standards“, ISO. https://www.iso.org/standards.html (zugegriffen 31. Mai 2022).

[75] H. Küchle, „Bedrohungen und Schutz der kritischen Infrastruktur an Häfen, Flughäfen und Bahnhöfen“, Z. Für Außen- Sicherheitspolitik, Bd. 2, Nr. 1, S. 14–23, Jan. 2009, doi: 10.1007/s12399-008-0013-y.

[76] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg., Sicherheit der Trinkwasserversorgung. Teil 1: Risikoanalyse: Grundlagen und Handlungsempfehlungen für Aufgabenträger der Wasserversorgung in den Kommunen in Bezug auf außergewöhnliche Gefahrenlagen, Stand: Mai 2019. Bonn, 2019.

[77] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Hrsg., „Schutz Kritischer Infrastruktur: Risikomanagement im Krankenhaus Leitfaden zur Identifikation und Reduzierung von Ausfallrisiken in Kritischen Infrastrukturen des Gesundheitswesens“.

[78] S. Lenz, Vulnerabilität kritischer Infrastrukturen. Bonn: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2009.

[79] C. Norf, „Vulnerabilität und Resilienz als Trends der Risikoforschung : eine Rekonstruktion ihrer quantitativen und qualitativen Entwicklung und Verbreitung in der Risikoforschung und in ihren Perspektiven von 1973 bis 2017 auf der Basis einer disziplinübergreifenden Internetanalyse“, 2020. Zugegriffen: 22. Februar 2022. [Online]. Verfügbar unter: http://elib.uni-stuttgart.de/handle/11682/11074

[80] „VdS 3406-1 –VdS-Richtlinien für das Sicherheitsmanagement – Bauliche Objekte – Teil1, Verfahren“. VdS Schadensverhütung, Dezember 2020. Zugegriffen: 26. März 2022. [Online]. Verfügbar unter: https://shop.vds.de/download/vds-3406-1/8a0290e6-5804-4aba-bb3e-d7d68c4be3dd

[81] R. Ertl-Schmuck, A. Unger, M. Mibs, und C. Lang, Wissenschaftliches Arbeiten in Gesundheit und Pflege, 1. Aufl. Konstanz: UVK Verlag, 2014.

[82] V. Ritschl und T. Stamm, „Inhaltsanalyse“, in Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. vollständig überarbeitete, Aktualisierte und Erweiterte Auflage., N. Döring und J. Bortz, Hrsg. Berlin Heidelberg: Springer, 2016. doi: 10.1007/978-3-642-41089-5.

[83] P. Mayring, Qualitative Inhaltsanalyse: Grundlagen und Techniken, 12., Überarb. Aufl. Weinheim Basel: Beltz, 2015.

[84] M. Templier und G. Paré, „A Framework for Guiding and Evaluating Literature Reviews“, Bd. 37, Nr. 6, Aug. 2015, Zugegriffen: 1. April 2022. [Online]. Verfügbar unter: https://www.iwi.uni-hannover.de/fileadmin/iwi/Lehre/Wissenschaftliches_Arbeiten_fuer_Studierende/Templier_Pare_2015_A_Framework_for_Guiding_and_Evaluating_Literature_Reviews.pdf

[85] A. Brettle und T. Gambling, „Needle in a haystack? Effective literature searching for research“, Radiography, Bd. 9, Nr. 3, S. 229–236, Aug. 2003, doi: 10.1016/S1078-8174(03)00064-6.

[86] M. Becker, „Hinweise zur Anfertigung eines Literatur-Reviews“. 2012. Zugegriffen: 31. März 2022. [Online]. Verfügbar unter: http://www.caterdev.de/wp-content/uploads/2013/04/reviews.pdf

[87] J. Brocke u. a., „RECONSTRUCTING THE GIANT: ON THE IMPORTANCE OF RIGOUR IN DOCUMENTING THE LITERATURE SEARCH PROCESS“, Bd. ECIS 2009 Proceedings, Nr. 161, 2009, Zugegriffen: 9. Februar 2022. [Online]. Verfügbar unter: https://aisel.aisnet.org/ecis2009/161

[88] „Literatur finden – Hochschulbibliothekszentrum NRW“. https://www.hbz-nrw.de/literatursuche (zugegriffen 15. April 2022).

[89] „Perinorm-HTML-Hilfe“. https://www.perinorm.com/downloads/userguide/de/perinorm.htm (zugegriffen 19. April 2022).

