KI in kritischer Infrastruktur und NIS2: Wie Vorstände KRITIS-Betreiber gegen algorithmische Angriffe absichern
KI in kritischer Infrastruktur und NIS2 bezeichnet das Spannungsfeld aus algorithmischer Steuerung lebenswichtiger Systeme und der ab Oktober 2024 umzusetzenden EU-Richtlinie. Dr. Raphael Nagel (LL.M.) zeigt: Data Poisoning und Adversarial Attacks bedrohen Energie, Wasser und Verkehr, während NIS2 persönliche Vorstandshaftung, Bußgelder bis zehn Millionen Euro und dokumentierte Governance verlangt.
KI in kritischer Infrastruktur und NIS2 is der rechtlich-technische Rahmen, in dem KI-gestützte KRITIS-Systeme betrieben, abgesichert und gegenüber Aufsichtsbehörden dokumentiert werden müssen. Die NIS2-Richtlinie der EU, ab Oktober 2024 in nationales Recht umgesetzt, erweitert den Kreis der als kritisch definierten Sektoren erheblich, darunter Abwasser, Abfallwirtschaft, Post, Lebensmittelversorgung, digitale Infrastruktur und Raumfahrt. Unternehmen in wesentlichen und wichtigen Sektoren müssen Risikomanagement, Meldepflichten und technische Schutzmaßnahmen implementieren. Sanktionen erreichen bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes; Vorstände haften persönlich. KI-spezifische Angriffsvektoren wie Data Poisoning, Model Inversion und Adversarial Attacks sind Bestandteil dieses Pflichtenkreises.
Warum NIS2 die KI-Steuerung kritischer Infrastruktur zur Chefsache macht
NIS2 verlagert die Verantwortung für KRITIS-Cybersicherheit explizit auf Vorstand und Geschäftsführung. Ab Oktober 2024 umgesetzt, haften Leitungsorgane persönlich für Risikomanagement, Meldepflichten und Schutzmaßnahmen. Bußgelder erreichen zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes. KI-gesteuerte Systeme fallen vollumfänglich in diesen Pflichtenkreis.
Der erweiterte Sektorenkreis umfasst neu Abwasser, Abfallwirtschaft, Post und Kurier, Lebensmittelversorgung, digitale Infrastruktur und Raumfahrt. Für Vorstände heisst das konkret: jede KI-gestützte SCADA-Steuerung, jedes algorithmische Lastmanagement und jede KI-basierte Anomalieerkennung in einem dieser Sektoren wird zum dokumentationspflichtigen Hochrisikosystem mit persönlicher Haftungskonsequenz. Dr. Raphael Nagel (LL.M.) ordnet diese Zäsur in ALGORITHMUS als regulatorische Zäsur ein, die die Rolle des Aufsichtsrats neu definiert.
Die Verbindung zum EU AI Act ist strukturell: KI-Systeme in kritischer Infrastruktur fallen regelmäßig in die Hochrisiko-Kategorie (Annex III) und unterliegen damit zusätzlich Risikomanagement-Systemen, Daten-Governance, technischer Dokumentation, Protokollierung, menschlicher Aufsicht und Cyber-Sicherheitsanforderungen. Wer NIS2-Pflichten erfüllt, hat einen Großteil der AI-Act-Anforderungen bereits strukturell adressiert, ohne dass dies umgekehrt gilt.
Welche KI-spezifischen Angriffsvektoren KRITIS-Betreiber kennen müssen
Data Poisoning, Model Inversion und Adversarial Attacks sind die drei KI-spezifischen Bedrohungskategorien, für die klassische IT-Sicherheit nicht ausreichend ausgelegt ist. Ein vergiftetes Lastmanagement-Modell reagiert bei Extremwetter falsch; eine adversariale Eingabe lässt einen echten Angriff als Normalbetrieb erscheinen.
Data Poisoning kontaminiert Trainingsdaten so, dass ein Modell in definierten Situationen systematisch falsch entscheidet. Ein Energielastmanagement, das in Nachfragespitzen fehlerhaft reagiert, kann eine Blackout-Kaskade auslösen, die nach außen wie technisches Versagen erscheint, tatsächlich aber ein Cyberangriff ist. Die forensische Unterscheidung ist hochgradig schwierig und erfordert dedizierte KI-Forensik-Kompetenz, die in den meisten Stadtwerken, Netzbetreibern und Wasserversorgern heute nicht vorhanden ist.
