taz.de

# taz.de -- IT-Experte über bedrohte Infrastruktur: „Es wird maximal rumgeeiert“

> Ob Anschläge auf Strommasten oder Drohnenangriffe: IT-Sicherheitsexperte
> Manuel Atug sieht Verbesserungsbedarf bei der kritischen Infrastruktur in
> Deutschland.

(IMG) Bild: Kastrup, Dänemark, 22. September: Polizeieinsatz nach Drohnensichtung

taz: Herr Atug, [1][in Dänemark wurden mehrfach Drohnen über Flughäfen
gesichtet], die dänische Regierung spricht von einem Anschlag. Wie ordnen
Sie das ein?

Manuel Atug: Es sind definitiv große Drohnen gewesen, die mehrere Stunden
in der Nähe der Flughäfen unterwegs waren. Sie hatten sogar Lichter
eingeschaltet – insofern handelte sich eher nicht um einen Zufall, sondern
vermutlich Absicht. Vieles spricht für einen staatlichen Akteur, also
geheimdienstliche Sabotage.

taz: [2][Kürzlich drangen russische Drohnen in den polnischen Luftraum
ein]. Auch in Deutschland gibt es immer wieder Drohnenüberflüge in
unmittelbarer Nähe zu kritischer Infrastruktur – neben regelmäßigen
Cyberangriffen, Attacken auf Unterseekabel in der Ostsee und vielem mehr.
Würde das neue Gesetz zum Schutz kritischer Infrastruktur
(Kritis-Dachgesetz) gegen Drohnenangriffe helfen?

Atug: Es steht nicht wirklich was zu Drohnen in dem Gesetz drin. Es gibt im
ganzen Kritis-Dachgesetz keine klaren Anforderungen an den Schutz vor
unbemannten Luftfahrtsystemen. Der Begriff Drohne taucht nicht mal auf. Es
heißt allgemein: Man soll sich gegen Spionage aufstellen. Es soll an
Einrichtungen der kritischen Infrastruktur Zäune geben und klare
Zutrittsregeln, aber der Luftraum spielt keine Rolle.

taz: Wie kann sich ein Staat gegen Drohnen wehren?

Atug: Man müsste eine Strategie zur Drohnenabwehr erstellen; zum einen zur
strukturierten Erfassung mit transparenten Lageberichten; zum anderen
bräuchte es einen Plan zur Detektion und Abwehr. Einige sagen: Schießt die
einfach alle ab. Das allerdings halte ich nicht für sinnvoll: Wenn man
nicht trifft, können die Projektile in mehreren Kilometern Entfernung
herunterkommen – das kann in Siedlungsgebieten bis zur Todesfolge alles
beinhalten. Es gibt auch andere Methoden wie Jamming – aber zur effektiven
Bekämpfung braucht es zunächst vor allem auch Geld für
Drohnenabwehrforschung statt für Cyberdome und KI.

taz: Auch der Berliner Flughafen ist seit Tagen im Ausnahmezustand, weil es
Cyberangriffe auf den IT-Dienstleister gegeben hat – offenbar ein
Erpressungsversuch. Das kürzlich im Kabinett beschlossene Kritis-Dachgesetz
soll generell kritische Infrastruktur – etwa Energienetze, Internet,
Wasserversorgung – besser vor Sabotage, Terrorangriffen und
Naturereignissen schützen. Welche Schwachstellen sehen Sie, neben der
Leerstelle zu Drohnen?

Atug: Erhebliche Teile der Bundesverwaltung sind vom Gesetz ausgenommen,
ebenso die Landesverwaltung und die Kommunen. Dabei sind Staat und
Verwaltung natürlich ein erheblicher Sektor der kritischen Infrastruktur.
Der Staat selber ist nicht ausreichend gegen Sabotage, Terrorismus und
Naturereignisse geschützt. Wir müssen im Falle solcher Ereignisse
handlungsfähig bleiben – ein Gesetz, das den Staat nicht zur kritischen
Infrastruktur zählt, ist eher eine dekorative Hülle, als ein
ernstzunehmendes Gesetz. Resilienz sieht anders aus.

taz: Klingt so, als seien wir komplett schutzlos?

