FORSI-Jahresband 2023 Der Schutz Kritischer Infrastrukturen (KRITIS) E-Book

Vorwort

Das Forschungsinstitut für Unternehmenssicherheit und Sicherheitswirtschaft (FORSI) hat seine Arbeit an der Hochschule der Akademie der Polizei Hamburg im Jahre 2023 mit aktuellen und grundlegenden Themen fortgesetzt. Mit dem FORSI-Jahresband 2023 stellen wir die Ergebnisse der FORSI-Veranstaltungen und der FORSI-Arbeit des Jahres 2023 öffentlich zur Verfügung. Ich danke Frau Sara Kerbeck vom Boorberg Verlag sehr für ihre Unterstützung.

Der FORSI-Jahresband enthält 3 Teile:

1. Teil: Der Schutz Kritischer Infrastrukturen (KRITIS) unter Berücksichtigung des neuen Rechtsrahmens für Staat, KRITIS-Betreiber und Sicherheitswirtschaft – Ergebnisse der 3. FORSI-Sicherheitstagung 2023

Die 3. FORSI-Sicherheitstagung fand am 27. September 2023 statt. Gegenstand der Tagung war der „Schutz Kritischer Infrastrukturen (KRITIS) unter Berücksichtigung des neuen Rechtsrahmens für Staat, KRITIS-Betreiber und Sicherheitswirtschaft“.

Dabei wurde auch die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) beleuchtet, deren Regelungen für die Praxis von großer Bedeutung sind. Außerdem war das darauf basierende deutsche „KRITIS-Dachgesetz“ Thema der Tagung, dessen Eckpunkte durch die Bundesregierung im Dezember 2022 verabschiedet wurden und zu dem bereits ein Entwurf vorlag.

Im Rahmen des 1. Teils der Tagung hielten der damalige Polizeipräsident Ralf Martin Meyer, Polizei Hamburg, RAin Cornelia Okpara, damalige kommissarische Hauptgeschäftsführerin des Bundesverbandes der Sicherheitswirtschaft (BDSW), und Prof. Dr. Sven Eisenmenger, Leiter des FORSI, das Grußwort.

Der 2. Teil der Veranstaltung „Grundlagenteil und Rechtsrahmen“ wurde – nach einer Einführung von Prof. Dr. Dr. h. c. mult. Rolf Stober, Universität Hamburg – von Alexander Frank, Head of EU Affairs, Confederation of European Security Services (CoESS), mit einem Bericht aus Brüssel über die Entstehung, Inhalte und Perspektiven der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) eröffnet. Prof. Dr. Sven Eisenmenger referierte über die Umsetzung der CER-Richtlinie in einem KRITIS-Dachgesetz und befasste sich dabei insbesondere mit der Rolle der Sicherheitswirtschaft. Prof. Dr. André Röhl, NBS Northern Business School, schloss den ersten Vortragsblock mit seinem Referat über die Bedeutung von „Resilienz“ und stellte ein Resilienzmodell für die Praxis vor. Es folgte eine Diskussion unter der Leitung von Prof. Dr. Dr. h. c. mult. Rolf Stober.

Der 3. Teil der Veranstaltung „Schutz Kritischer Infrastrukturen aus dem Blickwinkel des Staates am Beispiel Cybersicherheit“ begann mit einem Erfahrungsbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) von Anja Wells, Referat WG 11 – KRITIS-Grundsatz, BSI. Darauf folgte ein Bericht der Polizei Hamburg zu KRITIS und Cybersicherheit von Andreas Dondera, LKA 54, Polizei Hamburg. Die Diskussion wurde von Nils Pohl, wissenschaftlicher Mitarbeiter des FORSI, moderiert.

In dem 4. Teil der Veranstaltung wurde der „Schutz Kritischer Infrastrukturen aus dem Blickwinkel von KRITIS-Betreibern und Sicherheitswirtschaft“ betrachtet. Dafür stellte Nils Retkowski, Referent Unternehmenssicherheit, HanseWerk AG, die Sicht eines KRITIS-Betreibers vor, und Jens Müller, Geschäftsführer/Chief Public Affairs, Securitas Deutschland und Vizepräsident des BDSW, nahm sich der Herausforderungen und Pflichten für die Sicherheitswirtschaft an. Prof. Dr. Harald Olschok, Hochschule für Wirtschaft und Recht Berlin, moderierte die Diskussion und beendete die 3. FORSI-Sicherheitstagung mit seinem Schlusswort.

Einige der o.g. Grußworte/Vorträge liegen nun auch in schriftlicher und zum Teil erweiterter Fassung mit diesem FORSI-Jahresband vor. Darüber hinaus enthält dieser Teil einen Vertiefungsbeitrag zu der EU-Resilienz- bzw. CER-Richtlinie von Hannah van Elsbergen, wissenschaftliche Mitarbeiterin am FORSI.

2. Teil: Neuregelungen zum Einsatz Künstlicher Intelligenz (KI) und Drohnen: Was kommt auf die Praxis zu? – Ergebnisse des 3. FORSI-Expertenworkshops 2023

Am 31. März 2023 fand der 3. FORSI-Expertenworkshop – als digitale Konferenz – statt. Gegenstand des Workshops waren die (Neu-) Regelungen zum Einsatz Künstlicher Intelligenz und Drohnen. Die Kernfrage des Workshops lautete: Was gilt an rechtlichen Regelungen und was kommt durch Neuregelungen auf die Praxis zu? Letztlich ging es in dem Workshop auch um einen gemeinsamen Austausch zwischen Polizei und Sicherheitsgewerbe, einer Form der Zusammenarbeit im Rahmen neuer Instrumente der Digitalisierung.

Zum Hintergrund: Auf europäischer Ebene wird das „Gesetz über Künstliche Intelligenz“ verhandelt und befindet sich im Gesetzgebungsverfahren. Dieser Rechtsakt wird ähnlich wie das europäische Datenschutzrecht erhebliche Auswirkungen auf Polizei und Sicherheitswirtschaft haben, und zwar auf mögliche Einsatzfelder Künstlicher Intelligenz (Intelligente Videoüberwachungssysteme, Predictive Policing etc.). Im Vormittagsteil des Workshops ging es um den aktuellen Stand dieser zukünftigen europäischen Regelungen und um die konkreten Auswirkungen auf Polizei und Sicherheitswirtschaft.

