Leitfaden und Checkliste Gesamtverteidigung
- Einleitung
- Kurzübersicht: Prävention und Vorbereitung
- Cyberangriffe und Cybersicherheit
- Spionage, Sabotage und deren Verhinderung
- Personal
- Kraft- und Betriebsstoffe
- Stromversorgung
- Kommunikation und Internet
- Wachpersonal
- Störung der Lieferketten
- Liquiditätsengpässe
- Entwicklungsfelder
- Business Continuity Management
- Offene Fragen und Regelungen
- Unterstützung Ihrer IHK
Wir danken der IHK Bodensee-Oberschwaben in Ihrer Funktion als “Koordinierungsstelle Gesamtverteidigung” der baden-württembergischen IHKn für die Erstellung und Bereitstellung dieses Leitfadens.
Die möglichen Bedrohungsszenarien im Zuge der Gesamtverteidigung sind ebenso vielfältig wie die in Frage kommenden Vorsorgemaßnahmen. Gleichzeitig sind hiermit auch Entwicklungsmöglichkeiten für Unternehmen verbunden.
Einleitung
Ausgehend von Werken wie der Rahmenrichtlinie Gesamtverteidigung sind die Maßnahmen der Gesamtverteidigung derzeit noch in ständiger Konkretisierung und Weiterentwicklung. Für bestimmte Branchen und Unternehmen bestehen auch unabhängig davon bereits sehr detaillierte Regelungen, spezifische Verpflichtungen beispielsweise aus Sicherstellungsgesetzen oder im KRITIS-Bereich (kritische Infrastrukturen). Für viele Aspekte bedürfen die Rechtsvorschriften, Empfehlungen und weitere Dinge nach einer langen Friedensphase jedoch einer Neukonzeption, so dass fortlaufend neue Erkenntnisse hinzukommen. Je nach Risikoeinschätzung, zum Beispiel in Hinblick auf einen Verteidigungsfall oder hybride Angriffe in den nächsten Jahren, können Unternehmen jedoch schon vor finaler Festlegung aller Details in die Umsetzung vieler Punkte einsteigen.
Dieser Leitfaden enthält daher eine Reihe von Anregungen, wie ein erster Einstieg in die Thematik erfolgen kann. Je nach Branche, Unternehmensgröße, vorhandenen Managementsystemen, bestehenden Rechtsvorschriften und weiteren Faktoren können unternehmensindividuell erhebliche Unterschiede bestehen. Insbesondere gelten bei KRITIS-Unternehmen, bei Betroffenheit von weiteren Rechtsvorschriften oder im Fall behördlicher oder kundenseitiger Vorgaben deutlich darüber hinausgehende Anforderungen.
Dieser Leitfaden wird ständig weiterentwickelt und an neue Entwicklungen angepasst. Über Hinweise auf neue Erkenntnisse, Unklarheiten oder über Vorschläge zur Optimierung freuen wir uns sehr.
Kurzübersicht: Prävention und Vorbereitung
In der Rahmenrichtlinie Gesamtverteidigung sowie in weiteren Quellen werden verschiedene Schlagworte genannt, die auf den ersten Blick naheliegend erscheinen. Die Herausforderung über die in der Vergangenheit üblichen Präventionsmaßnahmen hinaus besteht unter anderem in der bei einer hybriden oder kriegerischen Auseinandersetzung deutlich höheren Intensität, den zu erwartenden Engpässen bei Personal, Dienstleistern und Ressourcen sowie dem möglichen Aufeinandertreffen vieler oder aller Faktoren gleichzeitig.
