Deutschlands kritische Infrastruktur: Cybersicherheit als Fremdwort

Es klingt wie ein schlechter Witz, ist aber bittere Realität: Nicht einmal jedes sechste Unternehmen, das für die Grundversorgung der deutschen Bevölkerung unverzichtbar ist, hat sich bislang beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Von geschätzten 29.500 Firmen und Organisationen, die in kritischen Infrastrukturbereichen tätig sind, haben gerade einmal 4.856 ihre gesetzliche Pflicht erfüllt. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage hervor – und offenbart ein erschreckendes Bild der deutschen Sicherheitsarchitektur.

NIS-2: Eine EU-Richtlinie, die Deutschland verschläft

Hintergrund ist die europäische NIS-2-Richtlinie, die Unternehmen der kritischen Infrastruktur – darunter Energieversorger, Krankenhäuser, Wasserwerke und Luftverkehrsunternehmen – dazu verpflichtet, ihre Cybersicherheit massiv aufzurüsten. Dazu gehören Mitarbeiterschulungen, die Meldung sämtlicher Cybervorfälle an das BSI und eben jene Registrierung, die nun so kläglich scheitert. Die Frist läuft am 6. März 2026 ab. Zwei Wochen vor diesem Stichtag hatte sich nur ein Bruchteil der Betroffenen überhaupt die Mühe gemacht, ihre Stammdaten zu hinterlegen.

Man muss sich das auf der Zunge zergehen lassen: In einer Zeit, in der Cyberangriffe auf staatliche und privatwirtschaftliche Systeme nahezu täglich stattfinden, in der russische Hackergruppen europäische Infrastruktur ins Visier nehmen und in der hybride Kriegsführung längst keine Zukunftsmusik mehr ist, schafft es die überwältigende Mehrheit deutscher Unternehmen nicht, ein simples Registrierungsformular auszufüllen.

Warum die Registrierung überlebenswichtig ist

Die Registrierung beim BSI ist keineswegs bloße Bürokratie. Sie dient einem höchst praktischen Zweck: Im Falle einer großflächigen Cyber-Bedrohungslage – etwa wenn eine kritische Sicherheitslücke in weit verbreiteter Software entdeckt wird – muss die Bonner Behörde in der Lage sein, die richtigen Ansprechpartner sofort zu erreichen. Ohne Kontaktdaten, ohne Registrierung, ohne Kommunikationskanal steht das BSI im Ernstfall vor verschlossenen Türen. Die Konsequenzen wären verheerend: Stromausfälle, lahmgelegte Krankenhäuser, gestörte Lieferketten.

Wer glaubt, solche Szenarien seien übertrieben, der sei an den Hackerangriff auf die Colonial Pipeline in den USA im Jahr 2021 erinnert, der die Treibstoffversorgung an der gesamten Ostküste zum Erliegen brachte. Oder an den Angriff auf das Universitätsklinikum Düsseldorf 2020, bei dem eine Patientin starb, weil sie in ein weiter entferntes Krankenhaus umgeleitet werden musste. Die Bedrohung ist real, sie ist gegenwärtig – und Deutschland ist offenkundig nicht vorbereitet.

Bußgelder und Zwangsmaßnahmen: Zu wenig, zu spät?

Nun drohen den säumigen Unternehmen Ordnungswidrigkeitsverfahren, Zwangsgelder und im schlimmsten Fall tiefergehende Aufsichtsmaßnahmen durch das BSI. Klingt entschlossen, wirft aber eine unbequeme Frage auf: Warum hat man es überhaupt so weit kommen lassen? Wenn der Staat weiß, dass rund 29.500 Unternehmen registrierungspflichtig sind, warum wurde nicht frühzeitig und mit Nachdruck auf die Einhaltung der Pflichten gedrängt?

Es ist ein Muster, das sich durch die deutsche Politik zieht wie ein roter Faden: Gesetze werden verabschiedet, Richtlinien umgesetzt, Fristen gesetzt – und dann schaut man tatenlos zu, wie die Realität die Theorie ad absurdum führt. Die neue Bundesregierung unter Friedrich Merz hat sich Verantwortung für Deutschland auf die Fahnen geschrieben. Hier wäre ein guter Anfangspunkt, diese Verantwortung auch tatsächlich wahrzunehmen.

Ein Armutszeugnis für den Standort Deutschland

Selbst die Grünen-Abgeordnete Jeanne Dillschneider sprach von einem „Armutszeugnis" – und so ungern man den Grünen in vielen Belangen zustimmen mag, in diesem Punkt hat sie schlicht recht. Wenn die Bedrohungslage täglich wächst, während gleichzeitig über 80 Prozent der betroffenen Unternehmen ihre grundlegendsten Cybersicherheitspflichten ignorieren, dann ist das nicht nur ein Versagen der Wirtschaft, sondern auch ein Versagen der staatlichen Aufsicht.

Deutschland investiert Milliarden in Sondervermögen und Infrastrukturpakete, diskutiert über Klimaneutralität und gesellschaftliche Transformation – doch die digitale Grundsicherung des Landes verkommt zur Nebensache. Dabei sollte jedem klar sein: Eine Gesellschaft, die ihre kritische Infrastruktur nicht vor Cyberangriffen schützen kann, braucht sich über Energiewende und Digitalisierung gar nicht erst Gedanken zu machen. Das Fundament bröckelt, und niemand scheint es zu bemerken – oder schlimmer noch: Es interessiert schlicht niemanden.

Es bleibt zu hoffen, dass die drohenden Bußgelder und Zwangsmaßnahmen endlich den nötigen Druck erzeugen. Denn eines ist sicher: Die nächste große Cyberattacke kommt. Die Frage ist nur, ob Deutschland dann vorbereitet sein wird – oder ob wir wieder einmal feststellen müssen, dass wir sehenden Auges in die Katastrophe geschlittert sind.