20. März 2025
Wasserwerke, Energieversorger, Telekommunikationsdienste oder andere wichtige Sektoren zählen zu den kritischen Infrastrukturen (KRITIS). Doch wie ist es hierzulande um ihre physische Sicherheit etwa gegenüber Angriffen bestellt, und wie und in welchem Rahmen wird diese geprüft? Darüber haben wir mit Lars Wilke gesprochen, Experte für physische Sicherheit von Infrastrukturen bei TÜV NORD.
Herr Wilke, wie gut sind kritische Infrastrukturen in Deutschland vor Anschlägen, Sabotageakten oder Naturkatastrophen geschützt?
Lars Wilke: Wir wissen es schlicht nicht. Denn anders als bei der Cybersicherheit gibt es keine flächendeckenden und branchenübergreifenden Anforderungen an die physische Sicherheit kritischer Infrastrukturen. Der physische Schutz ist in der bisherigen KRITIS-Gesetzgebung zwar berücksichtigt, beschränkt sich aber auf die IT-Systeme. Diese Lücke soll die sogenannte CER-Richtlinie der EU schließen, die von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden musste. Das ist in Deutschland allerdings bislang noch nicht erfolgt. Die Bundesregierung hatte zwar mit dem KRITIS-Dachgesetz einen Gesetzesentwurf vorgelegt, aber der wurde durch den Bruch der Ampelkoalition nicht mehr verabschiedet. Wir hoffen nun, dass die künftige Bundesregierung sich zügig der Umsetzung der CER-Richtlinie widmet. Denn angesichts der aktuellen Weltlage dürfen wir den Schutz kritischer Infrastrukturen nicht schleifen lassen.
Die Zeit drängt also?
Ja, umso mehr, als der bisherige Gesetzesentwurf Übergangsfristen bis 2027 vorgesehen hat, die sich mit einer späteren Verabschiedung auch noch einmal weiter nach hinten schieben dürften. Natürlich müssen die Betreiberinnen und Betreiber genügend Vorlauf bekommen, um sich auf die neuen Anforderungen einzustellen. Zugleich müssen wir uns aber möglichst rasch einen ersten Überblick über den Istzustand kritischer Infrastrukturen verschaffen. Denn falls sich herausstellt, dass es hier einen massiven Nachholbedarf gibt, macht das Baumaßnahmen und Nachrüstungen erforderlich, die nicht von heute auf morgen genehmigt und durchgeführt sind.
Warum ist es so elementar wichtig, kritische Infrastrukturen zu schützen?
Schon mit vielen kleinen Angriffen könnte man unserer Infrastruktur in großem Stil schaden. Wir müssen daher sicherstellen, dass unsere kritischen Infrastrukturen bestmöglich gegen solche Attacken oder Naturkatastrophen geschützt sind und deren Auswirkungen im Fall der Fälle beherrschbar bleiben, um die Versorgung der Bevölkerung zu gewährleisten. Um die Relevanz des Themas verstärkt in den Fokus zu rücken, sind wir als TÜV NORD dem Bundesverband zum Schutz kritischer Infrastrukturen (BSKI) beigetreten. Dort bringen wir uns vor allem mit unserer Expertise rund um die physische Sicherheit ein.
Den physischen Schutz von Rechenzentren prüfen Sie mit Ihrem Team ja bereits. Einige davon zählen zu den kritischen Infrastrukturen. Wie gehen Sie da vor?
Zumeist handelt es sich dabei um freiwillige Prüfungen, die teilweise auch in Zertifizierungen münden. Diese werden etwa von den Kundinnen und Kunden der Rechenzentren gefordert oder auch von einer Aufsichtsbehörde, was bei Rechenzentren für den Bankensektor häufig der Fall ist. Das Prinzip der Prüfung ist grundsätzlich auf jede Infrastruktur und Branche übertragbar: Wir schauen uns zunächst an, welche Umfeldrisiken es an dem jeweiligen Standort gibt – Hochwasser, Erdbeben, aber auch die benachbarte Tankstelle oder das zehn Kilometer entfernte Chemiewerk. Auch auf Basis unseres Befunds nehmen wir dann den baulichen Schutz der Anlage in den Blick: Wie steht es um die Einbruchssicherheit von Fenstern, Türen und Zäunen? Ist der technische Brandschutz durch entsprechende Brandmeldesysteme und Löschanlagen umfassend gewährleistet? Im nächsten Schritt widmen wir uns den Sicherheitssystemen, also Videokameras, Einbruchmeldeanlagen und Zugangskontrollsystemen – vom Kartenleser bis zu biometrischen Systemen. Wir betrachten etwa, wie Fingerabdruck- oder Irisscanner konfiguriert sind und ob sie über einen Sabotageschutz verfügen. Und wir schauen uns an, welche Verschlüsselungsmethoden die Kartenlesesysteme verwenden und wie und wo die Zugangsberechtigungen gespeichert werden.
© Gorodenkoff/Adobe StockRechenzenten etwa für den Bankensektor gehören zu den kritischen Infrastrukturen. Der TÜV NORD prüft ihre physische Sicherheit.
Spielt die Energieversorgung bei den Prüfungen ebenfalls eine Rolle?
Natürlich. Physische Sicherheit bedeutet nicht nur, dass niemand in die Anlage eindringen kann, sondern immer auch, dass diese resilient gegenüber Ausfällen ist. Die Energieversorgung ist daher ein zentraler Fokus unserer Prüfungen: Wir schauen uns an, ob es Redundanzen durch unterschiedliche Stromquellen und eine Notstromversorgung gibt und wie diese ausgelegt ist. Wir nehmen darüber hinaus auch organisatorische Aspekte in den Blick. Denn die Resilienz und Ausfallsicherheit einer Anlage steht und fällt damit, ob das Personal in jeder Situation weiß, was zu tun ist. Während diese Fragestellungen übergreifend für alle Branchen relevant sind, kommt bei Rechenzentren noch die gesamte Kälteversorgung hinzu: Server müssen rund um die Uhr gekühlt werden. Fällt die Kälteversorgung aus, gehen auch die Server aus. Um das zu verhindern, müssen hier ebenfalls entsprechende Redundanzen geschaffen werden.
Ein komplexes und weites Feld, das Expertise unterschiedlichster Fachbereiche erfordert.
So ist es! Unser interdisziplinäres Team setzt sich daher aus Fachleuten aller relevanten Bereiche zusammen: Maschinenbau, Physik, Architektur, Bauingenieurwesen, Informatik, Elektro- und Kältetechnik. Nachdem wir die einzelnen Anlagen technisch intensiv nach den unterschiedlichen Gesichtspunkten geprüft haben, gilt es für uns dann, ihr Zusammenspiel im Gesamtsystem zu bewerten. Denn der physische Schutz von Infrastruktur gelingt nur, wenn alle Zahnräder ineinandergreifen.
Lars Wilke ist Lead Expert Physische Sicherheit von Infrastrukturen und Lead Auditor für Rechenzentren bei TÜV NORD. Der studierte Energie- und Umwelttechniker prüft mit seinem Team also Rechenzentren darauf, wie sie gegen Naturkatastrophen, Sabotageakte und Ausfälle einzelner Versorgungssysteme gewappnet sind.