Atug: Ganz schutzlos sind wir natürlich nicht. Die Landes- und
Bundesverwaltungen machen natürlich schon etwas, aber es bleibt an vielen
Stellen überschaubar und riskant. Private Betreiber kritischer
Infrastruktur wie etwa Telekommunikationsfirmen haben natürlich auch ein
wirtschaftliches Eigeninteresse, funktionsfähig zu bleiben, aber all das
läuft dann unter der Prämisse der Erlösmaximierung, viele Risiken werden
auf Staat und Kunden abgewälzt. Das gilt insbesondere, da private Versorger
nicht der Daseinsvorsorge verpflichtet sind. Der Staat aber schon. Daher
muss das für kritische Infrastrukturen reguliert werden.

taz: In der Wirtschaft, etwa beim Branchenverband Bitkom, fürchtet man vor
allem das derzeit [3][allgegenwärtige Schreckgespenst Bürokratie]. Wie
sehen Sie das?

Atug: Viele unklare Papiervorgaben ohne Umsetzung und Wirkung in der
Resilienz sind in der Tat nur nutzlose Bürokratie.

taz: Was sind Ihre konkreten Kritikpunkte am Gesetz?

Atug: Behörden sollen erst bis 2030 verbindlich Vorgaben für Resilienzpläne
entwickeln – bis dahin soll zunächst geklärt werden, wer überhaupt die
Aufsichten übernimmt. Und dann steht noch alles unter Haushaltsvorbehalt.
Es wird maximal rumgeeiert. Insgesamt fehlen konkrete Handlungsanweisungen
und Mindestverpflichtungen – was eigentlich das Ziel der EU-Richtlinie war,
die dem deutschen Gesetz zugrunde liegt. Wir haben da ein erhebliches
strukturelles Defizit.

taz: Was könnte man konkret noch verbessern?

Atug: Es sind maximal Bußgelder von 500.000 Euro vorgesehen, meistens sogar
nur 200.000 Euro. Als privater Betreiber von kritischer Infrastruktur
müsste ich aber zum Schutz Millionen investieren – viele werden dann lieber
die Strafe zahlen, weil das deutlich billiger ist. Das Gesetz ist ohne
wirksame Bußgelder ein zahnloser Tiger.

taz: Wie sind staatliche Stellen aufgestellt?

Atug: Der zweite Warntag kürzlich lief schon mal deutlich besser als der
erste – das ist gut, dafür übt man ja. Dennoch gibt es zahlreiche Probleme:
Stand heute sind rund die Hälfte aller Notwasserbrunnen in Deutschland
nicht gewartet, ausgetrocknet, kaputt oder verrostet. Das lässt sich aber
kaum thematisieren, weil die Liste der Notbrunnen geheim ist, damit „die
Bösen“ nicht wissen, wo die sind. Es ist allerdings eher eine Simulation
von Geheimhaltung: Denn natürlich kann man über die Kommune gut begründet
erfahren, wo die Standorte sind. Ebenso weiß jede Feuerwehr, wo es im
Notfall Wasser gibt. Die Geheimhaltung verschleiert hier eher, dass die
Hälfte der Brunnen nicht funktioniert. Das geht in Richtung Fahrlässigkeit,
hier würde mehr Transparenz helfen.

taz: Sie beschäftigen sich in der unabhängigen Arbeitsgruppe AG Kritis
bereits einige Zeit mit Sicherheitslücken in der kritischen Infrastruktur.
Die EU-Richtlinie fordert schon lange, dass Mitglieder sich besser schützen
müssen, gegen Deutschland läuft ein Vertragsverletzungsverfahren. Wie kann
es sein, dass die Bundesrepublik erst jetzt ein Kritis-Dachgesetz
verabschiedet? Musste erst Nord Stream 2 gesprengt werden?

Atug: Es ist leider so, dass man viel redet und befürchtet, aber dann wenig
macht. Papier ist geduldig. Die Ampel war zwar willens was zu machen, aber
leider gab es einen Infiltrator, der die Koalition zerschießen wollte – was
ja auch funktioniert hat. Deswegen ist das vorbereitete Gesetz nicht mehr
umgesetzt worden. In der neuen Legislatur musste das Gesetzgebungsverfahren
von vorne aufgerollt werden.

taz: Sie haben schon bei der Ampelvorlage ähnliche Schwachstellen
kritisiert. Hat sich auch etwas verbessert im Vergleich zum Ampelgesetz?

