Resilienz und KRITIS

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert Kritische Infrastrukturen (KRITIS) relativ offen „als Organisationen und Einrichtungen mit (lebens-)wichtiger Bedeutung für das staatliche Gemeinwesen […], bei deren Ausfall oder Störungen für größere Bevölkerungsgruppen nachhaltig wirkende Versorgungsengpässe oder andere dramatische Folgen eintreten“ [1, S. 17]. Diese umfassen technische Systeme wie Transport- und Verkehrswege, Informations- und Kommunikationsnetze, die Energieversorgung sowie die Wasserver- und -entsorgung, aber auch Institutionen wie die Polizei und Feuerwehr, den Katastrophenschutz oder Krankenhäuser.

In Deutschland wandte man sich diesem Thema Ende der 1990er Jahre zu. Impulse gingen dabei vom Abschlussbericht Critical Foundations. Protecting America’s Infrastructures der US-amerikanischen President’s Commission on „Critical Infrastructure Protection“ aus. 1997 wurde im Bundesministerium des Innern (BMI) die erste ressortübergreifende Arbeitsgruppe AG KRITIS eingerichtet, deren Arbeit 2000 mit einem Abschlussbericht endete. Im Ergebnis wurde 1998 das Bundesamt für Sicherheit in der Informationstechnik (BSI) als erste Institution zum KRITISSchutz auf Bundesebene geschaffen.

Oft wird der Beginn der Beschäftigung mit Kritischer Infrastruktur mit dem Jahr2000-Problem (Y2K) verbunden. Hintergrund war hier, dass in frühen Großrechnerprogrammen für Jahreszahlen lediglich die letzten beiden Ziffern gespeichert wurden, um damals teuren Speicherplatz zu sparen. Nun befürchtete man, dass beim Jahrtausendwechsel die Computer das Datum 2000 als 1900 interpretiert. Einige Stimmen prognostizierten weltweite Computerzusammenbrüche, die auch lebenswichtige Bereiche wie Banken, Industrie oder Kraftwerke betreffen würden. Da Unternehmen und Behörden erhebliche Summen zur Behebung des Problems investierten, blieben die Auswirkungen aber gering.

Die Terroranschläge vom 11. September 2001 waren ein weiterer wichtiger Impuls. Der KRITIS-Schutz wurde in die Anti-Terror-Strategie der Bundesregierung eingebunden, der sich zwischen „physischem Schutz“ und IT-Sicherheit aufspannte. Da letzteres bereits vom BSI abgedeckt war, wurde 2004 als zweites Standbein das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) mit Schwerpunkt auf physischen Schutz gegründet.

Seither erarbeiteten die Institutionen verschiedene Empfehlungen für Unternehmen und Behörden zum Aufbau und zur Weiterentwicklung des Risiko- und Krisenmanagements. KRITIS-Schutz ist eine fortwährende Aufgabe, die im Rahmen einer Gesamtstrategie die Kooperation zwischen staatlichen Stellen, (privaten) Betreibern, Fachverbänden, der Wissenschaft und letztlich auch der Bevölkerung erfordert. Dabei sollten im Rahmen der Prävention Risiken bereits im Vorfeld erkannt und gravierende Störungen bzw. Ausfälle auf ein Mindestmaß reduziert werden. 2011 wurde zwischen den Bundesressorts und den Ländern eine Einteilung in neun KRITIS-Sektoren abgestimmt (s. Abb.). Insgesamt ist die KRITIS-Strategie mehr eine Orientierung für ein strukturiertes Herangehen als eine genaue Handlungsanweisung. Die Bedrohungslage wird dabei fortwährend analysiert und die Maßnahmen ständig angepasst. Alle Maßnahmen – sowohl technische wie organisatorische – kosten viel Geld, aber dieses ist angesichts möglicher Auswirkungen von Unfällen, Anschlägen oder Katastrophen gut angelegt.