Unter anderem werden genannt:
- Cyberangriffe und Cybersicherheit
- Spionage, Sabotage und deren Verhinderung
- Das Fehlen von Personal, zum Beispiel Reservisten, ehrenamtlichen Kräften bei Rettungsdiensten, Feuerwehr, THW et cetera oder durch die Auswirkungen von Angriffen
- Ein Mangel an Kraft- und Betriebsstoffen
- Stromausfälle bis hin zu einem Blackout
- Ausfall der Kommunikationsmittel, des Internets et cetera
- Engpässe bei Wachpersonal
- Störung der Lieferketten, sowohl international als auch national
- Liquiditätsengpässe in bestimmten Branchen
Gleichzeitig hat sich sowohl in jüngeren Konflikten als auch während der Corona-Krise gezeigt, dass auch Entwicklungsmöglichkeiten bestehen, zum Beispiel infolge erhöhter Nachfrage nach bestimmten Produkten oder Dienstleistungen und deren Aufnahme in das eigene Portfolio.
Rein exemplarisch wäre dies unter anderem denkbar in Bereichen wie:
- Notstromversorgung, Photovoltaik, Stromspeicher und ähnliches
- Baumaterial und Bauleistungen
- Bewachung, technische Überwachungslösungen
- Verschiedenste Leistungen für Streitkräfte und Behörden
- und vieles mehr
Bei all diesen Herausforderungen und Entwicklungsmöglichkeiten ist ein Aspekt wichtig: Ein klassischer militärischer Angriff wäre zwar fatal und ein enormes Schockmoment, jedoch wären die Rahmenbedingungen und die erforderlichen Reaktionen relativ gut eingrenzbar. Gegenüber der Phase des Kalten Krieges ist mit hybriden Angriffsszenarien unterhalb der Schwelle eines militärischen Konflikts jedoch eine enorme Komplexität hinzugekommen. Vereinfacht ausgedrückt ist alles denkbar was uns schadet, zu jeder Zeit, überall, in jeder Form und in beliebiger Kombination.
Die einzelnen Punkte werden im Folgenden vertieft und erste Handlungsansätze skizziert. Im Zuge der Umsetzung ist unbedingt eine unternehmensindividuelle Analyse erforderlich, bei Bedarf unter Einbeziehung weitergehender Informationsquellen, Experten und Dienstleister. Je nach unternehmensspezifischer Situation können die skizzierten Maßnahmen anwendbar, ungeeignet oder nicht weitreichend genug sein.
Cyberangriffe und Cybersicherheit
Trotz aller bisherigen Herausforderungen durch Cyberangriffe waren diese vielfach auf eine begrenzte Zahl von Unternehmen und Institutionen beschränkt. Zudem erfolgen viele Angriffe unter Ausnutzung sogenannter Zero Day Exploits, also bislang unbekannter und dadurch noch nicht durch Virenscanner und weitere Schutzmaßnahmen abgedeckte Sicherheitslücken. Darüber hinaus werden Systeme oft bereits im Vorfeld kompromittiert, ausgespäht und eine Störung wird erst spät oder nie erkannt.
In bestimmten (hybriden) Angriffsszenarien wäre mit einer Vielzahl gleichzeitiger Cyberangriffe zu rechnen, sowohl in Hinblick auf die Zahl angegriffener Unternehmen als auch die Vielfalt der Angriffsvektoren.
Dies könnte nicht nur dazu führen, dass IT-Forensiker und -Sicherheitsexperten so stark gebunden sind, dass Unternehmen erst mit Verzögerung auf Unterstützung zurückgreifen können. Zudem könnten Daten oder auch ganze Systeme zerstört werden, für die infolge von Engpässen kein zeitnaher Ersatz verfügbar ist. Darüber hinaus sind viele weitere Szenarien vorstellbar.
Für IHK-Mitglieder bieten wir zum Beispiel einen kostenfreien IT-Sicherheits-Check. Je nach Risiko und Schutzbedarf existieren zahlreiche weiterführende Informationen, IT-Sicherheitsstandards, Berater, Dienstleister und vieles mehr.
Je nach Risiko und Ergebnis der Abwägung könnte eine zentrale Maßnahme im Spannungs- oder Kriegsfall zum Beispiel auch in der Trennung besonders kritischer oder aller Systeme vom Internet bestehen, in Verbindung mit einer Datenübertragung über gesicherte Wege, wo dies erforderlich ist. Dies ist allerdings wie jede Maßnahme im Einzelfall unter Einbindung entsprechender Experten zu betrachten.
