Schutz von KRITIS (Wasser- und Energieversorgung)

Beschreibung – Schutz von KRITIS (Wasser- und Energieversorgung)

Beitrag merken und zu meinem Report hinzufügen

Hierunter wird der Schutz von Teilbereichen der sogenannten kritischen Infrastrukturen (KRITIS) verstanden, die der Versorgung der Bevölkerung sowie von privaten und staatlichen Institutionen mit Wasser oder Energie dienen. Die Schutzleistung lässt sich in zwei Bereiche einteilen: Einerseits geht es um physische Absicherung der Anlagen an neuralgischen Punkten und ihres unbeeinträchtigten Betriebs etwa gegen mutwillige Kontaminierung von Trinkwasserspeichern oder gegen Sabotage an Kraftwerken. Andererseits treten seit Jahren und mit wachsender Relevanz digitale Schutzleistungen – Cyberschutz – hinzu, die Manipulationen der Versorgung oder gar Beschädigungen der physischen Infrastruktur über Angriffe auf Software und Regelungssysteme verhindern oder hemmen sollen.

Quellen: 

BMI [Bundesministerium des Innern] (2009), Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), online verfügbar unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.html

BSI [Bundesamt für Sicherheit in der Informationstechnik] (2014), KRITIS-Sektorstudie. Ernährung und Wasser, online verfügbar unter
http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Sektorstudie_Ern%C3%A4hrung_Wasser.pdf?__blob=publicationFile

Von BDSW, vor

Betriebswirtschaftlich – Schutz von KRITIS (Wasser- und Energieversorgung)

Beitrag merken und zu meinem Report hinzufügen

Sicherheitsdienstleistungsunternehmen entscheiden auf der Grundlage verschiedener Faktoren, sich an Ausschreibungen bez. einer bestimmten Schutzleistung zu beteiligen oder die jeweilige Leistung grundsätzlich zukünftig neu bzw. nicht mehr anzubieten. In einem engen Abstimmungsprozess mit Vertretern von Sicherheitsdienstleistungsunternehmen unterschiedlichster Unternehmensgröße wurden die wesentlichen betriebswirtschaftlichen Faktoren für diesen Entscheidungsprozess ermittelt. Sie wurden als Einzel-Prüfkriterien definiert und finden im Folgenden Anwendung bei der Analyse der Schutzleistungen.[1]

Weiterführende Bemerkungen sind dem Beitrag zur betriebswirtschaftlichen Perspektive zu entnehmen.

 

[1] Anm.: Existierende tarifvertragliche Bestimmungen sind zu beachten. Die Tarifbindung kann auf unterschiedlichen Grundlagen beruhen. Mitglieder des BDSW sind satzungsgemäß an die Tarifverträge gebunden. Werden die Tarifverträge vom jeweiligen Arbeitsminister für allgemeinverbindlich erklärt, gelten sie für alle Unternehmen, die vom Geltungsbereich des Tarifvertrages erfasst werden, im für allgemeinverbindlich erklärten Umfang. Da die Lohnkosten mit ca. 90 % Hauptbestandteil der Kosten für Sicherheitsdienstleistungen sind, ist eine hohe Tarifbindung wichtig für einen fairen Wettbewerb. Die Allgemeinverbindlicherklärung hat daher eine sehr große Bedeutung.

Für Tätigkeiten von Sicherheitsmitarbeitern, die zum Schutz kritischer Infrastrukturen oder speziell von kritischen Infrastrukturen im Bereich der Wasser- und Energieversorgung eingesetzt werden, existieren derzeit in Deutschland keine besonderen tarifvertraglichen Regelungen. Allerdings existieren besondere tarifvertragliche Regelungen für Tätigkeiten von Sicherheitsmitarbeitern im Zusammenhang mit dem Schutz von Kernkraftwerken. Diese sind, sofern noch in Betrieb, Teil der kritischen Infrastrukturen im Bereich der Energieversorgung.

Im vorliegenden Fall sind daher auch die tarifvertraglichen Regelungen aus den Bundesländern zum Vergleich heranzuziehen, in denen derzeit (Stand: November 2022) noch Kernkraftwerke zur Stromversorgung in Betrieb sind, um sich der Frage nach den Kosten für Lohn und Gehalt anzunähern. Gemäß den tarifvertraglichen Regelungen der einzelnen Bundesländer (Stand: November 2022) sind hier Stundengrundlöhne/-entgelte zwischen 16,04 Euro-27,22 Euro vereinbart.  Darüber hinaus sind hier die Lohn-/Entgeltgruppen zum Vergleich heranzuziehen, in denen Tätigkeiten von Sicherheitsmitarbeitern im Objektschutzdienst abgebildet sind. Derzeit (Stand: November 2022) liegen die Stundengrundlöhne/-entgelte zwischen 12,00 Euro-13,00 Euro (vgl. BDSW Ländertarifverträge, 2022).[1]

Die Zahlung von Zuschlägen (Nachtzuschlag, Sonntagszuschlag, Feiertagszuschlag) ist bei dieser Schutzleistung ebenfalls zu berücksichtigen. Diese variieren je nach Bundesland (vgl. BDSW Entgeltübersicht, 2022).[2]

Es können weitere Kosten für Zulagen anfallen, wenn Schusswaffenträger und/oder Diensthunde zum Einsatz kommen, sofern entsprechende tarifvertragliche Regelungen im jeweiligen Bundesland bestehen.[3]

Hundeführer müssen ihre Befähigung einmal jährlich nachweisen (vgl. § 15 DGUVV 23; vgl. Zu § 15 DGUVV 24), Waffenträger sollten ebenfalls „regelmäßig“ bzw. „viermal jährlich“ an Schießübungen teilnehmen (§ 18 DGUVV 23; Zu § 18 DGUVV 24). Auch diesbezüglich können weitere Kosten anfallen. Zum Vergleich sollen Mitarbeiter im Objektsicherungsdienst von Kernkraftwerken vierteljährlich „mindestens eine Fortbildungsveranstaltung einschließlich Schießausbildung und Rechtskundeunterricht“ erhalten (siehe auch: auftragsabhängiger Qualifizierungsaufwand) (Anforderungen Objektsicherungsdienst, 2008). Auch hier sind entsprechende Kosten einzukalkulieren.

Die Anzahl der einzusetzenden Mitarbeiter richtet sich nach den Anforderungen des jeweiligen Auftrags. Sie kann u. a. von der Größe des zu schützenden Objekts bzw. der zu schützenden Fläche abhängen. Zum Vergleich richtet sich die Anzahl der einzusetzenden Mitarbeiter im Objektsicherungsdienst von Kernkraftwerken u. a. nach der „Beschaffenheit des Betriebsgeländes“, der „Stärke der Belegschaft“, nach „örtliche[n] Gegebenheiten, insbesondere Zahl und Größe der Sicherungsbereiche“ (Anforderungen Objektsicherungsdienst, 2008).

 

 

[1] Anm.: Weitere Regelungen hinsichtlich der Entlohnung sind unternehmens- und/oder auftragsabhängig. Sollten Auftraggeber (außer Betreiber von Kernkraftwerken) z. B. den Einsatz von Fachkräften für Schutz und Sicherheit fordern, sind die entsprechenden Lohn-/Entgeltgruppen zu beachten. 

[2] Anm.: Teilweise existieren in einzelnen Bundesländern besondere Bedingungen bzw. Einschränkungen bez. der Zahlung von Zuschlägen (z. B. bestimmte Zeitkorridore für den Nachtzuschlag/Sonntagszuschlag). 

[3] Anm.: Weitere Zulagen (z. B. für Schichtführer) sind den einzelnen Tarifverträgen zu entnehmen.

Quellen:
Anforderungen an den Objektsicherungsdienst und an Objektsicherungsbeauftragte in kerntechnischen Anlagen und Einrichtungen Bek. d. BMU v. 4.7.2008 – RS I 6 – 13 151-6/17 und RS I 6 – 13 151-6/17.1. (2008).

Bundesverband der Sicherheitswirtschaft e.V. (2022). Entgeltübersicht für Sicherheitsmitarbeiter in ausgewählten Entgeltgruppen ohne Zulagen in € (Stand: 1. Oktober 2022). Abgerufen am 2. November 2022 von https://www.bdsw.de/images/tarifuebersichten/2022/Uebersicht_Entgelt_2022_1001b.pdf.

Bundesverband der Sicherheitswirtschaft e.V. (2022). Ländertarifverträge. Abgerufen am 3. November 2022 von https://www.bdsw.de/tarife/laendertarifvertraege.

DGUV Vorschrift 23. Unfallverhütungsvorschrift Wach- und Sicherungsdienste vom 1. Oktober 1990, in der Fassung vom 1. Januar 1997.

DGUV Vorschrift 24. Unfallverhütungsvorschrift Wach- und Sicherungsdienste mit Durchführungsanweisungen vom Januar 2005.

