KRITIS: Unternehmenssicherheit für kritische Infrastruktur

Deutschland hat in den letzten Jahren eine Reihe von Gesetzen und Verordnungen erlassen, die die Sicherheit kritischer Infrastrukturen regeln. Für Entscheider im Facility Management ist es essenziell, diese rechtlichen Vorgaben zu kennen und im eigenen Verantwortungsbereich umzusetzen. Im Folgenden werden zentrale Gesetze und Regelwerke vorgestellt, die den KRITIS-Schutz prägen: das geplante KRITIS-Dachgesetz, das IT-Sicherheitsgesetz 2.0 (inkl. BSIG-Novelle), branchenspezifische Gesetze wie das Energiewirtschaftsgesetz (EnWG) und das Energiesicherungsgesetz (EnSiG) sowie einschlägige Normen wie ISO 27001 und DIN EN 50600.

Als Reaktion auf neue EU-Vorgaben entsteht derzeit in Deutschland ein KRITIS-Dachgesetz (KRITIS-DachG), das bis 2024 verabschiedet werden soll. Dieses neue Gesetz dient der Umsetzung der EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Directive) und ergänzt die bereits bestehende Cyber-Sicherheitsgesetzgebung (insbesondere die NIS2-Richtlinie für IT-Sicherheit) um eine umfassende Regelung zur physischen Sicherheit und Resilienz. Ziel ist ein “All-Hazards-Ansatz” – also Schutz vor allen Gefahrenlagen, von Naturkatastrophen bis Sabotage – und eine Bündelung bislang verstreuter Pflichten in einem einheitlichen Rahmenwerk. Im Koalitionsvertrag der Bundesregierung war ausdrücklich vorgesehen, den physischen Schutz Kritischer Infrastruktur in einem Dachgesetz zusammenzuführen.

Das KRITIS-Dachgesetz wird parallel zum BSI-Gesetz (BSIG) stehen und eng mit diesem verzahnt sein. Während das BSIG die Cyber-Aspekte (Netz- und Informationssicherheit) abdeckt, adressiert das Dachgesetz primär die körperliche/organisatorische Resilienz kritischer Anlagen. Unter „kritische Anlagen“ (kritische Installationen im Gesetzeswortlaut) versteht der Entwurf Einrichtungen, “deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefahren für die öffentliche Sicherheit oder Ordnung führen würde”. Wichtig ist: Der Begriff ist nicht völlig deckungsgleich mit den bisherigen „kritischen Infrastrukturen“ – er soll umfassender sein und auch Einrichtungen erfassen, die vielleicht (noch) nicht unter die alten Schwellenwerte fallen, aber dennoch von großer Bedeutung sind. Welche Anlagen konkret als kritisch gelten, soll durch eine gemeinsame Rechtsverordnung von BMI (Bundesministerium des Innern) und sektorspezifischen Ministerien festgelegt werden, analog zur bisherigen BSI-Kritisverordnung. Ebenso wird es die Kategorie „kritische Anlagen von europäischer Bedeutung“ geben, für die besondere Pflichten gelten (z. B. Anlagen, die für sechs oder mehr EU-Länder essenzielle Dienste bereitstellen).

Bereits der Referentenentwurf des KRITIS-DachG sieht umfangreiche Pflichten für die Betreiber kritischer Anlagen vor. So müssen sich Betreiber zunächst registrieren und einen festen Ansprechpartner benennen. Hierfür wird eine zentrale Registrierungsstelle beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam mit dem BSI eingerichtet. Das BBK soll als nationale Aufsichts- und Kontaktstelle dienen und mit dem BSI sowie der Bundesnetzagentur (je nach Sektor) eng kooperieren, um Informationen zu Risiken und Vorfällen auszutauschen.

Ein Kernpunkt ist die vorgeschriebene Risikoanalyse: Die jeweils zuständigen Fachministerien erstellen alle vier Jahre eine sektorspezifische Gefährdungsanalyse, die dem BBK und den Anlagen-Betreibern zur Verfügung gestellt wird. Darauf aufbauend muss jeder Betreiber innerhalb von neun Monaten nach Registrierung eine eigene Risikoanalyse und -bewertung durchführen und diese mindestens alle vier Jahre aktualisieren.

Aus den identifizierten Risiken abgeleitet, sind Resilienzmaßnahmen umzusetzen. Der Gesetzesentwurf nennt hier ausdrücklich den Grundsatz der Verhältnismäßigkeit und den Stand der Technik als Maßstab. Konkrete Maßnahmen werden den Unternehmen gewissen Spielraum lassen, jedoch enthält ein Anhang beispielhafte Vorkehrungen: Notfall- und Kontinuitätspläne, bauliche Schutzvorkehrungen wie Zäune und Barrieren, technische Überwachungs- und Detektionssysteme, Zugangskontrollen und Personal-Sicherheitsüberprüfungen sowie Diversifizierung von Lieferketten. Diese Aufzählung verdeutlicht, dass sowohl organisatorische Maßnahmen (z. B. Notfallplanung, Mitarbeiterschulungen) als auch technische und baulich-infrastrukturelle Maßnahmen (Perimeterschutz, Technik zur Einbruch- oder Gefahrenerkennung) verlangt werden. Die Betreiber müssen all diese Maßnahmen in einem schriftlichen Resilienzplan dokumentieren und beim BBK einreichen. Der Plan ist regelmäßig (mindestens alle zwei Jahre) zu überprüfen und fortzuschreiben; das BBK kann die Einhaltung stichprobenartig prüfen und notfalls zusätzliche Maßnahmen anordnen.

Zudem etabliert das KRITIS-DachG neue Meldepflichten: Sicherheitsvorfälle oder Beeinträchtigungen, die die kritischen Dienstleistungen erheblich stören könnten, sind binnen 24 Stunden nach Kenntnis an eine Meldestelle beim BBK (in Abstimmung mit dem BSI) zu berichten. Nach spätestens einem Monat muss ein ausführlicher Bericht folgen. Für Anlagen von besonderer europäischer Bedeutung besteht zusätzlich die Pflicht, der EU-Kommission mitzuteilen, welche kritischen Dienste sie in welchen Mitgliedstaaten erbringen.

Bei Verstößen gegen die genannten Pflichten (etwa unterlassene Registrierung, fehlender Ansprechpartner, keine Risikoanalyse oder Resilienzplan) sieht der Entwurf ein gestuftes Sanktionsregime vor. Zunächst soll der Betreiber zur Nachbesserung aufgefordert werden; kommt er dem nicht nach, können Bußgelder verhängt werden. Die genaue Bußgeldhöhe war im Entwurf noch offen, soll aber „angemessen“ sein – insbesondere soll es keine persönliche Haftung der Geschäftsführung für Versäumnisse geben, im Gegensatz zur parallelen NIS2-Umsetzung im BSIG.

In Summe wird das KRITIS-Dachgesetz die physische Unternehmenssicherheit auf eine neue gesetzliche Grundlage stellen. Für Facility Manager bedeutet dies voraussichtlich ab 2024/25: deutlich erweiterte Pflichten in den Bereichen baulicher Schutz, Notfallvorsorge, Personalmanagement und Krisenmanagement. Dies erfordert proaktive Vorbereitung – etwa indem vorhandene Sicherheitskonzepte überprüft und um Aspekte der Resilienz (Widerstandsfähigkeit gegen verschiedenste Störungen) ergänzt werden. Es ist zu erwarten, dass die erste Evaluierung der Resilienzpläne durch das BBK schon 2026 erfolgen könnte, da das Gesetz nach derzeitigem Stand zum 1. Januar 2026 in Kraft treten soll (mit weiterer Übergangsfrist für Bußgeldvorschriften bis 2027).

Bereits seit 2015 gibt es in Deutschland spezielle IT-Sicherheitsvorgaben für KRITIS-Betreiber, verankert im BSI-Gesetz (BSIG) und konkretisiert durch das erste IT-Sicherheitsgesetz. Im IT-Sicherheitsgesetz 2.0, das im Mai 2021 in Kraft trat, wurden diese Vorgaben noch einmal deutlich verschärft und ausgeweitet. Das IT-SiG 2.0 ist im Wesentlichen eine Novelle des BSIG, die mehr Pflichten für Betreiber und mehr Befugnisse für die Behörden (insb. das Bundesamt für Sicherheit in der Informationstechnik, BSI) gebracht hat.

Eine der wichtigsten Neuerungen ist die Pflicht zum Einsatz von Systemen zur Angriffserkennung (SzA). Betreiber Kritischer Infrastrukturen müssen seit spätestens Mai 2023 technische und organisatorische Vorkehrungen implementiert haben, die kontinuierlich sicherheitsrelevante Vorfälle und Muster erkennen, um Cyberangriffe frühzeitig zu detektieren und abzuwehren. Diese Pflicht wurde im BSIG durch §8a Abs. 1a verankert. Das BSI hat hierzu eine Orientierungshilfe für Angriffserkennungssysteme veröffentlicht, welche Kriterien solche Systeme erfüllen sollten (z. B. Log-Management, Anomalie-Erkennung, Alarmierung). Für Facility Manager im KRITIS-Umfeld bedeutet dies, dass IT-Systeme der Gebäudetechnik (z. B. Gebäudeleittechnik, Zutrittskontrollsysteme) sowie industrielle Steuerungen in Versorgungsanlagen (z. B. in Kraftwerken oder Rechenzentren) ebenfalls unter eine verstärkte Überwachung gestellt werden müssen. Cybersecurity und klassische Gebäudesicherheit wachsen hier eng zusammen.

