Analyse
Schutz vor hybriden Bedrohungen:Tun wir genug gegen Russlands Schattenkrieg?
von Nils Metzger und Sebastian Wirth
Schutz von Datenkabeln:Kritische Infrastruktur: Wie verwundbar sind wir?
von Kevin Schubert
|
Nord Stream 2 gesprengt, Datenkabel beschädigt: Immer mehr Vorfälle legen offen, wie verwundbar maritime Infrastruktur ist. Wie kritisch ist die Lage - und was hilft?
Wir brauchen sie für unsere Kommunikation, für unsere Energieversorgung, für unser tägliches Leben: Datenkabel, Pipelines und andere maritime Infrastrukturen sind so wichtig für unsere modernen Gesellschaften, dass sie längst als kritisch gelten - als besonders schützenswert also.
Doch sind sie das - besonders geschützt?
Erst die Schäden an zwei Datenkabeln in der Ostsee im November, nun die Schäden an einem Unterwasserstromkabel zwischen Finnland und Estland: Im Gespräch mit ZDFheute zeichnen Experten am Beispiel von Datenkabeln das Bild einer Infrastruktur, die verwundbar ist und zwangsläufig verwundbar bleiben wird - bei der sich ein Umgang mit dieser Verwundbarkeit aber lernen lässt.
3D-Visualisierung der kritischen Infrastruktur am deutschen Küstenmeer
Die Nord- und Ostsee sind durchzogen von wichtigen Datenkabeln und Pipelines.
Quelle: Experteninterviews; SPW; ZDF-Illustration
Wie wichtig sind Datenkabel - und wie sind sie geschützt?
"Unterseekabel sind das Rückgrat unserer digitalisierten Welt", sagt Johannes Peters. Er leitet am Institut für Sicherheitspolitik an der Universität Kiel die Abteilung für maritime Sicherheit und Strategie. Mehr als 90 Prozent des globalen Datenverkehrs würden über solche Kabel transportiert, sagt Peters.
Dementsprechend hängt also die Art, wie wir leben, wie wir wirtschaften, wie wir kommunizieren, im Wesentlichen an dieser maritimen, deshalb auch kritischen Infrastruktur.
Johannes Peters, Institut für Sicherheitspolitik an der Universität Kiel
Geschützt sind sie praktisch gar nicht. Sie werden am Meeresgrund verlegt - "und dann war’s das", sagt Peters, auch weil man sich über den Schutz der Infrastruktur jahrelang "keine großen Gedanken" gemacht habe.
- Kritische Infrastruktur bedroht: So schlecht sind Unterseekabel geschützt
- Moskaus Schattenkrieg in Europa: Wie "Wegwerf-Agenten" für Anschläge in Europa rekrutiert werden
Lassen sich Datenkabel denn besser schützen?
In der Theorie schon, sagt Manuel Atug, Gründer und Sprecher der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS). Zwar sei es grundsätzlich unmöglich, Sabotage immer zu verhindern. "Niemand kann Tausende Kilometer Kabel, noch dazu unter Wasser, permanent im Blick behalten, Gefahren frühzeitig erkennen und dann präventiv abwehren." Dennoch gäbe es zunächst naheliegende Maßnahmen, die möglich wären, darunter:
- Unterseekabel mehrere Meter unter dem Meeresgrund verlegen
- Geheimhaltung neu verlegter Unterseekabel
Das Problem solcher Maßnahmen: In der Praxis hätten sie gravierende Nachteile.
"Natürlich sind Kabel noch schwerer zu erreichen, wenn ich sie in den Meeresboden einlasse", sagt Atug. "Und es geht ja immer darum, eine Kette von Hürden aufzubauen, die so hoch sind, dass ein Angreifer keine Lust mehr hat - oder zu wenig Ressourcen, um den Angriff erfolgreich durchzuführen."
Allerdings bräuchten auch die Kabelbetreiber mehr Ressourcen, um das Kabel für etwaige Reparaturen zurückzuholen, sagt Atug. Schon das Verlegen der Kabel unterhalb des Meeresbodens wäre mit deutlich mehr Aufwand und höheren Kosten verbunden - und etwa bei felsigem Grund schlicht nicht realisierbar.
"In der flachen Ostsee wäre das Verlegen sogar noch möglich", schätzt Peters. "Wenn Sie aber in den Atlantik gehen, in 6.000, 7.000 Meter Tiefe - da müssen wir uns einfach von der Idee verabschieden, diese Infrastruktur über die komplette Länge tatsächlich schützen zu können." Auch auf felsigem Meeresgrund
Auch wenn ein physischer Schutz maritimer Infrastrukturen de facto nicht leistbar ist, können andere Maßnahmen zum Schutz beitragen, sagen die Experten Manuel Atug und Johannes Peters. Einige Beispiele.