Bei der hier beschriebenen Schutzleistung wird davon ausgegangen, dass folgende Ausstattungsgegenstände bzw. FEM, die zur Erfüllung der Tätigkeit infrage kommen, vom Sicherheitsdienstleister zur Erfüllung des Auftrags gestellt werden bzw. gestellt werden können:  persönliche Schutzausrüstung, Hilfsmittel (z. B. Taschenlampen), Funk- und Kommunikationstechnik, digitale Reportingsysteme, ggf. Gefahrenmeldeanlagen (z. B. Videoüberwachungssysteme, Einbruchmeldetechnik), ggf. Drohnen (zur Bestreifung des Geländes und zur Aufklärung), ggf. Diensthunde, ggf. Dienstwaffen (vgl. §§ 10, 12, 19 DGUVV 23; vgl. Zu §§ 10, 12, 19 DGUVV 24; siehe Klauer, 2012; siehe Scholze & Siemon, 2018, S. 65 f.). 

Ggf. sind vor Ort bereits vom Auftraggeber gestellte bzw. durch einen Anbieter von Sicherheitstechnik errichtete Ausstattungsgegenstände bzw. FEM vorhanden (z. B. Videoüberwachungssysteme, Einbruchmeldetechnik, Brandmeldeanlagen, Funk- und Kommunikationstechnik), in deren Bedienung der Mitarbeiter aber noch eingewiesen werden muss. 

Regelungen bezüglich der Ausstattung der Mitarbeiter mit Dienstkleidung und Dienstausweis sind den entsprechenden tarifvertraglichen Regelungen sowie der Bewachungsverordnung zu entnehmen (vgl. §§ 18, 19 BewachV; vgl. BDSW Bundesweite Tarifverträge 2022; vgl. BDSW Ländertarifverträge 2022).

Für Tätigkeiten im Objektsicherungsdienst von Kernkraftwerken sind Details zur Ausrüstung vorgeschrieben (Dienstkleidung, Dienstwaffen, Sprechfunkgeräte, Signalgeber, Reizstoffsprühgeräte u. a.) (vgl. Anforderungen Objektsicherungsdienst, 2008).

 

Quellen: 

Anforderungen an den Objektsicherungsdienst und an Objektsicherungsbeauftragte in kerntechnischen Anlagen und Einrichtungen Bek. d. BMU v. 4.7.2008 – RS I 6 – 13 151-6/17 und RS I 6 – 13 151-6/17.1. (2008).

Bewachungsverordnung vom 3. Mai 2019 (BGBl. I S. 692), die durch Artikel 2 der Verordnung vom 24. Juni 2019 (BGBl. I S. 882) geändert worden ist.

Bundesverband der Sicherheitswirtschaft e.V. (2022). Bundesweite Tarifverträge. Abgerufen am 3. November 2022 von https://www.bdsw.de/tarife/bundesweite-tarifvertraege

Bundesverband der Sicherheitswirtschaft e.V. (2022). Ländertarifverträge. Abgerufen am 3. November 2022 von https://www.bdsw.de/tarife/laendertarifvertraege

DGUV Vorschrift 23. Unfallverhütungsvorschrift Wach- und Sicherungsdienste vom 1. Oktober 1990, in der Fassung vom 1. Januar 1997.

DGUV Vorschrift 24. Unfallverhütungsvorschrift Wach- und Sicherungsdienste mit Durchführungsanweisungen vom Januar 2005.

Klauer, C. (2012). Ausstattung, Führungs- und Einsatzmittel. In R. Stober, H. Olschok, S. Gundel, & M. Buhl (Hrsg.), Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit (S. 566-573). Stuttgart: Richard Boorberg Verlag.

Scholze, B., & Siemon, H. (2008). Ausschreibung von Sicherheitsdienstleistungen. Praxisleitfaden für Ausschreibungen und Teilnahme an Ausschreibungen durch Sicherheitsdienste. Stuttgart: Richard Boorberg Verlag.

Laut DIHK-Fachkräftereport 2020 zählt die Sicherheitswirtschaft zu den Branchen, die große Probleme bei der Stellenbesetzung haben (79 % aller Unternehmen) (vgl. DIHK, 2020, S. 6; vgl. BDSW Arbeitskräftemangel, 2018).

Für die Durchführung von Tätigkeiten aus dem Bereich des Objektschutzdienstes bzw. speziell für Tätigkeiten im Bereich der kritischen Infrastrukturen (Wasser- und Energieversorgung (außer Kernkraftwerke)) sind derzeit die gewerberechtlichen Zugangsvoraussetzungen Unterrichtung oder Sachkunde gemäß § 34a GewO erforderlich. Die Unterrichtung hat einen Umfang von 40 Stunden, für die Vorbereitung auf die Sachkundeprüfung sollten mehrere Wochen einkalkuliert werden (vgl. BDSW Ausbildung, 2018). Eine kurzfristige Personalakquise ist nur möglich, wenn die entsprechenden Prüfungstermine der Industrie- und Handelskammern zeitnah liegen.

Handelt es sich jedoch um Tätigkeiten, die dem Schutz von Kernkraftwerken zuzuordnen sind, liegen besondere Anforderungen an die eingesetzten Sicherheitsmitarbeiter vor (siehe auch: auftragsabhängiger Qualifizierungsaufwand).

Sollte der Einsatz von Diensthunden angefordert werden, dürfen in diesem Zusammenhang nur Sicherheitsmitarbeiter eingesetzt werden, die die entsprechende Befähigung zum Hundeführer nachweisen können (siehe auch: auftragsabhängiger Qualifizierungsaufwand) (vgl. § 15 DGUVV 23; vgl. Zu § 15 DGUVV 24). Hier sind ggf. eine weitere Personalakquise und weitere (Weiter-)/Qualifikationen erforderlich.

Sollte der Einsatz von Waffenträgern angefordert werden, dürfen in diesem Zusammenhang nur Sicherheitsmitarbeiter eingesetzt werden, die die entsprechende Waffensachkunde nachweisen können (siehe auch: auftragsabhängiger Qualifizierungsaufwand) (vgl. § 18 DGUVV 23; vgl. Zu § 18 DGUVV 24; vgl. § 4 Abs. 3 WaffG). Hier sind ggf. eine weitere Personalakquise und weitere (Weiter-)/Qualifikationen erforderlich.

Die Bearbeitungsdauer der Anmeldungen im Bewacherregister/Zuverlässigkeitsüberprüfungen nach § 34a Abs. 1a S. 3 GewO (mindestens: unbeschränkte Auskunft nach § 41 Absatz 1 Nummer 9 des Bundeszentralregistergesetzes, Stellungnahme Landespolizei/zentrale Polizeidienststelle/LKA) ist nicht einheitlich und teilweise langwierig. Dies gilt auch für die Anmeldung/Zuverlässigkeitsüberprüfung von Waffenträgern (vgl. § 5 WaffG) und Mitarbeitern, die zum Schutz von Kernkraftwerken eingesetzt werden sollen. Auch die Kosten für die Anmeldung eines neuen Sicherheitsmitarbeiters können aufgrund fehlender bundeseinheitlicher Gebührensätze nicht bewertet werden.

Es wird angenommen, dass bei Aufträgen zum Schutz kritischer Infrastrukturen (Wasser-/Energieversorgung) ein höherer zeitlicher Aufwand bez. der Abstimmung zwischen Auftraggeber und Auftragnehmer erforderlich ist.

 

Quellen: 

Atomrechtliche Zuverlässigkeitsüberprüfungs-Verordnung vom 1. Juli 1999 (BGBl. I S. 1525), die zuletzt durch Artikel 15 der Verordnung vom 29. November 2018 (BGBl. I S. 2034) geändert worden ist. (2018).

Bundesverband der Sicherheitswirtschaft e.V. (2018). Partner für Aus- und Weiterbildung. Abgerufen am 14. August 2018 von https://www.bdsw.de/images/broschueren/BDSW_Ausbildungsbroschuere_2018.pdf

Bundesverband der Sicherheitswirtschaft e.V. (26. März 2018). Sicherheitsbranche: Trotz Umsatzrückgang – Arbeitskräftemangel wird immer größer. Abgerufen am 14. August 2018 von https://www.bdsw.de/presse/bdsw-pressemitteilungen/sicherheitsbranche-trotz-umsatzrueckgang-arbeitskraeftemangel-wird-immer-groesser

Deutscher Industrie- und Handelskammertag. (Februar 2020). Fachkräftesuche bleibt Herausforderung. DIHK-Report Fachkräfte 2020. Berlin: o. V.

DGUV Vorschrift 23. Unfallverhütungsvorschrift Wach- und Sicherungsdienste vom 1. Oktober 1990, in der Fassung vom 1. Januar 1997.

DGUV Vorschrift 24. Unfallverhütungsvorschrift Wach- und Sicherungsdienste mit Durchführungsanweisungen vom Januar 2005.

Gewerbeordnung in der Fassung der Bekanntmachung vom 22. Februar 1999 (BGBl. I S. 202), die zuletzt durch Artikel 6 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1174) geändert worden ist.

Waffengesetz vom 11. Oktober 2002 (BGBl. I S. 3970, 4592; 2003 I S. 1957), das zuletzt durch Artikel 228 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist.