Das IT-Sicherheitsgesetz 2.0 führte außerdem eine unmittelbare Registrierungspflicht ein. KRITIS-Betreiber müssen sich nun sofort, nachdem sie die Schwellenwerte erfüllen (oder vom BSI als KRITIS eingestuft werden), beim BSI melden und eine 24/7-Kontaktstelle benennen. Früher war hierfür mehr zeitlicher Spielraum; nun will man Verzögerungen vermeiden. Das BSI erhielt zugleich das Recht, von sich aus Unternehmen als KRITIS zu registrieren, falls es Anhaltspunkte gibt, dass diese die Kriterien erfüllen, sich aber nicht gemeldet haben. Verweigert ein Unternehmen die Mitwirkung, kann das BSI sogar Einsicht in Unterlagen verlangen, um den KRITIS-Status festzustellen. Diese Änderungen erhöhen den Druck, proaktiv compliant zu sein – Nichtwissen schützt vor Strafe nicht, könnte man sagen.

Weitere wichtige Komponenten des IT-SiG 2.0 betreffen den Einsatz sogenannter kritischer Komponenten. Darunter versteht man IT-Komponenten, die für die Funktionsfähigkeit kritischer Infrastrukturen essentiell sind (z. B. bestimmte Hardware in Telekommunikationsnetzen). Betreiber müssen den geplanten Einsatz solcher Komponenten dem Bundesinnenministerium (BMI) anzeigen. Besonders brisant: Solche Komponenten dürfen nur noch mit einer Vertrauenswürdigkeits-Erklärung des Herstellers beschafft und eingesetzt werden. Der Hersteller muss garantieren, dass keine nachteiligen Einflüsse fremder Staaten etc. bestehen. Das BMI kann den Einsatz verbieten, wenn Zweifel an der Vertrauenswürdigkeit bestehen – etwa wenn der Hersteller von einer ausländischen Regierung kontrolliert wird oder bereits in Spionage/Tätigkeiten gegen die öffentliche Sicherheit verwickelt war. Dieses Instrument zielt offensichtlich darauf ab, z. B. Risiken durch chinesische Telekom-Hersteller oder unsichere ausländische Produkte zu minimieren. Für Unternehmen bedeutet es jedoch einen erheblichen Mehraufwand in der Lieferantenkontrolle und bei der Netzwerk-Inventarisierung: Man muss genau wissen und dokumentieren, welche Komponenten wo verbaut sind. Gerade im Facility-Bereich, wo oft viele Embedded Systems (Aufzugsteuerungen, IoT-Sensoren, Zugangssysteme) im Einsatz sind, steigt dadurch die Komplexität des Asset-Managements.

Das IT-Sicherheitsgesetz 2.0 hat den Adressatenkreis ebenfalls erweitert. Ein neuer KRITIS-Sektor Abfallentsorgung (Siedlungsabfall) wurde eingeführt, sodass nun z. B. große Müllentsorger als KRITIS gelten, sofern sie definierte Schwellen überschreiten. Außerdem wurden die sogenannten Unternehmen im besonderen öffentlichen Interesse (UBI) definiert – hierzu zählen z. B. sehr große Unternehmen außerhalb der KRITIS-Sektoren, die volkswirtschaftlich wichtig sind, Rüstungsunternehmen, oder Betreiber besonders gefährlicher Anlagen (Chemie, genehmigungspflichtige Anlagen nach Bundesimmissionsschutz). Solche UBI unterliegen nun ebenfalls bestimmten Melde- und Sorgfaltspflichten, wenngleich etwas abgestuft im Vergleich zu KRITIS-Betreibern. So müssen UBI z. B. erhebliche IT-Störungen an das BSI melden und gewisse Mindeststandards einhalten.

Insgesamt zwingt das IT-SiG 2.0 die Unternehmen, Cybersecurity als integralen Bestandteil ihrer Unternehmenssicherheit zu betrachten. Gemäß §8a BSIG müssen KRITIS-Betreiber dem BSI regelmäßig nachweisen, dass ihre IT-Systeme und Prozesse nach dem Stand der Technik abgesichert sind. Dies wird in der Praxis oft durch die Einführung eines Informationssicherheits-Managementsystems (ISMS) und anschließende Zertifizierungen (z. B. ISO 27001 oder BSI-Grundschutz) erreicht. Tatsächlich können gültige ISO 27001-Zertifikate als Baustein des Nachweises gemäß §8a BSIG dienen, sofern der Geltungsbereich die kritischen Anlagen abdeckt. Wichtig zu wissen: Eine ISO-27001-Zertifizierung ist rechtlich (noch) nicht direkt verpflichtend, aber faktisch fast unumgänglich, um die umfangreichen Anforderungen strukturiert umzusetzen und gegenüber dem BSI und Auditoren zu belegen. Im Energiesektor hingegen (siehe unten) ist eine ISO-Zertifizierung bereits explizit vorgeschrieben.

Der Energiesektor nimmt in der KRITIS-Landschaft eine Sonderrolle ein. Strom- und Gasversorgung sind absolut kritisch – ohne Energie kommt das öffentliche Leben zum Erliegen – und zugleich hochgradig von Informations- und Kommunikationstechnik abhängig. Deshalb regelt das Energiewirtschaftsgesetz (EnWG) zusammen mit dem BSIG die Sicherheitsanforderungen in diesem Sektor. Seit 2015 enthält das EnWG in §11 Abs. 1a die Vorgabe, dass Betreiber von Energieversorgungsnetzen bestimmte IT-Mindeststandards einhalten müssen. Die Bundesnetzagentur (BNetzA) wurde beauftragt, hierzu IT-Sicherheitskataloge zu erstellen. Konkret wurde 2015 der IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber veröffentlicht. Er verlangt im Kern, dass alle betroffenen Netzbetreiber ein zertifiziertes ISMS nach ISO/IEC 27001 einführen. Die Zertifizierung muss von einer akkreditierten Stelle durchgeführt werden, ist drei Jahre gültig und durch jährliche Audits zu bestätigen. Diese Pflicht zur ISO‑27001-Zertifizierung gilt auch für Konzernverbünde (dort können gemeinsame ISMS genutzt werden). Anders gesagt: Für Strom- und Gasnetzbetreiber ist ein ISO-27001-basiertes Sicherheitsmanagement de jure vorgeschrieben, um einen sicheren Netzbetrieb nachzuweisen.

2018 wurde §11 EnWG um Abs. 1b ergänzt, der Energieanlagen (Erzeugungsanlagen, Speicher, Steuerungssysteme) betrifft. Damit wurden auch große Kraftwerke, Windparks, Gasspeicher etc., sofern sie die KRITIS-Schwellen erreichen, verpflichtet, einen IT-Sicherheitskatalog umzusetzen. Auch hier ist ein ISO-27001-Zertifikat auf Basis des Branchenstandards (ISO 27019 als branchenspezifische Ausprägung) Pflicht. Die BNetzA hat entsprechende Kataloge 2018 publiziert. Somit müssen praktisch alle größeren Strom- und Gasunternehmen in Deutschland ein hohes IT-Sicherheitsniveau etablieren, was regelmäßig überprüft wird. Diese Doppelregelung – BSIG/IT-SiG einerseits, EnWG/BNetzA-Kataloge andererseits – führte anfangs zu etwas Unklarheit, welche Norm vorrangig ist. Heute gilt: Beide greifen, aber wer gemäß EnWG zertifiziert ist, erfüllt damit im Prinzip auch die BSIG-Forderung nach „Stand der Technik“. Tatsächlich erkennt das BSI ISO-27001-Zertifikate als Compliance-Nachweis an.

Neben IT-Sicherheit im engeren Sinne fordert §11 EnWG in Abs. 1 generell auch einen sicheren, zuverlässigen und leistungsfähigen Betrieb des Energieversorgungsnetzes. Dies umfasst z. B. physische Sicherungsmaßnahmen, Instandhaltungsstrategien und Redundanzen, um die Versorgungssicherheit zu gewährleisten. Im Zuge der Energiewende und aktueller geopolitischer Krisen (Gasversorgung 2022 etc.) hat das EnWG weitere Änderungen erfahren, etwa um den Gasnetzausbau und LNG-Terminalbau zu beschleunigen. Für Facility Manager in der Energiewirtschaft heißt das: Sie müssen nicht nur Cyber- und IT-Aspekte bedenken, sondern auch die klassische Anlagen- und Versorgungssicherheit (z. B. Brennstofflager, Ausfallsicherheit von Netzkomponenten, Schutz vor physischen Eingriffen) gewährleisten. Die Rechtslage ist hier komplex, aber im Zweifel gilt: Die strengste Anforderung setzt den Maßstab.

