Berliner Stromausfall befeuert Kritik an Transparenzpflicht

Berlin (energate) - Nach dem mutmaßlichen Anschlag auf mehrere Stromkabel in Berlin wird Kritik an Transparenzpflichten für Betreiber kritischer Infrastrukturen laut. Diese Pflichten machten es Angreifern zu leicht, etwaige Schwachstellen in den Energienetzen aufzuspüren, hieß es von einem Sprecher des Stadtwerkeverbands VKU auf Anfrage. Schlimmstenfalls könnten die Daten "zur Gebrauchsanweisung für Sabotage oder hybride Angriffe" werden. Informationen über den Standort und die Leistung sensibler Anlagen sollten so stark vereinfacht werden, "dass sie aus Sicherheitsgründen unbedenklich sind". Der Verband appellierte an die Politik, die Regeln anzupassen. "Kritische Infrastrukturen dürfen nicht im Schaufenster stehen", so der Sprecher.

Ähnliches forderte der Energieverband BDEW. Zwar schaffe der Gesetzesentwurf des Kritis-Dachgesetzes erstmals einen sektorenübergreifenden Rechtsrahmen für den Schutz physischer Infrastruktur. Im Widerspruch dazu stünden allerdings gesetzliche und behördliche Regelungen, "die Strom- und Gasnetzbetreiber rechtlich verpflichten, ihre Infrastruktur in der Öffentlichkeit für jedermann 'quasi auf dem Silbertablett' präsentieren zu müssen", kritisierte Kerstin Andreae, Hauptgeschäftsführerin des BDEW.

Sie forderte eine Neubewertung der Transparenzpflichten. Transparenz-, Informationsfreiheits- und Open-Data-Regelungen sollten dort eingeschränkt oder angepasst werden, wo sie die physische oder IT-Sicherheit kritischer Infrastrukturen gefährden könnten. "Webangebote von Behörden oder Open-Source-Plattformen, die systematisch Leistungsdaten oder Geolokationen kritischer Anlagen bereitstellen, müssen auf ein abstrahiertes und aus Sicherheitssicht vertretbares Maß reduziert werden", sagte Andreae.

Verschiedene Gesetze bilden Basis für Transparenzpflichten

Die Transparenzpflicht für Energieunternehmen ergibt sich unter anderem aus dem Energiewirtschaftsgesetz, das Vorgaben zu Veröffentlichungspflichten zu Netzen, Netzentwicklungsplänen und Kapazitäten mache, aus dem Umweltinformationsgesetz und teilweise auch aus dem Informationsfreiheitsgesetz, erklärte Ferdinand Gehringer, Director bei FTI Consulting und Berater zu den Themen hybride Bedrohungen, Cyber- und Kritis-Schutz. Sie könne zudem aus der Inspire-Richtlinie und aus Geodatenzugangsgesetzen oder aus Planungs- und Genehmigungsverfahren, etwa der Bauleitplanung, hervorgehen. Eine Sprecherin des BDEW nannte als Beispiele auch das Bundesimmissionsschutzgesetz und den Infrastrukturatlas. Etwa über den Verlauf von Glasfaserinfrastruktur ließen sich Rückschlüsse auf den Verlauf weiterer kritischer Infrastruktur wie Gas oder Strom ziehen.

Öffentliches Interesse vs. Sicherheit 

Barbara Fischer, Geschäftsführerin der Vereinigung der Fernleitungsnetzbetreiber Gas (FNB Gas), sagte auf Anfrage, grundsätzlich erkenne die FNB Gas das "berechtigte Informationsinteresse der Öffentlichkeit an" und betrachte "Transparenz als wichtiges Instrument, um diesem Interesse gerecht zu werden und die Akzeptanz von Infrastrukturprojekten und marktlicher Entwicklung zu fördern". Gleichzeitig bewerte sie die "immer noch weiter zunehmenden Transparenzpflichten" im Bereich kritischer Infrastrukturen "angesichts der aktuellen Sicherheitslage als höchst problematisch".

FNB Gas habe entsprechende Bedenken wiederholt bei Konsultationsverfahren der Bundesnetzagentur eingebracht und zusätzlich gezielt Gespräche mit den Ministerien geführt. Statt pauschaler Veröffentlichungspflichten seien abgestufte Transparenzformen erforderlich. Das Kritis-Dachgesetz reiche daher in seiner vorliegenden Form nicht aus, um die kritische Energieinfrastruktur wirksam zu schützen. Zusätzlich müsse die Veröffentlichung bestimmter sensibler Daten begrenzt werden.

Eine Sprecherin des Übertragungsnetzbetreibers Transnet BW sagte auf Anfrage: "Bei einer möglichen künftigen Anpassung der bestehenden Transparenzvorgaben ist aus unserer Sicht eine vertretbare Balance zwischen Transparenz und der Wahrung von Sicherheitsgesichtspunkten zu finden."

Die Kritik an den Transparenzpflichten ist nicht neu. Zuvor hatte unter anderem Sylvia Borcherding, CCO bei dem Übertragungsnetzbetreiber 50 Hertz, vor zu viel öffentlich zugänglichen Informationen gewarnt. Eine Sprecherin bestätigte auf Anfrage, dass 50 Hertz diese Sicht noch immer vertrete. Außerdem forderte der Übertragungsnetzbetreiber, dass Energieunternehmen ihre Investitions- und Betriebskosten für Resilienzmaßnahmen weitergeben dürfen. Dafür brauche es schnell einen bundesweit einheitlichen Rahmen. Zu konkreten Schutzmaßnahmen der Infrastruktur wollte sich 50 Hertz nicht äußern. Auch dazu, ob ein Szenario wie der derzeitige Stromausfall in Berlin mit Verteilnetzbetreibern wie Stromnetz Berlin geübt worden sei, wollte das Unternehmen keine Angaben machen.

Tesla und Transparenz

Berlins Wirtschaftssenatorin Franziska Giffey (SPD) schloss sich der Kritik an den Transparenzpflichten an. Sicherheit müsse vor Transparenz gehen, sagte sie dem "Deutschlandfunk". Es dürften nicht noch mehr kritische Daten veröffentlicht werden. Auch Katherina Reiche, heute Bundeswirtschaftsministerin und damals noch Vorstandsvorsitzende der Westenergie AG, hatte im März 2024 auf Risiken durch Transparenzpflichten aufmerksam gemacht. Sie bezog sich dabei auf den Anschlag auf die Stromversorgung des Tesla-Werks in Grünheide. Zu diesem Anschlag hatte sich ebenfalls die "Vulkangruppe" bekannt. In einem Bekennerschreiben soll sich dieselbe Gruppe auch zum jetzigen mutmaßlichen Anschlag bekannt haben.

Vom Bundeswirtschaftsministerium hieß es auf Anfrage, das Ministerium und seine Behörden beobachteten die Lage genau. "Wir stehen hierzu auch mit den Berliner Amtskollegen sowie mit den Energieversorgungsunternehmen im engen Austausch, um eine schnellstmögliche Wiederversorgung zu gewährleisten", so ein Ministeriumssprecher. Auf die Frage, inwiefern das Ministerium Anpassungen der Transparenzpflichten plane, hieß es, die Bundesnetzagentur und das Ministerium überwachten die Einhaltung der Versorgungssicherheit fortlaufend. "Hierzu zählt auch die andauernde Evaluierung, inwiefern der rechtliche Rahmen die Anforderungen an die Sicherheit des Systems abbildet, etwa indem die Vertraulichkeit kritischer Informationen gewährleistet wird. Im Rahmen der Netzentwicklungsplanung etwa ist bereits jetzt eine Abstrahierung der Daten möglich, um Sicherheitsbelange zu berücksichtigen", so der Sprecher.

Gedächtnis des Internets

Sicherheitsexperte Gehringer sagte, die derzeitigen Transparenzpflichten seien angesichts der Sicherheitslage "nicht mehr zeitgemäß". Es sei zu einfach, an Informationen zu kommen, und die Kosten und der Aufwand für Saboteure seien daher viel zu gering. Gleichzeitig seien bereits so viele Daten und Informationen im Netz und auch über OSINT, die systematische Analyse öffentlich zugänglicher Informationen, einsehbar, dass hier die künftige Erfassung und Praxis eher überarbeitet werden müsse.

"Das Internet vergisst leider nicht schnell, sodass bestehende Daten wohl vorhanden bleiben." Weniger Transparenz allein schütze die Infrastruktur noch nicht. "Also brauchen wir auch mehr Schutz, um es den Akteuren nicht so leicht zu machen", so Gehringer. Andreas Ulbig, Universitätsprofessor an der RWTH Aachen und Vorstand des VDE ETG, machte zudem darauf aufmerksam, dass die Kabel in Berlin für jeden offensichtlich vorhanden gewesen seien. Man hätte nur das Gelände des Kraftwerkes umkreisen müssen und wäre dann darauf gestoßen. 