Spionage, Sabotage und deren Verhinderung
Einer Sabotage geht in der Regel die Spionage voraus. Für kritische Infrastrukturen und in weiteren Bereichen bestehen bereits Vorgaben und Anforderungen rund um den Schutz vor Sabotage. Bereits während der Corona-Krise hatte sich jedoch gezeigt, dass eine Vielzahl weiterer Produktsegmente, Dienstleistungen oder Unternehmen plötzlich systemrelevant werden können, wenn zum Beispiel bestimmte Komponenten fehlen oder eine ganze Berufsgruppe infolge eines extrem angestiegenen Dienstleistungsbedarfs gebunden ist.
Es wäre unrealistisch, die KRITIS-Anforderungen auf alle theoretisch betroffenen Bereiche auszudehnen. Dennoch ist aufgrund der hohen Vielfalt und Komplexität insbesondere hybrider Angriffsszenarien eine unternehmensindividuelle Analyse anzuraten, inwieweit eine Betroffenheit von Spionage oder Sabotage denkbar ist. Die Ämter für Verfassungsschutz bieten zu dieser Thematik Informationsmaterial, Ansprechpartner und sind auch Anlaufstelle wenn Spionage oder Sabotage vermutet beziehungsweise festgestellt wird.
Personal
Viele Reservisten oder ehrenamtliche Mitglieder von Rettungsdiensten und anderen Organisationen sind gleichzeitig in mehreren Organisationen sowie in einem Unternehmen aktiv. Die aus Friedenszeiten herangezogenen Annahmen bezüglich deren Verfügbarkeit in den jeweiligen Organisationen oder im Unternehmen sind in vielen Angriffsszenarien nicht mehr anwendbar, wenn die jeweiligen Kräfte viel intensiver, zahlreicher und gleichzeitig beansprucht werden.
Es ist daher sinnvoll, die Anzahl der als Reservisten, bei Rettungsdiensten und in weiteren Organisationen tätigen Beschäftigten zu erfassen und die Auswirkung deren Fehlen insbesondere auf geschäftskritische Prozesse zu ermitteln. Hierbei sind unter anderem die Anforderungen an Einwilligungen der Beschäftigten, Beschäftigten-Datenschutz, etwaige Vereinbarungen mit dem Betriebsrat sowie weitere Aspekte zu berücksichtigen.
Je nach Anzahl der gegebenenfalls nicht mehr im Unternehmen verfügbaren Personen kann es möglicherweise sinnvoll sein, die Einbindung früher beschäftigter Rentner oder anderer Personen für bestimmte Funktion in Erwägung zu ziehen.
Unabhängig davon kann je nach sicherheitspolitischem Umfeld eine frühzeitige Sensibilisierung der Belegschaft für die unternehmensspezifisch erwarteten Auswirkungen über die üblichen Vorsorgemaßnahmen hinaus sinnvoll sein.
Kraft- und Betriebsstoffe
Im Ernstfall und bei sich daraus ergebenden Störungen der Versorgung stehen die vorhandenen Reserven insbesondere den Streitkräften, Rettungsdiensten und weiteren für die Gesamtverteidigung relevanten Organisationen zur Verfügung.
Zur Aufrechterhaltung geschäftskritischer Prozesse sollte daher ein dem Risiko und sicherheitspolitischem Umfeld angemessener Vorrat vorgehalten werden. Hierbei sind unter anderem die Anforderungen bezüglich Arbeits- und Betriebssicherheit, Gefahrstoffen et cetera zu berücksichtigen.
Stromversorgung
Im Ukrainekrieg wurde deutlich, dass Angriffe auf die Energieversorgung systematisch zur Schwächung des Gegners eingesetzt werden. Bereits bei Sabotageaktionen, insbesondere aber bei komplexen hybriden oder militärischen Angriffen wäre mit einem auch länger anhaltenden Ausfall der Stromversorgung zu rechnen.
