Chinesische Windkraftanlagen in der Nordsee: Gefahr für Kritische Infrastruktur?

Ein geplanter Offshore-Windpark in der Nordsee sorgt für politische Kontroversen und sicherheitspolitische Bedenken. Der Investor Luxcara will 16 Windkraftanlagen des chinesischen Herstellers Mingyang vor der Insel Borkum errichten. Was zunächst als Beitrag zur Energiewende erscheint, wird zunehmend als potenzielles Sicherheitsrisiko wahrgenommen. Doch nicht nur sicherheitspolitische, sondern auch rechtliche Aspekte rücken in den Fokus: Welche Pflichten haben Unternehmen und Behörden im Umgang mit kritischen Komponenten?

Spionage- und Sabotagegefahr durch ausländische Technologie

Deutschland hat in den vergangenen Jahren schmerzlich erfahren, wie riskant es sein kann, sich von autokratischen Staaten abhängig zu machen. Die Energiekrise infolge des Ukraine-Kriegs hat gezeigt, dass kritische Infrastruktur nicht nur eine wirtschaftliche, sondern auch eine geopolitische Dimension hat. Genau diese Problematik stellt sich nun erneut – diesmal im Bereich der Windenergie.

Sicherheitsexperten der Bundeswehr-Denkfabrik German Institute for Defence and Strategic Studies (GIDS) warnen vor den Risiken der chinesischen Windräder. In einer Analyse wird vor „politischer Einflussnahme, durch Sensorik, dem Zugang zu Sicherheitsprotokollen kritischer Infrastruktur und einer möglichen Störung der Energieversorgung“ gewarnt.

Cyberspionage

Technische Risiken und rechtliche Bewertung kritischer Komponenten

Moderne Windkraftanlagen sind weit mehr als mechanische Konstruktionen zur Energiegewinnung. Sie sind hochdigitalisierte Systeme, die über Sensoren verfügen, die Wetterdaten, Betriebszustände und Netzstabilität erfassen. In Offshore-Windparks stehen sie zudem in unmittelbarer Nähe zu militärischen Einrichtungen, Schifffahrtsrouten und Kommunikationsinfrastruktur.

Rechtlich gesehen wird bei solchen Installationen die Frage nach kritischen Komponenten im Sinne des § 2 Abs. 13 BSIG relevant. Eine solche liegt vor, wenn eine IT-Komponente in einer kritischen Infrastruktur verwendet wird und ihr Ausfall oder eine Manipulation die öffentliche Sicherheit gefährden kann.

Rechtliche Anforderungen an Betreiber und Hersteller

Nach der aktuellen Rechtslage müssen Betreiber von kritischen Infrastrukturen bei der Verwendung kritischer Komponenten spezifische Vorgaben erfüllen:

  • Anzeige- und Prüfpflichten: Der geplante Einsatz einer kritischen Komponente muss gemäß § 9b BSIG dem Bundesministerium des Innern angezeigt werden. Dieses kann den Einsatz untersagen, wenn sicherheitspolitische Bedenken bestehen.
  • Garantieerklärungen des Herstellers: Der Hersteller muss eine Erklärung über seine Vertrauenswürdigkeit abgeben. Fehlt diese oder stellt sich heraus, dass falsche Angaben gemacht wurden, kann ein Rückbau der Komponenten angeordnet werden.
  • Zertifizierungspflichten und Cyber Resilience Act (CRA): Mit dem kommenden Cyber Resilience Act werden verschärfte Zertifizierungsanforderungen eingeführt. Unternehmen müssen sich darauf einstellen, dass nur zertifizierte Hardware langfristig in KRITIS zum Einsatz kommen darf.

Politische Einflussnahme durch strategische Investitionen

nutzt seit Jahren gezielt wirtschaftliche Abhängigkeiten, um geopolitische Interessen durchzusetzen. Die Warnungen vor der Nutzung chinesischer Technologie im 5G-Netzausbau durch Huawei haben dazu geführt, dass Komponenten des Unternehmens in Deutschland weitgehend ausgeschlossen wurden. Kritiker befürchten, dass eine ähnliche Abhängigkeit im Energiesektor entstehen könnte.

So warnen erste Politiker daher eindringlich vor der Beteiligung chinesischer Firmen an kritischer Infrastruktur und fordert ein Verbot entsprechender Komponenten. Auch Bundesinnenministerin Nancy Faeser sieht die Notwendigkeit, gesetzliche Regelungen zu verschärfen, um Sicherheitsrisiken zu minimieren. In dem Kontext sollte es nicht überraschen, dass Korrpution bzw. Bestechung ein erhebliches Thema ist.