Für den IT-Sicherheitsexperten Atug haben die Betreiber in Deutschland auch bei der Cybersicherheit noch erhebliches Verbesserungspotenzial. Es fehle hierzulande teils an "grundsätzlichen" Schutzmaßnahmen, kritisiert Atug. "Fragt man da nach einem Back-up-Management, weiß teilweise niemand, ob man den aktuellen Betrieb bei Verlust eines Systems oder von kritischen Daten wiederherstellen könnte", sagt Atug, der auch fehlende Multi-Faktor-Authentifizierungen in Unternehmen und "gruselig" ungeschützte Fernwartungszugänge kritisiert.
"Das ist vergleichbar mit einer Bank, die alle Goldbarren Deutschlands mit einem Zehn-Euro-Schloss an der Vordertür sichert, das Abschließen manchmal aber auch ganz vergisst", beschreibt Atug das Problem. "Sich dann aufzuregen, dass jemand die Goldreserven gestohlen hat, ist doch grotesk: Da reden wir nicht von Sabotage oder hybriden Bedrohungen, sondern von essenziellen Basis-Sicherheitsmaßnahmen, die essenziell vernachlässigt werden."
"Das ist vergleichbar mit einer Bank, die alle Goldbarren Deutschlands mit einem Zehn-Euro-Schloss an der Vordertür sichert, das Abschließen manchmal aber auch ganz vergisst", beschreibt Atug das Problem. "Sich dann aufzuregen, dass jemand die Goldreserven gestohlen hat, ist doch grotesk: Da reden wir nicht von Sabotage oder hybriden Bedrohungen, sondern von essenziellen Basis-Sicherheitsmaßnahmen, die essenziell vernachlässigt werden."
Ein "gutes, kohärentes Lagebild" - am besten über den gesamten Verlauf der Infrastruktur - sei essenziell für den Schutz kritischer Infrastrukturen, sagt Johannes Peters vom Institut für Sicherheitspolitik an der Universität Kiel. So ein Lagebild erhöhe die Wahrscheinlichkeit, Vorfälle direkt mitzubekommen, in der Folge einen Verantwortlichen benennen sowie Gegenmaßnahmen einleiten zu können. Im Idealfall habe das eine abschreckende Wirkung auf potenzielle Angreifer.
Die Politik definiert zwar bereits, was kritische Infrastrukturen sind und wie diese zu schützen sind. Das KRITIS-Dachgesetz soll diese Vorgaben zukünftig teilweise verbessern. Viele kritische Infrastrukturen - darunter auch Seekabel, Pipelines und die meisten Offshore-Windparks - sind allerdings in Privatbetrieb.
"Unternehmen agieren in erster Linie erlösmaximierend", sagt Manuel Atug, Gründer und Sprecher der unabhängigen Arbeitsgruppe Kritischer Infrastrukturen (AG KRITIS). "Natürlich gibt es auch in Unternehmen ein Interesse, Schäden vorzubeugen und die eigenen Anlagen zu schützen. Aber nur, solange der Schaden teurer ist als die Schutzmaßnahme", gibt Atug zu bedenken.
Auch Johannes Peters nimmt den Staat in die Verantwortung. "Wenn man etwas als kritische Infrastruktur definiert, muss man sich auch überlegen, wie man diese schützen will. Welche Auflagen mache ich? Ab wann gehe ich mit in die Verantwortung, wenn ich etwas zu einer Sache von nationalem Interesse erhebe?" Mit dem KRITIS-Dachgesetz gehe Deutschland hier in die richtige Richtung, sagt Peters.
"Unternehmen agieren in erster Linie erlösmaximierend", sagt Manuel Atug, Gründer und Sprecher der unabhängigen Arbeitsgruppe Kritischer Infrastrukturen (AG KRITIS). "Natürlich gibt es auch in Unternehmen ein Interesse, Schäden vorzubeugen und die eigenen Anlagen zu schützen. Aber nur, solange der Schaden teurer ist als die Schutzmaßnahme", gibt Atug zu bedenken.
Auch Johannes Peters nimmt den Staat in die Verantwortung. "Wenn man etwas als kritische Infrastruktur definiert, muss man sich auch überlegen, wie man diese schützen will. Welche Auflagen mache ich? Ab wann gehe ich mit in die Verantwortung, wenn ich etwas zu einer Sache von nationalem Interesse erhebe?" Mit dem KRITIS-Dachgesetz gehe Deutschland hier in die richtige Richtung, sagt Peters.
Eine Geheimhaltung neuer Kabeltrassen hält Atug sogar für sehr gefährlich. Ungefähr 200 Schäden an Unterseekabeln würden jährlich registriert, sagt er. "Statistisch gesehen ist davon vielleicht einer Sabotage", erklärt Atug. Das Gros der Schäden gehe dagegen auf Unfälle durch Fischerboote zurück.