Von großem praktischem Interesse ist darüber hinaus auch der Einsatz von Drohnen durch Polizei und Sicherheitswirtschaft, dem der Nachmittagsteil des Workshops gewidmet war. Welche Regelungen gelten hier? Wie sind die rechtlichen Anforderungen und sind diese praktikabel? Hier konnte sogar ein Bericht aus der Schweiz – von der Stadtpolizei Zürich – in den Workshop einbezogen werden. Der Nachmittagsteil diente damit der Strukturierung und Bewertung der Regelungen zum Drohneneinsatz. In beiden Workshopteilen konnten rechtliche Referate mit Referaten der Praxis verbunden und damit das Thema Künstliche Intelligenz und Drohnen auf breiter Grundlage angegangen werden.

Nach den Grußworten von Prof. Dr. Sven Eisenmenger und Florian Graf, damalig Hauptgeschäftsführer des BDSW, begann der Vormittagsteil zum Einsatz Künstlicher Intelligenz durch Polizei und Sicherheitswirtschaft.

Den ersten inhaltlichen Schwerpunkt „Das neue Gesetz über Künstliche Intelligenz“ eröffnete Alexander Frank, Head of EU Affairs, Confederation of European Security Services (CoESS), mit einem Bericht aus Brüssel. Danach trug Dr. Gaby Gurczik, Bundesministerium für digitales und Verkehr (BMDV), DP 20 – Grundsätze Künstliche Intelligenz und Datenökonomie, die Sichtweise des BMDV vor. Nils Pohl, wissenschaftlicher Mitarbeiter des FORSI, schloss mit seinem Referat über rechtliche Auswirkungen auf Polizei und Sicherheitsgewerbe den ersten inhaltlichen Schwerpunkt.

Danach wurde der Einsatz Künstlicher Intelligenz aus Praxissicht behandelt. PHK Hardy Maiwald, Grundsatzabteilung der Wasserschutzpolizei Hamburg, behandelte den Schwerpunkt Wasserschutzpolizei und Cornelius Toussaint, Geschäftsführender Gesellschafter der CONDOR-Gruppe, den Schwerpunkt Sicherheitswirtschaft. Der Vormittagsteil ging mit einer Diskussion unter der Moderation von Prof. Dr. Sven Eisenmenger zu Ende.

Der Nachmittagsteil widmete sich dem Einsatz von Drohnen durch Polizei und Sicherheitswirtschaft und wurde durch Dr. Jan Dirks, BMDV, Abteilung Luftfahrt, eröffnet, welcher die Sichtweise des BMDV vortrug. Darauf folgte ein Referat zum Rechtsrahmen des Einsatzes von Drohnen durch Polizei und private Sicherheitsdienste von Dr. Tim Holzki, Behörde für Verkehr und Mobilitätswende Hamburg, ehemaliger wiss. Mitarbeiter am FORSI.

Den Drohneneinsatz und die Drohnenabwehr aus Praxissicht stellten Polizeidirektor Claus Reuter, Leiter der Grundsatzabteilung der Schutzpolizei Hamburg, für den Schwerpunkt Polizei und Cornelius Toussaint für den Schwerpunkt Sicherheitswirtschaft dar. Adj mbA Oliver Hess, Chef Unfalltechnischer Dienst, Leiter Drohnenkompetenzstelle, Stadtpolizei Zürich, schloss den Praxisteil mit einem Bericht aus der Schweiz. Nach einer Diskussion unter Moderation von Florian Graf, fasste Prof. Dr. Sven Eisenmenger im Schlusswort die gesamte Tagung zusammen.

Einige der o.g. Grußworte/Vorträge liegen nun auch in schriftlicher Fassung mit diesem FORSI-Jahresband vor.

3. Teil: Kooperationsvereinbarungen zwischen Polizei und Sicherheitswirtschaft

Der Jahresband enthält außerdem einen Beitrag von Nils Pohl, wissenschaftlicher Mitarbeiter des FORSI. Dieser befasst sich mit den Kooperationsvereinbarungen zwischen Polizei und Sicherheitswirtschaft in den Bundesländern und Kommunen anhand rechtswissenschaftlicher Kriterien und zeigt Perspektiven auf.

Das FORSI wird auch im Jahre 2024 die Forschung zu der Unternehmenssicherheit und Sicherheitswirtschaft weiter voranbringen. Hinzu kommt, dass das FORSI 2024 sein 25-jähriges Jubiläum seit seiner Gründung an der Universität Hamburg feiert.

Danken möchte ich Frau Hannah van Elsbergen und Herrn Nils Pohl, die die Redaktion des FORSI-Jahresbandes übernommen haben.

Die Beiträge befinden sich auf dem Stand vom November 2023. Über Anregungen und Hinweise freuen wir uns ([email protected]).

Hamburg, im November 2023

Prof. Dr. Sven Eisenmenger

Autorenverzeichnis

Oliver Arning, Leiter Unternehmenskommunikation der CONDOR-Gruppe

Dr. Jan Dirks, Bundesministerium für Digitales und Verkehr

Prof. Dr. Sven Eisenmenger, Hochschule der Akademie der Polizei Hamburg, Leiter des Forschungsinstituts für Unternehmenssicherheit und Sicherheitswirtschaft (FORSI)

Hannah van Elsbergen, Hochschule der Akademie der Polizei Hamburg, Wissenschaftliche Mitarbeiterin des Forschungsinstituts für Unternehmenssicherheit und Sicherheitswirtschaft (FORSI)

Alexander Frank, Head of EU Affairs, Confederation of European Security Services (CoESS)

Polizeipräsident Ralf Martin Meyer, Polizei Hamburg

Jens Müller, Geschäftsführer/Chief Public Affairs Securitas Deutschland, Vizepräsident des Bundesverbandes der Sicherheitswirtschaft (BDSW)