Die derzeitige Ausgestaltung des Kritis-Dachgesetzes reiche noch nicht aus, sagte Gehringer. Der Fokus liege stark auf Managementprozessen und weniger auf konkreten technischen und physischen Schutzmaßnahmen. "Viele Anforderungen bleiben abstrakt und überlassen Auslegung und Priorisierung weitgehend den Betreibern bzw. müssen diese noch in Rechtsverordnungen konkretisiert werden." Das Thema Drohnen sei vollständig unberücksichtigt. "Für die realen Bedrohungslagen braucht es sektor- und organisationsspezifische Vorgaben. Bis wir diese haben, vergeht leider noch Zeit", so der Experte. Eine angemessene Lastenteilung beim Schutz kritischer Infrastruktur zwischen Staat und Betreibern sei noch nicht erreicht. 

Forderungen nach Kameraüberwachung

Auch Forderungen nach mehr physischem Schutz wurden laut. Zugangskontrollen, Videoüberwachung oder auch Sicherheitsdienste an etwa Umspannwerken und Schaltanlagen forderte der Verband der Elektro- und Digitalindustrie (ZVEI). "Dabei kommt es auch auf starke Lieferketten in Europa an, um im Ernstfall zügig Um- und Ersatzneubau zu realisieren", sagte Wolfgang Weber, Vorsitzender der ZVEI-Geschäftsführung. Es brauche darüber hinaus redundante Kommunikationswege und schwarzstartfähige Kraftwerke. Weber forderte, dass die Bundesregierung weitreichende Resilienzkonzepte erarbeite.

"In Berlin hätten die Kabelbrücke und der Zugang nicht nur besser physisch geschützt, sondern auch überwacht werden müssen", sagte Sicherheitsexperte Gehringer. Schutz gelinge nur mit einem mehrschichtigen Sicherheitskonzept, zu dem Überwachung, Zugangskontrollen, Meldeketten und Redundanzen gehörten. "Technische Unterstützung wie Videoüberwachung an bestimmten vulnerablen Stellen halte ich für sinnvoll. Zugleich sollten wir doch auch überlegen, ob an manchen Stellen Erdkabel besseren Schutz bieten", so Gehringer. Es brauche aber auch geringe Wiederanlaufzeiten und "eine gewisse Grundvorsorge der Bevölkerung und von Unternehmen", um resilient zu sein, da der vollständige Schutz allein nicht möglich sein werde.

N-1 und Zusammenarbeit

Gefragt nach Schutzmaßnamen, sagte FNB-Gas-Geschäftsführerin Fischer, die FNB verfüge über "umfassende Objektschutzkonzepte, die den Zutritt Unbefugter verhindern und die Integrität der Anlagen sichern". Diese Konzepte basierten auf risikobasierten Einstufungen und beinhalteten Schutz- und Detektionsmaßnahmen für besonders sensible Punktobjekte wie Verdichterstationen. Bei Leitungen über große Distanzen seien physische Schutzmaßnahmen nur eingeschränkt möglich - hier setzten die Gasleitungsbetreiber auf Redundanzen im Netz und eine hohe Resilienz, um Versorgungsausfälle zu vermeiden. Terroristische Angriffe oder gezielte Sabotageakte ließen sich jedoch nicht vollständig ausschließen; die Abwehr solcher Bedrohungen liege in der Verantwortung staatlicher Sicherheitsbehörden. Die FNB bereite sich systematisch auf Störungen und Notfälle vor und könne bei Warnungen der Behörden zusätzliche operative Maßnahmen ergreifen.

Eine Sprecherin des Übertragungsnetzbetreiber Amprion sagte: "Unser Netz ist nach dem N-1-Prinzip redundant aufgebaut, sodass auch bei einzelnen Ausfällen die Versorgungssicherheit aufrechterhalten werden kann." Das Unternehmen habe Notfall- und Wiederanlaufpläne und übe damit regelmäßig. Zudem gebe es eine "vorausschauende Lagerhaltung", physische und Cybersicherheitsvorkehrungen. Amprion beobachte die aktuelle Lage aufmerksam und stehe in engem Austausch mit Sicherheitsbehörden. "Auch mit den zuständigen Verteilnetzbetreibern in unserer Regelzone arbeiten wir eng zusammen, um Sicherheitskonzepte stetig zu verbessern", so die Sprecherin.

Was sich aus dem Stromausfall in Berlin lernen lässt, wird sich zeigen. Die Berliner Generalstaatsanwalt hat laut Nachrichtenagentur "DPA" die Ermittlungen übernommen. /kij