"Vor dem Schleppnetz haben Trawler ein schweres Metallstück, damit das Fangnetz möglichst tief sinkt und keinen Auftrieb bekommt", erläutert Atug. "Wenn dieses Metallteil über den Meeresboden schrammt und dabei über ein Kabel fährt, wird das Kabel regelrecht zerfetzt", sagt der Experte. Um das zu verhindern, müsse es eher noch mehr Informationen über die verlegten Kabeltrassen geben, sagt Atug - nicht weniger.
Was aber hilft dann, wenn wir unsere Verwundbarkeit verringern wollen?
Wie wir bei kritischen Infrastrukturen resilienter werden
Das Zauberwort, das Manuel Atug und Johannes Peters nennen, heißt "Resilienz". Was verbirgt sich dahinter? Und wie lässt sie sich schaffen?
Unter "Resilienz" verstehen Experten eine Widerstandsfähigkeit gegen den Ausfall einer kritischen Infrastruktur. In einer "resilienten" kritischen Infrastruktur verpufft ein Angriff möglichst wirkungslos, führt maximal zu einer Störung - aber keinesfalls zu einer Krise oder einer Katastrophe.
Eine Möglichkeit, resilienter zu werden, sind Redundanzen, sagen die Experten Atug und Peters. Im Bereich der Datenkabel heißt das: Fällt ein Kabel aus, läuft der Datenverkehr einfach über andere weiter. In Deutschland landen aktuell sieben Unterseekabel an fünf verschiedenen Orten:
- Markgrafenheide, Mecklenburg-Vorpommern: Germany-Denmark 3
- Puttgarden, Schleswig-Holstein: Fehmarn Belt
- Rostock, Mecklenburg-Vorpommern: C-Lion1, Elektra-GlobalConnect 1, GlobalConnect-KPN
- Sylt, Schleswig-Holstein: Atlantic Crossing-1
- Sassnitz, Mecklenburg-Vorpommern: Aurora
- Ab 2027 Wilhelmshaven, Niedersachsen: IOEMA
"In Deutschland und Europa sind wir also relativ stark redundant angebunden", ordnet Peters ein.
Die Nord- und Ostsee sind durchzogen von wichtigen Datenkabeln und Pipelines.
Eine andere Möglichkeit, resilienter zu werden, sei die Erhöhung der Reparaturkapazitäten, sagen Peters und Atug. "Für die Reparatur eines Datenkabels braucht es Spezialschiffe, die beispielsweise beide Kabelenden an die Oberfläche holen, sie dort wieder zusammenflicken und das Kabel dann wieder herablassen", sagt Atug.
"Es gibt nur sehr wenige Schiffe, die so etwas können, und sie gehören Reedereien, also privatwirtschaftlichen Akteuren", erklärt Peters. Bei dem im November in der Ostsee beschädigten Kabel habe man Glück gehabt, dass ein solches Schiff in Calais lag und Kapazitäten hatte. Die Reparatur habe so nur zwei Wochen gedauert, hätte aber auch deutlich mehr Zeit in Anspruch nehmen können, warnt Peters.
Sollte Europa hier Geld in die Hand nehmen und beispielsweise drei Reparaturschiffe bauen, die als strategische Reserve jederzeit in Ostsee, Nordsee, Atlantik und Mittelmeer verfügbar wären, wäre das eine politische Entscheidung zur Erhöhung der Resilienz.
Johannes Peters, Institut für Sicherheitspolitik an der Universität Kiel
Sowohl Atug als auch Peters verweisen zudem auf die Bedeutung der Kommunikation. Hybride Bedrohungen zielten auf eine Destabilisierung der Bevölkerung von innen, sagt Atug. "Um das zu verhindern, brauchen wir eine stabile Informationslage."
Dazu brauche es einerseits konkrete Kommunikationspläne für den Ernstfall, sagt Peters. "Die Bevölkerung muss wissen: Was ist passiert? Wie gehen wir damit um? Was bedeutet das für mich? Und wie lange dauert jetzt die Reparatur? Das ist eine klare Struktur, die Sicherheit bietet."
Gleichzeitig erwartet Atug aber auch, dass sich die Politik mit Spekulationen zurückhalte. "Bei jedem Vorfall finden sich aktuell zu schnell Politiker, die auf eine mögliche Sabotage verweisen", kritisiert Atug. "Da wird zu oft unnötig Panik gemacht - und echte Bedrohungen werden im schlimmsten Fall relativiert", klagt der Experte.
Mehr Hintergründe
mit Video
Russlands Ostsee-Aktivitäten:Deutsche Marine: "Präsenz und Abschreckung"
von Henner Hebestreit
mit Video
Nationale Hafenstrategie:Bund will Häfen fit machen und mehr schützen
31:09 min