Cornelia Okpara, Stellvertretende Hauptgeschäftsführerin des Bundesverbandes der Sicherheitswirtschaft (BDSW)

Prof. Dr. Harald Olschok, Honorarprofessor für Sicherheitswirtschaft HWR Berlin

Nils Pohl, Hochschule der Akademie der Polizei Hamburg, Wissenschaftlicher Mitarbeiter des Forschungsinstituts für Unternehmenssicherheit und Sicherheitswirtschaft (FORSI)

Prof. Dr. André Röhl, Leiter des Studiengangs Sicherheitsmanagement an der NBS Northern Business School – University of Applied Sciences, Hamburg, Mitbegründer des Bundesverbands für Krisenresilienz in Wirtschaft und Verwaltung (BvKR)

Prof. Dr. Dr. h. c. mult. Rolf Stober, Universität Hamburg

Cornelius Toussaint, Geschäftsführender Gesellschafter der CONDOR-Gruppe

Inhaltsverzeichnis

Vorwort

Autorenverzeichnis

1. Teil: Der Schutz Kritischer Infrastrukturen (KRITIS) unter der Berücksichtigung des neuen Rechtsrahmens für Staat, KRITIS-Betreiber und Sicherheitswirtschaft – Ergebnisse der 3. FORSI-Sicherheitstagung 2023

Grußwort des Polizeipräsidenten anlässlich der 3. FORSI-Sicherheitstagung — Polizeipräsident Ralf Martin Meyer

Grußwort BDSW zur 3. FORSI-Sicherheitstagung — komm. HGFin Cornelia Okpara

Grußwort anlässlich der 3. FORSI-Sicherheitstagung — Prof. Dr. Sven Eisenmenger

Der Entwurf des KRITIS-Dachgesetzes: Ein Rechtsrahmen mit offenen Flanken — Prof. Dr. Dr. h. c. mult. Rolf Stober

Entstehung, Inhalte und Perspektiven der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) — Alexander Frank

Ein neuer Rechtsrahmen für Kritische Infrastrukturen in Deutschland – die CER-Richtlinie, ihre Umsetzung in einem KRITIS-Dachgesetz und die Rolle der Sicherheitswirtschaft — Prof. Dr. Sven Eisenmenger

Vertiefungsbeitrag: Die EU-Resilienz-Richtlinie auf dem unionsrechtlichen Prüfstand — Hannah van Elsbergen

KRITIS-Dachgesetz – ein Beitrag zu gesellschaftlicher Resilienz? — Prof. Dr. André Röhl

Diskussionsbeitrag — Prof. Dr. Dr. h. c. mult. Rolf Stober

Sicherheitsdienstleister und Kritische Infrastrukturen (KRITIS): Herausforderungen und Chancen in der Gesetzgebung — Jens Müller

Der Schutz Kritischer Infrastrukturen im Kontext der wirtschaftlichen Entwicklung der Sicherheitswirtschaft — Prof. Dr. Harald Olschok

2. Teil: Neuregelungen zum Einsatz Künstlicher Intelligenz (KI) und Drohnen: was kommt auf die Praxis zu? – Ergebnisse des 3. FORSI-Expertenworkshops 2023

Grußwort anlässlich des 3. FORSI-Expertenworkshops — Prof. Dr. Sven Eisenmenger

Die EU-Verordnung über Künstliche Intelligenz – ein Bericht aus Brüssel — Alexander Frank

Das Europäische Gesetz über Künstliche Intelligenz – was kommt auf die Polizei und die Sicherheitswirtschaft zu? — Nils Pohl

Künstliche Intelligenz in der Sicherheitswirtschaft — Cornelius Toussaint/Oliver Arning

UAS und eVTOL – Neue Verkehrsträger sicher integrieren — Dr. Jan Dirks

Drohnen in der Sicherheitswirtschaft – ein Blick aus der Praxis für die Praxis — Cornelius Toussaint/Oliver Arning

3. Teil: Kooperationsvereinbarungen zwischen Polizei und Sicherheitswirtschaft

Kooperationsvereinbarungen zwischen Polizei und Sicherheitswirtschaft – Evaluation und Perspektiven — Nils Pohl

1. Teil: Der Schutz Kritischer Infrastrukturen (KRITIS) unter der Berücksichtigung des neuen Rechtsrahmens für Staat, KRITIS-Betreiber und Sicherheitswirtschaft – Ergebnisse der 3. FORSI-Sicherheitstagung 2023

Grußwort des Polizeipräsidenten anlässlich der 3. FORSI-Sicherheitstagung

Sehr geehrte Frau Okpara,

sehr geehrter Herr Prof. Dr. Eisenmenger,

sehr geehrte Damen und Herren,

liebe Kolleginnen und Kollegen,

liebe Gäste,

ich darf Sie heute alle recht herzlich zur 3. FORSI-Sicherheitstagung hier im Polizeipräsidium begrüßen.

Die heutige Thematik, der Schutz Kritischer Infrastrukturen, ist ein ernstes und aufwachsendes Thema. Kritische Infrastrukturen stehen vielfältigen Gefahren gegenüber, seien es natürliche Katastrophen, Terror oder allgemein menschengemachten Bedrohungen/Sabotagen oder technische Ausfälle!

In Folge der Digitalisierung zeichnet sich in jüngster Zeit eine weitere und besondere Anfälligkeit ab: Eine Bedrohung durch zunehmende Cyberangriffe. Die Digitalisierung hat das Leben leichter gemacht, doch sie öffnet leider auch Tore für kriminelle Akteure, die diese Systeme (häufig aus der Ferne) angreifen und lahmlegen können. Der Krieg in Europa wirkt sich (als zusätzliche Bedrohung) negativ aus. Angriffe aus Russland durch (derartige) Hacker steigen massiv an! Daneben sind auch in Ländern wie China Gruppen aktiv, über deren Hintergründe wir nur spekulieren können!

