Schutz kritischer Infrastruktur gewinnt zunehmend an Bedeutung. Energieversorgung, Wasserwirtschaft, Gesundheitswesen, Verkehrssysteme und Kommunikationsnetze sind essenziell für das gesellschaftliche und wirtschaftliche Leben. Gleichzeitig steigen die Anforderungen an ihre Sicherheit: Neben Cyberangriffen rücken auch physische Bedrohungen wie Sabotage, Vandalismus und Manipulation stärker in den Fokus.

Zusätzlichen Handlungsdruck erzeugen neue regulatorische Vorgaben wie NIS2, CER, das geplante KRITIS-Dachgesetz und Standards wie IEC 62443. Betreiber kritischer Infrastrukturen müssen ihre Sicherheitskonzepte daher ganzheitlich weiterentwickeln und digitale, physische sowie organisatorische Risiken gemeinsam betrachten.

Schutz kritischer Infrastruktur – Kurzüberblick

Der Schutz kritischer Infrastruktur umfasst Maßnahmen zur Sicherstellung der Funktionsfähigkeit essenzieller Systeme wie Energieversorgung, Wasserwirtschaft, Transport oder Kommunikation.

Zu den wichtigsten Sicherheitsdimensionen gehören:

• Cybersecurity zum Schutz digitaler Systeme

• Physische Sicherheit zum Schutz kritischer Anlagen

• Organisatorische Maßnahmen wie Risikoanalyse und Notfallmanagement

Regulatorische Vorgaben wie NIS2, CER, das KRITIS-Dachgesetz und Standards wie IEC 62443 verpflichten Betreiber dazu, Risiken systematisch zu bewerten und geeignete Sicherheitsmaßnahmen umzusetzen.

Die Anforderungen an den Schutz kritischer Infrastruktur steigen aus drei Gründen deutlich: Erstens nimmt die Bedrohungslage zu. Kritische Anlagen sind attraktive Ziele für Sabotage, Vandalismus und gezielte Angriffe, weil Ausfälle weitreichende Folgen für Versorgung, Sicherheit und Wirtschaft haben können.

Zweitens erhöht die Digitalisierung die Angriffsfläche. Durch die stärkere Vernetzung von OT- und IT-Systemen, Fernwartung und IoT-basierter Sensorik entstehen neue Abhängigkeiten und zusätzliche potenzielle Schwachstellen.

Drittens wachsen die Anforderungen an die Resilienz. Betreiber müssen nicht nur Störungen verhindern, sondern auch in der Lage sein, Vorfälle frühzeitig zu erkennen, angemessen zu reagieren und kritische Dienste aufrechtzuerhalten.

Die steigende Bedrohungslage spiegelt sich auch in den regulatorischen Anforderungen wider. Betreiber kritischer und besonders wichtiger Einrichtungen müssen Risiken heute systematisch bewerten, geeignete Maßnahmen umsetzen und ihre Sicherheitskonzepte nachvollziehbar dokumentieren.

NIS2-Richtlinie

Die NIS2-Richtlinie erweitert die europäischen Vorgaben zur Cybersicherheit erheblich und betrifft deutlich mehr Unternehmen und Einrichtungen als bisher. Ziel ist es, das Sicherheitsniveau kritischer und wichtiger Einrichtungen in der Europäischen Union insgesamt anzuheben und ein einheitlicheres Verständnis von Risiko- und Sicherheitsmanagement zu schaffen.

Im Zentrum steht dabei die Verpflichtung, Sicherheitsmaßnahmen nicht nur punktuell, sondern als strukturierten Managementansatz zu etablieren. Betreiber müssen Risiken identifizieren, bewerten und geeignete technische wie organisatorische Maßnahmen umsetzen. Dazu gehören insbesondere:

• Risikoanalysen und Sicherheitsmanagement, um Bedrohungen systematisch zu erfassen und angemessen zu priorisieren

• technische und organisatorische Maßnahmen, die sich am tatsächlichen Risikoprofil der Einrichtung orientieren

• Incident-Response-Prozesse, damit Sicherheitsvorfälle erkannt, bewertet, gemeldet und bearbeitet werden können

• Business Continuity und Krisenmanagement, um kritische Dienste auch im Störungsfall aufrechterhalten zu können

• Sicherheitsanforderungen entlang der Lieferkette, da Schwachstellen bei Dienstleistern oder Zulieferern ebenfalls erhebliche Risiken verursachen können

CER-Richtlinie und KRITIS-Dachgesetz

Die CER-Richtlinie (Critical Entities Resilience) ergänzt NIS2 um den Aspekt der Resilienz kritischer Einrichtungen. Im Mittelpunkt steht die Fähigkeit, wesentliche Dienstleistungen auch bei Störungen, Angriffen oder Ausfällen aufrechtzuerhalten. Anders als NIS2 berücksichtigt die CER-Richtlinie ausdrücklich auch physische und infrastrukturelle Risiken und bildet damit auf europäischer Ebene den zentralen Rahmen für die Resilienz kritischer Einrichtungen.