Für Mitarbeiter, die im Bereich des Objektschutzdienstes eingesetzt werden sollen, bestehen derzeit keine rechtlichen Anforderungen an spezifische Aus- oder Fortbildungen.[1]

Sofern es sich um Tätigkeiten handelt, die dem Objektschutzdienst, außer in Bezug auf Kernkraftwerke (s. zum Vergleich unten), zuzuordnen sind, ist zunächst anzunehmen, dass die gewerberechtlichen Zugangsvoraussetzungen Unterrichtung oder Sachkunde gemäß § 34a GewO erforderlich sind.

Auftragsabhängig sind (Weiter-)Qualifizierungen für Hundeführer (vgl. § 15 DGUVV 23; vgl. Zu § 15 DGUVV 24) sowie (Weiter-)Qualifizierungen für Waffenträger (Waffensachkunde) (vgl. § 18 DGUVV 23; vgl. Zu § 18 DGUVV 24) denkbar (siehe auch: auftragsabhängiger Verwaltungsaufwand). Die Nachweise zur „Befähigung zum Hundeführer“ sind „mindestens jährlich erneut nachzuweisen“. Waffenträger sollten ebenfalls „regelmäßig“ bzw. „viermal jährlich“ an Schießübungen teilnehmen. Dementsprechende Kosten sind einzukalkulieren (siehe auch: Kosten für Lohn und Gehalt). 

Handelt es sich um Tätigkeiten, die dem Schutz von Kernkraftwerken zuzuordnen sind, müssen „Angehörige des Objektsicherungsdienstes […] innerhalb von 3 Jahren nach Einstellung den erfolgreichen Abschluss

  • einer Fachprüfung nach der Verordnung über die Prüfung zum Abschluss „Geprüfte Werkschutzfachkraft“ vom 20. August 1982 (BGBl. I S. 1232),
  • einer Berufsausbildung zur Fachkraft für Schutz und Sicherheit gem. der Verordnung vom 23. Juli 2002 über diese Berufsausbildung (BGBl. I S. 2757),
  • einer Fortbildungsprüfung „Geprüfte Schutz- und Sicherheitskraft“, die nach Maßgabe des Rahmenplanes mit Lernzielen des Deutschen Industrie- und Handelskammertages vom August 2005 von einer Industrie- und Handelskammer durchgeführt wurde oder
  • eine diesen Prüfungen mindestens gleichwertige anerkannte Qualifikation mit öffentlich-rechtlichem Abschluss auf dem Gebiet „Schutz und Sicherheit“

nachweisen.

Führungspersonal des Objektsicherungsdienstes muss außerdem berufserfahren und zur Personalführung befähigt sein.“

Außerdem sollen Mitarbeiter im Objektsicherungsdienst von Kernkraftwerken vierteljährlich „mindestens eine Fortbildungsveranstaltung einschließlich Schießausbildung und Rechtskundeunterricht“ erhalten (Anforderungen Objektsicherungsdienst, 2008). Dementsprechende Kosten sind einzukalkulieren (siehe auch: Kosten für Lohn und/oder Gehalt).

 

[1] Anm.: Maßnahmen zur spezifischen Vorbereitung des Mitarbeiters (z. B. Schulungen, Weiterbildungen) sind unternehmensabhängig. Besondere Handlungsanweisungen ergeben sich außerdem aus der jeweiligen Dienstanweisung (vgl. § 17 BewachV; vgl. § 4 DGUVV 23; vgl. Zu § 4 DGUVV 24).

Quellen:

Anforderungen an den Objektsicherungsdienst und an Objektsicherungsbeauftragte in kerntechnischen Anlagen und Einrichtungen Bek. d. BMU v. 4.7.2008 – RS I 6 – 13 151-6/17 und RS I 6 – 13 151-6/17.1. (2008).

Bewachungsverordnung vom 3. Mai 2019 (BGBl. I S. 692), die durch Artikel 2 der Verordnung vom 24. Juni 2019 (BGBl. S. 882) geändert worden ist.

Bundesverband der Sicherheitswirtschaft e.V. (2018). Partner für Aus- und Weiterbildung. Abgerufen am 14. August 2018 von https://www.bdsw.de/images/broschueren/BDSW_Ausbildungsbroschuere_2018.pdf

DGUV Vorschrift 23. Unfallverhütungsvorschrift Wach- und Sicherungsdienste vom 1. Oktober 1990, in der Fassung vom 1. Januar 1997.

DGUV Vorschrift 24. Unfallverhütungsvorschrift Wach- und Sicherungsdienste mit Durchführungsanweisungen vom Januar 2005.

Gewerbeordnung in der Fassung der Bekanntmachung vom 22. Februar 1999 (BGBl. I S. 202), die zuletzt durch Artikel 6 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1174) geändert worden ist.

Sonstige Kosten: Kosten für die Betriebshaftpflichtversicherung: Die Unternehmen sollten sicherstellen, dass sie über einen hinreichenden Versicherungsschutz verfügen, der alle Risiken absichert, die sich aus den jeweiligen Aktivitäten bzw. Aufträgen ergeben können, z. B. wenn Diensthunde und/oder Waffenträger zum Einsatz kommen (vgl. Scholze & Siemon, 2008, S. 58 ff.). Die in § 14 BewachV festgelegten Mindesthöhen der Versicherungssummen reichen hier in der Regel nicht aus. Der BDSW empfiehlt seinen „Mindeststandard Betriebshaftpflicht“.

 

Quellen:

Bewachungsverordnung vom 3. Mai 2019 (BGBl. I S. 692), die durch Artikel 2 der Verordnung vom 24. Juni 2019 (BGBl. I S. 882) geändert worden ist.

Scholze, B., & Siemon, H. (2008). Ausschreibung von Sicherheitsdienstleistungen. Praxisleitfaden für Ausschreibungen und Teilnahme an Ausschreibungen durch Sicherheitsdienste. Stuttgart: Richard Boorberg Verlag.

Die Schutzleistung „Schutz von KRITIS (Wasser- und Energieversorgung)“, inkl. des Schutzes von Kernkraftwerken wird derzeit von einigen privaten Sicherheitsdienstleistungsunternehmen erbracht. Es bestehen derzeit keine besonderen Eintrittshürden für diesen Dienstleistungsbereich, wenn man die Anforderungen aus dem Bereich des Objektschutzdienstes zugrunde legt (§ 34a GewO). Demgegenüber stehen die Anforderungen, die sich im Zusammenhang mit dem Objektsicherungsdienst von Kernkraftwerken ergeben (vgl. Anforderungen Objektsicherungsdienst, 2008). In diesem Bereich haben private Sicherheitsdienstleister vergleichsweise hohe Anforderungen hinsichtlich der eingesetzten Mitarbeiter zu erfüllen, die sich insbesondere aus den entsprechenden spezialgesetzlichen Grundlagen ergeben, die in diesem Bereich existieren (siehe auch: auftragsabhängiger Verwaltungsaufwand). Unabhängig von den verschiedenen kritischen Infrastrukturen muss sichergestellt sein, dass die erforderliche Mitarbeiterzahl zum Schutz dieser Infrastruktur gestellt werden kann. Diese kann, je nach Größe des zu schützenden Objekts, stark variieren. 

 

Quellen: 

Anforderungen an den Objektsicherungsdienst und an Objektsicherungsbeauftragte in kerntechnischen Anlagen und Einrichtungen Bek. d. BMU v. 4.7.2008 – RS I 6 – 13 151-6/17 und RS I 6 – 13 151-6/17.1. (2008).

Gewerbeordnung in der Fassung der Bekanntmachung vom 22. Februar 1999 (BGBl. I S. 202), die zuletzt durch Artikel 6 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1174) geändert worden ist.

Von BDSW, vor

Technisch – Schutz von KRITIS (Wasser- und Energieversorgung)

Beitrag merken und zu meinem Report hinzufügen

Dieser Abschnitt stellt Technologien vor, die derzeit oder in absehbarer Zukunft beim Schutz von Wasser- und Energieversorger Verwendung finden können sowie mögliche Herausforderungen, die daraus für das eingesetzte Sicherheitspersonal resultieren. Das Ziel ist es, mögliche und wahrscheinliche Auswirkungen auf das Angebot von Schutz abzuleiten und zu skizzieren, wie sich Dienstleistungsangebote auf dieser Basis verändern könnten. Abschließend werden einzelne technische Entwicklungen dargestellt und bewertet, die eine wesentliche Neuorientierung im untersuchten Bereich nötig machen könnten.