Auch wenn es in dieser Veranstaltung in erster Linie um den physischen Schutz geht, führt auch an der Thematik „Cyberangriff“ kein Weg vorbei, zumal es Verbindungen zwischen physischer und digitaler Sicherheit geben kann! Denken Sie nur an Innentäter oder kriminelle Handwerker oder an das Reinigungspersonal, welches sich Zutritt zum Objekt verschafft, um von dort die IT-Sicherheit anzugreifen. Ich denke, wir sollten keine Option ausschließen, sondern in möglichst kreativen kriminellen Szenarien denken und vorbeugen!

Kritische Infrastrukturen sind technische Versorgungseinrichtungen, die lebenswichtig für das alltägliche Leben (ja das Überleben) unserer Bürgerinnen und Bürger sind. Dass ein Leben ohne Strom nicht funktionieren kann, unter anderem da verschiedene Systeme der Ver- und Entsorgung ausfallen werden, wenn der Notstrom erlischt, wissen wir aus gut recherchierten Werken wie „Blackout“. Selbst ein Leben ohne Onlinebanking bzw. Geldautomaten oder ein Leben ohne funktionierende Verkehrsinfrastruktur ist kaum noch vorstellbar. Der technische Fortschritt hat uns auch hier verwundbar gemacht. Moderne Dienstleistungen, die für das Leben jedes Einzelnen unerlässlich sind, sind auf Energieversorgungen angewiesen. Ihr Ausfall hat direkte Auswirkungen auf die öffentliche Sicherheit und Ordnung.

Ein Blick in den aktuellen gesetzlichen Rahmen legt ein Problem bzw. eine Schwachstelle offen: Ein KRITIS-Unternehmen hat im Falle eines Angriffs lediglich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Meldepflicht, nicht aber gegenüber der Polizei. Allerdings werden die KRITIS-Unternehmen in Hamburg auf Mitteilung vom BSI durch die Senatskanzlei bzw. den dortigen Chief Information Security Officer (CISO) erfasst. Hamburger KRITIS-Unternehmen sind auf einer von der Senatskanzlei vorgehaltenen Sharepoint-Seite der Stadt Hamburg aufgelistet, für die unser Fachkommissariat Cybercrime (LKA 54) eine Zugriffsberechtigung besitzt. So können diese Unternehmen im Angriffsfall – oder auch präventiv – durch unsere Zentrale Ansprechstelle Cybercrime (ZAC) beraten werden. Präventiv heißt: besser und frühzeitiger. Dafür ist es erforderlich, dass sich Unternehmen bei uns melden. Herr Dondera vom LKA 54 wird heute auf der Tagung noch vortragen.

Die gemeinsame Aufgabe liegt darin, diese Einrichtungen vor Gefahren zu schützen und sich auf potenzielle Bedrohungen vorzubereiten oder, wenn es bereits zu einem Angriff oder zu einem Schadensfall gekommen ist, zu reagieren, um den Schaden zu begrenzen!

Präventive Maßnahmen, Be- und Überwachung und eine enge Zusammenarbeit mit Betreibern schützen und bieten im Krisenfall Vorteile! Für Hamburger Unternehmen bietet die ZAC kostenlose Beratungen an. Dazu gehören Awareness-Veranstaltungen, Beratungen zu wirksamen Backup-Konzepten sowie IT-Notfallpläne. Das bereitet Unternehmen auf einen Cyberangriff oder einen Notfall vor und kann so, in einem Angriffsfall, die Reaktionszeit und den Schaden minimieren. Auch Sicherheitsübungen innerhalb der Unternehmen werden durch die ZAC begleitet. Die Nachfrage nach unseren Beratungen ist innerhalb der letzten Jahre glücklicherweise gestiegen. Aber es ist auch noch Luft nach oben!

Auch für die Aufgabenerfüllung der Polizei spielt die Versorgung mit Energie und Telekommunikation eine elementare Rolle. Funk- und ggf. Videotechnik, die Einsatzleittechnik, die IT-Fachverfahren, Fahrzeuge und mobile Geräte bilden eine unabdingbare Voraussetzung für die Aufgabenerfüllung. Für die wichtigsten Infrastrukturen sind daher doppelte Redundanzen eingerichtet und die Systeme sind standardmäßig an Notstromversorgungen gekoppelt. Die persönlichen Zugänge zu den Systemen sind besonders gesichert, erfolgen restriktiv und werden dokumentiert. Zugänge erhält nur sicherheitsüberprüftes Personal bzw. wird durch solches begleitet.

An dieser Stelle ist auf einen engen und notwendigen Austausch relevanter Informationen mit den zuständigen Stellen wie dem Katastrophenschutz, der Senatskanzlei (CISO), dem BSI und dem BKA hinzuweisen und dieser muss weiter ausgebaut werden. Die Einrichtung einer Koordinierungsstelle (KOST), wie in einigen Bundesländern, die die Verbindung zu KRITIS-Unternehmen herstellen, wäre ein denkbarer Schritt.

Durch die Verpflichtung, nach dem neuen Rechtsrahmen Resilienzmaßnahmen durchzuführen und ein Risikomanagement mit Analyse und Bewertung zu betreiben, wird ein übergreifender Standard geschaffen. Hier wird Herr Prof. Dr. Eisenmenger später noch genauer ausführen.

Kritische Infrastrukturen sind das Rückgrat unserer Gesellschaft. Als Sicherheitsbehörden tragen wir eine besondere Verantwortung für ihren Schutz. Gemeinsam müssen wir diese Herausforderung meistern und für eine sichere Zukunft sorgen. Wir haben uns in den letzten Jahren vor Corona und vor dem Krieg zu wenig mit dem Thema Katastrophenvorsorge und dessen Schutz beschäftigt. Hier besteht heute Handlungsbedarf. Wir müssen die Schritte, die notwendig für eine bessere Gefahrenvorsorge sind, jetzt gehen!

Ich freue mich auf einen regen Austausch und danke Ihnen für Ihre Aufmerksamkeit.