Ein praktischer Aspekt der EnWG-Vorgaben ist die Verzahnung mit Normen: Die BNetzA-Kataloge basieren ausdrücklich auf ISO 27001/27002 und der branchenspezifischen Norm ISO 27019 für industrielle Steuerungsanlagen im Energiesektor. Das erleichtert es, international anerkannte Standards direkt anzuwenden. Zudem wurde festgelegt, dass auch im Energie-Sektor die Behandlung kritischer Komponenten nach dem Vorbild des IT-SiG 2.0 erfolgen soll (EnWG §11 Abs. 1g, künftig §5c Abs. 12) – d. h. auch hier müssen z. B. Komponenten in Leitwarten oder Netzleittechnik hinsichtlich ihrer Herkunft und Sicherheit geprüft werden.

Das Energiesicherungsgesetz (EnSiG) stammt ursprünglich aus dem Jahr 1975 und wurde 2022 angesichts der Gaskrise umfassend novelliert. Es dient der Bundesregierung als Rechtsgrundlage, um in schweren Energieversorgungsnotlagen schnell handeln zu können. Während EnWG und BSIG permanente Vorsorge und Sicherheitspflichten im Normalbetrieb regeln, greift das EnSiG bei Ausnahmesituationen, etwa plötzlicher Energiemangel oder die Gefahr, dass wichtige Energieunternehmen zahlungsunfähig werden und dadurch die Versorgung gefährden.

Wesentliche Bausteine des EnSiG (in neuer Fassung) sind zum Beispiel: die Möglichkeit, per Rechtsverordnung einschneidende Maßnahmen anzuordnen, etwa gesetzliche Preisanpassungsrechte (§24 EnSiG, vorsah zeitweise, dass Energieversorger steigende Beschaffungskosten direkt an Endkunden weitergeben dürfen), oder die Anordnung einer Treuhandverwaltung bzw. im Extremfall Enteignung von kritischen Energieunternehmen zum Wohle der Versorgungssicherheit. So hat das Bundeswirtschaftsministerium 2022 die deutsche Gazprom-Tochter und später Teile von Rosneft Deutschland unter staatliche Treuhandverwaltung gestellt, um den Weiterbetrieb von Gasspeichern und Raffinerien sicherzustellen. Auch das Befüllen von Gasspeichern bis zu bestimmten Sollständen wurde durch Verordnung (auf Basis EnSiG) erzwungen. Für die Praxis im Facility Management bedeutet EnSiG vor allem, dass in ernsten Versorgungskrisen Weisungen „von oben“ kommen können – etwa zur Reduzierung des Energieverbrauchs, zur Priorisierung bestimmter Kunden oder zur Härtung von Anlagen. Unternehmen sollten entsprechende Notfallpläne bereithalten, z. B. um bei Gasknappheit alternative Brennstoffe nutzen zu können (Stichwort: dual-fuel Anlagen) oder kritische Prozesse bei Stromrationierungen möglichst aufrecht zu erhalten. Das EnSiG ist also ein Instrument der staatlichen Krisenintervention, das flankierend zur Unternehmenssicherheit steht. Idealerweise greifen solche Eingriffe nie – sie sind die Ultima Ratio, wenn trotz aller präventiven Maßnahmen (nach EnWG, BSIG etc.) die Versorgung zu scheitern droht.

Neben Gesetzen spielen Normen und Standards eine wichtige Rolle, um Sicherheitsmaßnahmen zu konkretisieren und messbar zu machen. Zwei Normen seien hier exemplarisch hervorgehoben, da sie im KRITIS-Kontext besonders einschlägig sind: ISO/IEC 27001 als internationaler Standard für Informationssicherheits-Management und DIN EN 50600 als europäische Norm für Rechenzentrumsinfrastruktur.

ISO/IEC 27001 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Ein solches Managementsystem umfasst Prozesse zur Identifikation von Risiken, zum Ergreifen geeigneter Schutzmaßnahmen und zur kontinuierlichen Überwachung und Verbesserung der Informationssicherheit. Die Norm folgt dem PDCA-Zyklus (Plan-Do-Check-Act) und adressiert Aspekte wie Richtlinien, Verantwortlichkeiten, Asset-Management, Zugangskontrollen, Kryptographie, physische Sicherheit, Personalsicherheit, Lieferantenmanagement, Umgang mit Zwischenfällen, Notfallplanung und Compliance. Für KRITIS-Betreiber ist ISO 27001 insofern bedeutsam, als die gesetzlichen Vorgaben (§8a BSIG, §11 EnWG) im Grunde auf ein funktionierendes ISMS hinauslaufen. Viele KRITIS-Organisationen setzen ISO 27001 um, um strukturiert alle Anforderungen abzudecken und Compliance zu demonstrieren. Ein zertifiziertes ISMS schafft Vertrauen gegenüber Kunden und Behörden und erleichtert die regelmäßigen Prüfungen (alle zwei Jahre müssen KRITIS-Betreiber laut BSIG ein Audit ihres Sicherheitsniveaus durchführen lassen). ISO 27001 alleine garantiert zwar noch keine vollständige Erfüllung aller branchenspezifischen Pflichten, aber sie bildet ein solides Fundament. Insbesondere hilft sie, dass Unternehmen ihre Risiken systematisch verstehen und behandeln. Die Norm ist branchenneutral; für KRITIS existieren Erweiterungen wie ISO 27019 (für Energie-ICS) oder branchenspezifische Standards, doch allen ist gemein, dass ohne ISMS keine nachhaltige Sicherheit erreichbar ist. Oder wie es ein Fachartikel formulierte: „Ein KRITIS-ISMS ist unverzichtbar“, denn ein schwerer Sicherheitsvorfall kann sonst verheerende Auswirkungen haben. Zusammengefasst: ISO 27001 ist in der KRITIS-Welt Best Practice und wird teilweise vom Gesetz indirekt eingefordert. Für Facility Manager bedeutet die Implementierung eines ISMS auch, Sicherheitsprozesse abteilungsübergreifend zu orchestrieren – IT, Gebäudetechnik und Personal müssen gemeinsam in das Sicherheitskonzept eingebunden werden.

DIN EN 50600 richtet den Blick auf eine ganz konkrete, aber kritische Facility: das Rechenzentrum. Diese Normenreihe (erschienen ab 2014) ist die erste europäische Norm, die sämtliche Aspekte der Rechenzentrumsinfrastruktur abdeckt – von der Planung über Bau und Betrieb bis zur Energieeffizienz. Rechenzentren sind für viele KRITIS-Sektoren die Knotenpunkte ihrer IT und Daten; ihre Ausfallsicherheit ist daher geschäftskritisch. DIN EN 50600 bietet ein umfassendes Regelwerk für sichere, verfügbare und zugleich effiziente RZ-Betriebe.

• Teil 1 definiert grundlegende Begriffe und das generelle Strukturkonzept;

• Teil 2 behandelt die baulichen und technischen Systeme (Unterteile zu Stromversorgung, Klimatisierung, Verkabelung etc.);

• Teil 3 beschreibt Betriebs- und Managementaspekte (z. B. Wartungsprozesse, organisatorische Vorgaben);

• Teil 4 gibt Anforderungen und Kennzahlen zur Energie- und Ressourceneffizienz vor.

Für die Sicherheit sind vor allem Teil 2 und 3 relevant: So stellt DIN EN 50600 sicher, dass etwa bei der Planung Schutzklassen und Redundanzlevel festgelegt werden (vergleichbar mit Tier-Klassen oder Availability Levels). Ein RZ nach dieser Norm verfügt typischerweise über redundante Stromzuführungen und USV-Anlagen, Brandfrüherkennung und Löschanlagen, physische Zutrittskontrollen (Schleusen, biometrische Systeme), Videoüberwachung, Einbruchmeldeanlagen und einen gesicherten Perimeter. Die Norm fordert auch eine Risikoanalyse als Basis – z. B. zur Bewertung von Standortrisiken (Überschwemmungsgebiet? Flugverbotszone?) – und darauf aufbauend entsprechende Maßnahmen. Mit anderen Worten, DIN EN 50600 verknüpft baulich-technische Sicherheit mit organisatorischen Vorgaben und bringt damit alle Beteiligten an einen Tisch: Bauingenieure, Elektrotechniker, IT-Leute, Sicherheitsfachkräfte. Für Facility Manager, die an Planung oder Betrieb von Data Centers beteiligt sind, ist diese Norm enorm hilfreich, um Best Practices systematisch umzusetzen.

Interessant ist, dass DIN EN 50600 auch international Schule macht: Sie wird aktuell in die ISO/IEC 22237 überführt, um ein weltweiter Standard für Rechenzentren zu werden. Damit zeigt sich, dass deutsche/europäische Sicherheitsmaßstäbe durchaus zum Exportschlager werden können. Ein Rechenzentrum, das nach DIN EN 50600 zertifiziert ist (entspricht grob TSI-Level 3/4 oder Uptime Tier III/IV), wird als besonders sicher und hochverfügbar angesehen und erfüllt zugleich Anforderungen wie sie z. B. vom BSI für Regierungsrechenzentren gefordert werden. Für KRITIS-Betreiber in Sektoren wie IT, Finanzwesen oder Gesundheitswesen, die eigene Rechenzentren betreiben, ist die Orientierung an DIN EN 50600 daher empfehlenswert, um sowohl physische Sicherheit (Gebäude, Technik) als auch Betriebsprozesse robust zu gestalten.