Der Betrieb kritischer Infrastrukturen generell umfasst eine Vielzahl von Aufgaben und vielfältige Abhängigkeiten, sodass sowohl Schutzgüter, Gefahren als auch nötige Schutzleistungen schwer einzugrenzen sind – auch noch beim speziellen Fokus auf Wasser- und Energieversorger. Im Folgenden werden jedoch zwei Aufgabenbereiche unterschieden: Zum einen sind dies „analoge“ Schutzleistungen, die auf den physischen Schutz der Anlagen abzielen. Die Tätigkeiten fallen entsprechend in den Bereich der Werk- und Wachschutztätigkeiten. Wo im Einzelnen hier die Grenze zwischen privaten und öffentlichen Schutzleistungen bzw. Schutzleistern (insbesondere Polizei) gezogen werden muss und wie sie rechtlich bedingt ist, kann diese Darstellung nicht weiterverfolgen. Ebenso stammen viele der relevanten Technologien aus der Forschung für und mit BOS, sodass eine abschließende Bewertung für den privaten Sektor zu diesem Zeitpunkt nicht möglich ist und nur eine grundsätzliche Orientierung für die kommenden Jahre gegeben wird. Zum andern umfasst die Schutzleistung digitale Schutzleistungen im Bereich der Cyberabwehr i.w.S. (so auch im Sinne des „Innentäterschutzes“), die einen Eingriff bzw. eine Störung der relevanten IT-Systeme verhindern.

Es muss grundsätzlich unterschieden werden zwischen: (1) ITK-Infrastrukturen zum Schutz der Einrichtung bzw. zur Unterstützung der Schutzleistung und (2) dem Schutz der ITK-Infrastruktur der Einrichtung selbst.

(1) Um zum Schutz der Einrichtung ein Bild der Gesamtlage zu erstellen, müssen viele Einzelinformationen einerseits analysiert und andererseits zusammengeführt werden. Softwareseitig stehen hierfür Analysealgorithmen, Methoden der Datenfusion und Aggregation[1] sowie der Visualisierung des Lagebildes im Vordergrund. Die zusätzliche Nutzung Geografischer Informationssysteme (GIS) stellt schon heute eine wichtige Grundlage für die Notfallplanung dar. Durch die schnelle Integration verschiedener Arten von räumlichen Informationen können in Zukunft in Verbindung mit der Verarbeitung großer Datenmengen (Big Data) noch schnellere und verlässlichere Entscheidungen unterstützt werden.[2] Bei der Übernahme von Schutzleistungen durch Private ist zudem eine stetige Rückkopplung und Abstimmung mit den Auftraggebern des Unternehmens und den öffentlichen Sicherheitsbehörden (insb. Polizei) unerlässlich. Portal oder App-Lösungen bieten hier unkomplizierte Kommunikationswege. Dabei müssen die sichere und störungsfreie Informationsübertragung sowie Privacy und Datenschutz gewährleistet sein. Hier sind – speziell auch für private Anwender  Lösungen aus dem Trust eService zu erwarten, die die Bereitstellung von elektronischen Signaturen, eSiegeln, Zeitstempeln oder zertifizierter elektronischer Lieferung nutzen.[3] Darüber hinaus kann die Kommunikation mit weiteren Stakeholdern und insbesondere den direkt betroffenen Menschen im Falle von KRITIS-Ausfällen zur Selbsthilfekapazität der Bevölkerung beitragen. Hierbei können digitale Helfer-, Alarmierungs- und Informationssysteme (als Apps oder App-Module) schnelle, ortsbezogene und individualisierte Leistungen erbringen, die selbst bei Stromausfall noch eine Restlaufzeit des Akku gewährleisten und durch Mehrkanal-Technologien unterschiedliche sozioökonomische Gruppen der Bevölkerung ansprechen.[4] Mit Notstrom betriebene, öffentlich zugängliche und mobile Informationsangebote (KAT-Leuchtürme) können zudem Anlaufstellen schaffen, um im Krisenfall Informationen an Stakeholder zu gewährleisten.[5]

(2) Cyberangriffe stellen heute und bis auf Weiteres eine der größten Herausforderungen für den Betrieb von kritischen Infrastrukturen dar. Zur Bekämpfung ist spezifisches Know-how gefordert, das sich nicht in der Implementierung spezifischer Zukunftstechnologien erschöpft. Vielversprechende Ansätze finden sich im Bereich der Big Data Analysis, um große Mengen heterogener Daten in nahezu Echtzeit zu kombinieren und zu analysieren und auf diesem Wege kriminelle Ereignisse zu erkennen bzw. zu antizipieren.[6] Auch im Kontext des Schutzes vor Innentätern könnten zukünftig Systeme, die auf der Analyse und Verarbeitung großer Datenmengen basieren zum Einsatz kommen, um Verhaltensanomalien automatisiert zu erkennen. Solche Systeme sollten in nahezu Echtzeit und in ähnlichen Abständen wie eine Überwachungskamera arbeiten. Inwieweit sie über grobe Verhaltensmuster auch detaillierte Handlungsabläufe erkennen, bleibt ebenso abzuwarten, wie auch die genauen Rahmenbedingungen durch Grundrechte (z. B. Recht auf Privatsphäre und das Recht auf Schutz personenbezogener Daten.)[7] Weitergehende Ansätze zielen darauf ab, ganze Service- und Produktportfolios von Sicherheitslösungen systematisch nutzbar zu machen im Sinne von Marktplatzlösungen oder „intelligenten Ökosystemen“. Diese Lösungen wenden sich insbesondere auch an kleinere und mittlere Unternehmen.[8]

 

Quellen:

[1] Laudy, Claire, Henrik Petersson, and Kurt Sandkuhl. „Architecture of knowledge fusion within an Integrated Mobile Security Kit.“ 2010 13th International Conference on Information Fusion. IEEE, 2010.

[2] Vgl. Projekt KRIM (https://kirmin.web.th-koeln.de/wp-content/uploads/2019/05/KIRMin-Wege-zu-einem-Mindestversorgungskonzept.pdf; aufgerufen am 15. August 2019)

[3] Vgl. Z. B. HORIZON 2020 Projekt „Future Trust Services for Trustworthy Global Transactions“; (https://cordis.europa.eu/project/rcn/202698/factsheet/de; aufgerufen am 15.August 2019)

[4] Vgl. Projekt KATRETTER (https://www.fokus.fraunhofer.de/a9568ee409eb6a9d; aufgerufen am 09. Mai 2019) und OPTI -ALERT (https://www.fokus.fraunhofer.de/c5374376d0e80c84; aufgerufen am 09. Mai 2019).

[5] Vgl. Projekt KAT-Leuchtürme (https://www.sifo.de/de/kat-leuchttuerme-katastrophenschutz-leuchttuerme-als-anlaufstelle-fuer-die-bevoelkerung-in-1965.html; aufgerufen am 15. August 2019)

[6] Vgl. aktuelle oder vergangene Forschungsvorhaben im Rahmenprogramm Horizon 2020 “Information and data stream management to fight against (cyber)crime and terrorism” (https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/su-fct03-2018-2019-2020, aufgerufen am 15. August 2019) sowie “Tools and infrastructure for the extraction, fusion, exchange and analysis of big data including cyber-offenses generated data for forensic investigation” (https://cordis.europa.eu/programme/rcn/665096/en; aufgerufen am 15. August 2019)

[7] Vgl. aktuelle oder vergangene Forschungsvorhaben im Rahmenprogramm Horizon 2020: „Competitive Methods to protect local Public Administration from Cyber security Threats“ (https://cordis.europa.eu/project/rcn/210223/factsheet/en; aufgerufen 15. August 2019) sowie “Cybersecurity preparedness – cyber range, simulation and economics” (https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/su-ds01-2018; aufgerufen am 15. August 2019) sowie „aDvanced sOcial enGineering And vulNerability Assesment Framework” (https://cordis.europa.eu/project/rcn/194877/factsheet/en, aufgerufen am 15. August 2019)

[8] Vgl. Horizon 2020-Projekt “FORTIKA – Cybersecurity preparedness – cyber range, simulation and economics” (https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/su-ds01-2018 ; aufgerufen am 15. August 2019)

Überwachungstechnologie kann verschiedene Funktionen im Kontext Schutz von Wasser- und Energieversorgern haben, z. B. als Überwachung der Funktionsfähigkeit der Einrichtung (siehe hierzu Kommunikations- und IT-Infrastruktur), als Überwachung im Sinne des Objektschutzes und schließlich als Überwachung der Mitarbeiter. Die Videoüberwachung von vielen KRITIS-Einrichtungen und sogar von Unternehmensgeländen ist heutzutage weit verbreitet.[1] Dabei kommen verschiedene Technologien zum Einsatz (siehe technische Perspektive – Videoüberwachung), die auch in anderen Kontexten Anwendungen finden (siehe zum Beispiel technische Perspektive – Schutz polizeilicher Liegenschaften). Insbesondere wurde in den vergangenen Jahren an integrierten Überwachungssystemen geforscht, die die unterschiedlichen Elemente zusammenführen. Dabei wurde an multispektralen Sensor-Suites gearbeitet, die sowohl Radar-, Sicht- als auch Temperatursensoren umfassen, große Datenmengen aggregieren und analysieren können und die automatisierte Objekterkennung und -klassifizierung unterstützen und sogar Absichts- und Verhaltensanalysen von erfassten Personen beinhalten. Robustheit (z. B. gegenüber Wetter), Datenschutz/Privay und niedrige Fehlalarmrate (z. B. durch Tiere) sind weitere Kriterien, die für den nachhaltigen Einsatz im privatwirtschaftlichen Kontext eine Rolle spielen.[2] 

