Nach den Störungen der Berliner Stromversorgung etablieren sich zwei reflexartige politische Forderungen. Zum einen wird der Ruf nach Videoüberwachung im öffentlichen Raum laut, zum anderen fordert die Sicherheitspolitik die Geheimhaltung von Plänen und Kartenmaterial zu KRITIS-Anlagen. Bei beiden Maßnahmen wird der Schutz kritischer Infrastrukturen behauptet. Beide scheitern jedoch an grundlegenden Realitäten der Infrastruktursicherheit und lenken von den eigentlich notwendigen Maßnahmen zur Erhöhung der Resilienz ab.
Die Täterfrage als Ablenkungsmanöver
Die zentrale Frage lautet nicht, wer die Störung verursacht hat, sondern wie verwundbar unsere Infrastruktur gegen Störungen ist. Bei Schäden an Kabeln und Leitungen kommen im Wesentlichen drei Verursachergruppen infrage: der wohlmeinende Tiefbauer mit seinem Bagger und andere Unfälle, schuldlose Unwetter- und Naturereignisse sowie Saboteure oder Terroristen. Allen drei Gruppen ist eines gemeinsam – Kameras halten sie nicht davon ab, Schaden anzurichten und sie interessieren sich nicht dafür, ob Daten Online verfügbar waren.
Ziel einer wirksamen Sicherheitsstrategie darf daher nicht die Verhinderung einzelner Störung sein, sondern die Verhinderung von Versorgungsausfällen. Störungen werden immer auftreten. Selbst wenn man alle bekannten Saboteure und Terroristen von heute auf morgen inhaftieren könnte, würde sich morgen jemand Neues finden. Naturereignisse lassen sich darüber hinaus nicht inhaftieren. Die Täterdebatte ist daher zweitrangig. Entscheidend ist die Resilienz von KRITIS.
Kann ein Akteur trotz hoher Strafandrohungen lediglich eine kurze, folgenlose Störung verursachen, wird diese Vorgehensweise unattraktiv. Gleichzeitig profitieren davon auch der Schutz vor Naturereignissen und vor fahrlässigen Beschädigungen und Unfällen bei Bauarbeiten.
Geheimhaltung von KRITIS-Daten: Security through Obscurity scheitert in der Praxis
In der aktuellen sicherheitspolitischen Diskussion wird gefordert, Pläne, Karten und öffentlich zugängliche Informationen zu KRITIS-Anlagen zurückzuhalten oder aus Registern zu entfernen (Transparenzpflichten). Diese Forderung ignoriert mehrere grundlegende Realitäten:
- Erstens gilt das Prinzip der Irreversibilität öffentlicher Information. Einmal veröffentlichte Daten lassen sich faktisch nicht wieder geheim machen. Die nachträgliche Klassifizierung bereits verbreiteter Informationen erzeugt keine Sicherheit, sondern lediglich eine Sicherheitsillusion. Eine echte Verdrängung dieser Informationen würde erfordern, sämtliche Kabel neu zu verlegen – ein offensichtlich unrealistisches Szenario.
- Zweitens sind zentrale Infrastrukturelemente auch ohne Pläne erkennbar. Hochspannungsmasten, Mobilfunkmasten, Umspannwerke, Kabelbrücken, Trafostationen usw. lassen sich mit minimalem technischen Verständnis identifizieren. Trassenführungen folgen in der Regel Straßen oder verlaufen sichtbar über Freiflächen. Selbst unterirdische Leitungen sind durch Schächte, Markierungen und Beschilderungen auffindbar. Wer gezielt schaden will, benötigt keine offiziellen Register.
- Drittens benötigen Tiefbauunternehmen einfachen Zugang zu Leitungsplänen, um versehentliche Beschädigungen zu vermeiden. Der überwiegende Teil der Störungen entsteht nicht durch Sabotage, sondern durch Bauarbeiten. Versicherer nennen das Baggerbiss und diese geschehen trotz öffentlicher Register dutzendfach. Eine Geheimhaltung dieser Informationen verschärft daher paradoxerweise das Risiko versehentlicher Beschädigungen und konterkariert damit den angestrebten Schutzzweck.
- Viertens sind präzise Infrastrukturdaten nach Naturereignissen und Großschadenslagen für Einsatzkräfte von erheblicher Bedeutung. Feuerwehr, Technisches Hilfswerk und Rettungsdienste müssen die Lage sein, beschädigte Leitungen herausfinden zu können, um Eigen- und Fremdgefährdung beurteilen zu können. Wenn Einsatzkräfte nicht wissen, wo eine beschädigte Gasleitung oder ein gebrochenes Hochspannungskabel verläuft, gefährden sie ihr eigenes Leben und verzögern die Hilfe für Betroffene.
Videoüberwachung im öffentlichen Raum: Das Geeignetheitsproblem
Parallel zur Forderung nach Geheimhaltung wird die Videoüberwachung mit KI Gesichts- und Verhaltensmustererkennung von KRITIS-Anlagen im öffentlichen Raum gefordert. Während Anlagen auf privatem Grund bereits vollständig überwacht sind, zielt die Forderung nun auf KRITIS-Systeme in öffentlichen Bereichen außerhalb der Liegenschaften der Netzbetreiber. Jeder staatliche Eingriff in Grundrechte muss vier Hürden der Verhältnismäßigkeitsprüfung überwinden:
- Erstens muss ein legitimer Zweck vorliegen, also ein rechtlich zulässiges Ziel verfolgt werden.