Zusammenfassend ergänzen Normen wie ISO 27001 und EN 50600 die gesetzlichen Pflichten, indem sie konkrete Leitfäden liefern. Während Gesetze das „Was“ vorschreiben (z. B. „Stand der Technik“ und „Risikoanalysen“ verlangen), geben Normen Hinweise zum „Wie“. Organisationen können durch Zertifizierung nachweisen, dass sie diese Guidelines erfüllen, was im Ernstfall Haftungs- und Reputationsrisiken mindert.

Kritische Infrastrukturen sehen sich heute einer Vielzahl von Bedrohungen ausgesetzt. Diese reichen von gezielten Angriffen durch menschliche Akteure (Cyberkriminelle, Terroristen, feindliche Nachrichtendienste) über technische und organisatorische Schwachstellen bis hin zu Naturereignissen. Im Folgenden werden die wichtigsten Gefährdungsbereiche skizziert, mit besonderem Augenmerk auf die Implikationen für Unternehmen und Facility Management.

In den letzten Jahren hat die Bedrohungslage im Cyberraum eine dramatische Zuspitzung erfahren. Laut BSI wurden 2023 pro Tag etwa 78 neue Softwareschwachstellen bekannt – 14 % mehr als im Vorjahr – und monatlich 18 Zero-Day-Lücken in Produkten deutscher Hersteller gemeldet. Gleichzeitig professionalisiert sich die Angreiferszene, Angriffe werden arbeitsteilig als Geschäftsmodell betrieben. Ransomware-Attacken etwa haben sich zu einem Massenphänomen entwickelt; immer häufiger werden neben großen Konzernen auch kommunale Einrichtungen und Mittelständler Opfer solcher Erpressungs-Software. Teilweise sind Auswirkungen breit zu spüren: Ein einziger Ransomware-Angriff auf einen IT-Dienstleister legte 2022 die Dienste von 72 Kommunen lahm. Im KRITIS-Sektor Gesundheit kam es in Deutschland zu einigen aufsehenerregenden Fällen, in denen Kliniken nach Cyberangriffen Notfälle abweisen oder den Betrieb stark einschränken mussten.

Auch staatlich gesteuerte Cyberangriffe sind Realität: Der Verfassungsschutz und das BBK berichten, dass besonders russische, chinesische, nordkoreanische und iranische Akteure deutsche Unternehmen und Behörden ausforschen oder sabotieren wollen. Kritische Infrastrukturen stehen dabei im Fokus, da ein erfolgreicher Hack hier nicht nur wirtschaftlichen Schaden, sondern auch Chaos in der Gesellschaft auslösen kann. Beispiele sind etwa die Attacken auf ukrainische Stromnetze 2015/2016, die gezeigt haben, dass Hacker ganze Regionen in Dunkelheit stürzen können. In Deutschland wurde 2022 verstärkt vor möglichen Cyberangriffen im Zusammenhang mit dem Ukraine-Konflikt gewarnt, insbesondere im Energiesektor.

Die Motivationen der Angreifer variieren: Politisch motivierte Gruppen (APT-Gruppen) betreiben Spionage oder bereiten präventiv Sabotageoptionen vor; cyberkriminelle Banden sind meist profitorientiert und setzen auf Erpressung (Datenverschlüsselung, -diebstahl); ideologisch oder terroristisch motivierte Täter könnten versuchen, KRITIS lahmzulegen, um Panik zu erzeugen oder Vertrauen in den Staat zu erschüttern.

• Schwachstellen-Management: Angesichts täglich neuer Sicherheitslücken in Software und Hardware muss ein konsequentes Patch-Management etabliert sein. Schwierige Aufgabe, da Produktions- oder SCADA-Systeme nicht immer einfach upzudaten sind.

• Perimeter und Netzwerk-Sicherheit: Paradoxerweise werden manchmal Sicherheitsprodukte selbst zur Schwachstelle – 2024 gab es kritische Lücken in gängigen Firewalls und VPN-Systemen, die Hacker als Einfallstor nutzten. Netzwerkseg­mentierung, Monitoring und schnellstmögliche Updates solcher Appliances sind zwingend.

• IoT und OT-Sicherheit: Viele Facility-Systeme (Kameras, Türsteuerungen, Sensoren) und industrielle Steuerungen hängen heute im IP-Netz. Sie haben oft keine starken Sicherheitsmechanismen (Standard-Passwörter, keine Verschlüsselung). Jedes dieser Geräte stellt ein potenzielles Einfallstor dar. Ein Beispiel: öffentlich zugängliche Ladesäulen für E-Autos nahmen 2024 um 36 % zu – jede einzelne könnte missbraucht werden, um ins Energienetz zu gelangen. Betreiber müssen daher IoT-Geräte segmentieren und absichern.

• Cloud- und Drittanbieter-Risiken: Unternehmen verlagern Dienste in die Cloud, aber auch dort gibt es Angriffe – etwa wurde 2024 Microsofts Cloud-Infrastruktur (Exchange Online) durch eine Hackergruppe kompromittiert. Fehlkonfigurationen in der Cloud oder bei Dienstleistern können KRITIS-Betreiber direkt treffen (Lieferkettenangriff). Die zunehmende Abhängigkeit von Dienstleistern ist ein Trend: 2023 stieg z. B. die Zahl der KRITIS-Meldungen im Energiesektor, die auf Probleme bei IT-Dienstleistern zurückgingen. Hier gilt es, strenge Vorgaben an Partner zu machen (Vertragsklauseln, Audit-Rechte) und ggf. Redundanzen bei kritischen Services einzuplanen.

Zusammenfassend bleibt die Cyberbedrohungslage angespannt bis kritisch. Das BSI verzeichnete im Berichtszeitraum 2023/24 726 Meldungen von Sicherheitsvorfällen bei KRITIS-Betreibern – ein deutlicher Anstieg gegenüber 490 im Vorjahr. Besonders betroffen waren laut BSI der Energiesektor (gezielte Angriffe auf Stromnetze), IT-Dienstleister (deren Kompromittierung trifft viele Kunden zugleich), der Gesundheitssektor (Ransomware in Kliniken) und Transport/Logistik (vermehrte DDoS-Attacken auf z. B. Flughäfen, Bahnunternehmen). Diese Entwicklung unterstreicht, dass Cybersicherheit integraler Bestandteil der KRITIS-Sicherheit ist. Für Facility Manager bedeutet das konkret: Sie müssen in ihren Verantwortungsbereichen – von Gebäudeleittechnik über Brandmeldeanlagen bis Zugangssystemen – eng mit IT-Sicherheits-Experten zusammenarbeiten, um Schutzmaßnahmen umzusetzen (Netzwerkabschottung, regelmäßige Sicherheitsupdates für embedded devices, Überwachung des Datenverkehrs in Automationsnetzwerken etc.).

• Sabotageakte auf die Deutsche Bahn: Im Oktober 2022 legten unbekannte Täter durch das Durchtrennen von Glasfaser- und Kabelsträngen an zwei Stellen (Berlin und NRW) den kompletten Bahn-Funkverkehr in Norddeutschland lahm. In der Folge stand der Zugverkehr für rund drei Stunden still. Bemerkenswert war, dass auch ein Backup-System ausfiel, was die Verletzlichkeit redundanter Systeme offenbart. Sicherheitsbehörden stuften die Tat als gezielten Angriff auf die kritische Infrastruktur Bahn ein; die Ermittlungen laufen unter Federführung der Bundesanwaltschaft. Politik und Bahn reagierten mit Forderungen nach besserem physischen Schutz von Kabeltrassen und Knotenpunkten. Ein weiterer Sabotagefall ereignete sich im Dezember 2022, als ein Brandanschlag auf ein Kabeltunnel in NRW eine wichtige Bahnstrecke lahmlegte – auch hier zeigte sich, dass relative Kleinanschläge große Wirkung entfalten können.

• Gefährdung von Strom- und Kommunikationsnetzen: In letzter Zeit mehren sich Berichte über versuchte Angriffe auf Strominfrastruktur. 2020 etwa wurden in Nordrhein-Westfalen mutmaßlich rechtsextreme Pläne aufgedeckt, Strommasten zu sabotieren, um einen Blackout zu provozieren. 2021 kam es im Oberallgäu zu Schüssen auf eine 380-kV-Hochspannungsleitung, die jedoch keinen Stromausfall verursachten. Des Weiteren wurden mehrfach wichtige Telekommunikationskabel (Glasfaser, Seekabel) durchtrennt – ob immer Sabotage oder teils Unfall, ist nicht immer klar. Die Wirkung aber wäre ähnlich: Teile des Internets oder Telefonnetzes fallen aus, mit indirekten Folgen für andere KRITIS (z. B. Beeinträchtigung von Leitstellen).