Adversarial Attacks sind die subtilste Kategorie. Manipulierte Eingaben, für menschliche Beobachter unsichtbar, bringen ein KI-gestütztes Anomalieerkennungssystem dazu, einen echten Angriff als Normalzustand zu klassifizieren. Der menschliche Operator sieht keine Warnung und weiß nichts vom laufenden Eindringen. Dr. Raphael Nagel (LL.M.) plädiert in ALGORITHMUS für dedizierte Red Teams mit KI-spezifischer Expertise statt klassischer Penetrationstests, die diese Angriffsklasse methodisch nicht erfassen.
Was der Ukraine-Angriff 2015 und NotPetya 2017 über KRITIS-Fragilität lehren
Im Dezember 2015 schaltete ein Cyberangriff ukrainische Energieversorger ab und ließ mehr als 230.000 Haushalte mitten im Winter ohne Strom. Der Angriff nutzte BlackEnergy und Industroyer und wurde der russischen GRU-Einheit Sandworm zugeordnet. Es war die erste öffentlich dokumentierte Abschaltung eines nationalen Stromnetzes ohne einen einzigen Schuss.
NotPetya im Juni 2017 zeigte die Kollateralwirkung staatlicher Cyberoperationen. Maersk verlor 47.000 PCs und tausend Server, die globale Containerbewegung stand für mehr als eine Woche still. Merck, FedEx und die ukrainische Verwaltung wurden simultan getroffen. Der Gesamtschaden wird auf über zehn Milliarden Dollar geschätzt. NotPetya war als Ransomware getarnt, war aber ein russischer Staatsangriff. Der Kollateralschaden traf eine globale Wirtschaft, die ihre Lieferketten für solche Szenarien nie ausgelegt hatte.
Colonial Pipeline im Mai 2021 demonstrierte, dass auch konventionelle Ransomware durch die DarkSide-Gruppe kritische Infrastruktur lähmen kann: Sechs Tage Betriebsstopp, Treibstoffknappheit in mehreren US-Bundesstaaten, 4,4 Millionen Dollar Lösegeld in Bitcoin. In Verbindung mit KI-gestützten Angriffswerkzeugen, die Schwachstellenanalyse und Spear-Phishing automatisieren, verschiebt sich die Asymmetrie zwischen Angreifer und Verteidiger weiter zuungunsten kommunaler Betreiber.
Welche konkreten Schutzmaßnahmen Vorstände jetzt anordnen müssen
Drei Mindestmaßnahmen sind nicht verhandelbar: vollständige Netzwerksegmentierung mit Air-Gap oder strikt isolierten Segmenten, redundante menschliche Kontrollmechanismen für jede kritische algorithmische Entscheidung und regelmäßige Red-Team-Übungen mit KI-spezifischer Angriffsmethodik. Wer eine dieser drei Säulen auslässt, verfehlt den NIS2-Sorgfaltsmaßstab.
Netzwerksegmentierung bedeutet konkret: KI-Systeme in KRITIS-Betrieben dürfen nicht direkt am öffentlichen Internet hängen. Datenaustausch erfolgt über kontrollierte, protokollierte Transferpunkte. Redundante Kontrolle bedeutet, dass menschliche Operatoren jede kritische KI-Entscheidung übersteuern können und regelmäßig, nicht nur theoretisch, den Betrieb ohne KI-Unterstützung üben. Dieser Aspekt, von Dr. Raphael Nagel (LL.M.) als Antwort auf kognitive Atrophie beschrieben, ist Kompetenzerhaltung, nicht Ineffizienz.
Die Ressourcenasymmetrie zwischen staatlichen Angreifern und kommunalen Betreibern kann kein einzelnes Stadtwerk schließen. Die Antwort liegt in staatlichen Unterstützungsstrukturen: das BSI als zentrale Frühwarnstelle, geteilte Sicherheitsplattformen für KRITIS-Betreiber, mandatorische Mindeststandards und gemeinsame Verteidigungsarchitekturen analog zu militärischen Kollektivverteidigungssystemen. Tactical Management begleitet Industrie- und Versorgungsunternehmen bei der Übersetzung dieser Anforderungen in operative Governance-Strukturen, die vor Aufsichtsbehörden und im Schadensfall vor Gericht bestehen.