Je nach Risiko und Auswirkungen sollte daher die Notwendigkeit einer Notstrom- oder Eigenversorgung geprüft werden. Der Betrieb von Eigenversorgungsanlagen sollte auf einen möglichen Inselbetrieb hin geprüft werden. Die Lösung kann von einem kleineren Aggregat beispielsweise für einige PCs, Beleuchtung und Heizung bis hin zu umfangreichen Systemen zur Absicherung ganzer Produktionen reichen.
Kommunikation und Internet
Mobilfunk, Internet (und damit Telefonie über das Internet) können ausfallen. Im Zuge der Notfallplanung sollte je nach Risiko die Verfügbarkeit alternativer Kommunikationsmittel geprüft werden.
Gegebenenfalls können ergänzend auch „analoge“ Meldeketten zwischen Personen festgelegt oder in hinreichend enger Taktung zum Beispiel Treffpunkte und -Zeiten bei Notfällen außerhalb der Betriebszeiten festgelegt werden.
Wachpersonal
Im Ernstfall wäre die Bundeswehr großteils nicht mehr in Deutschland und die Polizei durch eine Vielzahl von Aufgaben gebunden. Bis auf Ausnahmen mit hoher Bedeutung für die Gesamtverteidigung wäre somit nicht damit zu rechnen, dass Militär oder Polizei für die Sicherung von Unternehmen oder deren Infrastruktur zur Verfügung stehen.
Gleichzeitig wäre mit einer deutlich erhöhten Nachfrage nach Dienstleistern und Personal für Wach- und Sicherungsaufgaben zu rechnen. Bei entsprechendem Bedarf sollten daher rechtzeitig die benötigten Kapazitäten gesichert werden.
Störung der Lieferketten
Nicht nur in einem großen Konflikt wären Lieferketten gestört. Auch im Fall der Sabotage oder Bedrohung zum Beispiel von Schifffahrtswegen oder infolge einer Einflussnahme auf Lieferländer kann es zu einer Störung von Lieferketten kommen, sowohl national als auch international. Je nach Szenario kann es daher sinnvoll sein, sich proaktiv auf eine kurzfristige Umstellung oder Diversifizierung von Lieferketten vorzubereiten.
Rund um die Diversifizierung von Lieferketten, internationale Märkte und damit verbundene Fragestellungen finden Sie Informationen, Arbeitskreise und Ansprechpartner in unserem Bereich International.
Liquiditätsengpässe
In verschiedenen Szenarien sind Situationen denkbar, in denen es in Folge von Verunsicherung oder Desinformation, gestörten Lieferketten, Rohstoffengpässen oder weiteren Einflüssen zu massiven oder vollständigen Einbrüchen der Nachfrage oder des Angebots in bestimmten Branchen und damit des Umsatzes kommt. Denkbar ist dies rein exemplarisch im Tourismus oder bei Luxusgütern.
In diesem Zusammenhang ist zu berücksichtigen, dass auch im Spannungs- und Kriegsfall zunächst die Grundsätze und der ordnungspolitische Rahmen der sozialen Marktwirtschaft gelten, ergänzt durch Zugriffe und Regelungen für verteidigungsrelevante Güter und Leistungen. Konkret könnten somit in kurzer Zeit zahlreiche betroffene Unternehmen von einer Insolvenz bedroht sein.
Nach aktuellem Kenntnisstand gibt es diesbezüglich keine Automatismen. Mögliche Maßnahmen wie eine Aussetzung der Insolvenzantragspflicht, Steuererleichterungen, Hilfsprogramme oder Kredite und Bürgschaften würden somit situationsspezifisch umgesetzt werden. Dennoch sollten Unternehmen sich mit entsprechenden Szenarien befassen und in einer Notfallplanung auch die entsprechenden Informationsquellen sowie internen Ressourcen und Kompetenzen für eine Befassung mit entsprechenden Maßnahmen berücksichtigen.