• Terroristische Bedrohung: Der islamistische Terrorismus der 2000er hatte primär "weiche" Ziele, aber es gab Pläne, auch Infrastruktur zu treffen (z. B. ein vereitelter Plan 2006, die Stromversorgung von Rahman-Moschee-Gegnern lahmzulegen). Gegenwärtig wird eher die Gefahr von Reichsbürgern oder Extremisten diskutiert, die Anschläge auf Energie- oder Wasserwerke als Mittel zum Umsturz nutzen könnten. Im Dezember 2022 enttarnte die Polizei eine Gruppe, die laut Generalbundesanwalt u. a. die Stromversorgung ganz Deutschlands sabotieren wollte, um bürgerkriegsähnliche Zustände herbeizuführen – man hatte Listen von Umspannwerken bei ihnen gefunden (Glücklicherweise blieb es beim Plan). Dieses Beispiel zeigt: Ideologische Täter könnten KRITIS bewusst als Hebel einsetzen.

• Organisierte Kriminalität und Vandalismus: Nicht zu vergessen sind auch "profane" Gefahren. Kupferkabeldiebstähle an Bahnstrecken, Einbrüche in Stromstationen zum Metalldiebstahl, Sabotage durch frustrierte (Ex-)Mitarbeiter oder auch Drohnen, die Schutzzäune überwinden – all dies sind Szenarien, die bereits vorgekommen sind. Ein fallbezogenes Beispiel: 2018 führte ein großflächiger Stromausfall in Berlin-Hohenschönhausen dazu, dass ein Krankenhaus evakuiert werden musste; Ursache war ein Baggerbiss in ein Stromkabel (Unfall), aber es zeigte sich, dass Vandalismus oder Unachtsamkeit an der falschen Stelle erhebliche Folgekosten haben.

Naturkatastrophen und Umweltereignisse sind ebenfalls ernst zu nehmen (gehören strenggenommen auch zu "physischen Gefahren", werden aber oft separat betrachtet): Etwa zeigte die Flutkatastrophe im Ahrtal 2021, dass Hochwasser Mobilfunk und Strom über Tage ausfallen lassen können, weil Anlagen schlicht weggeschwemmt wurden oder mangels Diesel keine Notstromversorgung mehr leisten konnten. Stürme und Schneelasten haben in der Vergangenheit Stromleitungen zu Fall gebracht (bekannt: Münsterland-Schneechaos 2005). Hitzewellen können die Kühlleistung in Rechenzentren herausfordern; Trockenheit gefährdet die Binnenschifffahrt und damit Kohle- oder Öltransporte zu Kraftwerken. Pandemien schließlich – wie COVID-19 2020 – treffen zwar nicht die technische Infrastruktur direkt, wohl aber das verfügbare Personal. Im Frühjahr 2020 mussten Wasserwerke, Kraftwerkleitstellen und andere kritische Betriebsbereiche Sonderschichten und Isolationsmaßnahmen einführen, damit genug Fachleute gesund blieben, um den Betrieb zu sichern.

Für Facility Manager in kritischen Infrastrukturen ergibt sich aus diesen Szenarien: Allround-Krisenvorsorge ist gefragt. Man muss physische Sicherheitseinrichtungen haben (Zäune, Zutrittskontrollen, Video), aber auch Notfallpläne für Evakuierungen, Personalreserven, Materialvorräte (z. B. Treibstoff für Generatoren, Ersatzteile) und Zuständigkeiten im Krisenstab definieren. Eine Besonderheit physischer Ereignisse ist, dass Interdependenzen greifen können: Fällt Strom aus, kann das auch die IT lahmlegen; fällt Telekommunikation aus, sind Störungsmeldungen oder Fernsteuerungen nicht mehr möglich. Diese Kaskadeneffekte gilt es in der Risikoanalyse zu berücksichtigen.

• Strom und IT: Ohne Strom keine IT, ohne IT wiederum auch kein Strom (Netzleitstellen, Kraftwerksleitsysteme sind IT-abhängig).

• Strom und Kommunikation: Bei längerem Stromausfall fallen Mobilfunkmasten nach Ausfall ihrer Batteriepuffer aus; umgekehrt verhindern Kommunikationsausfälle die Koordination von Stromnetzen.

• Energie und Verkehr: Eine Gasmangellage (siehe 2022) kann auf die Chemieindustrie durchschlagen, Schienenverkehr ist auf Strom angewiesen, etc.

Auch globale Lieferketten können kritische Infrastruktur indirekt gefährden. Die COVID-Pandemie und die geopolitischen Spannungen führten uns vor Augen, dass z. B. Medikamente, für die es wenige Hersteller gibt, plötzlich knapp werden können, oder dass Cyberangriffe auf Vorlieferanten (Fall Kaseya 2021: IT-Software-Lieferant gehackt, 800 Unternehmen betroffen) erhebliche Betriebsstörungen nach sich ziehen.

Im deutschen Kontext spielt die Sicherung der Versorgung mit Gas, Strom, Treibstoffen eine große Rolle – daher die Maßnahmen im EnSiG und anderen Gesetzen, um Abhängigkeiten (z. B. von einzelnen Ländern oder Lieferanten) zu reduzieren. Für Unternehmen ist relevant, dass Resilienz auch eine Frage von Diversifizierung ist: Mehrere Lieferanten haben, lokale Vorräte anlegen, alternative Transportwege kennen (z. B. wenn ein Hafen ausfällt, kann ich per LKW transportieren?).

Zuletzt: Demografische und personelle Risiken – unsere Infrastrukturen hängen auch von Fachpersonal ab. Engpässe oder Ausfälle (z. B. durch Krankheit, Streik, gezielte Entführung im Extremfall) können Prozesse stören. Daher müssen Wissensmanagement und Personal-Backups Teil der Sicherheit sein

Angesichts der genannten Risiken ist klar: Die Sicherung kritischer Infrastruktur erfordert ein integriertes Sicherheitskonzept. Dieses sollte organisatorische, technische und infrastrukturelle Maßnahmen umfassen, resiliente Prozesse etablieren und die Zusammenarbeit aller Beteiligten fördern. Im Folgenden werden zentrale Handlungsfelder und Beispiele für Schutzmaßnahmen beschrieben. Dabei gliedern wir in die Kategorien organisatorisch, technisch/IT-bezogen und infrastrukturell/baulich, wenngleich es viele Überschneidungen gibt. Zudem widmen wir eigene Abschnitte den Themen resiliente Prozesse (Notfall- und Krisenmanagement) sowie interdisziplinäre Zusammenarbeit, da diese Querschnittsthemen für den Erfolg aller Maßnahmen entscheidend sind.

• Sicherheitsstrategie und -richtlinien: Jedes KRITIS-Unternehmen sollte eine dokumentierte Sicherheitsleitlinie haben, die von der Geschäftsführung getragen wird. Darin werden Schutzziele (z. B. Verfügbarkeit, Integrität, Vertraulichkeit) definiert und Prioritäten gesetzt. Aus der Strategie leiten sich konkrete Richtlinien ab (z. B. Zutrittsrichtlinie für Gebäude, Passwort-Policy für IT-Systeme, Verfahren für Lieferantenchecks). Ein solches Policy-Framework entspricht Anforderungen von ISO 27001 und erleichtert die Kommunikation im Unternehmen.

• Informationssicherheits- und Risikomanagementsystem (ISMS/RMS): Wie oben dargelegt, ist ein ISMS essenziell. Dazu gehört auch ein strukturiertes Risikomanagement: Alle kritischen Assets (Werte) werden erhoben, Bedrohungen und Schwachstellen analysiert, Risiken bewertet und Behandlungspläne erstellt. Der Prozess wird regelmäßig wiederholt. Tools wie Risiko-Register und Methodiken (z. B. nach ISO 31000 oder BSI-Standard 200-3) kommen zum Einsatz. Wichtig: KRITIS-Betreiber führen zwecks Compliance ohnehin regelmäßige Risikobeurteilungen durch (teils staatlich gefordert, siehe KRITIS-DachG oder §8a BSIG). Ein gelebtes Risikomanagement sorgt dafür, dass neue Gefahren (z. B. eine neu entdeckte Schwachstelle oder eine neue Abhängigkeit) zeitnah ins Sicherheitskonzept einfließen.

• Business Continuity Management (BCM): Ergänzend zur IT- und Sicherheitssicht braucht es einen Fokus auf das Weiterführen der Geschäftsprozesse im Krisenfall. Ein Business Continuity Management System (nach ISO 22301 oder BSI-Standard 200-4) identifiziert die kritischen Geschäftsprozesse, definiert Wiederanlaufzeiten (RTO, Recovery Time Objective) und Notfallpläne, um diese Prozesse bei Ausfall der normalen Infrastruktur weiterbetreiben zu können. Beispielsweise erarbeitet BCM Antworten auf Fragen wie: „Wie lange können wir einen Stromausfall überbrücken, und was tun wir, wenn er länger dauert?“, „Wie verlagern wir im Notfall unseren Leitstand an einen Ersatzstandort?“, „Wer entscheidet was, wenn das Management nicht erreichbar ist?“. Das neue KRITIS-Dachgesetz erwähnt BCM ausdrücklich als Pflichtelement. Für ein Krankenhaus heißt das z. B.: Evakuierungspläne, regelmäßige Notstromtests, Doppelung wichtiger Geräte. Für ein Rechenzentrum: Ersatzteile vorhalten, Daten-Backups in getrennten Lokationen (Georedundanz), etc.