Grußwort BDSW zur 3. FORSI-Sicherheitstagung

Sehr geehrter Polizeipräsident Meyer,

lieber Professor Eisenmenger,

meine sehr geehrten Damen und Herren,

ich freue mich sehr, dass es gelungen ist, auch in diesem Jahr in Hamburg wieder eine FORSI-Sicherheitstagung mit hochkarätigen Referenten durchzuführen. Heute stehe ich hier als kommissarische Hauptgeschäftsführerin (HGF) des BDSW. Wie wir am Montag in einer Presse-Information bekannt gegeben haben, wird die Position der HGF ab 1. November dann von Dr. Peter Schwark übernommen. Dr. Schwark (54) bringt vielfältige Erfahrungen aus seiner erfolgreichen Karriere in Wirtschaftsverbänden mit. Der diplomierte und promovierte Volkswirt, da gibt es dann schon eine Gemeinsamkeit zu unserem ehemaligen HGF, Prof. Dr. Olschok, begann 1995 als Wissenschaftlicher Mitarbeiter für „Allgemeine Wirtschaftspolitik“ beim Bundesverband der Deutschen Industrie in Köln. Bereits ein Jahr später wurde er Referent im Büro des Präsidenten und der Hauptgeschäftsführung. 1999 wechselte Schwark zum GDV nach Berlin, wo er unter anderem die Bereiche „Sozialpolitik“ sowie „Presse und Information“ verantwortete, bevor er 2008 zum Mitglied der Geschäftsführung berufen wurde. Seit 2020 ist er Stellvertretender Hauptgeschäftsführer des GDV. Wir freuen uns sehr, dass Dr. Schwark die anspruchsvolle Aufgabe als Hauptgeschäftsführer der Verbände der Sicherheitswirtschaft übernehmen wird. Wir befinden uns gerade in einer entscheidenden Phase mit der Entwicklung des neuen Sicherheitsgewerbegesetzes, den Auswirkungen der Mindestlohnpolitik der Regierung und der angespannten Situation auf dem Arbeitsmarkt. Hier benötigen die Mitgliedsunternehmen eine starke Unterstützung von Verbandsseite. Ich freue mich schon sehr auf die Zusammenarbeit.

Meine Damen und Herren, ich möchte in meinen Ausführungen kurz auf die folgenden Punkte eingehen:

– Wie stellt sich die aktuelle Situation für unsere Branche dar?

– Die kommende Tarifrunde im Sicherheitsgewerbe

– Referentenentwurf zum Sicherheitsgewerbegesetz

– Stellungnahme zum Dachgesetz KRITIS

I. Wie stellt sich die aktuelle Situation für unsere Branche dar?

Die durch den russischen Angriffskrieg auf die Ukraine ausgelösten Folgen auf die Sicherheitslage in Europa und Deutschland, die Flüchtlingsbewegungen und der Umbau der Energiesicherung für den Industriestandort Deutschland haben sich wie noch nie zuvor in den letzten zehn Jahren auf das Sicherheitsgefühl der Gesellschaft und die Branche im Ganzen ausgewirkt. Die Nachfrage nach Sicherheitsdienstleistungen steigt stetig an. Demgegenüber steht die Nachfrage nach Arbeits- und Fachkräften, die wir nicht immer erfüllen können. Das liegt sicherlich nicht nur am Lohn, denn insbesondere in dem Bereich der Luftsicherheit, mit einem Stundenlohn von über 20 Euro, haben wir enorme Probleme, geeignete Mitarbeiter zu gewinnen. Dringend notwendig ist eine Aufwertung des Images und der Tätigkeiten, denn in Zukunft wird es noch mehr erforderlich sein, Mensch und Technik zu verbinden, und damit einher gehen gestiegene Anforderungen an die Tätigkeit. Wir als Wirtschafts- und Arbeitgeberverband gemeinsam mit den Sozialpartnern müssen hieran verstärkt arbeiten. Im Bereich der Luftsicherheit haben wir dazu jüngst eine Imagekampagne gestartet. Dies ist aber nur die eine Seite der Medaille. Die Anerkennung muss aus der Branche selbst und in den Unternehmen erwachsen. Da gibt es noch einiges zu tun.

II. Die kommende Tarifrunde im Sicherheitsgewerbe

Kommen wir nun zu meinem Steckenpferd, der Tarifpolitik. Im letzten Jahr wurde die Tarifpolitik des BDSW erneut vom gesetzlichen Mindestlohn stark beeinflusst.

Der gesetzliche Mindestlohn wurde in Deutschland im Jahr 2015 mit einem Stundensatz von 8,50 Euro eingeführt. Bereits zwei Jahre später wurde die Verdienstuntergrenze auf 8,84 Euro angehoben. Danach gab es jährlich weitere Erhöhungen. 2021 wurde der Mindestlohn dann nicht nur zum Jahreswechsel angehoben, sondern ein zweites Mal in der Jahresmitte auf 9,60 Euro pro Stunde. Im Jahr 2022 folgten sogar drei weitere Steigerungen: Am 1. Januar stieg der Mindestlohn in Deutschland auf 9,82 Euro, zum 1. Juli 2022 auf 10,45 Euro und zum 1. Oktober 2022 auf aktuell 12,00 Euro.

Das Sicherheitsgewerbe ist geprägt durch ein erfolgreiches Tarifvertragssystem. Sowohl die Einführung des gesetzlichen Mindestlohns im Jahr 2015 als auch die Einmischung der Politik in die Arbeit der Mindestlohnkommission durch die außerordentliche gesetzliche Mindestlohnanhebung auf 12,00 Euro pro Stunde ab Oktober 2022 war und ist eine erhebliche Belastung dieser Lohngestaltung. Es wurde in eine Vielzahl von laufenden Tarifverträgen eingegriffen. Daher wurden in fast allen Landesgruppen die Tarifverhandlungen vorzeitig aufgenommen, denn in allen Tarifverträgen gab es Löhne unterhalb der neuen gesetzlichen Mindestlohngrenze. Ziel war es, die Löhne oberhalb des gesetzlichen Mindestlohnes anzusiedeln. Dazu mussten Auslösungsvereinbarungen der noch laufenden Tarifverträge mit den Sozialpartnern getroffen werden. Um das Gefüge insgesamt stimmig zu halten, sollten auch die höheren Lohngruppen von dem Neuabschluss profitieren. Mit 13 Euro Stundengrundlohn liegen wir in allen Bundesländern, Bayern sogar mit 13,50 €, in der untersten Lohngruppe deutlich über dem Mindestlohn.