 

Quellen:

[1] Vgl. Silke Wollmann: „Schutz Kritischer Infrastrukturen durch private Sicherheitsunternehmen“, in: CRISIS PREVENTION – Fachportal für Gefahrenabwehr, Innere Sicherheit und Katastrophenhilfe, 04.02.2019 (https://crisis-prevention.de/innere-sicherheit/schutz-kritischer-infrastrukturen-durch-private-sicherheitsunternehmen.html; aufgerufen am 15. August 2019)

[2] Vgl. das FP7-Projekt „P5 – Privacy Preserving Perimeter Protection Project” (https://cordis.europa.eu/project/rcn/109306/factsheet/de; aufgerufen am 16. August 2019)

Durch die rasant zunehmende und derzeit kaum abzuschätzende Cybergefahr sind disruptive Entwicklungen mit grundlegender Auswirkung auf das Angebot von Schutz vor allem auf Seiten der Störung zu erwarten. Entspechend sind im Bereich KRITIS eine Reihe inter- und multidisziplinärer Ansätze im Bereich der Resilienzforschung zu verzeichnen, die Antwort geben sollen auf den Umgang mit (un)erwarteten Krisen und die gleichzeitig die ganze Bandbreite möglicher Gefahren in Betracht ziehen (also z. B. die Auswirkungen auf ganze Stadtgebiete und die breite Öffentlichkeit).[1]

 

Quelle:

[1] Vgl. z. B. Horizon2020-Projekte „DARWIN – Expecting the unexpected and know how to respond” (https://cordis.europa.eu/project/rcn/194846/factsheet/en; aufgerufen am 16. August 2019) und „Securing Critical Energy Infrastructures SUCCESS – Securing Critical Energy Infrastructures“ (https://cordis.europa.eu/project/rcn/203300/factsheet/de; aufgerufen am 16. August 2019)

Dezentralisierung und ein hoher Komplexitätsgrad durch Digitalisierung (z. B. Smart Meter, Smart Grid) führen zu besonderen Herausforderungen und Bedrohungen für den reibungslosen Betrieb der Wasser- und Energieversorger. Vor allem die Cybercriminalität stellt einen sich derzeit schnell (negativ) entwickelnden Eintrittspunkt für großflächige Störungen und eine Gefährdung der öffentlichen Sicherheit dar. 

Von ESPRI, vor

Verwaltungswissenschaftlich – Schutz von KRITIS (Wasser- und Energieversorgung)

Beitrag merken und zu meinem Report hinzufügen

Grundsätzlich obliegt die Entscheidung darüber, in welcher staatlichen oder privaten Organisationsform Schutzleistungen erbracht werden sollen, dem politisch-demokratischen Prozess, wobei (verfassungs-)rechtliche Vorgaben den grundlegenden Rahmen setzen. Die Politik- und Verwaltungswissenschaft kann diesbezüglich keine aktiv-gestaltende Rolle einnehmen, sie kann jedoch als Reflexionsinstanz zur Klärung möglicher Entscheidungskriterien beitragen. Dazu wird ein Entscheidungsrahmen eingeführt, der sowohl effektivitäts-, effizienz-, als auch legitimitätsbezogene Zielgrößen berücksichtigt. In diesem Rahmen wird auf drei Einzelkriterien Bezug genommen: (1) Strategische Relevanz, (2) Spezifität, (3) Legitimität.

Das Kriterium der strategischen Relevanz berücksichtigt die Bedeutung einer Aufgabe für die Erreichung politisch gesetzter Ziele. Insbesondere bei strategisch relevanten Aufgaben muss garantiert sein, dass deren Erbringung gewährleistet und durch den Staat kontrollierbar ist. Damit steht die Steuer- und Regulierbarkeit der Schutzleistung auf dem Prüfstand.

Kritische Infrastrukturen sind grundsätzlich von zentraler Bedeutung für das gesellschaftliche Gemeinwesen. Deren Störung gefährdet die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen wie der gesundheitlichen und wirtschaftlichen Versorgung sowie der öffentlichen Sicherheit und Ordnung. Insofern damit weitreichende Bedrohungen von Staat und Gesellschaft einhergehen, hat der Schutz kritischer Infrastrukturen fraglos eine sehr hohe strategische Relevanz. Diese ergibt sich zum einen aus der hohen gesellschaftlichen Bedeutung des Schutzgutes und zum anderen daraus, dass in diesem Zusammenhang schon kleinste technische oder menschliche Fehler potenziell gravierende Auswirkungen haben können. Die Sektoren Wasser und Energie nehmen aufgrund ihrer herausgehobenen Stellung als zentrale Versorgungsinfrastrukturen für lebensnotwendige Güter nochmals eine besondere Schlüsselrolle ein. Typisch sind dabei die Wechselwirkungen und Interdependenzen zwischen diesen unterschiedlichen Infrastrukturbereichen (vgl. BSI, 2014; Amin, 2000), die zu einer hohen Komplexität des Schutzgutes führen. Hinzu kommt, dass diese Infrastrukturen gerade aufgrund ihrer Wichtigkeit einer besonderen Gefährdung durch terroristische oder anderweitig kriminelle (Cyber-)Angriffe unterliegen (vgl. BSI, 2018)

Der Schutz dieser vitalen Infrastrukturen fällt damit unter den verfassungsrechtlichen staatlichen Schutzauftrag der Daseinsvorsorge. Um der Bedeutung der Strom- und Energieversorgung Rechnung zu tragen, wurde etwa mit dem Atomgesetz eine einschlägige Regelungsmaterie geschaffen, die sowohl die staatliche Verantwortung festschreibt als auch die private Betreiberverantwortung hervorhebt. Gleichwohl es sich damit mit Blick auf das Kriterium der strategischen Relevanz um eine Schutzleistung handelt, die eindeutig in den Verantwortungsbereich des Staates fällt, sieht der Staat in weiten Teilen von der unmittelbaren Bereitstellungs- und Erfüllungsverantwortung ab. Er trägt vielmehr die Überwachungs- und Gewährleistungsverantwortung. Der Beitrag privater Sicherheitsakteure ist damit zu einer unverzichtbaren Säule der Sicherheitsvorsorge im Sektor der kritischen Infrastrukturen geworden (Stienen, 2011, S. 171ff.).

Quellen:

Amin, M. (2000). National Infrastructures as Complex Interactive Systems. In T. S. Weyrauch (Hrsg). Automation, Control, and Complexity (S. 263-286). Chichester: John Wiley and Sons.

BSI – Bundesamt für Sicherheit in der Informationstechnik (2014). UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen. Grundlagen und Ziele. Bundesamt für Sicherheit in der Informationstechnik: Bonn. Abgerufen am 05.08.2019 von http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/UP_KRITIS_Fortschreibungsdokument.pdf? __blob=publicationFile.

BSI – Bundesamt für Sicherheit in der Informationstechnik, 2018. Cyber-Angriffe auf deutsche Energieversorger. Presseerklärung

Stienen, L. (2011). Privatisierung und Entstaatlichung der inneren Sicherheit. Erscheinungsformen, Prozesse und Entwicklungstendenzen. Frankfurt am Main: Verlag für Polizeiwissenschaft.

Mit dem Prüfkriterium der Spezifität wird ein Maß für die Einzigartigkeit des mit einer Aufgabenerfüllung verbundenen Mitteleinsatzes eingeführt. Dies setzt sich aus verschiedenen Komponenten zusammen, die den Einsatz spezialisierter Technologien oder Anlagen, spezifische Ausstattungen, Qualifikationen, Verfahrensregeln und Kompetenzen betreffen und als Auslagerungshürden gelten.

Entsprechend der Vielfalt der zu schützenden Infrastruktursektoren sind die  spezifischen Schutzobjekte, die mögliche Bedrohungsquellen und somit auch die spezifischen Schutzmaßnahmen sehr divers. Generell lassen sich bei dieser Schutzleistung jedoch zwei Aufgabenbereiche unterscheiden: Zum einen sind dies analoge Schutzleistungen, die auf den physischen Schutz der Anlagen abzielen und die sich vor allem als präventive Objektschutztätigkeiten einordnen lassen, situativ aber auch konkrete Maßnahmen der Gefahrenabwehr erfordern. Dies umfasst ein Tätigkeitsspektrum, für das Polizeikräfte speziell ausgebildet werden und für das allein sie über die spezifischen hoheitsrechtlichen Eingriffsbefugnisse und die  notwendige Ausrüstung verfügen. Zum anderen sind heute vielfach digitale Schutzleistungen vonnöten, die einer möglichen Manipulation der anlagensteuernden IT-Systeme vorbeugen (Cyber-Sicherheit).