• Schulung und Sensibilisierung: Der Faktor Mensch bleibt eine Schwachstelle – viele Vorfälle passieren durch Phishing, Fehlverhalten oder mangelndes Wissen. Daher sind regelmäßige Awareness-Schulungen unerlässlich. Mitarbeiter sollten die Bedeutung von Sicherheitsregeln verstehen und wissen, wie sie auf Vorfälle reagieren (z. B. wem melde ich eine verdächtige E-Mail oder auffällige Personen auf dem Gelände?). Phishing-Tests, Sicherheitstrainings und klare Do's and Dont's helfen, eine Sicherheitskultur zu etablieren. Insbesondere in KRITIS-Unternehmen, wo z. B. ein einziges infiziertes Notebook zu großem Schaden führen kann, muss jeder Mitarbeiter – vom Pförtner bis zum Vorstand – sensibilisiert sein. Auch im physischen Bereich: Schulung von Wachen, Übung von Alarmierungs- und Räumungsprozeduren, etc.

• Hintergrundüberprüfungen und Insider-Schutz: Personal in sicherheitskritischen Positionen (leitende Ingenieure, Administratoren, Sicherheitsmitarbeiter) sollte vor Einstellung und periodisch auf Zuverlässigkeit geprüft werden (Stichwort: Zuverlässigkeitsüberprüfungen, teils gesetzlich geregelt etwa in der Luft- und Kernsicherheit). Ein unzufriedener Insider mit weitreichenden Zugriffsrechten stellt eine erhebliche Gefahr dar – entsprechende Sensibilität im HR-Management ist gefordert (Vier-Augen-Prinzip bei kritischen Aktionen, sofortige Rechteentzüge bei Mitarbeiter­austritt, Whistleblower-Kanäle, um auf riskantes Verhalten aufmerksam zu werden).

• Dokumentation und Change-Management: Saubere Dokumentation aller sicherheitsrelevanten Systeme (Netzwerkpläne, Konfigurationen, Schlüssel- und Berechtigungslisten, Notfallhandbücher) ist wichtig, um im Störungsfall schnell reagieren zu können. Änderungen an kritischen Anlagen sollten kontrolliert und nachvollziehbar durchgeführt werden (Change Management) – dies verhindert, dass bspw. eine neue Firewall-Regel unbeabsichtigt einen Alarm abschaltet.

Organisatorische Maßnahmen sorgen also für den Ordnungsrahmen der Sicherheit. Sie sind häufig auch Gegenstand von Audits und behördlichen Kontrollen, da schriftliche Nachweise hier eine große Rolle spielen (Policy-Dokumente, Schulungsnachweise, Prüfprotokolle). Aus Management-Sicht sollte Sicherheitsorganisation im KRITIS-Umfeld immer Top-Management-Aufmerksamkeit haben – idealerweise gibt es einen Sicherheitsbeauftragten oder CISO, der direkt an die Unternehmensleitung berichtet und regelmäßige Lagevorträge hält. Dies entspricht auch dem Trend der Regulierung: Die EU NIS2 wird voraussichtlich fordern, dass Führungskräfte persönlich für Cybersicherheitsthemen Verantwortung übernehmen und geschult werden.

• Netzwerk- und Endgerätesicherheit: Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS), Security Gateways – diese sollen unerlaubten Zugriff von außen verhindern und verdächtigen Datenverkehr erkennen. Segmentierung ist entscheidend: Kritische Steuerungsnetze (OT-Netz) vom Office-Netz trennen, sensible Bereiche (z. B. Leitstellensysteme) isolieren, ggf. nur über Diode oder streng kontrollierte Schnittstellen verbinden. Außerdem: Endpoint Security (Virenscanner, Application Whitelisting) auf Servern und Bedienrechnern einrichten, am besten ergänzt durch Endpoint Detection and Response (EDR) Lösungen, die ungewöhnliches Verhalten an Endgeräten feststellen können.

• Zugangsschutz und Identitätsmanagement: Überall dort, wo sich Benutzer oder Systeme anmelden, sind starke Authentisierungsverfahren Pflicht. Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme ist Stand der Technik. Das gilt nicht nur für VPN-Zugänge, sondern auch für Cloud-Administrationskonten, Remote-Zugriffe auf Maschinen, etc. Zentralisiertes Identitäts- und Berechtigungsmanagement (z. B. mit Verzeichnisdiensten, IAM-Tools) hilft, den Überblick zu behalten und Berechtigungen regelmäßig zu überprüfen. Prinzip der minimalen Rechte (Least Privilege) anwenden: Jeder nur so viel Zugriff wie nötig.

• System-Härtung und Patch-Management: Alle Systeme – von Windows-Servern bis SPS-Steuerungen – sollten gehärtet werden, d. h. unnötige Dienste abstellen, Standardpasswörter ändern, Logging aktivieren, sichere Konfigurationen verwenden. Patch-Management ist wichtig, aber in KRITIS oft komplex (man kann z. B. nicht einfach ein Kraftwerk jederzeit neu starten für ein Update). Daher braucht es definierte Zeitfenster und ggf. redundante Systeme, um Updates im Wechsel einzuspielen. Angesichts der Schwachstellenflut muss das Update-Tempo erhöht werden – Angreifer nutzen bekannte Lücken oft binnen Tagen aus. Unterstützung durch Schwachstellen-Scanner und automatisierte Update-Systeme ist empfehlenswert.

• Backup- und Recovery-Systeme: Datensicherungen sind die Lebensversicherung gegen Ransomware und technische Fehler. Ein robustes Backup-Konzept (idealerweise nach dem 3-2-1-Prinzip: 3 Kopien, auf 2 verschiedenen Medien, 1 davon offsite/offline) stellt sicher, dass selbst bei Komplettverschlüsselung der Systeme oder physischer Zerstörung (Brand) eine Wiederherstellung möglich ist. Wichtig: Backups müssen getestet werden (Konsistenz, Restore-Übung). Und sie sollten vom operativen Netz getrennt sein, sonst infiziert Ransomware evtl. auch die Backups. In Rechenzentren haben sich z. B. immutable Backups (unveränderliche Speicherstände in Cloud oder WORM-Medien) bewährt.

• Überwachung und Alarmierung: Ein Sicherheits-Leitsystem (SIEM – Security Information and Event Management) sammelt Logs und Ereignisse aus diversen Quellen (Firewalls, Serverlogs, Badge-Systemen) und analysiert sie auf verdächtige Muster. Solche Systeme helfen, komplexe Angriffe zu erkennen, die mehrere Spuren hinterlassen. Ebenso müssen physische Alarme (Einbruch, Feuer, Zutritt) möglichst zusammengeführt und an eine ständig besetzte Stelle gemeldet werden. KRITIS-Betreiber richten oftmals eigene Security Operation Centers (SOC) ein oder nutzen externe Dienstleister, um 24/7 ein Auge auf ihre Systeme zu haben. Alarmpläne müssen definieren, wer bei welchem Alarm wie reagiert – die beste Kamera nützt nichts, wenn ein Eindringling zwar gefilmt, aber nicht verfolgt wird.

• Physische Sicherheitsanlagen: Technische Maßnahmen umfassen auch klassische Gebäude- und Geländesicherung: Zutrittskontrollsysteme (mit Chipkarte, biometrisch oder PIN) verhindern unbefugten Zugang; Videoüberwachung und KI-gestützte Analytik können Gelände und sensible Räume beobachten; Einbruchmeldeanlagen detektieren Öffnen von Türen/Fenstern oder Bewegungen außerhalb der Betriebszeit. Ergänzend gibt es Spezialtechnik, z. B. Drohnendetektion (gegen Spionagedrohnen), Sprengstoffsensoren in Flughäfen, Metall- und Chemikaliendetektoren bei Wasserversorgern etc. Wichtig ist die Integration: Alle diese Systeme sollten vernetzt gedacht werden – z. B. Kopplung der Zutrittskontrolle mit dem Alarmanlagenstatus oder mit der IT (Account wird erst aktiviert, wenn der Personalausweis geprüft ist, etc.).

• Schutz vor Versorgungsausfall: Technisch ist auch dafür zu sorgen, dass kritische Versorgungsleistungen redundant sind. Konkret: USV-Anlagen und Notstromgeneratoren für Stromausfall (meist 15 Minuten USV bis Diesel anspringt; Tanks für mehrere Tage Bevorratung). Notkühlung in Rechenzentren (eine Pumpe mit Notstrom, City-Wasser als Backup für Kühlkreislauf). Zweite Netzanschlüsse (Dual Homing) für Telekommunikation, ggf. Satellitenkommunikation als Fallback. All dies fällt unter technische Resilienz. Das KRITIS-Dachgesetz erwähnt z. B. Diversifizierung von Lieferketten als Maßnahme – technisch könnte das heißen: mehrere Einspeisepunkte, verschiedene Anbieter nutzen.

• Verschlüsselung und Datenschutz: Nicht zuletzt: zum Schutz der Vertraulichkeit (etwa bei medizinischen Daten oder Behörden-IT) sollten starke kryptographische Verfahren eingesetzt werden. Daten in Ruhe (auf Servern, Laptops – hier Festplattenverschlüsselung) und in Transit (VPN-Tunnel, TLS für Datenübertragung) sind zu verschlüsseln. Insbesondere bei Fernwartungsverbindungen oder Steuerleitungen ist Verschlüsselung plus Authentifizierung essentiell, um Abhören oder Manipulation zu verhindern.

Technische Maßnahmen müssen immer auf dem aktuellen Stand gehalten werden – ein statisches Sicherheitsniveau reicht nicht. Daher gehört auch die regelmäßige Wartung und Prüfung dieser Maßnahmen dazu: Penetrationstests und Red Team-Übungen decken Lücken auf, Security Assessments der Anlagentechnik, regelmäßige Überprüfung der Kameraabdeckung etc. Im BSI-Lagebericht wurde positiv vermerkt, dass Investitionen in IT-Sicherheit zunehmen und z. B. der Reifegrad der eingesetzten ISMS bei 140 von 671 untersuchten KRITIS-Betreibern in zwei Jahren gesteigert werden konnte. Doch technische Abwehr hat auch Grenzen, weshalb das Zusammenspiel mit organisatorischen und personellen Maßnahmen so wichtig bleibt.

• Standortwahl und -sicherung: Bereits bei der Planung einer kritischen Einrichtung sollte das Standort-Risiko bewertet werden (Lage in Gefahrenzonen, Nähe zu potenziellen Störern etc.). Beispielsweise werden Rechenzentren häufig in Gebieten gebaut, die nicht hochwassergefährdet sind, keine Nähe zu Chemiefabriken haben und außerhalb von Flugschneisen liegen. Um bestehende Standorte abzusichern, kann man Geländeschutzzonen definieren. Perimetersicherheit umfasst Zäune, Mauern, Hecken, Gräben, Poller – alles was unbefugtes Eindringen erschwert. Wichtig sind auch ausreichend Abstand (Standoff) zwischen öffentlichen Bereichen und den empfindlichen Anlagenteilen, um z. B. Schäden durch eine Autobomben-Explosion zu begrenzen.

• Zutrittsarchitektur: In Gebäuden sollte ein Mehr-Ebenen-Sicherheitskonzept umgesetzt sein: außen öffentlich, dann empfängergesteuerte Bereiche (z. B. Portierloge), dann gesicherte Innenbereiche nur für Personal, dann Hochsicherheitsbereiche (Schaltwarte, Serverraum) mit zusätzlicher Schleuse und strenger Kontrolle. Dieses Zwiebelprinzip stellt sicher, dass ein Angreifer mehrere Barrieren überwinden müsste. Eine gut durchdachte Zutrittsorganisation (Ausweiskontrollen, Vereinzelungsanlagen wie Drehkreuze, Begleitvorschriften für Besucher) verhindert Social-Engineering-Angriffe wie das einfache "Hineinschlupfen" mit einer Gruppe.

• Baulicher Schutz und Redundanz: Kritische Räume können baulich gehärtet sein – z. B. ein Netzleitstellengebäude mit Stahlbeton und Schutzfolie auf Fenstern gegen Explosionen, ein Serverraum mit Feuerwiderstand 90 Minuten und eigener Löschanlage. Man kann auch bauliche Aufteilungen nutzen: in Rechenzentren werden oft sog. Brandabschnitte vorgesehen, damit ein Feuer nicht alles lahmlegt. Redundante Kabeltrassen (z. B. Stromleitungen einmal von Norden, einmal von Süden ins Werk geführt) schützen vor Ausfall durch eine einzelne Störung oder Sabotage. In der Norm DIN EN 50600 etwa sind solche Redundanz- und Verfügbarkeitsanforderungen systematisch beschrieben und können je nach gewünschtem Level umgesetzt werden. Dazu gehört auch räumliche Trennung redundanter Komponenten (damit nicht ein Ereignis beide erwischt).

• Technische Gebäudeausrüstung – robust ausgelegt: Notstrom wurde erwähnt; ähnlich wichtig: Klimatisierung. Besonders Rechenzentren und Krankenhäuser benötigen stabile Temperaturen. Daher sind redundante Kälteanlagen (N+1 oder besser 2N-Auslegung) üblich, die an getrennte Stromkreise angeschlossen sind. Filter in Belüftungssystemen schützen vor Rauch oder schädlichen Gasen (man denke an einen Chemieunfall in der Nähe – Schaltschränke reagieren empfindlich auf korrosive Gase). Pumpen und Ventile in Wasserversorgungen benötigen oft Notstrom, oder es müssen mechanische Notbedienungen vorhanden sein, falls die Steuerung versagt.

• Brandschutz: Feuer ist eine der größten lokalen Gefahren. Baulicher Brandschutz (Feuerwände, Fluchtwege) und anlagentechnischer Brandschutz (Brandmeldeanlagen, automatische Löschsysteme wie Sprinkler, Gaslöschanlagen in Serverräumen oder Trafostationen) sind Pflichtprogramm. Wichtig auch hier: regelmäßige Inspektionen und Übungen. Ein unbemerkter Kabelschwelbrand kann fatale Folgen haben – Sensorkabel und Rauchansaugsysteme (RAS) gehören deshalb in kritische Bereiche.

• Versorgungsinfrastruktur sichern: So banal es klingt: selbst die Versorgung mit Wasser, Diesel, Ersatzteilen kann kritisch werden. Daher haben z. B. manche Krankenhäuser eigene Brunnen für Notzeiten, Kraftwerke lagern Öl für mehrere Tage Betrieb vor. Im Facility-Bereich bedeutet das: Verträge mit Lieferanten für prioritäre Belieferung (z. B. Notstromdiesel binnen 24h), Lagerhaltung wichtiger Komponenten (Transformatorenersatz kann Monate dauern, daher betreibt die deutsche Strombranche eine gemeinsame Reserve-Transformator-Bank).

Infrastrukturelle Maßnahmen sind häufig teuer in der Anschaffung, zahlen sich aber im Krisenfall aus, da sie Widerstandsfähigkeit (Resilienz) verleihen. In den letzten Jahren ist auch die Nachhaltigkeit hier ein Thema geworden: Einerseits sollen Anlagen effizient sein (was z.B. bei Kälteanlagen in RZ und EN 50600 explizit gefordert ist), andererseits dürfen Effizienzmaßnahmen nicht zu Lasten der Sicherheit gehen (etwa im Sinne von "kein Dieselgenerator aus Umweltgründen" – das geht nicht, man braucht beides: Effizienz im Normalfall, Sicherheit im Notfall).

Abschließend sei betont: Infrastruktur-Schutz bedeutet auch, den Alltag betriebssicher zu gestalten. Viele Störungen entstehen nicht durch gezielte Angriffe, sondern durch Fehler oder Unfälle (wie dem berühmten Baggerbiss). Regelmäßige Anlagenwartung, Qualitätskontrollen bei Bauarbeiten in der Nähe, und eine gute Fehlerkultur (sodass Mitarbeiter potentielle Probleme melden, bevor sie eskalieren) sind wichtig. So verlangte z. B. ein SPD-Abgeordneter nach dem Bahn-Kabelanschlag 2022, man solle „in Zukunft Technik besser sichern“ – im Facility Management würde man sagen: Analyse von Single Points of Failure und vorsorgliche Absicherung derselben.

• Notfall- und Krisenreaktionspläne: Für definierte Notfallszenarien (Feuer, Bombendrohung, Cyberangriff, Stromausfall, Pandemie etc.) sollten schriftliche Handlungsanweisungen vorliegen. Ein Krisenstab oder Notfallteam muss benannt sein, inklusive Stellvertreterregelungen. Wichtig: Notfallpläne gehören geübt. Realistische Übungen – sei es ein Evakuierungsalarm im Gebäude oder ein Tabletop-Test eines Cybervorfalls – decken Lücken in Plänen auf und gewöhnen die Beteiligten an ihre Rollen. Die KRITIS-Regularien fordern explizit Schulungen und Übungen des Personals für Notfälle.

• Incident Response (IR): Im IT-Bereich gibt es Incident-Response-Teams, die bei Sicherheitsvorfällen Analysen durchführen, Systeme forensisch sichern und wiederherstellen. Ein gutes IR-Konzept stellt sicher, dass Angriffe schnell eingedämmt werden und gelernt wird, wie sie passierten. Das kann man auf physische Vorfälle übertragen: z. B. ein Protokoll, was zu tun ist, wenn ein Einbrecher in eine Anlage eindringt (Polizei rufen, Anlage runterfahren? weiterversorgen über Notleitung? Kommunikationswege…). Entscheidend ist, dass im Ereignisfall keine Zeit mit Grundsatzentscheidungen verloren geht – diese müssen vorher getroffen sein (z. B. Abschaltkriterien: wann fahren wir eine Anlage sicherheitshalber herunter, um größeren Schaden zu vermeiden?).

• Kommunikation im Krisenfall: Eine oft unterschätzte Prozessfrage. Wer informiert Kunden, Öffentlichkeit, Behörden, und wie? Beispiel: Bei einem flächigen Stromausfall müsste ein Betreiber rasch mit der Regierung kommunizieren (Lagebericht ans Innenministerium/BBK), Hotline für Bürger einrichten, interne Info an Mitarbeiter streuen usw. Hierfür sollte es vorbereitete Kommunikationspläne geben, inklusive Templates für Presseerklärungen. Auch alternative Kommunikationsmittel sollten bedacht sein (etwa Satellitentelefone, wenn Telefonnetz ausfällt; mobile Funkgeräte etc.).

• Wiederanlauf und Wiederherstellung: Resilienz heißt auch, nach einem Schock rasch wieder hochfahren zu können. Daher sollten Prozesse für Disaster Recovery definiert sein: Wie wird Datenverlust rekonstruiert? In welcher Reihenfolge werden Systeme wieder ans Netz genommen? Gibt es Prioritätenliste, welche Dienste zuerst laufen müssen? Im Facility-Bereich kann das bedeuten: Nach Gebäuderäumung kontrolliert ein Team erst die Sicherheitsinfrastruktur, dann Energieversorgung, dann wird entschieden, wann Mitarbeiter zurückkehren. In IT: erst Netzwerk, dann kritische Server, zuletzt Clients.

• Lernen aus Störungen: Resiliente Unternehmen zeichnen sich dadurch aus, dass sie aus jedem Vorfall – und sei er noch so klein – Lehren ziehen. Jede Störung, die gemeldet wurde, sollte nachbearbeitet werden (Ursachenanalyse, Korrekturmaßnahmen, Verhinderung künftiger Wiederholung). In der Sicherheitskultur spricht man von „positiver Fehlerkultur“ – Mitarbeiter dürfen Fehler melden ohne Angst vor Repressalien, nur so kommt man Schwachstellen auf die Spur.

Die Etablierung solcher Prozesse wird durch Standards wie ISO 22301 (Business Continuity) oder die erwähnte ISO 27001 (die auch Incident-Management fordert) geleitet. Das KRITIS-Dachgesetz wird mit Sicherheit vorschreiben, Resilienzpläne regelmäßig zu üben und zu aktualisieren. Viele Branchen – etwa Banken und Versicherungen – haben bereits verpflichtende Notfallübungen (bei Banken z. B. Marktweite Krisenübungen mit Bundesbank).

Für Facility Manager bedeuten resiliente Prozesse z.B.: sich vorab mit lokalen Behörden abstimmen (Wer ist im Krisenstab der Stadt, wie erreiche ich ihn? Gibt es Alarmierungen via Warn-Apps?); interne Ablaufpläne aushängen (Evakuierungswege, Sammelplätze, Bedienungshinweise für Notgeneratoren, etc.); regelmäßige Trainings auch für seltene Ereignisse (die meisten hatten vor 2020 keine Pandemiepläne – jetzt weiß man es besser).

Resilienz ist letztlich die Fähigkeit, Störungen auszuhalten und sich anzupassen. Die Kultur im Unternehmen spielt mit rein: Mitarbeiter sollten wissen, dass Sicherheit Priorität hat und im Zweifel Produktion/Funktion zugunsten Sicherheit angehalten wird. Solche Werte müssen vom Management vorgelebt werden.

Kritische Infrastruktur zu schützen ist eine Gemeinschaftsaufgabe. Weder eine einzelne Abteilung im Unternehmen noch ein einzelnes Unternehmen allein kann alle Herausforderungen stemmen. Daher ist interdisziplinäre und sektorübergreifende Zusammenarbeit ein Schlüsselfaktor.

Innerhalb eines Unternehmens sollte es enge Kooperation geben zwischen Facility Management, IT-Abteilung, Fachabteilungen und dem Management. Sicherheitsvorfälle tangieren meist alle Ebenen – z. B. ein IT-Ausfall betrifft Produktion und Facility (Klimaanlagensteuerung) ebenso. Deswegen etablieren viele Firmen Krisenstäbe, die interdisziplinär besetzt sind (IT, FM, PR, Recht, Fachabteilung, Leitung). Schon im Vorfeld empfiehlt es sich, Arbeitsgruppen zu haben, die gemeinsam Risikoanalysen durchführen. Unterschiedliche Expertisen müssen verzahnt werden: der IT-Sicherheitsbeauftragte weiß um Cyberrisiken, der Brandschutzbeauftragte um Feuergefahren, der Produktionsleiter kennt die Prozessabhängigkeiten. Zusammen können sie ganzheitliche Lösungen entwickeln – etwa ein Konzept zur Ausweichsteuerung (IT + Operation).

Unternehmensübergreifend gibt es in Deutschland seit einigen Jahren die UP KRITIS (Umsetzungsplan KRITIS), eine öffentlich-private Kooperation, an der sich Betreiber, Verbände und Behörden beteiligen. Diese Community tauscht Informationen zu Bedrohungen und Best Practices aus und erarbeitet branchenspezifische Handlungsempfehlungen. Der Wert solcher Kooperation zeigte sich z. B. im Ausbau der UP KRITIS-Kooperation: 2023 waren bereits 960 Organisationen beteiligt. In Sektoren wie Telekommunikation und Energie gibt es darüber hinaus branchenspezifische Informationsverbünde und gemeinsame Krisenübungen. Ein Facility-Manager in einem KRITIS-Unternehmen sollte wissen, welche Brancheninitiativen existieren und sich dort einbringen – der Erfahrungsaustausch etwa in Arbeitskreisen (z. B. beim BSI oder Bitkom für IT-Sicherheit, bei der Deutschen Krankenhausgesellschaft für Klinik-KRITIS, etc.) kann sehr wertvoll sein.

Zusammenarbeit mit Behörden ist ein weiterer Eckpfeiler. Viele Gesetze verlangen die Benennung eines Ansprechpartners für die Sicherheitsbehörden. Im Ernstfall arbeiten Betreiber eng mit Polizei, Feuerwehr, dem Technischen Hilfswerk (THW) und ggf. der Bundeswehr (bei Amts- und Katastrophenhilfe) zusammen. Es ist ratsam, im Voraus Kontakte zu knüpfen: Lokale Polizei präventiv das Werksgelände zeigen, gemeinsame Begehungen mit Feuerwehr (Stichwort: Feuerwehrpläne) machen, damit im Ereignisfall alle wissen, worum es geht. Das BBK bietet mit den örtlichen Katastrophenschutzstäben ebenfalls Kooperationsplattformen an – und letztlich laufen bei ihnen im Krisenfall die Fäden (z. B. Alarmierung der Bevölkerung) zusammen. Ein reibungsloser Informationsfluss zwischen privatem Betreiber und staatlichen Stellen ermöglicht frühzeitige Warnungen und abgestimmte Reaktionen. So melden KRITIS-Betreiber sicherheitsrelevante Vorfälle an das BSI, das wiederum andere warnt und Hilfestellung leistet (z. B. durch CERTs). Diese Meldepflichten sind kein Selbstzweck, sondern dienen dem Kollektivschutz: Frühwarnung kann ähnliche Angriffe auf andere verhindern.

Im Facility Management kann interdisziplinäre Zusammenarbeit auch heißen: Sicherheitsbewusstsein in allen Gewerken verankern. Also Architekten, die bei Umbauten Sicherheitsaspekte mitdenken; Instandhalter, die Verdächtiges melden; Reinigungskräfte, die in Sicherheitszonen nur begleitet arbeiten – alle ziehen an einem Strang.

Abschließend ist die internationale Zusammenarbeit zu erwähnen, gerade bei großen Unternehmen. Viele Standards und Bedrohungen sind global. EU-weit kommt NIS2, weltweit teilen CERTs (Computer Emergency Response Teams) Informationen zu Cybervorfällen. Grenzüberschreitende Infrastruktur (Strom- und Datennetze) benötigt auch länderübergreifende Abstimmung. Ein gutes Beispiel war 2021 ein EU-Krisenübung im Energiesektor, wo Staaten gemeinsam Blackout-Szenarien durchspielten.

Kein Akteur hat allein alle Ressourcen oder Informationen, um KRITIS zu schützen. Es braucht Vertrauen und Kooperation – zwischen Unternehmen untereinander (auch mit Wettbewerbern in Sachen Sicherheit zusammenarbeiten zu können, ist hier Tugend), zwischen Privat und Staat, zwischen verschiedenen Berufsgruppen. Der BSI-Lagebericht 2024 formuliert es treffend: “Die enge Zusammenarbeit zwischen BSI, Betreibern und deren Verbänden in der UP KRITIS zeigt, dass gemeinsames Handeln der Schlüssel zum Erfolg ist.”.