Kritische Infrastruktur : Abhängigkeiten als Sicherheitsrisiko

Hamburg versteht sich als Tor zur Welt. Dieser Anspruch von Offenheit, Toleranz und Freizügigkeit wurde nach dem Zweiten Weltkrieg in der Verfassung der Hansestadt verankert. Durch den Hafen öffnete sich dieses Tor weit.

Doch so weit, wie es sich die Mütter und Väter der Verfassung einst vorstellten, kann das Tor zur Welt nicht mehr geöffnet bleiben. Im Jahr 2021 hatte die Hamburger Hafen und Logistik AG (HHLA) mit der chinesischen Reederei Cosco vereinbart, etwa ein Drittel eines ihrer drei Containerterminals zu verkaufen. Doch das Geschäft stieß in der Bundesregierung auf Ablehnung. Denn das politisch, wirtschaftlich und militärisch zur Großmacht aufgestiegene China wird in Berlin nicht mehr nur als Markt betrachtet, sondern zunehmend als systemischer Wettbewerber, dem man nicht so ohne Weiteres den Zugang zu einem wichtigen Teil der Kritischen Infrastruktur gewähren sollte. Das Terminal, so die Befürchtung der Kritiker, könnte zum Einfallstor für chinesische Cyberangriffe werden.

Zukunftstechnologien als strategische Waffe

Nach zähem Ringen und einem Machtwort des Kanzlers durfte Cosco unter strengen Auflagen einen Minderheitsanteil erwerben. Doch damit ist die Frage nach dem wirksamen Schutz von Kritischer Infrastruktur hierzulande nicht beantwortet. Wie soll Deutschland fortan mit seinem derzeit wichtigsten Handelspartner umgehen, der sich unlängst im geopolitischen Wettbewerb mit „dem Westen“, allen voran den USA, sieht und nicht zurückschreckt, auch Kritische Infrastruktur, einzelne Unternehmen und zukunftsweisende Technologien als strategische Waffe in einem neuen kalten Krieg einzusetzen?

Und nicht nur von China geht Gefahr aus. Die Sicherheitsbehörden registrieren seit dem russischen Angriffskrieg auf die Ukraine verstärkte Aktivitäten Moskaus gegen Einrichtungen der Daseinsvorsorge. Die Warnungen der Sicherheitsbehörden vor einem hybriden Krieg mit Attacken auf Netze der Telekommunikation und Energieversorgung kommen deshalb nicht von ungefähr und sind entsprechend ernst zu nehmen, um etwa flächendeckende Blackouts zu verhindern.

Während sich die Politik mit der zunehmenden Verflechtung von Wirtschafts-, Geo- und Sicherheitspolitik konfrontiert sieht, müssen die Betreiber von Kritischer Infrastruktur verstärkt reflektieren, wie Abhängigkeiten minimiert und ausreichend Schutz vor ausländischer Einflussnahme sichergestellt werden können. Allerdings liegen wichtige Gesetze zur Stärkung der Cybersicherheit seit dem Ende der Ampelkoalition auf Eis und werden bis zur Bildung einer neuen Bundesregierung wohl so schnell auch nicht verabschiedet.

Besonders die bisher nicht beschlossene Umsetzung der europäischen NIS-2-Richtlinie schmerzt. Diese soll die Cybersicherheit innerhalb der EU stärken, indem Unternehmen verpflichtet werden, ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen. Dabei stehen Cyberangriffe gerade für Unternehmen der Kritischen Infrastruktur, ob Häfen, Krankenhäuser oder Energieversorger, im Zentrum einer zunehmenden Bedrohungslage. Die Folgen solcher Angriffe gehen weit über finanzielle Schäden der betroffenen Unternehmen hinaus. Insbesondere der Abfluss sensibler Daten oder gar der Verlust der Steuerungshoheit über zentrale Einrichtungen der Kritischen Infrastruktur machen diese Attacken zu ernsten Bedrohungen für die öffentliche Sicherheit.

Helfen können dagegen technische Schutzvorkehrungen wie regelmäßige Updates und Überprüfungen von Firewalls und Verschlüsselungstechnologien sowie Redundanzen für Kritische Systeme. Auch organisatorische Maßnahmen, zum Beispiel Sicherheitsrichtlinien, regelmäßige Schulungen, Notfallpläne sowie ein kontinuierlicher Informationsaustausch mit Behörden zur Stärkung der Cyberresilienz sind wichtig.

Der Fall Azure muss Kartellbehörden aufhorchen lassen

Auch kann bereits die Wahl der genutzten IT-Infrastrukturen den entscheidenden Unterschied ausmachen. Betreiber Kritischer Infrastruktur müssen festlegen, welche Informationen sie vor Ort und welche sie in einer Cloud sichern wollen. Bei Cloud-Lösungen sind allerdings Sicherheitsstandards zu beachten. Dass die von Microsoft entwickelte Cloud Azure in den vergangenen Jahren wiederholt von Hackern aus China und Russland infiltriert wurde und dabei womöglich auch sensible Daten abflossen, sollte IT-Verantwortlichen eine Warnung sein. Dass sich ungeachtet dieser Vorfälle viele Unternehmen dennoch für den Marktführer aus Redmond entscheiden, verwundert auf den ersten Blick.

Jedoch nutzt Microsoft seine Marktmacht im Softwaregeschäft, um Bestandskunden durch gezielte Lizenz- und Bündelungstaktiken bei der Cloudmigration dazu zu bewegen, Azure einzusetzen. Und das mit Erfolg: Laut einer Umfrage des Zentrums für Nachhaltige Transformation (zNT) entscheiden sich circa 65 Prozent der Unternehmen, die Teile oder die gesamte Infrastruktur in eine Cloud verlagern, für die Cloud ihres bestehenden Softwareanbieters, welches in den meisten Fällen Microsoft Azure sei. Damit kommt den Kartellbehörden eine besondere Verantwortung zu, diese Lizenzpraktiken hinsichtlich möglicher Wettbewerbsverstöße zu Lasten günstigerer und sichererer Cloudalternativen zu prüfen. IT-Verantwortliche, insbesondere im Bereich der Kritischen Infrastruktur, sollten darüber hinaus die Abhängigkeiten von einzelnen Anbietern kritisch hinterfragen und bei der Auswahl von Cloudlösungen verstärkt die eigenen Sicherheitsinteressen im Blick behalten.

Der Fall Azure zeigt einmal mehr, welche sicherheitsrelevanten Risiken bestehen, wenn zu starke Abhängigkeiten von einzelnen Akteuren und deren Interessen bestehen. Nach dem Scheitern von Gaia-X ist Europa weiterhin stark von amerikanischen Anbietern abhängig und der Schutz und die Verwaltung von Daten damit eine sensible Aufgabe. Die neue Bundesregierung sollte sich daher auf europäischer Ebene für eine stärkere Förderung von Forschung und Entwicklung von Cloud-Technologien und Cybersicherheit einsetzen, um innovative Lösungen zu finden und technologische Souveränität zu behaupten.

Hans-Jörg Heims ist Kommunikationsberater und leitete bis Ende 2024 die Unternehmenskommunikation der Hamburger Hafen und Logistik AG.