[90] L. Schnieder, Schutz Kritischer Infrastrukturen im Verkehr: Security Engineering als ganzheitlicher Ansatz, 3. Auflage. Wiesbaden: Springer Vieweg, 2021.

[91] „Normen - DGWZ“, Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit. https://www.dgwz.de/normen (zugegriffen 31. Mai 2022).

[92] D. Proske, „Aussergewöhnliche dynamische Einwirkungen“, in Baudynamik for Beginners, Wiesbaden [Heidelberg]: Springer Vieweg, 2021.

[93] J. Nolte, „Zivile Sicherheit und Schutz staatlicher Funktionen“, in Rechtshandbuch Zivile Sicherheit, C. Gusy, D. Kugelmann, und T. Würtenberger, Hrsg. Berlin Heidelberg: Springer, 2017.

[94] H. Küchle, „Seehäfen als neuralgische Zonen der kritischen Infrastruktur. Sicherheitstechnologische Lösungen und Arbeitsplätze am Beispiel des Hamburger Hafens. Ein Projekt der Hans-Böckler-Stiftung mit freundlicher Unterstützung der Atlas Elektronik GmbH. Endbericht“, BONN INTERNATIONAL CENTER FOR CONVERSION • INTERNATIONALES KONVERSIONSZENTRUM BONN, Mai 2008.

[95] K. Gaede, „Sicherheitskonzept: Kliniken sind keine Flughäfen ...“, Kma - Gesundheitswirtschaftsmagazin, Bd. 21, Nr. 10, Okt. 2016, Zugegriffen: 4. Mai 2022. [Online]. Verfügbar unter: https://www.wiso-net.de/document/KMAG__8B3C0919F2D20D79BA73D0EB0ED50A5E

[96] R. A. H. Von zur Mühlen, „Wirksame Sicherheitsmaßnahmen auch bei ‚Geheimnisverrat‘“, Sicherh.-Berat., Nr. 16, Aug. 2019.

Anhang

Anhang 1: Identifizierung kritischer Stromerzeugungsanlagen (Anhang 1 KritisV [8])

Teil 2

Berechnungsformeln zur Ermittlung der Schwellenwerte

8.

Der für die Anlagenkategorien des Teils 3 Nummer 1.1.1 und 1.1.2 genannte Schwellenwert von 104 MW ist unter Annahme eines Durchschnittsverbrauchs von 1 815 kWh pro versorgter Person pro Jahr und eines Regelschwellenwertes von 500 000 versorgten Personen wie folgt berechnet:

900 GWh/Jahr ≈ 908 GWh/Jahr = 1 815 kWh / Jahr x 500 000

Die durchschnittliche elektrische Arbeit zur Versorgung von 500 000 Personen im Jahr entspricht im Falle der Nummern 1.1.1 und 1.1.2 einer installierten Nettonennleistung von:

104 MW ≈ (908 GWh/Jahr) / (8 760 h/Jahr)

Der Schwellenwert von 36 MW für zur Erbringung von Primärregelleistung präqualifizierter Anlagen ergibt sich aus Artikel 5 Absatz 3 der Verordnung (EU) 2016/631 der Kommission vom 14. April 2016 zur Festlegung eines Netzkodex mit Netzanschlussbestimmungen für Stromerzeuger.

Abbildung in dieser Leseprobe nicht enthalten

Um allgemein festzustellen, ob seine Einrichtung oder Teile davon als KRITIS einzustufen sind, hat der Betreiber, soweit er Anlagen gemäß der BSI-KritisV betreibt, die Pflicht, den Versorgungsgrad dieser zu ermitteln (Anhang 1-7 Teil 1 Abs.4 [8]). Die Schwellenwerte (Spalte D) dienen dazu, sie mit dem Versorgungsgrad einer Infrastruktur bzw. Anlage zu vergleichen. Der Versorgungsgrad wird mittels des Bemessungskriteriums (Spalte C) ermittelt.

Abbildung in dieser Leseprobe nicht enthalten

Anhang 3: Cybersicherheitspflichten

Es folgt eine Aufzählung der Pflichten für Betreiber von KRITIS, die aus dem BSI-Gesetz und der dazugehörigen Kritisverordnung hervorgehen [6], [8]:

1. „Betreiber Kritischer Infrastrukturen* sind verpflichtet [...] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden“ (§ 8a Abs. 1 S. 1, 2 BSIG).
- Die Maßnahmen sollen dabei verhältnismäßig zu den Folgen eines Ausfalls oder einer Störung sein (§ 8a Abs. 1 S. 2 BSIG).
- Dazu können die KRITIS-Betreiber und ihre Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen, deren Eignungen auf Antrag vom Bundesamt gewährleistet werden³³ (§ 8a Abs. 2 BSIG).