- Zweitens muss die Maßnahme geeignet sein, das heißt grundsätzlich in der Lage, das Ziel zu erreichen.
- Drittens muss sie erforderlich sein, es darf also kein milderes Mittel geben, das genauso wirksam wäre.
- Viertens muss die Maßnahme angemessen sein, der Nutzen muss also in einem vernünftigen Verhältnis zum Grundrechtseingriff stehen.
Nur wenn alle vier Kriterien kumulativ erfüllt sind, ist eine Maßnahme verhältnismäßig.
Die Anwendung dieser Prüfung auf Videoüberwachung im öffentlichen Raum zum Schutz kritischer Infrastruktur ergibt folgendes Bild. Der legitime Zweck ist gegeben, denn der Schutz kritischer Infrastruktur stellt ein legitimes staatliches Ziel dar. Die Geeignetheit ist jedoch nicht gegeben. Eine Kamera verhindert keine Sabotagen oder terroristischen Straftaten. Sie ist lediglich geeignet, nach erfolgter Tat Ermittlungsansätze zu liefern. Eine Videoüberwachung kann auch die Alarmierungsgeschwindigkeit erhöhen, eine schnellere Reaktion der Sicherheitsbehörden ist aber auch keine Verhinderung des Vorfalls. Nachteil ist des weiteren, dass durch falsch-positive Alarme die Sicherheitsbehörden unnötig belastet und ggf. überlastet werden.
Die häufig herangezogene abschreckende Wirkung von Videoüberwachung kann lediglich geringfügigen Vandalismus verhindern. Etwa das Werfen von Zigarettenkippen, Graffiti oder ähnliche Bagatelldelikte. Bei erheblichen Straftaten, die Vorsatz und Planung erfordern, wirkt eine Kamera jedoch nicht abschreckend. Sie fördert vielmehr nur den Einsatz von Vermummungen oder die vorherige Beschädigung der Kameras.
Die Erforderlichkeit wäre zu diskutieren, wenn die Geeignetheit gegeben wäre. Als milderes Mittel ließe sich die Schaffung von Redundanz in den Versorgungsnetzen anführen. Diese Maßnahme ist allerdings erheblich kostenintensiver als Videoüberwachung, sodass hier eine echte Abwägungsfrage entstünde. Die Angemessenheit schließlich wäre der eigentlich diskutable Teil, nämlich die Abwägung zwischen Datenschutz und KRITIS-Schutz im engeren Sinne.
Das zentrale Problem der gegenwärtigen Debatte liegt darin, dass ausschließlich über die Angemessenheit diskutiert wird, während die Geeignetheit nicht infrage gestellt wird. Dies stellt keine objektive, sachliche Debatte über den Kameraeinsatz dar. Wer die Geeignetheit überspringt und direkt zur Abwägung übergeht, führt eine Scheindebatte. Wenn eine Maßnahme bereits an der zweiten Hürde der Verhältnismäßigkeitsprüfung scheitert, erübrigt sich die Diskussion über die vierte Hürde vollständig. Die verfassungsrechtliche Prüfung endet mit der fehlenden Geeignetheit.
Resilienz durch n-1-Prinzip: Der konstruktive Weg
Die eigentliche Antwort auf die Verwundbarkeit liegt nicht in Überwachung oder Geheimhaltung, sondern in technischer Resilienz. Redundante Versorgungswege, Ringnetze statt Sternstrukturen, schnelle Ersatzversorgung und schnelle Wiederherstellungsmechanismen sind die adäquaten Antworten auf Störungsszenarien. Das sogenannte n-1-Prinzip besagt, dass die Stromversorgung auch dann funktionsfähig bleiben muss, wenn eine beliebige Komponente ausfällt. Konkret bedeutet dies, dass bei Ausfall einer Leitung, eines Transformators oder eines Knotenpunkts das Netz so beschaffen sein muss, dass die Versorgung über alternative Pfade aufrechterhalten werden kann. Dieses Prinzip muss konsequent auf allen Netzebenen umgesetzt werden, von der Höchstspannungsebene über die Mittelspannung bis zur Niederspannungsversorgung der Endverbraucherinnen.
Diese Maßnahmen wirken unabhängig von der Art des Auslösers. Sie schützen gleichermaßen vor Sabotage, Naturereignissen und Unfällen. Resilienz verhindert Versorgungsausfälle, reduziert Anreize für Angriffe und erhöht zugleich die allgemeine Betriebssicherheit.
Investitionen in Redundanz sind kostenintensiv. Sie sind jedoch die einzigen Maßnahmen, die Versorgungsausfälle tatsächlich verhindern. Wer ernsthaft Infrastruktursicherheit betreiben will, muss bereit sein, in technische Substanz zu investieren statt in symbolische Sicherheitsmaßnahmen.
Bild von MBehringer via Wikimedia Commons, Lizenz: CC BY-SA 3.0
.jpg#file){kind=link}