Die Verbindung von KI und kritischer Infrastruktur ist kein Technologiethema, sondern eine juristisch-strategische Führungsfrage. Mit dem Inkrafttreten der NIS2-Richtlinie und der parallelen Hochrisiko-Logik des EU AI Acts ist die Zeit der informellen KRITIS-Cybersicherheit endgültig vorbei. Vorstände, die den Sorgfaltsmaßstab nicht aktiv definieren, werden ihn im Schadensfall von Aufsichtsbehörden und Gerichten definiert bekommen, mit persönlichen Konsequenzen, die bis zur Inanspruchnahme des privaten Vermögens reichen können. Dr. Raphael Nagel (LL.M.) analysiert in ALGORITHMUS die strukturellen Mechanismen, die diese neue Haftungsrealität hervorgebracht haben, und zeigt, wie Tactical Management Industrie- und Versorgungsunternehmen bei der Übersetzung regulatorischer Anforderungen in belastbare Governance-Strukturen begleitet. Die nächste Eskalationsstufe des Cyberkriegs, in der KI-gestützte Angreifer KI-gestützte Verteidiger konfrontieren, hat bereits begonnen. Europäische KRITIS-Betreiber werden in dieser Konfrontation nur dann bestehen, wenn sie Netzwerksegmentierung, menschliche Redundanz und KI-spezifische Red-Team-Expertise zur Standardpraxis machen, bevor der erste dokumentierte Vorfall sie dazu zwingt.
Häufige Fragen
Wer haftet, wenn ein KI-gesteuertes KRITIS-System unter NIS2 kompromittiert wird?
Unter NIS2 haften Vorstände und Geschäftsführungen persönlich für die Umsetzung angemessener Cybersicherheitsmaßnahmen. Wird eine KI-gestützte Steuerung durch Data Poisoning oder Adversarial Attacks kompromittiert und war die Leitungsebene ihrer Überwachungspflicht nicht nachgekommen, droht neben Unternehmensbußgeldern bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes auch die persönliche Inanspruchnahme. Dr. Raphael Nagel (LL.M.) betont in ALGORITHMUS, dass delegierte Verantwortung keine Verantwortung ist.
Was unterscheidet Adversarial Attacks von klassischen Cyberangriffen?
Adversarial Attacks nutzen statistische Eigenschaften von KI-Modellen aus, indem sie Eingaben so manipulieren, dass das Modell sie falsch klassifiziert, ohne dass die Manipulation für menschliche Beobachter sichtbar wäre. Klassische Penetrationstests prüfen Netzwerk- und Anwendungssicherheit, nicht aber die mathematische Robustheit des Modells. Ein KRITIS-Betreiber, der nur klassische IT-Sicherheitsaudits durchführt, erkennt diese Angriffsklasse strukturell nicht und erfüllt damit den NIS2-Sorgfaltsmaßstab für KI-gestützte Systeme nicht.
Welche Sektoren fallen neu unter NIS2?
Die NIS2-Richtlinie erweitert den KRITIS-Kreis erheblich gegenüber der Vorgängerrichtlinie. Neu erfasst sind unter anderem Abwasser, Abfallwirtschaft, Post und Kurier, Lebensmittelversorgung, digitale Infrastruktur und Raumfahrt. Unternehmen in wesentlichen und wichtigen Sektoren müssen Risikomanagement, Meldepflichten und technische Schutzmaßnahmen implementieren. Für KI-gestützte Prozesse in diesen Sektoren bedeutet das zusätzliche Dokumentations- und Governance-Pflichten, die in Verbindung mit dem EU AI Act eine doppelte Regulierungsschicht bilden.
Wie bereitet man den Vorstand auf seine persönliche NIS2-Haftung vor?
Der Vorstand benötigt vier Elemente: ein vollständiges Inventar aller KI-Systeme mit KRITIS-Relevanz, dokumentierte Risikobewertungen inklusive KI-spezifischer Angriffsvektoren, nachweisbare Schulungen zu Cybersicherheit und KI-Governance sowie dokumentierte Incident-Response-Übungen. Tactical Management empfiehlt quartalsweise Board-Berichte mit Status zu AI-Act-Klassifikation, NIS2-Compliance-Gap und durchgeführten Red-Team-Übungen. Ohne diese Dokumentation ist im Schadensfall der Entlastungsnachweis praktisch nicht zu führen.
Reicht die Nutzung amerikanischer Cloud-KI für KRITIS-Anwendungen?
Für kritische Anwendungen ist die Nutzung amerikanischer Hyperscaler problematisch. Der US CLOUD Act eröffnet amerikanischen Behörden unter bestimmten Voraussetzungen Zugang zu Daten auf Servern amerikanischer Unternehmen weltweit, auch in europäischen Rechenzentren. Für KRITIS-Betreiber mit nationalen Souveränitätsanforderungen bedeutet das ein strukturelles regulatorisches Risiko. Dr. Raphael Nagel (LL.M.) plädiert in ALGORITHMUS für Sovereign-Cloud-Architekturen und Open-Source-Alternativen für die sensibelsten Workloads, kombiniert mit bewusster Portabilitätsstrategie.
Claritáte in iudicio · Firmitáte in executione
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →