Aktuelle und künftige Herausforderungen im Bereich Sicherheit standen im Mittelpunkt der Sicherheitskonferenz "State of Security" in Berlin.
Die Kritischen Infrastrukturen (KRITIS) stehen auch in Deutschland einer Bedrohungslage gegenüber. Sie resultiert aus physischen Angriffen zum Beispiel auf Stromversorgung und Verkehrsinfrastruktur und aus stetig steigenden Cyberattacken, denen Unternehmen, Behörden oder Krankenhäuser ausgesetzt sind.
Angesichts dessen forderten hochrangige Politiker, Sicherheitsexperten, Unternehmens- und Behördenvertreter sowie Wissenschaftler bei der Sicherheitskonferenz "State of Security" von Kötter Security und German Business Protection (GBP) die Ausweitung von Investitionen in den KRITIS-Schutz sowie eine Aufwertung von Sicherheits- und Risk Management zur "Chefsache".
„Die Nachrichten sind voll von Berichten über erfolgte beziehungsweise drohende Angriffe auf KRITIS-Einrichtungen. Auch die Behörden warnen seit Langem nachdrücklich vor dem Risikopotenzial. Die Gefährdungslage ist somit klar beschrieben, jetzt geht es um die konsequente Umsetzung ganzheitlicher Sicherheitslösungen durch KRITIS-Betreiber aller Größen und Sektoren“, sagte Friedrich P. Kötter, Verwaltungsrat von Kötter Security, bei der Veranstaltung mit mehr 100 Teilnehmern im Allianz Forum am Brandenburger Tor. Moderiert wurde die zehnte Sicherheitskonferenz von Fritz Rudolf Körper, Staatssekretär a. D. und Mitglied des Kötter-Sicherheitsbeirates.
Die Konzerne in Deutschland sieht Friedrich P. Kötter in Sachen KRITIS-Schutz gut aufgestellt. Damit seien sie gleichzeitig Vorbild für viele öffentliche Institutionen und Mittelständler hinsichtlich der Umsetzung und fortlaufenden Optimierung umfassender KRITIS-Schutzmaßnahmen in Kooperation mit qualifizierten Sicherheitsdienstleistern. Mit Blick auf Letzteres wird die im künftigen KRITIS-Dachgesetz vorgesehene Implementierung sektorenübergreifender Mindeststandards beim KRITIS-Schutz nach Einschätzung von Friedrich P.. Kötter eine wichtige Basis schaffen. Gleichwohl geht das von der Bundesregierung bis Oktober umzusetzende KRITIS-Dachgesetz aus seiner Sicht nach wie vor nicht weit genug. Dies betreffe speziell die auch im überarbeiteten Referentenentwurf erneut nicht enthaltene verbindliche Empfehlung an KRITIS-Betreiber, bei der Kooperation mit Sicherheitsdienstleistern Qualitätsnormen anzuwenden, wie sie auf EU-Ebene in der entsprechenden CER-Richtlinie bereits längst nachdrücklich empfohlen werde. „Es wäre daher wünschenswert, wenn der Gesetzgeber diesen Schritt im laufenden Gesetzgebungsprozesses noch zügig nachholt" sagte Friedrich P. Kötter.
Zusätzlich richtete er einen Blick auf die "Network and Information Security Directive" (NIS2-Richtlinie), mit der Deutschland bis Oktober eine weitere EU-Richtlinie in nationale Gesetzgebung aufnehmen muss. Hieraus resultierend wird künftig das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das sich aktuell ebenfalls im Status eines Referentenentwurfs befindet, die Cyber- und Informationssicherheit von Unternehmen und Institutionen federführend regeln. Die NIS2-Richtlinie geht weit über die bisherigen KRITIS-Sektoren hinaus und bezieht auch zahlreiche neue Bereiche ein. Die Gesetzgebung wird allein in Deutschland rund 30.000 Firmen betreffen. Gleichzeitig steigen auch die inhaltlich-organisatorischen Anforderungen an die Unternehmen. Sie müssen Methoden für die Cybersicherheit entwickeln, die im künftigen Gesetz festgelegten Verfahren für das Gefahrenmanagement einführen und sich an Meldepflichten halten – ansonsten drohen entsprechende Sanktionen.
Ähnliches unterstrich Alexander Frank, Deputy Director General des europäischen Dachverbandes CoESS, in seinem Vortrag "KRITIS in der EU: Learnings aus den Erfahrungen unserer Nachbarländer". Dabei plädierte er unter anderem für die Umsetzung einer strategischen Sicherheitskonvergenz seitens der KRITIS-Betreiber: Mit dieser soll die aktuell vielfach noch vorherrschende Aufgaben- und Verantwortungstrennung für die verschiedenen Sicherheitssektoren wie speziell physische und IT-Sicherheit überwunden werden. Eine solche Splittung sei schon längst nicht mehr zeitgemäß. "Je weiter die Vernetzung unter anderem durch Digitalisierung und KI in Wirtschaft, Staat und Gesellschaft voranschreitet umso mehr werden solche überholten Strukturen unsere Anfälligkeit für hybride Angriffe erhöhen", warnte Alexander Frank. Handlungsempfehlungen für integrierte Schutzmaßnahmen bietet das neue CoESS-Whitepaper "Physische Cybersicherheit und kritische Infrastrukturen".
Sebastian Fiedler, Mitglied des Deutschen Bundestages, hob im Rahmen seines Vortrages "Aktuelle kriminalpolitische Entwicklungen und ihre Bedeutung für deutsche Wirtschaftsunternehmen" unter anderem hervor, "dass wir es durchaus mit außerordentlich ernstzunehmenden Bedrohungssituationen zu tun haben, die die Wirtschaftsunternehmen auf ganz unterschiedliche Weise treffen". Dabei bestehe mit Blick auf "gerade die Wirtschaftsunternehmen, bei denen wir einig sind, dass wir sie wegen ihrer existenziellen Relevanz besonders schützen müssen, Common sense, "dass wir hier zu einheitlichen Standards kommen müssen", sagte Sebastian Fiedler, Mitglied des Ausschusses für Inneres und Heimat und Sprecher der Arbeitsgruppe "Kriminalpolitik" im Deutschen Bundestag.
Christian Hochgrebe, Staatssekretär in der Senatsverwaltung für Inneres und Sport des Landes Berlin, verwies in seinem Vortrag "Das KRITIS-Dachgesetz: Der Status Quo aus politischer Sicht" unter anderem auf die vielfältigen und weiter steigenden Herausforderungen für Unternehmen aufgrund der hybriden Bedrohungslage. Er plädierte für einen weiteren Kooperationsausbau von öffentlicher Hand und Wirtschaft: "All diese Dinge gehen nur gemeinsam miteinander. Wir müssen sowohl behördlich als auch privat zusammendenken. Wir müssen horizontal und vertikal übergreifend uns diesen Herausforderungen stellen", sagte Christian Hochgrebe..
Über den Status Quo aus unternehmerischer Sicht zum KRITIS-Dachgesetz referierte Alexander B. Krause, Siemens Energy Global & Hub Security (Senior Security Manager). Mit der Konvergenz von Cyber-Security und physischer Sicherheit befasste sich Prof. Dr. Sachar Paulus, Professor für IT-Sicherheit und Studiengangleiter Cyber Security an der Hochschule Mannheim. Er gab unter anderem einen Überblick über die Auswirkungen im Kontext des KRITIS-Dachgesetzes, der europäischen CER-Richtlinie sowie der EU-Cyber-Security-Richtlinie NIS 2. Die Bedeutung von KRITIS für die öffentliche Sicherheit thematisierte Martin Zeidler, Leiter der Abteilung I - Krisenmanagement im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.
Welche weiteren Anforderungen sich für die Wirtschaft ergeben, stand darüber hinaus im Mittelpunkt einer Podiumsdiskussion zum Thema "Die Auswirkungen des KRITIS-Dachgesetzes auf die Deutsche Wirtschaft". Unter Moderation von Prof. Dr. Harald Olschok, Mitglied des Kötter-Sicherheitsbeirates und Honorarprofessor am Fachbereich Polizei und Sicherheitsmanagement der HWR Berlin, diskutierten Dr. Peter Schwark, Hauptgeschäftsführer des Bundesverbandes der Sicherheitswirtschaft (BDSW), Bundestagsmitglied Leon Eckert und Dr. Kay Ruge, stellvertretender Hauptgeschäftsführer des Deutschen Landkreistages, sowie Alexander B. Krause (Siemens). /HH