Nach dem folgenschweren Anschlag auf die Berliner Strominfrastruktur Anfang Januar will die Politik aufrüsten. Die Koalitionsfraktionen von CDU/CSU und SPD haben das neue Dachgesetz zum Schutz kritischer Infrastrukturen (Kritis) finalisiert. Der nun geleakte Änderungsantrag zum Regierungsentwurf verdeutlicht, dass die Resilienz der Bundesrepublik künftig nicht mehr nur eine Frage der IT-Sicherheit, sondern eine umfassende nationale Sicherheitsaufgabe sein soll.

Eine der Neuheiten betrifft die Machtbefugnisse der Bundesländer. Diese erhalten künftig eine deutlich größere Flexibilität bei der Identifizierung kritischer Anlagen. Während bisher oft starre Schwellenwerte – etwa die Versorgung von mindestens 500.000 Menschen – ausschlaggebend waren, dürfen die Länder diese Grenzen jetzt eigenständig absenken. Damit könnten auch kleinere, aber regional systemrelevante Einrichtungen unter den besonderen gesetzlichen Schutz gestellt werden, wenn sie vollständig in der Zuständigkeit des jeweiligen Landes liegen. Das Bundesinnenministerium soll dazu schnell eine Rechtsverordnung erarbeiten, die die genauen Kriterien und Verfahren festlegt.

Parallel werden die Fraktionen einen Entschließungsantrag einbringen, der eine Kehrtwende in der Informationspolitik markiert. Sie fordern die Bundesregierung auf, Transparenzpflichten drastisch einzuschränken. Heikel ist die Forderung, bereits öffentlich zugängliche Infrastrukturinformationen zu überprüfen und gegebenenfalls konsequent aus dem Internet zu entfernen. Hintergrund ist der Verdacht, dass die Attentäter von Berlin öffentlich verfügbare Lagepläne für ihre Sabotageplanung nutzen konnten. Schwarz-Rot will daher sicherstellen, dass sensible Daten über Leitungsverläufe oder Kraftwerksknoten künftig Terroristen nicht mehr zur Verfügung stehen. Der Vorstoß soll auch die europäische Ebene einbeziehen, um EU-weite Transparenzvorgaben, etwa im Energierecht, zu revidieren.

Transparenz soll abgewogen werden

Die Koalition will im Gesetz verankern, dass Sicherheit Vorrang gegenüber anderen Belangen wie dem Planungs- oder Umweltrecht bekommt. Behörden und Betreiber werden dazu angehalten, bestehende Ausnahmeregelungen von Veröffentlichungspflichten konsequent zu nutzen. Um die technische Überwachung zu verbessern, müssen Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig detailliert melden, welche Typen kritischer Komponenten sie verbauen – inklusive der konkreten Versionsnummern. Diese Informationen sollen exklusiv ans BSI fließen, um bei Sicherheitslücken gezielte Warnungen aussprechen zu können.

Auch die operative Zusammenarbeit zwischen Staat und Wirtschaft wird neu geregelt. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird verpflichtet, eingegangene Vorfallsmeldungen von Betreibern unverzüglich zu bestätigen und diese mit sachdienlichen Folgeinformationen oder Leitlinien zur Resilienzstärkung zu unterstützen. Zudem soll das BBK regelmäßige Lagebilder zur Gesamtsituation der kritischen Infrastruktur erstellen und diese den Betreibern und Behörden zur Verfügung stellen. Damit reagiert die Politik auf die Kritik, dass Unternehmen im Krisenfall oft zu wenig Rückmeldung von staatlicher Seite erhielten.

„Keine wesentlichen Verbesserungen“

Die schwarz-rote Koalition will die Bestimmungen auch stärker sanktionieren. Der Änderungsantrag etwa sieht eine Erhöhung der Bußgelder vor. Diese können bei schweren Verstößen gegen Melde- oder Registrierungspflichten bis zu einer Million Euro betragen. Um sicherzustellen, dass die neuen Regelungen greifen, wurde die erste Evaluierung des Gesetzes von fünf auf zwei Jahre nach Inkrafttreten vorgezogen.

Manuel Atug von der AG Kritis sieht trotzdem keine wesentlichen Verbesserungen. „Transparenzpflichten sind in einer Demokratie wesentlich und schützen gegen Unfälle“, sagte er. Zudem müssten alle kritischen Infrastrukturen auch im Staat und in der Verwaltung erfasst werden. Doch die Koalition will offenbar auf das Prinzip „Sicherheit vor Sichtbarkeit“ setzen.

