Die EU ist zunehmend darum bemüht, sich gegen den Terrorismus zu wappnen. Anschläge auf Verkehrs-, Energie- und Kommunikationsinfrastrukturen könnten schwerwiegende Folgen nach sich ziehen. Deshalb will die EU diesbezügliche Maßnahmen ihrer Mitgliedstaaten koordinieren und ihren Bürgern das Bewusstsein vermitteln, dass es wirksame Not- und Alarmsysteme gibt, die die wichtigsten Elemente der kritischen Infrastruktur gegen Anschläge schützen.

Zusammenfassung

Die traumatischen Terroranschläge in den USA (2001) und in Spanien (2004) richteten sich gegen die Verkehrsinfrastruktur (Flugzeuge beziehungsweise Züge und Bahnhöfe) der beiden Länder. So genannte ‚kritische Infrastrukturen’ umfassen jedoch nicht nur den Verkehrsbereich. In ihrer Mitteilung „Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung“ aus dem Jahr 2004 definiert die Kommission sie wie folgt:

„Kritische Infrastrukturen sind materielle und informationstechnologische Einrichtungen, Netze, Dienste und Anlagegüter, deren Störung oder Vernichtung gravierende Auswirkungen auf die Gesundheit, die Sicherheit oder das wirtschaftliche Wohlergehen der Bürger sowie auf das effiziente Funktionieren der Regierungen in den Mitgliedstaaten hätte. Kritische

Infrastrukturen sind in vielen Wirtschaftssektoren, u. a. im Bank- und Finanzwesen, im Verkehrs- und Verteilungssektor, in den Bereichen Energie, Versorgungseinrichtungen, Gesundheit, Lebensmittelversorgung und Kommunikation sowie der wichtigen Dienste des Staates zu finden“.

Indessen wird nicht näher bestimmt, ab wann ein Infrastrukturelement als 'kritisch', d.h. entscheidend, gelten kann. Die Kommission weist allerdings auf verschiedene Elemente hin, die in diesem Zusammenhang wichtig sind. Zu ihnen gehören die Größe des geografischen Gebietes, das durch seinen Verlust oder Nichtverfügbarkeit beeinträchtigt ist und die Schwere der Auswirkungen auf die Allgemeinheit, auf Wirtschaft, Umwelt und Politik.

In ihrem am 24. November 2005 veröffentlichten Grünbuch über kritische Infrastrukturen befasst sich die Kommission mit der Frage, wogegen ein "Europäisches Programm für den Schutz kritischer Infrastrukturen" (EPCIP) die EU wappnen soll. Außerdem bestimmt sie, welche kritischen Infrastrukturen als europäisch und welche als national zu betrachten sind. Darüber hinaus legt sie die Rollen der Besitzer und Betreiber kritischer Infrastrukturen fest.

Themen

Zuständigkeit

Da viele wichtige Teile der Infrastruktur nicht dem Staat gehören, müssen sowohl öffentliche als auch privatwirtschaftliche Instanzen in Sicherheits- und Kontrollmaßnahmen eingebunden werden. Auf EU-Ebene fällt der Schutz von Infrastrukturen ausschließlich in den Zuständigkeitsbereich der Mitgliedstaaten. Dennoch soll die EU in diesem Bereich eine koordinierende Rolle übernehmen, weil die Wirksamkeit einzelstaatlicher Maßnahmen in vielen Fällen von einer grenzüberschreitenden Zusammenarbeit abhängig ist. 

Auf Gebieten wie beispielsweise Flug- und Seeverkehrssicherheit sind bereits innerhalb der Kommission Inspektionsdienste eingerichtet worden, welche die Umsetzung von Sicherheitsmaßnahmen durch die Mitgliedstaaten überprüfen. Ein weiterer Schritt ist mit der Schaffung einer Europäischen Agentur für Netz- und Informationssicherheit (ENISA) getan worden.