2. Die Betreiber* haben³⁴ ein „System zur Angriffserkennung“ einzusetzen, das parallel zum Betrieb läuft, um fortlaufend Bedrohungen oder Störungen zu identifizieren und diese durch Beseitigungsmaßnahmen zu minimieren (§ 8a Abs. 1a BSIG).

3. Die Betreiber* müssen spätestens zwei Jahre nach ihrem ersten Werktag als KRITIS und danach alle zwei Jahre einen Nachweis zur Erfüllung, der (hier) unter den Punkten 1 und 2 genannten Anforderungen erbringen (§ 8a Abs. 3 BSIG).
- Die Ergebnisse und – auf Verlangen – die vollständige Dokumentation müssen dem Bundesamt übermittelt werden (ebd.).
- In Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen. Das Verfahren wird gegebenenfalls zusammen mit dem Bundesamt und den betroffenen Wirtschaftsverbänden bestimmt (§ 8a Abs. 5 BSIG).

4. Sollte das Bundesamt die genannten Anforderungen überprüfen oder überprüfen lassen, so hat der Betreiber*:
- „[...] das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten“ (§ 8a Abs. 4 S. 2 BSIG).
- die notwendigen Unterlagen vorzulegen und erforderliche Auskunft zu erteilen.
- bei Versäumnissen der Anforderungen Gebühren / Auslagen zu zahlen (§ 8a Abs. 4 S. 2, 3 BSIG).

5. KRITIS* haben sich spätestens bis zum ersten Werktag durch ihre Verantwortlichen beim Bundesamt registrieren zu lassen und eine Kontaktstelle zu benennen, die jederzeit erreichbar ist. Zusätzlich dazu können Sektor-gleiche KRITIS eine gemeinsame übergeordnete Ansprechstelle für den Informationsaustausch benennen (§ 8b Abs. 3, 5 BSIG).

6. Treten bei KRITIS* (erhebliche) „[...] Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse [auf], die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit [...]“ (§ 8b Abs. 4 BSIG) führen können bzw. geführt haben, so müssen diese über die Kontaktstelle unverzüglich gemeldet werden (ebd.).

7. Wenn ein Betreiber plant IT-Produkte – „[...] bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können [...]“ (§ 2 Abs. 13 Nr. 2 BSIG) und die „als kritische Komponente bestimmt werden“ (ebd. Nr. 3a) – erstmalig einzusetzen, so hat er dies beim BMI anzuzeigen und bis zur Genehmigung vom Einsatz abzusehen (§ 9b BSIG)
- es sei denn, der Einsatz einer Komponente desselben Typs, mit gleicher Funktion wurde bereits genehmigt (§ 9b Abs. 1 BSIG).
- „Kritische Komponenten gemäß § 2 Absatz 13 dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieerklärung) gegenüber dem Betreiber der Kritischen Infrastruktur abgeben hat“ (§ 9 Abs. 3 S. 1 BSIG).

8. Um festzustellen, ob seine Einrichtung oder Teile davon als KRITIS einzustufen sind, hat der Betreiber, soweit er Anlagen gemäß der BSI-KritisV betreibt, den Versorgungsgrad dieser zu ermitteln (Anhang 1-7 Teil 1 Abs. 4 BSI-KritisV).

Zusammenfassung:

Betreiber von Einrichtungen und Anlagen haben eigenständig zu prüfen, ob diese als KRITIS einzustufen sind (8). Stellen Sie fest, dass sie als Betreiber einer Kritischen Infrastruktur gelten, so müssen sie ihre KRITIS beim Bundesamt registrieren lassen und eine Kontaktstelle benennen, die jederzeit erreichbar ist (5). Die Kontaktstelle zur Kommunikation zwischen dem Bundesamt und der KRITIS dient zu Erfüllung der Pflicht des gegenseitigen Informationsaustausches z. B. bei Änderungen in der Bedrohungslage, erwähnenswerten Störfällen und neuen Erkenntnissen zur Gefahrenabwehr in der Informationstechnik (6). Kritische IT-Produkte, die in KRITIS eingesetzt werden und besondere Funktionen erfüllen, müssen vor ihrer Verwendung vom Betreiber beim BMI angezeigt und genehmigt werden (7). KRITIS-Betreiber haben verhältnismäßige Sicherheitsvorkehrungen und -maßnahmen – nach dem Stand der Technik – zum Schutz ihrer wichtigsten Funktionen zu treffen (1, 2). Die Einhaltung dieser Pflicht und die Zweckmäßigkeit der Maßnahmen muss regelmäßig geprüft und nachgewiesen werden (3).