Der Bundestag soll den überarbeiteten Gesetzentwurf am Donnerstag beschließen. Abschmettern dürfte Schwarz-Rot dabei zugleich einen Antrag der oppositionellen Grünen. Sie plädieren darin „für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“.

(wpl)

Erst gestern frohlockte Bundeskanzler Friedrich Merz, dass der Ausbau der Windenergie auf See konkret vorangebracht worden sei. Auf dem Nordseegipfel in Hamburg verabredeten Regierungschefs mehrerer Anrainerstaaten, den Nordseeraum zum größten Hub für saubere Energie machen zu wollen. Eine Pressemitteilung verschiedener Branchenverbände der deutschen Offshore-Windindustrie schürt jedoch Zweifel daran. Die von der Stiftung Offshore-Windenergie veröffentlichte Erklärung prophezeit gar, dass Deutschland sein Ausbauziel von 30 Gigawatt bis zum Jahr 2030 nicht halten kann und nur 20 GW schafft. Das Ziel sei frühestens ab 2032 erreichbar.

Auf den ersten Blick sieht es so aus, dass der Ausbau im Jahr 2025 gut vorankam: 41 neue Offshore-Windanlagen mit 518 MW gingen ans Netz. Insgesamt belief sich die Zahl der installierten Anlagen in der deutschen Nordsee auf 1680 Stück mit 9740 MW. 19 weitere Anlagen mit insgesamt 278 MW sind bereits errichtet, aber noch ohne Netzeinspeisung. Außerdem wurden 65 Fundamente installiert, bilanzieren die Branchenverbände.

Gescheiterte Ausschreibung als Warnschuss

Dass es trotzdem stockt, macht die Lobby an zwei Punkten fest: Erstens bremsen Verzögerungen beim Netzanschluss das zügige Vorankommen. Zweitens sieht die Branche in einer gescheiterten Ausschreibung im August 2025, bei der es keine Gebote gab, einen Warnschuss. Ohne eine Reform könnte es auch künftig nur wenige oder gar keine Interessenten geben. Schon im Juni könnte es darüber Gewissheit geben, wenn eine weitere Ausschreibung endet.

Die Verbände plädieren unter anderem dafür, Windpark-Flächen künftig nicht mehr an den Meistbietenden zu vergeben. Projekte würden durch das sogenannte negative Bieten unrentabel. Viele Firmen bauten dann erst gar nicht. Ökonomen und Teile der Politik gehen hingegen davon aus, dass ein fairer Marktpreis für die Nutzung öffentlicher Flächen angemessen ist. Dem Staat würden dadurch Milliardeneinnahmen entgehen. Die Zahlungen würden dazu beitragen, übermäßige Gewinne der Unternehmen abzuschöpfen und die Kosten der Energiewende für die Allgemeinheit zu senken, indem zum Beispiel mit den Einnahmen Netzentgelte gesenkt werden.

Forderung nach Sicherheitsnetz

Eine weitere Forderung der Offshore-Industrie ist eine Einführung zweiseitiger Contracts-for-Difference (CfD), so wie sie in Großbritannien üblich seien. Hinter dem Fachbegriff verbergen sich planbare Einnahmen durch feste Strompreise. Ist der Marktpreis niedriger, zahlt der Staat die Differenz, damit die Windparks rentabel bleiben. Ist der Marktpreis höher, bekommt der Staat die Extra-Gewinne zurückgezahlt. Doch dieses „Sicherheitsnetz“ ist selbst unter Akteuren der Erneuerbaren-Branche nicht unumstritten: Der Bundesverband Erneuerbare Energie warnt in einer Analyse davor, dass dann der Anreiz fehle, Strom dann zu produzieren, wenn er am meisten benötigt wird. Auch könnten die Windparkbetreiber private Lieferverträge zugunsten staatlicher Förderung verdrängen.