Politische Initiativen 

Die Kommission soll jedes Jahr eine Mitteilung über Fortschritte und Herausforderungen in diesem Bereich vorlegen. Außerdem wird sie horizontale Verbesserungen und Maßnahmen vorschlagen, auf deren Grundlage unter anderem ein Europäisches Programm für den Schutz kritischer Infrastrukturen (EPCIP) ins Leben gerufen werden soll. Die Regierungen der Mitgliedstaaten sollen Datenbanken über national bedeutende kritische Infrastrukturen weiterführen und/oder entwickeln und wären verantwortlich für die Entwicklung, Validierung und Prüfung entsprechender Pläne, damit die Kontinuität der Dienste ihrer Zuständigkeitsbereiche gewährleistet werden kann. 

Im Laufe des Jahres 2005 will die Kommission darüber hinaus ein Warn- und Informationsnetz für kritische Infrastrukturen (Critical Infrastructure Warning Information Network – CIWIN) einrichten. Es soll ein Netz aus Experten für den Schutz kritischer Infrastrukturen aus den Mitgliedstaaten schaffen, das der Kommission bei der Ausarbeitung von Programmen zur Anregung des Informationsaustausches bezüglich gemeinsamer Bedrohungen und Schwachstellen sowie von geeigneten Maßnahmen und Strategien zur Risikoverringerung helfen soll. In den USA gibt es seit 2003 ein ähnliches Netz, das Critical Infrastructure Warning Information Network (CWIN).

Flugverkehr

Das EU-Projekt Security of Aircraft in the Future European Environment (SAFEE), das die Sicherheit an Bord von Flugzeugen verbessern soll, lief im Jahr 2004 an. Behandelt werden sollen vor allem die Handhabung von Flugzeugentführungen, Vorfälle wie in den USA am 11. September 2001 und futuristischere Szenarien wie elektronische Störung und das Hacken von Computersystemen. Unterprojekte werden sich mit technischen Fragen befassen, etwa mit der Feststellung möglicher Bedrohungen an Bord, Risikoeinschätzungen, Reaktionsmanagement und Flugzeugschutz.

Seeverkehr

Die wichtigste Maßnahme in diesem Bereich ist die Schaffung des ISPS-Code (International Ship and Port Facility Security Code), der im Juli 2004 eingeführt wurde. Er verpflichtet Häfen und Schiffe, über angemessene Sicherheitssysteme zu verfügen. Außerdem müssen Schiffe nachweisen, dass sie nur an anerkannten Häfen angelegt haben. Zweck des Codes ist die Schaffung eines standardisierten und konsistenten Rahmens für die Risikobeurteilung.

Cyberspace

Die EU hat eine Taskforce ins Leben gerufen, die untersuchen soll, was die 25 Mitgliedstaaten im Bereich der Bekämpfung von Bedrohungen gegen kritische Infrastrukturen aus dem Internet unternehmen. Im Rahmen des EU-Projekts CI2RCO (Critical Information Infrastructure Research Coordination), welches im April 2005 verkündet wurde, soll die Taskforce Forschungsbemühungen bündeln, indem sie Forschungsgruppen und –programme identifiziert, die sich mit IT-Sicherheit und dem Schutz kritischer Infrastrukturen (etwa Telekommunikations- oder Stromnetze) befassen. Die Zusammenarbeit soll über die EU hinausgehen und ebenfalls die USA, Kanada, Australien und Russland einschließen.

 

Positionen

In ihrer Mitteilung zum Schutz kritischer Infrastrukturen schreibt die Kommission: „Von Zeit zu Zeit kann es zu gewissen Gefahren oder Bedrohungen durch Terroranschläge kommen, auf die unmittelbar reagiert werden muss. In diesen Fällen müssen die Regierungen und Gewerbetreibenden der Mitgliedstaaten koordiniert und einsatzorientiert reagieren. Dabei sollte die EU die notwendigen politischen Schritte koordinieren und dann mit den Beteiligten die Unterstützungsmaßnahmen im Einzelnen und von Fall zu Fall absprechen“. 

Der EP-Berichterstatter Stavros Lambrinidis weist darauf hin, dass die zuständigen Behörden auf nationaler, europäischer und internationaler Ebene, die wichtige Informationen austauschen, angemessen miteinander vernetzt sein müssen. 