Bereits im Oktober werden wir wieder in Verhandlungen mit den Sozialpartnern eintreten und müssen dann auf den Weg einer „normalen“ Tarifrunde zurückkehren. Die Mindestlohnerhöhung auf 12,41 Euro zum 1. Januar 2024 hat uns positiv überrascht. Erste Forderungen von ver.di in Höhe von 13,5 % bis rund 20 % liegen bereits vor. Da sind wir dann noch weit weg von einer normalen Tarifrunde, zumal die Inflation stetig zurückgeht. Versuche, in einen bundesweiten Tarifvertrag zu gehen, sind weiterhin leider nicht in Sicht.

III. Referentenentwurf zum Sicherheitsgewerbegesetz

Der BDSW begrüßt den „Entwurf eines Gesetzes zur Regelung des Sicherheitsgewerbes (SiGG)“ des Bundesministeriums des Innern und für Heimat (BMI), sieht aber an vielen Stellen noch Nachbesserungsbedarf. Positiv ist hervorzuheben, dass das Gesetz den modernen Namen Sicherheitsgewerbegesetz tragen soll und sich erstmalig auch auf die sog. Inhouse-Security erstreckt. Wir vermissen aber insbesondere, dass der SiGG-Gesetzentwurf bisher überhaupt keine Anforderungen an Sicherheitspersonal enthält, das mit dem Schutz von KRITIS-Anlagen befasst ist. Dies verwundert sehr, da gerade Bundesinnenministerin Nancy Faeser in Verlautbarungen ständig dem Schutz von KRITIS-Anlagen höchste Priorität einräumt.

Die Analyse des SiGG-Referentenentwurfes zeigt, dass an vielen Stellen noch Nachbesserungsbedarf besteht. Die zuverlässige Einhaltung neu definierter Qualitäts- und Sicherheitsstandards setzt voraus, dass die Anforderungen unter angemessener Berücksichtigung der gegebenen rechtlichen und tatsächlichen Rahmenbedingungen gebildet werden. Anderenfalls drohen die neuen gesetzlichen Vorgaben ein Hemmnis zu werden, das letztlich eine Schwächung des Sicherheitsniveaus zur Folge hat, statt ein höheres Maß an Sicherheit zu bewirken. So hält der BDSW eine Erhöhung von Anforderungen insoweit für unverhältnismäßig, als bereits durch spezialgesetzliche Regelungen wie z.B. dem LuftSiG oder dem UZwGBw ein angemessenes Schutzniveau gewährleistet ist. Zudem ergibt sich aus den vorgesehenen kurzen Übergangsvorschriften im Kontext mit der umfassenden Ausweitung des Sachkundeerfordernisses und begrenzter IHK-Prüfungskapazitäten eine erhebliche Gefahr in Bezug auf die Sicherung besonders sicherheitssensibler Bereiche. Durch eine konsequente Beschränkung aller Verfahrensabläufe auf das gebotene Maß, insbesondere im Zusammenhang mit Zuverlässigkeitsüberprüfungen, kann nach Überzeugung des Verbandes ein weiterer wesentlicher Beitrag zur Erhöhung der Sicherheitsstandards geleistet und zugleich der Bürokratieabbau gefördert werden.

Für uns ist zudem besonders wichtig, dass das sog. Bestbieterprinzip im SiGG fest für die Vergabe öffentlicher Aufträge verankert wird. Bei der Vergabe sind zwingend qualitative Kriterien im Rahmen einer angemessenen und ausgewogenen Gewichtung zwischen Qualität und Preis, mindestens im Verhältnis von 60 zu 40, zu berücksichtigen. Nur so kann eine Billigstvergabe beendet werden.

IV. Stellungnahme zum Dachgesetz KRITIS

Das Sicherheitsgewerbe ist kein eigenständiger KRITIS-Sektor und damit auch nicht primär Normadressat des KRITIS-Dachgesetzes. Der BDSW hat auch nicht die Anerkennung des gesamten Sicherheitsgewerbes als eigenständigen KRITIS-Sektor angestrebt. Es sollte aber im KRITIS-Dachgesetz im Sinne eines All-Gefahren-Abwehransatzes zur Resilienzsteigerung ausdrücklich klargestellt werden:

Sofern sich KRITIS-Betreiber externer Sicherheits-Dienstleister bedienen, dürfen nur Unternehmen und Beschäftigte des Sicherheitsgewerbes zum Einsatz kommen.

Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen.

Dies haben wir in unserer Stellungnahme zum Gesetzentwurf auch gefordert. Eine ausreichende Erwähnung im SiGG fehlt aber leider auch. Nun bin ich gespannt, wie Wissenschaft und Forschung hierzu steht.

Grußwort anlässlich der 3. FORSI-Sicherheitstagung

Herzlich willkommen, meine Damen und Herren, herzlich willkommen in der Hochschule der Akademie der Polizei Hamburg und beim FORSI!

Der Schutz Kritischer Infrastrukturen (KRITIS) – unter Berücksichtigung des neuen Rechtsrahmens für Staat, KRITIS-Betreiber und Sicherheitswirtschaft

So lautet unser Thema der heutigen Tagung und der volle Saal belegt: Es handelt sich um ein hochaktuelles Thema!

Die Auswirkungen des Ukraine-Krieges und Sabotageakte (Schienennetz, Ostsee-Gaspipeline) ebenso wie die Pandemie haben deutlich gemacht, wie anfällig Kritische Infrastrukturen sind. Der Klimawandel und Naturkatastrophen kommen als Risikofaktoren hinzu.