Die rechtlichen Spezifika der Schutzleistungserfüllung sind mitunter in verschiedenen Spezialgesetzen festgeschrieben (u. a. Atomgesetz). Auf nationaler Ebene ist die Kompetenz zur Regelung von Infrastrukturen zwischen den verschiedenen politischen Ebenen, d. h. Bund, Ländern und Kommunen verteilt (Stober, 2010, S. 123 f). Hinsichtlich des Kriteriums der Spezifität ist grundsätzlich festzuhalten, dass für die Schutzleistung in weiten Teilen operative Zugriffsmöglichkeiten und anlagenspezifisches Wissen notwendig sind, über die staatliche Behörden schlicht nicht verfügen. Infolge von Privatisierungsentwicklungen werde heute weite Teile der kritischen Infrastrukturen von privaten Unternehmen betrieben – Schätzungen gehen diesbezüglich von bis zu 80 % aus (Vgl. Strauß 2015, S. 351). Dadurch fehlen dem Staat direkte Eingriffsmöglichkeiten, sodass er zur Erfüllung der Schutzleistung zwingend auf die Mitwirkung der privaten Betreiber angewiesen ist. Für die Durchführung der konkreten Schutzleistungen sind daher in der Regel primär die privaten Anbieter verantwortlich – auch zumal diese exklusiv über spezifisches technisches Know-how und Kompetenzen hinsichtlich ihrer Anlagen verfügen. An dieser Stelle kommen dann private Sicherheitsdienstleister ins Spiel, die von privaten Betreibern mit dem präventiven Schutz ihrer Anlagen beauftragt werden, die aber im Ernstfall der konkreten Gefahrenabwehr weder über die nötigen hoheitlichen Befugnisse noch die nötige Ausstattung verfügen, um etwa terroristische Bedrohungen ad hoc abzuwehren. Beim Schutz kerntechnischer Anlagen gilt diesbezüglich jedoch die überaus umstrittene Vorgabe, dass private Sicherheitskräfte in konkreten Gefährdungssituationen „hinhaltenden Widerstand“ zu leisten haben, was sogar den Schusswaffengebrauch einschließt (Stienen 2011, 118). So stellt sich die Frage, ob dies vom Funktionsvorbehalt nach Art. 33/IV gedeckt ist. Auch wenn den Betreibern gemeinsame Übungen mit der Polizei auferlegt werden, zeigen sich an diesem Punkt die Grenzen einer Auslagerung spezifischer Sicherheitstätigkeiten.

Während private Akteure in die Erfüllungsverantwortung genommen werden, nimmt der Staat primär die Rolle eines Gewährleisters wahr, der in erster Linie moderierend und normierend die Schutzleistungserbringung steuert und überwacht. Erst im Fall einer konkreten Gefahrenlage, greift auch die staatliche Erfüllungsverantwortung (Stienen 2011, 181f.) Basierend auf der Verantwortungsteilung nach dem Gewährleistungsprinzip (staatlich) auf der einen und dem Verursacherprinzip (privat) auf der anderen Seite hat sich hier eine grundsätzlich funktionale Aufgabenteilung etabliert, die sich auch in der Gründung öffentlich-privater Partnerschaften niederschlägt. Vor allem mit dem UP KRITIS wurde eine sektorenübergreifende Zusammenarbeit initiiert, in der unterschiedliche staatliche, gesellschaftliche und private Akteursgruppen freiwillig gemeinsam Rahmenrichtlinien für den Schutz der Wasser- und Energieversorgung entwickeln und umsetzen (vgl. Bundesamt für Sicherheit in der Informationstechnik, 2014). Nichtsdestotrotz wird von verschiedener Seite durchaus kritisch infrage gestellt, ob der Staat mit dieser Form einer allein normierenden, indirekten Steuerung tatsächlich seiner Gewährleistungs- und Auffangverantwortung gerecht wird oder ob es sich hierbei nicht letztlich um eine Form der Verantwortungsverschiebung handelt (vgl. etwa Wiater, 2013).

Quellen: 

BSI – Bundesamt für Sicherheit in der Informationstechnik (2014). UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen. Grundlagen und Ziele. Bundesamt für Sicherheit in der Informationstechnik: Bonn. Abgerufen am 05.08.2019 von http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/UP_KRITIS_Fortschreibungsdokument.pdf? __blob=publicationFile.

Stienen, L. (2011). Privatisierung und Entstaatlichung der inneren Sicherheit. Erscheinungsformen, Prozesse und Entwicklungstendenzen. Frankfurt am Main: Verlag für Polizeiwissenschaft.

Stober, R. (2010). Der Beitrag der Sicherheitswirtschaft und der Unternehmenssicherheit zum Schutz kritischer Infrastrukturen. In M. Kloepfer (Hrsg.). Schutz kritischer infrastrukturen (S. 121-132). Baden-Baden: Nomos.

Strauß, J. (2015). Infrastruktursicherheit. In T. Jäger (Hrsg.), Handbuch Sicherheitsgefahren (S. 343-354). Wiesbaden: Springer.

Wiater, P. (2013): Sicherheitspolitik zwischen Staat und Markt. Der Schutz kritischer Infrastrukturen. Baden-Baden: Nomos.

Mit dem Prüfkriterium der Legitimität wird der politikwissenschaftlichen Einsicht Rechnung getragen, dass staatliches Handeln und Entscheiden nicht allein an den Maßstäben von Effektivität und Effizienz bemessen werden sollte, sondern auch an der faktischen Akzeptanz, die es durch die verschiedenen Anspruchsgruppen erfährt.

Aus den zu erwartenden hohen gesellschaftlichen Folgeschäden, die eine Störung kritischer Infrastrukturen bewirkt, ergibt sich ein großes öffentliches Interesse an deren Schutz sowie ein hohes mediales Interesse im Schadensfall. Das Szenario des Ausfalls der Wasser- und Energieversorgung eignet sich für alarmistische Medienberichterstattung und erfährt daher einen hohen Nachrichtenwert. Dies gilt insbesondere für den Sektor der Energie und z. B. die Frage der Reaktorsicherheit, wie zuletzt etwa die Berichterstattung für den Vorfall um den Renegade-Luftalarm gezeigt hat (vgl. etwa Döschner, 16. März 2017). Der Schutz von Atomanlagen erfährt jedoch auch deshalb hohe Aufmerksamkeit, weil dieser Aspekt zugleich Teil der hitzigen gesellschaftlichen Debatte um die Energiewende ist und dementsprechend eine politische Instrumentalisierung sicherheitsrelevanter Vorfälle erwartbar ist. Zur spezifischen Frage der staatlichen und/oder privaten Verantwortung bzw. Aufgabenteilung beim Schutz der Wasser- und Energieversorgung hat sich bis dato jedoch keine gesellschaftliche Debatte entwickelt, aus der sich etwaige Akzeptanzvorbehalte ableiten ließen. Weil dies zum Teil darauf zurückgeführt werden kann, dass für Bürgerinnen und Bürger nur schwer ersichtlich ist, ob und in welchem Ausmaß private Sicherheitsakteure für die Erbringung der Schutzleistung eingesetzt werden können, macht dies auf eine  (in Teilen notwendige) Intransparenz der Öffentlichkeitsbeteiligung aufmerksam, die jedoch aus Legitimitätsgesichtspunkten problematisch einzuschätzen ist.

Quelle: 

Döschner, J. (2017). Sicherheit von Atomkraftwerken. Renegade-Voralarm – die Terrorgefahr ist real. Abgerufen am 05.08.2019 von https://www.deutschlandfunk.de/sicherheit-von-atomkraftwerken-renegade-voralarm-die.697.de.html?dram:article_id=381415.

 

Beim Schutz der Wasser- und Energieversorgung handelt es sich um eine Schutzleistung von sehr hoher strategischer Relevanz und zugleich in weiten Teilen hoher Spezifität. In Anbetracht dessen muss die Gewährleistungsverantwortung zwingend in staatlicher Hand verbleiben. Hinsichtlich der Erfüllungsverantwortung ergeben sich Mitwirkungspotenziale privater Sicherheitsdienste insbesondere dort, wo entweder vergleichsweise unspezifische Teilleistungen erbracht werden müssen oder aber staatliche Kräfte selbst nicht über die nötigen direkten Eingriffsmöglichkeiten verfügen. 

Von Universität Potsdam, vor

Volkswirtschaftlich – Schutz von KRITIS (Wasser- und Energieversorgung)

Beitrag merken und zu meinem Report hinzufügen

Aus wirtschaftspolitischer – genauer: ordnungspolitischer – und finanzwissenschaftlicher Sicht stellen sich bei Aufgaben im Bereich der Inneren Sicherheit grundsätzlich drei Fragen: Wer ist grundsätzlich für eine solche Aufgabe (Schutzleistung) verantwortlich, hat sie also bereitzustellen? Wer soll sie dann durchführen, also herstellen? Und schließlich, wer soll die Kosten tragen? Genauere Informationen zum analytischen Vorgehen – gewissermaßen dem Prüfschema aus volkswirtschaftlicher Perspektive – finden Sie im Text „Volkswirtschaftlich – Erklärung“.  Diese Fragen der Bereit- und Herstellung sowie der Finanzierung werden im Folgenden in knapper Form für die Schutzleistung „Schutz von KRITIS (Wasser- und Energieversorgung)“ erörtert.