Wirtschaftliche Interessen vs. Sicherheitsbedenken

Während sicherheitspolitische Akteure ein Verbot chinesischer Windkraftanlagen fordern, argumentieren Wirtschaftsvertreter anders. Aufgrund knapper Produktionskapazitäten europäischer Hersteller sei es nahezu unausweichlich, auf chinesische Anbieter zurückzugreifen.

Luxcara selbst weist die Sicherheitsbedenken zurück und betont, dass Mingyang „keinen unmittelbaren Zugriff auf die Steuerung der Anlagen“ habe. Kritiker entgegnen jedoch, dass chinesische Unternehmen gesetzlich zur Zusammenarbeit mit den Behörden verpflichtet sind. Zudem hat der Mingyang-Gründer enge Verbindungen zur Kommunistischen Partei und der Volksbefreiungsarmee.

Die Unsichtbare Bedrohung – Nordkoreanische Hacker als Trojanische Pferde in Unternehmen

Rechtliche Risiken für Unternehmen und Geschäftsleitungen

Unternehmen, die kritische Komponenten aus unsicheren Drittstaaten verbauen, stehen nicht nur vor einem technischen, sondern auch vor einem rechtlichen Risiko.

Haftung der Geschäftsführung

Mit Inkrafttreten des NIS2-Umsetzungsgesetzes (auch bekannt als IT-Sicherheitsgesetz 3.0) verschärfen sich die Pflichten der Geschäftsleitungen. Die Geschäftsleitung haftet persönlich, wenn sie:

  1. Kritische Komponenten ohne ausreichende Sicherheitsbewertung verbaut.
  2. Sicherheitsrisiken ignoriert und keine kontinuierliche Risikobewertung durchführt.
  3. Die gesetzlichen Vorgaben für KRITIS-Betreiber nicht einhält.

Besonders problematisch ist das Risiko einer behördlichen Untersagung und eines Rückbaus. Sollte der Staat eine Komponente nachträglich als sicherheitskritisch einstufen und deren Einsatz untersagen, trägt das Unternehmen die Kosten für den Rückbau – eine Entschädigung ist in der Regel nicht vorgesehen.

Haftung der Geschäftsführung für IT-Sicherheitslücken

Regelmäßige Risikobewertung und Verzeichnis kritischer Komponenten

Um den gesetzlichen Anforderungen gerecht zu werden, sollten Unternehmen ein Verzeichnis aller kritischen Komponenten führen, vergleichbar mit dem -Verfahrensverzeichnis. Dieses sollte mindestens enthalten:

  • Herstellerangaben und Herkunftsland
  • Vorhandene Zertifizierungen und Garantieerklärungen
  • Risikoanalyse gemäß NIS2-Umsetzungsgesetz

Mit dem Inkrafttreten des KRITIS-Dachgesetzes müssen Betreiber außerdem alle vier Monate eine fortlaufende Risikobewertung durchführen.

Die in deutschen Chefetagen verbreitete Naivität ist inzwischen unerträglich: Natürlich ist es schön günstig, Komponenten aus schwierigen Quellen zu verbauen. Doch man kann sich danach Cybersicherheitsmaßnahmen schenken, wenn schon dem Grunde nach Zugriffe für Menschen in fremden Staaten geöffnet sind. CEOs, die nicht zertifizierte Komponenten in der Firmeninfrastruktur verbauen, müssen sich im Fall der Fälle unangenehme Fragen stellen lassen – und an seine persönliche Haftung denken.

Fazit: Wiederholt sich das Huawei-Dilemma?

Die Diskussion über chinesische Windkraftanlagen erinnert stark an die Debatte um Huawei und den Ausbau des 5G-Netzes. Während wirtschaftliche Interessen eine enge Zusammenarbeit mit China befürworten, sehen sicherheitspolitische Experten erhebliche Risiken.

Die Frage bleibt: Können Windräder, die dem Klimaschutz dienen sollen, gleichzeitig eine für die nationale Sicherheit sein? Die Antwort hängt maßgeblich davon ab, ob der Staat bereit ist, klare gesetzliche Regelungen für kritische Infrastruktur zu schaffen. Die Energiewende darf nicht auf Kosten der nationalen Sicherheit vorangetrieben werden – und genau hier beginnt die Herausforderung.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.