Die neu geschaffene CER-Richtlinie oder Resilienz-Richtlinie legt Mindeststandards für die staatliche Überwachung und für KRITIS-Betreiber fest, die in nationales Recht umzusetzen sind. Die Umsetzung in Deutschland wird in dem geplanten „KRITIS-Dachgesetz“ erfolgen. Erstmals soll ein rechtlicher Gesamtrahmen für Kritische Infrastrukturen geschaffen werden. Betroffen von den Regelungen sind perspektivisch Behörden und aus dem Unternehmensbereich KRITIS-Betreiber. Von großem Interesse in der Praxis und diskutiert ist auch die Frage der Berücksichtigung der Sicherheitswirtschaft in dem KRITIS-Dachgesetz.

Mit der CER-Richtlinie und dem Entwurf des KRITIS-Dachgesetzes – also mit dem physischen Schutz – möchten wir uns befassen, aber auch in einem eigenen Teil mit der Cybersicherheit, denn hier liegen bereits Regulierungserfahrungen vor und diese Erfahrungen sollte man auch in der KRITIS-Dachgesetz-Debatte fruchtbar machen, abgesehen davon, dass auch in der Cybersicherheit eine Neuregelung ansteht.

Zum Ablauf:

Der anschließende 2. Teil „Grundlagenteil und Rechtsrahmen“ bezieht sich im Schwerpunkt auf den physischen Schutz, damit auf die CER-Richtlinie, auf das KRITIS-Dachgesetz und ein Resilienzmodell. Wir hören dazu zunächst das Referat von Herrn Alexander Frank, Head of EU Affairs, Confederation of European Security Services (CoESS), der sich mit der CER-Richtlinie befassen wird („Bericht aus Brüssel“). Anschließend möchte ich Ihnen den KRITIS-Dachgesetz-Entwurf vorstellen und dabei auch auf die Rolle der Sicherheitswirtschaft eingehen. Prof. Dr. André Röhl, NBS Northern Business School, wird sich schließlich eingehend mit dem Begriff „Resilienz“ befassen, ein Resilienzmodell vorstellen und den Grundlagenteil damit abrunden. Anschließend besteht Gelegenheit zur Diskussion. Dieser Teil wird von Prof. Dr. Dr. h. c. mult. Rolf Stober, Universität Hamburg, moderiert, der auch gleich übernehmen wird.

Der 3. Teil befasst sich mit dem Schutz Kritischer Infrastrukturen aus dem Blickwinkel des Staates und dies verbinden wir mit dem Referenzgebiet Cybersicherheit, weil hier Regulierungserfahrungen auf allen Seiten aus der Vergangenheit vorliegen, die man in der aktuellen Diskussion sicher gebrauchen kann. Abgesehen davon wird auch der Cybersicherheitsrahmen derzeit novelliert. Wir freuen uns sehr auf die Erfahrungsberichte von Frau Anja Wells, Referat WG 11 – KRITIS-Grundsatz, Bundesamt für Sicherheit in der Informationstechnik (BSI), und von Herrn Andreas Dondera, LKA 54, Polizei Hamburg. Die Diskussion erfolgt unter der Leitung von Herrn wiss. Mitarbeiter Nils Pohl, FORSI.

Nach der Mittagspause steht dann im 4. Teil der Schutz Kritischer Infrastrukturen aus dem Blickwinkel von KRITIS-Betreibern und Sicherheitswirtschaft im Vordergrund (Praxisteil). Dieser Teil wird sich mit dem physischen Schutz und sicher am Rand auch mit der Cybersicherheit befassen. Hier sind wir gespannt auf den Beitrag zum Energiesektor von Nils Retkowski, Referent Unternehmenssicherheit, HanseWerk AG, sowie zur Sicherheitswirtschaft von Jens Müller, Geschäftsführer/Chief Public Affairs, Securitas Holding GmbH, und Vizepräsident des BDSW. Geleitet wird die Diskussion von Prof. Dr. Harald Olschok, Hochschule für Wirtschaft und Recht Berlin.

Meine Damen und Herren, das FORSI ist seit 2021 an der Hochschule der Akademie der Polizei Hamburg eingerichtet und wir werden uns auch 2024 den aktuellen Themen der Sicherheitswirtschaft und der Unternehmenssicherheit in Form von Tagungen, Expertenworkshops und Publikationen widmen. Dazu halten wir Sie auf dem Laufenden.

Ich danke Ihnen für Ihre Teilnahme, den genannten Mitwirkenden für Ihren Beitrag und im Bereich der Organisation geht ein großer Dank an Hannah van Elsbergen und Nils Pohl, Peter Hagemann und Nick Bollhorst.

Meine Damen und Herren: wir fangen an!

Der Entwurf des KRITIS-Dachgesetzes: Ein Rechtsrahmen mit offenen Flanken

Staatliches und privates Handeln setzen die Existenz, Unterhaltung und Weiterentwicklung einer ökonomischen, sozialen, ökologischen, technischen und digitalen Infrastruktur voraus. Zu Recht spricht das Bundesverfassungsgericht bei diesen Daseins- und Zukunftsvorsorgeaufgaben von einem Infrastruktursicherungsauftrag1.

Dieser Auftrag verdichtet sich, wenn Kritische Infrastrukturen vor Bedrohungen, Gefährdungen und Störungen geschützt werden sollen. Dabei geht es um nichts weniger als um die reibungslose Aufrechterhaltung wesentlicher Funktionen zur kontinuierlichen Bewältigung alltäglicher Herausforderungen für Staat und Selbstverwaltung, Gesellschaft und Wirtschaft (§ 1 E-KRITIS-Dachgesetz).

Infrastruktursicherung tangiert deshalb auch die Grundrechte, weil ihre Gewährleistung unabdingbar für die uneingeschränkte Wahrnehmung von Freiheitsrechten ist. Dieser Anspruch gilt nicht nur für die lebenden Generationen. Er erfasst, wie das Bundesverfassungsgericht im sog. Klimabeschluss herausgearbeitet hat, auch künftige Generationen. Sie sollen ebenfalls die Chance haben, an heute vorhandenen Kritischen Infrastrukturen zu partizipieren2.