Anhang 4: Gefährdungstabelle [11, S. 27]

Abbildung in dieser Leseprobe nicht enthalten

Anhang 5: Kodierleitfaden (eigene Darstellung in Anlehnung an [83])

Abbildung in dieser Leseprobe nicht enthalten

[...]

---

¹ Die Objektsicherheit ist in dieser Arbeit als physischer Schutzanteil der Unternehmenssicherheit zu verstehen. Dennoch hat sie Schnittmengen mit anderen Schutzaufgaben wie dem Arbeits-, IT- oder Datenschutz. Die Unternehmenssicherheit ist in der Hinsicht vom Bevölkerungsschutz abzugrenzen, dass sie sich vor allem auf den Schutz einzelner Einrichtungen (inklusive interne Personen und Werte) konzentriert. Zur Betrachtung der physischen Unternehmenssicherheit müssen dennoch Verknüpfungen zur Außenwelt berücksichtigt werden [10].

² Impliziert auch den Schutz gegen „ Eingriffe “ Unbefugter, welcher ebenfalls als wichtiger Beitrag zum KRITIS-Schutz verstanden wird [11].

³ Kernschutzziele: „Wesentliche Schutzziele für die Sicherung von Anlagen und Objekten, die als sicherungsrelevant eingeschätzt werden [...]“ [11, S. 21]. Schutzziele wurden hier als „Beschreibung eines herbeizuführenden Sollzustands“ [11, S. 53] definiert.

⁴ Projektname: „Definition von Schutzzielen und -niveaus Kritischer Infrastrukturen in Deutschland: Forschungsstand, rechtlicher Rahmen und politische Entscheidungsfindung“ [14].

⁵ Die Ebenen haben hier eine doppeldeutige Bedeutung. Zum einen beschreiben sie mögliche Akteursgruppen (z. B. alle Betreiber eines Sektors oder alle Betreiber einer gleichen Anlage) und zum anderen definieren sie das Abstraktionsniveau (z. B. allgemeine Schutzziele oder konkrete Maßnahmen).

⁶ Der Kritisverordnung (KritisV) [8] liegt beispielsweise ein Regelschwellenwert von 500.000 versorgten Personen zugrunde. Ein anderer Schwellenwert müsste in einem (in)formellen Verfahren festgelegt werden [18].

⁷ Keine notwendige Bedingung bei den Sektoren Informationstechnik und Telekommunikation sowie Finanz- und Versicherungswesen (Anhang 4,5 Teil 1 Abs. 6 [8])

⁸ Ist die Anlage oder ein Teil davon gemeint, kann der herbeizuführende Mindeststandard als Schutz vor dem unbefugten Eingreifen verstanden werden.

⁹ Schutzniveau, Sicherheitsziel, Risikogrenzwert, Soll-Wert, Mindestversorgungsziel, Mindeststandard, Leistungsziel, Norm, Oberziel, Bewertungskriterium, angestrebtes Sicherheitsniveau

¹⁰ Ansatz wird auch im Rahmen der polizeilichen Sicherheitsplanung von Veranstaltungen publiziert [41, S. 5]

¹¹ Maß der (juristischen) Verbindlichkeit

¹² Darüber hinaus kann es weitere Einflüsse des Staates geben, die in dieser Arbeit nicht erfasst werden. Der Autor strebt hier keine vollständige Aufzählung mit abschließendem Charakter an.

¹³ Beispielsweise kann in baulichen Vorschriften die Öffnung von Türen zur Entfluchtung oder zu Lösch- und Rettungszwecken durch die Feuerwehr gefordert sein. Gleichzeitig fordern Kriminalpolizei, Versicherer oder auch Wirtschaftsprüfer den Verschluss von Türen, um ein unbefugtes Eindringen zu vermeiden. In diesem Fall gibt es mehrere Lösungen, um ein Interessenskonflikt zu vermeiden [60].

¹⁴ Mit dem Datenschutzgesetz wird die Nutzung von Videoüberwachungsanlagen, welche als wirkungsvolle Schutzmaßnahme gegen das Eindringen Unbefugter dienen können [11, S. 21], eingeschränkt (§4 [61]).

¹⁵ Wenn unbefugte Eingriffe als Störfallursache nicht ausgeschlossen werden kann.