Entwicklungsfelder
Sofern sich aufgrund einer Bedrohung, eines Spannungsfalls oder (hybriden) Angriffs in kurzer Zeit ganze Märkte und Bedarfe verschieben, würden sich viele Unternehmen auf die Deckung der veränderten Bedarfe einstellen, sofern die erforderlichen Ressourcen verfügbar sind. Die Methoden zur Vorbereitung auf derartige Optionen sind weitgehend deckungsgleich mit Methoden des Innovationsmanagements, der Entwicklung neuer Geschäftsmodelle oder dem Transformations-Management. Neben den genannten Informationen finden Sie zu diesen Themen auch (vom Thema Gesamtverteidigung unabhängige) Weiterbildungsangebote bei der IHK und weiteren Bildungsträgern. Information zu Aufträgen von Streitkräften und NATO finden Sie zudem bei der Auftragsberatungsstelle bei der IHK Stuttgart.
Während der Coronakrise wurden bei kurzfristig geänderten Bedarfen teilweise die Anforderungen bezüglich Produktvorschriften, Zulassungen, Dokumentationen et cetera reduziert, um die Verfügbarkeit sicherzustellen. In einem Spannungs- oder Verteidigungsfall wäre mit vergleichbaren Maßnahmen zu rechnen.
Business Continuity Management
Unter Schlagworten wie Betriebliches Kontinuitätsmanagement, Business Continuity Management oder Notfall- und Krisenmanagement finden Sie zahlreiche weiterführende oder vertiefende Informationen sowie Berater, Dienstleister und vieles mehr. In bestimmten Branchen oder aufgrund rechtlicher beziehungsweise vertraglicher Verpflichtungen können damit verbundene Maßnahmen auch vorgegeben sein.
Offene Fragen und Regelungen
Bereits bei Befassung mit den genannten einführenden Aspekten stoßen Sie sicher sehr schnell auf Fragestellungen, für die es noch keine Antworten, Regelungen, Standards oder Rechtsvorschriften gibt.
Je nach Ihrer individuellen Bewertung des Risikos einer hybriden oder militärischen Bedrohung und der damit verbundenen Auswirkungen kann es dennoch sinnvoll sein, die eingrenzbaren Dinge vorzubereiten und in den anderen Bereichen entweder mit Annahmen und Szenarien zu arbeiten oder diese erst mit zunehmender Faktenlage und Konkretisierung anzugehen. Hinweise auf mögliche Zielrichtungen finden Sie eventuell auch in der Rahmenrichtlinie Gesamtverteidigung, in Sicherstellungsgesetzen und –verordnungen, in Bundestags- oder Landtagsanfragen, Studien und vielen weiteren Veröffentlichungen.
Für Hinweise auf bestehende Rechts- und Regelungslücken, auf praktische Herausforderungen und vieles mehr sind wir Ihnen sehr dankbar.
Unterstützung Ihrer IHK
Kommen Sie bei Fragen gerne auf uns beziehungsweise auf die zu den jeweiligen Fachinformationen genannten Ansprechpartner zu. Für IHK-Mitglieder bieten wir kostenfreie Erstberatung zu zahlreichen Themen, außerdem zahlreiche kostenfreie Veranstaltungen und Formate für den Erfahrungsaustausch.
Dieser Leitfaden wird zudem fortlaufend weiterentwickelt und dient als Wissens-Pool, der aufgrund Ihrer Rückmeldungen ergänzt und angepasst wird, sofern dies keine vertraulichen oder sicherheitskritischen Informationen betrifft.
Entsprechend unseres gesetzlichen Auftrags vertreten wir zudem gegenüber der Politik das Gesamtinteresse der Wirtschaft und beziehen hierbei Ihre Expertise und Meinungen ein. Insofern lassen wir Ihre Hinweise auf fehlende, ungeeignete oder unklare Rechtsvorschriften und Regelungen auch gerne in unsere politische Arbeit einfließen.