In den vorangegangenen Beiträgen „IT-Schutz von Kraftwerken vor Cyberbedrohungen“ und „Folgen eines langandauernden und großflächigen Stromausfalls“ wurde der Begriff der sogenannten „kritischen Infrastruktur“ angesprochen, der in diesem Artikel näher erläutert werden soll.
Im Dezember 2008 erließ der Rat der Europäischen Union eine Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern. Diese EU-Richtlinie 2008/114/EG definiert eine „kritische Infrastruktur“, abgekürzt: KRITIS, als eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.
Auf der Grundlage dieser gesetzlichen europäischen Richtlinie gab das Bundesministerium des Innern im Juni 2009 die „Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie)“ heraus, der eine ähnliche Begriffsbestimmung der Terminus zugrunde liegt: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Diese kritischen, weil unverzichtbaren Infrastrukturen lassen sich grob in zwei grundlegende Infrastrukturbereiche einteilen: Als technische Basisinfrastrukturen werden die Energieversorgung, die Informations- und Kommunikationstechnologie (IKT), Transport und Verkehr sowie die (Trink-)Wasserversorgung und Abwasserentsorgung bezeichnet. Den sozioökonomischen Dienstleistungsinfrastrukturen werden das Gesundheitswesen und Ernährung, das Notfall- und Rettungswesen / Katastrophenschutz, das Parlament, Regierung, öffentliche Verwaltung, Justizeinrichtungen, das Finanz- und Versicherungswesen sowie Medien und Kulturgüter zugeordnet.
Zu potenziell erheblichen Schäden führende mögliche Bedrohungen / Gefährdungen für diese kritischen Infrastrukturen werden im Wesentlichen in drei Gefahrenbereichen gesehen:
- Naturereignisse, z. B. in Form von Extremwetterereignissen, Bränden, Erdbeben, Epidemien oder kosmischen Ereignissen
- technisches und / oder menschliches Versagen, beispielsweise System- oder organisatorisches Versagen, Hard- / Softwarefehler, Fahrlässigkeit oder Unfälle
- vorsätzliche Gewalthandlungen mit terroristischem, kriegerischem oder sonstigem kriminellen Hintergrund
Die einschlägige Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-KritisV) behandelt in § 2 speziell den Sektor Energie und stellt dort wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens
- die Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung),
- die Versorgung der Allgemeinheit mit Gas (Gasversorgung),
- die Versorgung der Allgemeinheit mit Kraftstoff und Heizöl (Kraftstoff- und Heizölversorgung) sowie
- die Versorgung der Allgemeinheit mit Fernwärme (Fernwärmeversorgung)
als kritische Dienstleistungen heraus, wobei sich die Versorgung mit Strom, Gas, Kraftstoff, Heizöl und Fernwärme auf die Bereiche Erzeugung / Förderung / Herstellung, Übertragung / Transport und Verteilung erstreckt, und kritische Infrastrukturen im Sektor Energie somit die zu diesen Zwecken erforderlichen, bestimmte Schwellenwerte erreichende / überschreitende Anlagen oder Teile davon sind.
Aufgrund der zunehmenden Digitalisierung, Vernetzung und Globalisierung wurden als Maßnahmen zur Abwehr elektronischer Angriffe auf nationale IT-Infrastrukturen und Wirtschaft (wie z. B. in der vorangehenden Buchrenzension des Technik-Thrillers „BLACKOUT – Morgen ist es zu spät“ angesprochen) sowie zur Erhöhung der Cybersicherheit u. a. mittels IT-Forensik im April 2011 das Nationale Cyber-Abwehrzentrum (NCAZ, Cyber-AZ) sowie im April 2017 das Kommando „Cyber- und Informationsraum“ (KdoCIR) der Bundeswehr in den Dienst genommen. Für den Schutz kritischer Infrastrukturen wie z. B. in der Energiewirtschaft im Zusammenhang mit großen Kraftwerksanlagen sind jedoch maßgeblich deren Eigentümer bzw. Betreiber verantwortlich.