Die Offshore-Branche setzt sich außerdem dafür ein, langfristige Lieferverträge mit großen Industriekunden (Power Purchase Agreements) besser abzusichern und Sanktionen anzupassen. Die aktuellen Strafen für Interessenten, die den Zuschlag für eine Windpark-Fläche bekommen, sind nach Ansicht von Branchenvertretern so gesetzt, dass Firmen lieber „pokern“, anstatt wirklich zu bauen. Auch mehr Bundesmittel für Hafeninfrastruktur, ein stärkerer Fokus auf die Sicherheit der Anlagen sowie Schutz vor Marktverzerrung durch staatlich geförderte Akteure stehen auf dem Wunschzettel der Branche.

(mki)

Nach Berichten, dass Microsoft auf richterlichen Beschluss auf seinen Cloud-Servern abgelegte Schlüssel für den lokalen SSD-Schutz BitLocker herausrückt, fragen sich macOS-Nutzer, ob ihnen Ähnliches droht. Darauf gab es, zumindest bis macOS 26 alias Tahoe, im Stil von Radio Eriwan nur eine Antwort: „Im Prinzip ja, aber …“

Zugriff ohne Advanced Data Protection zumindest denkbar

Vor dem im Herbst erschienenen neuen Betriebssystem konnten Nutzer bei FileVault entscheiden: Entweder die Verschlüsselung läuft rein lokal und man schreibt sich einen – im Übrigen nur einmal auftauchenden – Wiederherstellungsschlüssel (Recovery Key) auf – oder man hinterlegte diesen in iCloud, konnte also mit seinem Apple-Account dann auch gleich FileVault entschlüsseln. Entschied man sich für diesen Weg, drohte ähnliches Ungemach wie bei Microsofts BitLocker: Sofern staatliche Stellen Apple dazu bewegten, Zugriff auf den Apple-Account samt iCloud zu erteilen, war auch Zugriff auf FileVault möglich. Derzeit ist unklar, wie, ob und wie oft so etwas bereits geschah – eine entsprechende Anfrage seitens Mac & i bearbeitet der iPhone-Konzern noch.

Eine potenzielle Lösung gab es hierfür indes, auch wenn sie nicht standardmäßig vom Betriebssystem empfohlen wurde: die Verwendung des erweiterten Datenschutzes für iCloud, auf Englisch Advanced Data Protection, kurz ADP. Die seit Ende 2022 / Anfang 2023 verfügbare Technik sorgt dafür, dass alle sensiblen Inhalte, die bei Apple lagern, (endlich) Ende-zu-Ende-verschlüsselt werden und auch Apple selbst – und damit mit Gerichtsbeschluss ausgestattete Behörden, die bei Apple vorstellig werden – keinen Zugriff auf diese hat. Damit war dann auch der FileVault-Zugang gesichert. Das Problem: Viele Nutzer kennen oder finden ADP schlicht nicht oder fürchten sich gar vor der Funktion, da ihnen Apple nach Aktivierung bei Verlust ihres Passworts nicht mehr helfen kann (dafür gibt es aber andere Möglichkeiten).

Mit macOS 26 wird FileVault sicherer

Vorspultaste zu macOS 26: Das neue Betriebssystem hat FileVault nun standardmäßig sicherer gemacht. Denn: Statt den Recovery Key auf Wunsch in iCloud abzulegen, wo Apple gegebenenfalls herankommt, wird hier der iCloud-Schlüsselbund verwendet. Dieser arbeitet von Beginn an Ende-zu-Ende-verschlüsselt und konnte damit von Apple noch nie eingesehen werden. Zugriff erfolgt nur in Kombination von Passwort und zweitem Faktor, an den auch Apple nicht gelangen kann, da dieser an einem Gerät hängt, das sich im Besitz des Nutzers befindet.

Störend an FileVault in Tahoe: Apple fragt nicht mehr nach, ob eine Synchronisation erfolgen soll oder nicht. Ist der iCloud-Schlüsselbund aktiv (zu erkennen daran, dass „Passwörter“ in den Apple-Account-Einstellungen für iCloud aktiv ist), landet der Wiederherstellungsschlüssel automatisch darin, man kann dies nicht mehr, wie bei der unsicheren reinen iCloud-Hinterlegung in macOS 15 und zuvor, unterbinden. Nützlich ist in macOS 26 jedoch, dass man den Wiederherstellungsschlüssel in den FileVault-Einstellungen beliebig oft wieder anzeigen lassen kann. Diesen sollte man unbedingt notieren und an einem sicheren Ort aufbewahren, egal ob man den iCloud-Schlüsselbund verwendet oder nicht.

(bsc)