© picture alliance/ augenklick/ firo Sportphoto

Die sechste Sitzung der Projektgruppe Zugang, Struktur und Sicherheit im Netz stand ganz im Zeichen kritischer Infrastrukturen. Zentral für die Betrachtung im Rahmen der Internet-Enquete ist der Zusammenhang von kritischen Infrastrukturen und IT-Angriffen. Sonstige Gefährdungspotenziale hat der Deutsche Bundestag schon im Rahmen anderer Gremien betrachtet, jüngst zum Beispiel in einem öffentlichen Fachgespräch des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung zur Gefährdung durch einen großräumigen und langandauernden Stromausfalls.

Kritikalität der Infrastrukturen

Der Textentwurf der Projektgruppe, erstellt durch ein fraktionenübergreifendes Autorenteam aus Abgeordneten und sachverständigen Mitgliedern, enthält zunächst eine Betrachtung der Ausgangslage. Die Autoren haben verschiedene Definitionen kritischer Infrastrukturen zusammengetragen und verwenden den Begriff der Kritikalität als das "relative Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgungssicherheit der Gesellschaft [...] hat". Dabei, so schreiben die Autoren, kann die Kritikalität von systemischer, aber auch von symbolischer Natur sein. So seien etwa nach dem Anschlag von Lockerbie Transatlantikflüge statistisch gesehen nicht gefährlicher geworden, erläuterte dazu ein Projektgruppenmitglied. Die psychologische Wirkung sei allerdings enorm gewesen. In diesem Sinne habe die Rezeption des Anschlags schwerer gewogen als die direkten Folgen.

Infrastruktur: Begehungsmittel und Angriffsobjekt

Die Autoren des Textentwurfs führen in einer Risikoanalyse aus, dass Bedrohungen in zwei Bereichen verortet werden könnten: einerseits durch Infrastruktur als Begehungsmittel, also als Werkzeug zum Ausführen von Angriffen, andererseits durch Infrastruktur als Angriffsobjekt. Bedrohungen gehen demnach durch die kriminelle Nutzung und durch Störung aus. Dabei nehme die Bedrohung auf kritische Infrastrukturen grundsätzlich zu. Am besten gewappnet sähen sich Energieunternehmen, Nachholbedarf gibt es den Autoren zufolge in der Kommunikationsbranche. Vor allem kleinere Unternehmen fühlten sich nicht ausreichend gesichert.

Der "Faktor Mensch"

Im Zusammenhang mit dem Abschnitt "Zerstörung", in dem etwa die Auswirkungen des Stuxnet-Wurms aufgegriffen werden, diskutierten die Projektgruppenmitglieder, ob der "Faktor Mensch" und die Möglichkeit menschlicher Unzulänglichkeit – als Nutzer, Designer oder Programmierer – in einem eigenständigen Absatz im Text behandelt werden solle. Schließlich entschieden sich die Mitglieder dagegen. Dieser Aspekt werde bereits in mehreren anderen Textentwürfen der Projektgruppe genannt. Stattdessen soll es einen Abschnitt zur Komplexität heutiger IT-Systeme geben, die oft nicht mehr in Gänze erfasst werden könnten.

Übersicht über bestehende Regeln

Im dritten Teil des Entwurfs geben die Autoren einen Überblick über vorhandene Regelungen und Maßnahmen auf nationaler, europäischer und internationaler Ebene. Handlungsempfehlungen – also die Empfehlungen, die die Enquete-Kommission an den Gesetzgeber ausspricht, sind noch nicht Teil dieser Bestandsaufnahme. Dazu wird sich die Projektgruppe zu einem späteren Zeitpunkt verständigen.

Gibt es Datendiebstahl?

Kurz, aber kontrovers diskutierte die Projektgruppe schließlich noch über die Formulierung des "Datendiebstahls". Ein Projektgruppenmitglied führte aus, dass Daten nicht gestohlen werden könnten. Mit Diebstahl sei das Entwenden beweglicher Sachen gemeint – anders als eine Festplatte oder ein USB-Stick gehörten Daten nicht dazu. Dem widersprach ein anderes Projektgruppenmitglied. Auch die widerrechtliche Kenntnisnahme von Daten seien als Diebstahl zu bezeichnen. Die Projektgruppe einigte sich schließlich auf die Formulierung "Ausspähen von Daten".