¹⁶ Die für diese Arbeit grundlegenden Aspekte, die daraus hervorgehen, wurden bereits vorgestellt.

¹⁷ oder „Eingreifen“ – im Sinne der physischen Sabotage oder Zerstörung von kritischen Anlagen

¹⁸ Keine weitere Betrachtung in der vorliegenden Arbeit erforderlich.

¹⁹ Sie gelten jedoch allgemein für Organisationen. Inwieweit sie im Zusammenhang mit KRITIS umzusetzen sind, bei denen ein höherer Schutzbedarf zu erwarten ist, ist unklar.

²⁰ Vergleichsweise wurde zur Politikfeldanalyse und zur Schutzzieldebatte ebenfalls Sekundärforschung betrieben, um den Stand des KRITIS-Schutzes zu erfassen [12], [14]. Eine empirische Arbeit, beispielsweise in Form von Interviews oder standardisierten Fragebögen gegenüber privatwirtschaftlichen Betreibern, hätte eine subjektive und fachspezifische Einschätzung hervorgehoben – ebenso wie die Befragung einzelner Branchen- oder Fachverbände.

²¹ Die Dokumente beschreiben, wie nachfolgend erörtert, dass es einen hundertprozentigen physischen Schutz nicht gibt. Da das Schutzziel realistisch formuliert werden sollte, wurde daher entgegen der bereits zitierten Dokumente auf den Begriff „verhindern“ verzichtet.

²² Unklar ist z. B. wie widerstandsfähig die Verriegelung sein sollte, ggf. sind Mehrfachverriegelungen oder bestimmte Anforderungen an das angrenzende Mauerwerk etc. erforderlich.

²³ Nach dem Basisschutzkonzept ist es jedoch technisch möglich, sowohl an der Umfriedung selbst (z. B. durch Alarmzäune/-tore oder Mauerkronensicherung) als auch im Freibereich zwischen der ersten physischen Außengrenze und dem Gebäude / der Anlage (z. B. durch Lichtschranken oder Radarsichtstrecken) zu detektieren [11].

²⁴ Der Autor denkt hier beispielsweise an (große) Hallen oder nicht tragende Trennwände innerhalb eines Gebäudes.

²⁵ Vorausgesetzt wurde, dass mit dem „Standort“ das gesamte Infrastrukturgelände gemeint sein kann.

²⁶ Möglicherweise könnte eine optimierte technische Lösung ein Mitlaufen nicht zulassen. Ohne technische Beschränkung könnte der Befugte hingegen manipuliert oder gezwungen werden, das Mitlaufen zu akzeptieren.

²⁷ „Das Hausrecht umfasst die Befugnis, über den Zutritt und den Aufenthalt in der öffentlichen Einrichtung zu entscheiden. Es eröffnet damit jedenfalls die Möglichkeit, jemanden aus dem öffentlichen Gebäude zu verweisen und ihm das Betreten für die Zukunft zu untersagen (Hausverbote). Fraglich ist, ob sich aus dem Hausrecht auch weitere Maßnahmen ergeben, die über ein Hausverbot hinausgehen. Zu denken wäre insbesondere an Hilfsmaßnahmen zur Sicherung des Hausrechts, wie etwa die Videoüberwachung in den Räumen oder Einlasskontrollen und Durchsuchungen“ [93, S. 359].

²⁸ Die Dokumentation trägt nicht zwangsläufig zum Schutz vor dem Eindringen Unbefugter bei. Daher soll sie nicht zu viel Raum in dieser Arbeit einnehmen.

²⁹ Dies beschreibt die Literatur am Beispiel des Kraftwerkes (4.1.3).

³⁰ Diese Beobachtung kann jedoch anhand der wenigen Dokumente mit geringem Konkretisierungsgrad nicht mit endgültiger Sicherheit als Standard beschrieben werden. Zu begründen wäre diese z. B. aus ökonomischen Gesichtspunkten, da ein erhöhtes Schutzniveau an kleineren Grenzen möglicherweise einfacher umzusetzen wäre.

³¹ Zeit bis zum Eintreffen des Interventionspersonals an der Gefahrenstelle, um dort wirksam zu werden.

³² Denkbar wäre auch, einen weiteren Kompetenzbereich zu gründen, um KRITIS gegen Naturereignisse (BBK), Cyberangriffe (BSI) und physische Angriffe bestmöglich zu schützen.

³³ „Im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes“ (§ 8a Abs. 2 BSIG).

³⁴ Ab dem 01.05.2023.