So soll Deutschland besser geschützt werden

Nicht erst der Anschlag auf das Berliner Stromnetz hat gezeigt, wie verletzlich Deutschland sein kann. Der Bundestag hat heute das neue Gesetz zum Schutz kritischer Infrastruktur beschlossen. Worum geht es? 

Was soll sich konkret ändern?

Kern des Gesetzes sind neue Pflichten für Unternehmen in strategisch wichtigen Sektoren. Die Betreiber von Netzen, Kraftwerken oder der Wasserversorgung sollen mit dem Gesetz zu einem besseren physischen Schutz ihrer Anlagen verpflichtet werden. Sie müssen ihre Anlagen registrieren lassen, regelmäßig Risikoanalysen vornehmen und Resilienzpläne erstellen.
Damit soll die Widerstandsfähigkeit gegen Gefahren wie Naturkatastrophen, Sabotage oder Terrorismus gestärkt werden. Das Gesetz schafft erstmals einen bundesweit einheitlichen Rahmen für den nicht-digitalen Schutz und tritt neben die bestehenden Regeln zur Cybersicherheit.
Zu den geforderten Maßnahmen zählen technische Sicherungen wie Zäune und Alarmanlagen, aber auch Notstromversorgung und die Absicherung von Lieferketten. Schwere Störfälle müssen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden, das im Gegenzug regelmäßige Lagebilder erstellt. Bei Regelverstößen sind Bußgelder vorgesehen.
Außerdem sollen öffentliche Informationen über die Infrastruktur eingeschränkt werden, um sie vor Angreifern zu schützen.

Was gilt als kritische Infrastruktur?

Die Bundesregierung versteht unter kritischer Infrastruktur "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden".
Zu den konkreten Kriterien will das Bundesinnenministerium noch eine Rechtsverordnung erlassen. Vom Gesetz grundsätzlich umfasst sein sollen Einrichtungen sein, die mehr als 500.000 Menschen versorgen. Eine Ausnahme gibt es nun aber für die Bundesländer: Diese sollen Anlagen, für die eine Landesbehörde zuständig ist, nach eigenen Kriterien als kritisch einstufen können.
Grundsätzlich hat die Bundesregierung diese zehn Bereiche der Kritischen Infrastruktur definiert:

1. Energie
2. Informationstechnik und Telekommunikation
3. Transport und Verkehr
4. Gesundheit
5. Medien und Kultur
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Siedlungsabfallentsorgung
10. Staat und Verwaltung

11. Warum ist eine Gesetzesänderung notwendig?

    Mit dem Gesetz wird eine entsprechende EU-Richtlinie in nationales Recht umgesetzt. Die sogenannte "CER-Richtlinie" verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.
    Das Vorhaben sollte eigentlich schon unter der Ampel-Regierung beschlossen werden. Hintergrund sind vermehrte Attacken und Spionage in Europa - vermutet wird, dass bei vielen der Vorfälle Russland oder China dahinter stecken.
    Unter anderem im Zuge des Anschlags auf die Stromleitungen in Berlin gab es aber nochmal Nachbesserungsbedarf. Die Koalition änderte den Entwurf daher über einen ergänzenden Entschließungsantrag in Bezug auf Transparenzpflichten der Unternehmen nach. Mögliche Angreifer sollen künftig nicht zu viele Informationen über Standorte und sensible Daten abrufen können. Der genaue Verlauf von Trassen oder Schwachstellen soll nicht mehr so leicht festzustellen sein.

12. Welche Kritik gibt es an dem Gesetz

    Kritik kommt unter anderem vom Deutschen Städtetag. Der im Gesetzentwurf festgelegte Schwellenwert von 500.000 Einwohnern zur Einordnung von Einrichtungen als kritische Infrastruktur sei viel zu hoch. Der kommunale Spitzenverband setzt sich dafür ein, dass der Wert auf mindestens 150.000 Einwohner gesenkt wird. Es gebe zwar eine Öffnungsklausel im Entwurf, sagte Hauptgeschäftsführer Christian Schuchardt. Doch letztlich liege es an den Ländern, zusätzliche Anlagen unterhalb des Schwellenwerts zu definieren. Er befürchtet einen Flickenteppich mit unterschiedlichen Regelungen.
    Die Grünen kritisieren, dass das Gesetz nicht weit genug geht. Die Erste Parlamentarische Geschäftsführerin der Grünen-Bundestagsfraktion, Irene Mihalic, sagte dem Nachrichtenportal Web.de News: "Dieser Entwurf ist höchstens ein Vordach, aber kein Dach." Parteikollege und Fraktionsvize Konstantin von Notz bezeichnete den Entwurf als "absolut unzureichend". Konkret warf von Notz Bundesinnenminister Alexander Dobrindt "massive Versäumnisse" vor. "Noch immer kocht jedes Ministerium sein eigenes Süppchen", sagte der Grünen-Politiker der Nachrichtenagentur AFP.
    Die Grünen fordern in einem eigenen Antrag unter anderem, dass eine einheitliche Meldestelle für die Betreiber kritischer Anlagen geschaffen wird und dass einheitliche IT-Sicherheitsstandards für Bund und Länder gelten. Die Fraktion fordert außerdem, dass die öffentliche Verwaltung in den Schutzbereich aufgenommen und Bereichsausnahmen für die Bundesverwaltung gestrichen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) müsse zudem in seiner Unabhängigkeit gestärkt werden.
    Die AfD bemängelte wiederum, dass Bundesbehörden durch das Gesetz zu umfangreiche Kompetenzen erhielten. Es sei ein "Gesetz zur Ausweitung staatlicher Kontrolle", sagte der AfD-Abgeordnete Arne Raue. Außerdem bringe das Gesetz zu viel Bürokratie mit sich. Dennoch stimmte die AfD für die Verabschiedung.
    Auch aus der Industrie kommt Kritik. Holger Lösch, stellvertretender Hauptgeschäftsführer des Bundesverbands der Deutschen Industrie (BDI), sagte: "Angesichts der deutlich verschärften Bedrohungslage fällt das Gesetz klar hinter den sicherheitspolitisch notwendigen Anspruch zurück."