Hierunter wird der Schutz von Teilbereichen der sogenannten kritischen Infrastrukturen (KRITIS) verstanden, die der Versorgung der Bevölkerung sowie von privaten und staatlichen Institutionen mit Wasser oder Energie (inklusive von Kernkraftwerken, für deren Absicherung eine spezialgesetzliche Regelung gilt) dienen. Dies sind laut BMI (2009) „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Beides wird hier auch aufgrund der wechselseitigen Interdependenzen zwischen den Sektoren gemeinsam betrachtet. So ist beispielsweise die Wasserversorgung auf Stromversorgung angewiesen (vgl. BSI 2014), die Stromversorgung kann teilweise von Wasserkraft abhängig sein.

Die Schutzleistung lässt sich in zwei Bereiche einteilen: Einerseits geht es um physische Absicherung der Anlagen an neuralgischen Punkten (für Wasser bspw. das Pumpwerk und die Hauptversorgungsleitung – ein vollumfänglicher Schutz der gesamten Versorgungsnetzwerke ist prohibitiv teuer oder sachlich unmöglich) und ihres unbeeinträchtigten Betriebs (etwa gegen mutwillige Kontaminierung von Trinkwasserspeichern, oder gegen Sabotage an Kraftwerken). Andererseits treten seit Jahren und mit wachsender Relevanz digitale Schutzleistungen – „Cyberschutz“ – hinzu, die Manipulationen der Versorgung oder gar Beschädigungen der physischen Infrastruktur über Angriffe auf Software und Regelungssysteme verhindern oder hemmen sollen.

Direkte Nutznießende dieser Schutzleistung sind die Betreiber der Versorgungseinrichtungen. Indirekt profitieren zusätzlich alle von diesen versorgte Abnehmer von Wasser und Energie.

 

Quellen:

BMI [Bundesministerium des Innern] (2009), Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), online verfügbar unter https://www.bmi.bund.de/SharedDocs/Downloads/DE/publikationen/bevoelkerungsschutz/kritis.html

BSI [Bundesamt für Sicherheit in der Informationstechnik] (2014), KRITIS-Sektorstudie. Ernährung und Wasser, online verfügbar unter http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Sektorstudie_Ern%C3%A4hrung_Wasser.pdf?__blob=publicationFile

Nach dem standardisierten Prüfschema betrachten wir hier zwecks Ermittlung der Güter-Art der Schutzleistung zwei Fragestellungen: Liegt Rivalität vor, und liegt Exkludierbarkeit vor? Aus den Antworten auf diese Grundfragen lässt sich ableiten, ob es sich bei der Schutzleistung um ein öffentliches Gut (prototypisches Kollektivgut), um ein privates Gut (Individualgut), oder um einen der „Mischfälle“ Klubkollektivgut oder Allmende-Gut (Quasikollektivgut) handelt.

Besteht nun Verwendungsrivalität im ökonomischen Sinne? Beschneidet also der Schutz von Wasser- und Energieversorgungseinrichtungen die Möglichkeiten anderer potenzieller „Nutzer“ bzgl. dieser Schutzleistung?

Es darf davon ausgegangen werden, dass geeignetes Personal für die physischen Schutzaufgaben in ausreichender Anzahl am Arbeitsmarkt vorhanden ist.[1] Damit dürfte weder aus Sicht der direkten noch der indirekten Nutznießer Verwendungsrivalität vorliegen. Rivalität spielt also keine Rolle.

(Einzig im Bereich der Absicherung der sechs noch am Netz angeschlossenen Kernkraftwerke, für den besondere Anforderungen an Qualifikation und Sicherheitsüberprüfungen des Personals gelten, könnte es zu Knappheit des Personals und somit zu einem gewissen Maß an Rivalität kommen. Hier rivalisierten dann die direkten Nutznießer, also die aktuell vier verschiedenen Betreiber der sich im aktiven Betrieb befindlichen Kernkraftwerke, untereinander.)

Anders sieht die Lage im Bereich des digitalen Schutzes aus, da gutes Personal zunehmend nachgefragt wird, aber nicht in ausreichendem Maße von Ausbildungs- und Bildungseinrichtungen bereitgestellt wird. Hier liegt Verwendungsrivalität vor.

Also können wir die „richtige“ Zuordnung der Schutzleistung in unserem Modell für die beiden Fälle von vier auf jeweils zwei Gütertypen verengen:

Im Falle der physischen Absicherung von Wasser- und Energieversorgern ohne Kernkraftwerke (Fall 1) scheiden Privates und Allmende-Gut aus. Es bleiben zur Auswahl das Öffentliche Gut sowie das Klubkollektivgut.

Bei der Absicherung von Kernkraftwerken sowie allgemein des Cyberschutzes von Wasser- und Energieversorgung (Fall 2, im Folgenden „besondere Anforderungen“ genannt) scheiden Öffentliches und Klubkollektivgut aufgrund der Rivalität aus, es bleiben Privates und Allmende-Gut.

Bezüglich der privatrechtlichen Exkludierbarkeit – also der Frage, ob der Nutznießer der Schutzleistung andere potenzielle Nutznießer von der Mitnutzung ausschließen kann – kann gesagt werden, dass eine solche für die direkten Nutznießer eindeutig vorliegt. Hat ein Versorger einen Vertrag mit einem Dienstleister bezüglich des Schutzes seiner Anlagen abgeschlossen, steht das Personal anderen Versorgern aus privatrechtlichen Gründen zumindest innerhalb der vereinbarten Arbeitszeit nicht zur Verfügung. Hier verengt sich die Güterauswahl für Fall 1 auf das Klubkollektivgut, für Fall 2 auf das private Gut.

Anders sieht das bei den indirekten Nutznießern – den versorgten Abnehmern von Wasser oder Energie – aus. Hier kann privatrechtlich und auch praktisch niemand von der Schutzleistung ausgeschlossen werden (insofern ein Liefervertrag vorhanden ist, wovon hier ausgegangen wird). Alle belieferten Abnehmer profitieren gleichermaßen vom zentralen Schutz der Versorgungseinrichtung, es liegt keine Exkludierbarkeit vor. Hier hätten wir für Fall 1 das Öffentliche Gut, für Fall 2 der besonderen Anforderungen – möglicherweise etwas konstruiert – das Allmende-Gut.

Die Wahl der angemessenen Bereitstellungs- und Finanzierungs-Weise der Schutzleistung hängt von der Perspektive bzw. der Gewichtung der Belange direkter und indirekter Benutzer ab, und ist letztlich eine politische Entscheidung bzw. das Ergebnis eines gesellschaftlichen Aushandlungsprozesses.

Szenario A): Konzentriert man sich auf die direkten Nutzer, so haben diese im Fall 1 – physischer Schutz ohne besondere Anforderungen – aufgrund des Gutscharakters (Klubkollektivgut) aus unserer Sicht die Bereitstellungsverantwortung. Sie hätten fernerhin Beiträge (der hier dem Marktpreis auf dem Personalmarkt für Sicherheitskräfte entspricht) zu entrichten. Diese Beiträge werden dann auf die versorgten Endabnehmer umgelegt. Auch im Fall 2 – „besondere Anforderungen“ – wäre aufgrund des Gutscharakters (privates Gut) aus unserer Sicht eine marktwirtschaftliche Finanzierung (in der Praxis über die von den versorgten Endabnehmern zu zahlenden Gebühren) die angemessene Wahl.

Szenario B): Stellt man dagegen bei der Frage der Finanzierung den indirekten Nutzer in den Vordergrund – und beachtet, dass hier die Versorgungssicherheit im Fokus steht (nicht etwa die verbrauchten Einheiten von Wasser oder Energie, die aus Effizienzerwägungen unabhängig davon selbstverständlich über Marktpreise abgerechnet werden sollten), so kommen wir zu dem Schluss, dass die Finanzierung des Schutzes über Steuermittel der richtige Weg ist. Argumentiert man also maßgeblich mit dem Schutz der Bürger und anderer Einwohner des Staates vor inneren Gefahren – insbesondere  vor Kriminalität und feindlicher Einwirkung – dann steht eine der grundlegenden Aufgaben und Daseinsberechtigungen des modernen Staates im Fokus. Entsprechend fiele dann auch die betrachtete Schutzleistung in die Bereitstellungsverantwortung des Staates.

 

[1] Anm.: Dies könnte sich allerdings ändern, wenn die gesetzlichen Anforderungen an das einzusetzende Personal angehoben würden, beispielsweise über aufwändigere Sicherheitsüberprüfungen. Auch das eingeführte Bewacherregister sorgt derzeit noch für Schwierigkeiten für Bewachungsunternehmen (ZEIT online, 2019), zeitgerecht Personal in ausreichender Anzahl bereitzustellen.