Atug: Leider nein. Es wird zwar viel über Verbesserungen diskutiert und
alle Parteien sagen, wir müssen hier dringend handeln und investieren, aber
am Ende passiert wenig. Im Hintergrund heißt es dann: Es kostet alles zu
viel Geld. Die einen wollen nicht, dass staatliche Einrichtungen unter das
Gesetz fallen und viel investieren müssen, die anderen wollen nicht, dass
die Wirtschaft unter Sicherheitsvorgaben leidet. Und schließlich braucht es
auch innerhalb der Behördenstrukturen Ansprechpartner – auch das kostet
Geld. Und anstatt den Schutz von real bedrohter Infrastruktur in die Hand
zu nehmen, spricht CSU-Innenminister Alexander Dobrindt lieber vom
Cyberdome, also einem kommenden Maut-2.0-Desaster.

taz: Gibt es auch eine Sache, die Sie am Gesetz gut finden?

Atug: Es ist sehr sinnvoll, das Meldewesen zu synchronisieren. Betreiber
müssen Vorfälle nur beim BSI melden, wofür nun eine einheitliche
Meldestelle geschaffen wird. Das reduziert den Aufwand für Unternehmen,
aber man ermöglicht auch ein einheitliches und übergreifendes Lagebild. Wir
fordern wiederum, dass diese Lagebilder auch immer in einer öffentlichen
Version verfügbar sein müssen, damit man Defizite transparent verbessern
kann.

25 Sep 2025

## LINKS

(DIR) [1] /Drohnen-ueber-Daenemark/!6115808
(DIR) [2] /Drohnen-ueber-Polen/!6109336
(DIR) [3] https://www.bitkom.org/Presse/Presseinformation/Bitkom-KRITIS-Dachgesetz

## AUTOREN

(DIR) Gareth Joswig

## TAGS

(DIR) Kritische Infrastruktur
(DIR) IT-Sicherheit
(DIR) Innere Sicherheit
(DIR) Sicherheit
(DIR) Flughafen BER
(DIR) Cybersicherheit
(DIR) Drohnen
(DIR) GNS
(DIR) Infrastruktur
(DIR) Kritische Infrastruktur
(DIR) wochentaz
(DIR) Kritische Infrastruktur
(DIR) Notfallversorgung
(DIR) Longread

## ARTIKEL ZUM THEMA

(DIR) Infrastruktur-Zukunftsgesetz: Neues Tempo für Deutschland

Die Merz-Regierung will Bauvorhaben beschleunigen. Nur klappt das?
Umweltschützer zweifeln daran – und machen einen Vorschlag.

(DIR) Beschluss der Innenminister:innen: In Berlin soll ein Zentrum zur Drohnenabwehr entstehen

Gegen illegale Überflüge setzen die Innenminister:innen auf
Vernetzung. In Berlin soll ein neues Drohnenabwehrzentrum entstehen.

(DIR) Angriffe auf kritische Infrastruktur: Stich um Stich um Stich

Drohnen über Flughäfen, zerstörte Kabel in der Ostsee, Spionage und
Sabotage: Wie schützt man die kritische Infrastruktur?

(DIR) Kritis-Dachgesetz der Bundesregierung: Kabinett beschließt mehr Schutz für Infrastruktur

Risikoanalysen und Vorschriften sollen Versorgung auch bei Krisen und Krieg
sichern. Wie nötig das ist, zeigt der Anschlag auf das Berliner Stromnetz.

(DIR) Blackout ohne Folgen?: Mehr Alarm geht nicht

Spätestens nach dem Blackout im Süden Europas sollte Katastrophenhilfe kein
Orchideenthema mehr sein. Deutschland setzt aber bisher auf Volksfeste.

(DIR) Angriff auf die taz: Gezielt getroffen

Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht
der erste dieser Art. Warum das kein Zufall ist.