Dieser verfassungsrechtlich verbürgte Schutz gelingt nur, wenn die als kritisch identifizierten Einrichtungen und Dienste resilient sind. Angesichts unsicherer Zeiten und permanent wechselnder Lagebilder ist der auf dem All-Gefahren-Ansatz basierende Schutz Kritischer Infrastrukturen ein zentrales politisches, ökonomisches und juristisches Kernthema3, das unter der Überschrift „Krisenschutz der Daseinsvorsorge“ auch Gegenstand eines Gesprächskreises bei der im Oktober 2023 stattfindenden Staatsrechtslehrertagung in Bochum ist.

Als Referenz für den Tagungsort mögen zwei Hamburger Beispiele die aktuelle Relevanz der damit verbundenen Probleme beleuchten:

–Die außenwirtschaftlich motivierte Diskussion um die Beteiligung der chinesischen Staatsreederei COSCO an dem Hamburger Hafen-Terminal Tollerort im Frühjahr 2023.

– Die umweltpolitisch angelegte Debatte um die Klimakleber-Aktion im Hamburger Flughafen am 13. Juli 2023.

Diese exemplarische Auswahl belegt, dass der Schutz Kritischer Infrastrukturen ein hohes dreidimensional ausgerichtetes Gut ist:

– Er ist ein individuelles privates Gut.

– Er ist ein kollektives gesellschaftliches Gut.

– Er ist ein staatliches und binnenmarktgeprägtes öffentliches Gut.

Diese Kategorisierung bedeutet, dass der Schutz kritischer Einrichtungen weder nur in der Eigenverantwortung des Einzelnen liegen noch allein vom Staat oder einem Staatsverbund geleistet werden kann. Vielmehr besteht eine Mit- und Gesamtverantwortung darin, dass sich sämtliche Akteure an dieser Aufgabe beteiligen und effizient zusammenwirken.

Die jüngere Vergangenheit hat gezeigt: Europa und Deutschland, Gesellschaft und Wirtschaft, Unternehmen und Konsumenten, Unternehmenssicherheit und Sicherheitswirtschaft sind resilient und können kritische infrastrukturelle Situationen meistern. Man denke nur an die

– Finanzkrise,

– Terrorismuskrise,

– Coronakrise oder an die

– Energiekrise.

Hingegen steht die Bewältigung weiterer Krisen aus. Hier setzt das Thema der Tagung an, die sich aus unterschiedlichen Richtungen dem Schutz Kritischer Infrastrukturen widmet.

Der erste Hauptteil der Veranstaltung konzentriert sich auf die EU-Richtlinie 2022/2557 über die Resilienz Kritischer Infrastrukturen (sog. CER-Richtlinie)4 sowie deren Umsetzung in nationales Recht durch das sog. KRITIS-Dachgesetz.

Ausweislich der Erwägungsgrunde und der sie konkretisierenden Einzelbestimmungen verfolgen die CER-Richtlinie im Rahmen einer angestrebten Mindestharmonisierung (Erwägungsgründe 1 und 3) und der Entwurf des-KRITIS-Dachgesetzes folgende Zwecke:

– Festlegung strategischer Ziele und Maßnahmen zum Schutz kritischer Einrichtungen (Art. 4 E-KRITIS-Dachgesetz).

–Ermittlung kritischer Einrichtungen anhand eines risikobasierten Ansatzes (Art. 6 Abs. 2 und 17 sowie Erwägungsgründe 15 f. CER-Richtlinie, § 1 E-KRITIS-Dachgesetz).

– Auferlegung von Mindestverpflichtungen für kritische Einrichtungen (Art. 12 ff. CER-Richtlinie und § 1 KRITIS-Dachgesetz) im Sinne eines Risikoplanes und eines Risikomanagements einschließlich Zuverlässigkeitsüberprüfungen (Art. 13 und Erwägung 32 CER-Richtlinie, § 10 ff. E-KRITIS-Dachgesetz).

– Unterstützungsmaßnahmen für kritische Einrichtungen (Art. 1 und Erwägung 25 CER-Richtlinie, § 1 E-KRITIS-Dachgesetz).

– Optimierung von Aufsichts- und Durchsetzungsbefugnissen (Art. 1 und 21 f., Erwägungen 22 ff.; § 1 E-KRITIS-Dachgesetz).

– Verbesserung der Zusammenarbeit zwischen öffentlichen und privaten Infrastrukturträgern (Art. 4 Abs. 2 lit. c CER-Richtlinie)5.

Zusammenfassend sollen die angesprochenen öffentlichen und privaten Unternehmen so ertüchtigt werden, dass sie bei Bedrohungen umfassend agieren und reagieren können, um Störungen abzuwenden.

Die Referenten erörtern nun den Rechtsrahmen Kritischer Infrastrukturen aus binnenmarktrechtlicher sowie aus nationaler Sicht und präsentieren ein eigenständiges Resilienz-Modell6.

1 BVerfGE 108, 370, 393. — 2 BVerfG, NJW 2021, 1723 ff. — 3 S. schon G. Hünnekens, Rechtsfragen der wirtschaftlichen Infrastruktur, 1995; Stober in Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen, 2010, 121 ff.; Guckelberger, DVBl. 2019, 525 ff.; Stober/Korte, Öffentliches Wirtschaftsrecht, Allgemeiner Teil, 20. Aufl. 2023, § 26; RL EU 2022/2557 v. 14.12.2022 zur IT-Sicherheit Kritischer Infrastrukturen. — 4 Die Richtlinie klammert die Aspekte IT- und Cybersicherheit aus (Art. 1 Abs. 2), die Gegenstand der EU-Richtlinie 2022/2055 sind. — 5 S. dazu Stober/Eisenmenger/Olschok (Hrsg.), Handbuch Sicherheitswirtschaft und Öffentlich-Private Sicherheitskooperation, 2023. — 6 S. dazu auch A. H. Karsten in Voßschmidt/Karsten (Hrsg.), Resilienz und kritische Infrastruktur, 2019, 322 ff.