Quelle:

ZEIT online (2019), Alles andere als bewacht. 21. August 2019, 18:00 Uhr, https://www.zeit.de/politik/deutschland/2019-08/innere-sicherheit-bewacherregister-private-wachdienste-sicherheitsdienst-transparenz, zuletzt abgerufen 12.11.2019.

Wie sieht es nun mit der Herstellung aus? Im Szenario A) ist ersichtlich, dass neben der Bereitstellung auch die Herstellung der Schutzleistung durch die Versorger selbst als direkte Nutznießer vorgenommen werden sollte, bzw. sie privatwirtschaftliche Dienstleister damit beauftragen sollten.

Weniger eindeutig ist die beste Wahl im Szenario B), wenn also dem Staat zumindest die Bereitstellungsverantwortung zufällt – sollte der Staat auch die Herstellung des Schutzes selbst übernehmen, oder die Aufgabe (aus ökonomischer Sicht) an andere vergeben und damit die Schutzleistung extern beschaffen?

Hier werden in der Regel als Entscheidungshilfe verschiedene Arten von Kosten im weitesten Sinne betrachtet: Transformations-, Transaktions- und Verfahrenspräferenzkosten. Die Summe dieser drei Kostenarten gibt – ohne Berücksichtigung anderer Faktoren, allein durch die volkswirtschaftliche Brille – Aufschluss darüber, ob Eigenherstellung oder Vergabe lohnender sind.

Transformationskosten sind hier die Kosten, die aufgewandt werden müssen, um aus Vorleistungen die Schutzleistung zu erstellen. Konkret sind das hier vor allem die abzurechnenden Arbeitsstunden des Sicherheitspersonals. Für einfache Tätigkeiten (Fall 1) sollten hier private Sicherheitskräfte beispielsweise im Vergleich zu ausgebildeten staatlichen Sicherheitskräften (etwa Polizeibeamten) tendenziell günstiger sein, zumal diese für derartige Schutzaufgaben überqualifiziert und zahlenmäßig zu knapp sind. Transformationskosten fallen also vermutlich in geringerer Höhe an, wenn der Schutz an Unternehmen vergeben wird. (Für Fall 2 mit seinen komplexeren Anforderungen stellt sich allerdings zumindest der Personalkostenaspekt weniger eindeutig dar.[1] )

Transaktionskosten sind solche (Neben-)Kosten, die aufgrund von Informationsdefiziten als unvermeidbare „Reibung“ anfallen, aber nicht in ins Endprodukt eingehen – hier also in die Schutzleistung Schutz der Versorgungseinrichtungen. Such- und Informationsbeschaffungskosten (etwa bedingt durch Sichtung des Marktes und Bewertung potenzieller Anbieter sowie den Ausschreibungs-Aufwand), Anbahnungs-, Verhandlungs- und Vertragskosten (man denke an die Beauftragung von Unternehmensberatungen, Anwaltskanzleien, Notaren und Wirtschaftsprüfern), Abwicklungskosten und die möglicherweise zusätzlich anfallenden Kosten für die Beaufsichtigung und Kontrolle der erbrachten Schutzleistungen könnten hier ins Gewicht fallen. Es fallen also für die öffentliche Hand (höhere) Transaktionskosten an, wenn der Schutz an Unternehmen vergeben wird.[2]

Verfahrenspräferenzkosten spielen dann eine Rolle, wenn nennenswerter Machtmissbrauch bei der Erstellung des Produktes – hier der Erbringung der Schutzleistung – möglich ist. Polizeibeamte (und andere staatliche Sicherheitskräfte) handeln im Rahmen des öffentlichen Rechts grundsätzlich regelorientiert, private Sicherheitskräfte dagegen primär ergebnisorientiert (vgl. Grossekettler 1998, 11).

Dies könnte für den Einsatz behördlichen Personals sprechen, insofern bei diesem die Wahrscheinlichkeit einer unzulässigen Diskriminierung bspw. aufgrund behördlicher Kontrollprozesse geringer erscheint, und es am Markt private Anbieter zweifelhafter Zuverlässigkeit und Qualitätssicherung gibt.

Die Verringerung der Wahrscheinlichkeit von Machtmissbrauch kann eine kostenaufwendigere, aber regelorientiertere Herstellung rechtfertigen – letztlich ist das eine Präferenzfrage.[3] Betrachten wir nun den Schutz besonders kritischer Versorgungseinrichtungen, so spielen die Gefahr einer Unterwanderung durch aggressive Kräfte (feindliche Staaten, Terroristen, organisierte Kriminalität) eine möglicherweise entscheidende Rolle. Es steht zu vermuten, dass ein nicht unerheblicher Teil der Bevölkerung Verfahrenspräferenzkosten in Kauf nehmen würde, um eine Vergabe des Schutzes beispielsweise von Kernkraftwerken an Unternehmen zu vermeiden bzw. diese Schutzleistung dem Staat zu übertragen.

Weiterhin ist bei der Entscheidung, wer nun herstellen soll – Staat oder Markt – zu betrachten, ob eine Form von Marktversagen vorliegen könnte. Hier kommen in unserem Kontext vor allem infrage: Externe Effekte (Auswirkungen auf Unbeteiligte, für die keinerlei Ausgleich erfolgt – zum Beispiel räumliche Verdrängungs- und Verlagerungseffekte von Kriminalität), asymmetrische Informationen (Stichworte wären hier: principal agent, hidden action, hidden information, hidden characteristic und adverse selection) sowie Wettbewerbsbeschränkungen (Marktzutrittsbarrieren, Mengen- und Preisabsprachen usw.). Auch Rationalitätsdefizite (Fragen von Wollen und Eigeninteresse, Können und kognitiven Beschränkungen – vgl. Paefgen 2009, 210) könnten eine Rolle spielen. Natürliche Monopole sind dagegen nicht zu erwarten. Aus unserer Sicht sind im Zusammenhang mit dem Schutz der Infrastruktur der Wasser- und Energieversorgung hier in erster Linie principal agent-Probleme zu bedenken, die für eine staatliche Bereitstellung sprechen. Dieser Aspekt kommt gewissermaßen aus der gleichen Schublade wie das Thema Verfahrenspräferenzkosten – er spielt dann eine Rolle, wenn es private Schutzleistungsanbieter zweifelhafter Vertrauenswürdigkeit gibt.

 

[1] Anm.: Im Bereich des Cyber-Schutzes dürfte der Staat jedoch aktuell gar nicht über eine ausreichende Anzahl von eigenen hochqualifizierten Bediensteten verfügen, um den Schutz auch nur der bedeutendsten Wasser- und Energieversorgungseinrichtungen in eigener Ägide dezentral und vollumfänglich gewährleisten zu wollen. Das spricht derzeit für eine Herstellung durch private Dienstleister.

[2] Anm.: Für die beauftragten Unternehmen fallen ebenfalls Transaktionskosten an, etwa aufgrund von Faktor-Spezifität. Diese kann sich auf Standort, physische Investitionen, Humankapital usw. beziehen. Bei einer gesamtgesellschaftlichen, volkswirtschaftlichen – also nicht nur betriebswirtschaftlichen – Betrachtung sind diese strenggenommen ebenfalls zu berücksichtigen. Dies soll allerdings hier im Interesse einer aufs Wesentliche beschränkten Erörterung unterbleiben.

[3] Anm.: Beobachten kann man das beispielsweise bei der Steuererhebung, bei über die Vergabe von Spenderorganen entscheidenden Ethikkommissionen, bei der Strafverfolgung, bei staatlichen Streitkräften (im Gegensatz zu Söldnerfirmen) usw.

Quellen:

Grossekettler, H. (1998), Staatsaufgaben aus ökonomischer Sicht, Volkswirtschaftliche Diskussionsbeiträge der Westfälischen Wilhelms-Universität Münster, Nr. 274.

Paefgen, A. (2009). Rationalitätsdefizite im Handeln von Controllern: Ausprägungsformen und Gegenmaßnahmen (Vol. 34). Springer-Verlag.

Zusammenfassend wird aus volkswirtschaftlicher Perspektive zu Schutz von Infrastruktur der Wasser- oder Energieversorgung folgendes vorläufiges Fazit gezogen:

Die Bereitstellung sowie die Finanzierung sind je nach eingenommener Perspektive entweder rein privatwirtschaftliche (Szenario A) oder mindestens teilweise staatliche Aufgabe (Szenario B). Für ersteres ist dann auch die Herstellung privatwirtschaftlich zu organisieren. Lediglich bei Szenario B) ist die Frage der Herstellung ohne weitere Informationen nicht so eindeutig zu beantworten. Ob hier Staat oder Markt effizientere Hersteller sind, hängt von der Summe und Gewichtung der Transformations- (Tendenz: Pro Markt), Transaktions- (Tendenz: vermutlich pro Staat) und Verfahrenspräferenzkosten (Tendenz: Vermutlich pro Staat) ab. Weiterhin kommt viel auf die Qualität und Vertrauenswürdigkeit der Anbieter im Markt an. Hier spielen also die Rahmenumstände ebenso wie der politische Willensbildungsprozess besondere Rollen.

Von BIGS, vor