Victor M. Aguado ist der Generaldirektor von Eurocontrol, das sich mit der Entwicklung der Verkehrssteuerung – Air Traffic Management (ATM) – in Europa und den USA befasst. Er vertritt die Auffassung, dass es von entscheidender Bedeutung sei, dass Normen, Regeln und ihre Umsetzung in der Praxis überall gleich seien. Dies bedeute jedoch nicht, dass es eines identischen Systems bedürfe. Vielmehr sei eine größere Kompatibilität und Wirksamkeit der Systeme auf beiden Seiten des Atlantiks nötig.

Tim Robinson, Vizepräsident der Sicherheitsabteilung von Thales, über den sich wandelnden Markt für innere Sicherheit: „Ich sehe eine Verlagerung des Schwerpunkts und ein größeres Gleichgewicht zwischen Verteidigung und innerer Sicherheit. ‚Sicherheit’ ist eine politisch akzeptablere Weise das zu umschreiben, was traditionell Verteidigung war“. 

Laut Bill Mawer, Strategie- und Technologiechef bei Smiths Detection, eines Rüstungsunternehmens mit Sitz in Großbritannien, hätten die neuen Bedrohungen den Weg frei gemacht für einen Technologietransfer aus dem Militär in den Zivilbereich: „Die Sicherheit von Flughäfen und das Militär sind vollständig voneinander getrennt. Als die Menschen anfingen, sich vor asymmetrischen Anschlägen und chemischer Kriegsführung zu fürchten, wurden Militärtechnologien in die Hände der Polizei gelegt“.

Paul Friessen, Direktor vom Fraunhofer Institut für sicherere Informationstechnologien (SIT) der Taskforce C12RCO: „Während die meisten Mitgliedstaaten der EU sich dessen bewusst sind, dass Cyberanschläge eine Bedrohung ihrer kritischen Infrastruktur darstellen und daher zum Informationsaustausch bereit sind, sind einige weniger geneigt. Wir hoffen, diese Hürden überwinden zu können“. 

Die Angst vor einem elektronischen 11. September wird von einigen jedoch infrage gestellt: „Niemand wird in die Luft gejagt. Es handelt sich hierbei nicht um echten Terrorismus. Aber wenn man ‚Terrorismus’ zu Dingen hinzusetzt, bekommt man höhere Budgets“, erläutert Bruce Schneier, Gründer und technischer Direktor der britischen Sicherheitsfirma Counterpane. Schneier ist der Ansicht, die Bedrohung, die von ‚Cyberterrorismus’ ausgehe, werde absichtlich übertrieben, um mehr Mittel für gewisse IT-Projekte zu sichern. 

Um ein Flugzeug vor Entführungen zu schützen, müssten mehrere Verteidigungsebenen aufgebaut werden, so Jean-Thierry Audren von SAGEM. „Es ist wie beim Bau eines Schlosses. Die erste Verteidigungsebene besteht aus Sicherheitsmaßnahmen am Boden, und zwar darin, gefährliche Personen überhaupt erst gar nicht an Bord eines Flugzeugs gelangen zu lassen. Wenn diese Ebene versagt, müssen Systeme an Bord ins Spiel kommen. Es sind diese Systeme, mit denen wir uns beschäftigen“.

Zeitplan

  • Am 24. November 2005 hat die Kommission ein Grünbuch über das Europäisches Programm für den Schutz kritischer Infrastrukturen veröffentlicht. Eine Konsultation hierzu wird im Laufe von 2006 voraussichtlich zu einem Paket zu diesem Programm führen.
  • Die Kommission hat am 2. August 2005 angekündigt, sie werde ein Finanzpaket für Forschung in den Bereichen Verkehrssicherheit und Grenzüberwachung bereitstellen.
  • Kritische Infrastrukturen müssen auf Ebene der einzelnen Mitgliedstaaten und der EU identifiziert werden. Eine Liste soll bis Ende 2005 erstellt werden.
  • Das Warn- und Informationsnetz für kritische Infrastrukturen CIWIN und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) werden derzeit eingerichtet. 
  • Ein Programm für den Schutz kritischer Infrastrukturen, die von möglicher grenzüberschreitender Bedeutung sind, soll bis Ende 2005 auf Grundlage von Vorschlägen der Kommission angenommen werden.