Zu den zentralen Anforderungen der CER-Richtlinie gehören:

• Risikobewertungen für kritische Einrichtungen und Standorte, einschließlich physischer und infrastruktureller Risiken

• Umsetzung geeigneter Schutzmaßnahmen, insbesondere im Bereich der physischen Sicherheit

• Resilienzstrategien und Notfallplanung, um die Kontinuität kritischer Dienste sicherzustellen

• Berücksichtigung sektorübergreifender Abhängigkeiten, da Störungen häufig mehrere Bereiche betreffen

In Deutschland wird die CER-Richtlinie durch das geplante KRITIS-Dachgesetz in nationales Recht überführt. Das KRITIS-Dachgesetz konkretisiert die europäischen Vorgaben und schafft einen einheitlichen Rahmen für den Schutz kritischer Infrastrukturen auf nationaler Ebene. Es überführt die Anforderungen der CER-Richtlinie in verbindliche Regelungen für Betreiber in Deutschland und ergänzt bestehende Sicherheitsanforderungen.

Dabei stehen insbesondere folgende Aspekte im Fokus:

• Verpflichtende Umsetzung von Resilienzmaßnahmen für kritische Einrichtungen

• Stärkere Berücksichtigung physischer Sicherheitsanforderungen

• Klare Zuständigkeiten und Nachweispflichten für Betreiber

• Verbesserte Zusammenarbeit zwischen Behörden und Betreibern

• Strukturierte Vorbereitung auf Krisen- und Ausfallszenarien

IEC 62443

Die internationale Normenreihe IEC 62443 ist ein zentraler Referenzrahmen für die Sicherheit industrieller Automatisierungs- und Kontrollsysteme. Sie spielt insbesondere dort eine wichtige Rolle, wo Operational Technology (OT), industrielle Steuerungen und vernetzte Anlagen Teil kritischer Infrastruktur sind.

Die Normenreihe betrachtet Sicherheit nicht nur auf einer einzelnen Ebene, sondern entlang verschiedener Rollen und Systembestandteile – von Betreibern über Integratoren bis hin zu Komponentenherstellern. Für die Praxis besonders relevant ist, dass IEC 62443 einen strukturierten Ansatz für OT-Security vorgibt und Sicherheitsanforderungen in industrielle Umgebungen übersetzt.

Dazu gehören unter anderem:

• Zonierung und Segmentierung von Systemen, um sicherheitsrelevante Bereiche voneinander abzugrenzen

• Definition von Sicherheitslevels, abhängig vom Schutzbedarf und Bedrohungsprofil

• Anforderungen an sichere Systemarchitekturen, damit Risiken bereits im Design berücksichtigt werden

• Regelungen für Zugriffskontrolle, Benutzerverwaltung und Rechtekonzepte

• Anforderungen an Wartung, Updates und sicheren Betrieb

• Berücksichtigung physischer Sicherheitsaspekte, etwa dort, wo der Zugriff auf Anlagen unmittelbare Auswirkungen auf deren Integrität und Betriebssicherheit haben kann

Warum diese Regelwerke gemeinsam betrachtet werden sollten

In der Praxis greifen diese Regelwerke ineinander: NIS2 stärkt das Cyber-Risikomanagement, CER fokussiert Resilienz und physische Widerstandsfähigkeit, das KRITIS-Dachgesetz schafft den nationalen Rahmen und IEC 62443 liefert Orientierung für OT-Umgebungen. Für Betreiber wird damit klar: Wirksame KRITIS-Sicherheit erfordert ein Zusammenspiel aus Cybersecurity, physischer Sicherheit und organisatorischer Resilienz.

Der Schutz kritischer Infrastruktur basiert auf einer Kombination verschiedener Sicherheitsmaßnahmen.

Organisatorische Maßnahmen

• Risikoanalysen und Sicherheitskonzepte

• Notfall- und Krisenmanagement

• Schulungen und Sensibilisierung von Mitarbeitenden

Technische Sicherheitsmaßnahmen

• Netzwerksegmentierung

• Zugriffskontrollen

• Sicherheitsmonitoring

• Intrusion Detection Systeme

Physische Sicherheitsmaßnahmen

• Zutrittskontrollsysteme

• Videoüberwachung

• Alarmanlagen

• technische Manipulationserkennung an Anlagen

Je nach Anlagentyp und Risikoprofil müssen diese Maßnahmen sinnvoll kombiniert werden. Besonders bei dezentralen und unbemannten Anlagen sind physische Schutzmaßnahmen ein wichtiger Bestandteil ganzheitlicher Sicherheitskonzepte.

Klassische Sicherheitskonzepte setzen häufig auf Zutrittskontrollen, Videoüberwachung und Alarmanlagen. Diese Maßnahmen bleiben wichtig, stoßen jedoch an Grenzen, wenn technische Manipulationen an Anlagen frühzeitig erkannt oder physische Ereignisse in digitale Sicherheitsprozesse eingebunden werden sollen. Gerade in dezentralen Infrastrukturen entsteht hier oft eine sicherheitsrelevante Lücke.

Moderne Sicherheitsstrategien entwickeln sich zunehmend in Richtung cyber-physischer Sicherheitskonzepte. Sie verbinden digitale Sicherheitsmechanismen mit der Überwachung physischer Veränderungen an kritischen Anlagen und schaffen so eine zusätzliche Sicherheitsebene. Dadurch lassen sich Manipulationen früher erkennen, physische Ereignisse in Sicherheitsprozesse einbinden und der Zustand kritischer Anlagen transparenter überwachen.

Ein Beispiel für einen solchen Ansatz ist PHYSEC SEAL. Die Lösung ergänzt klassische Schutzmaßnahmen um technische Manipulationserkennung und ist besonders für unbemannte oder dezentral verteilte Anlagen relevant, bei denen physische Veränderungen frühzeitig erkannt werden sollen.

Physische Sicherheit systematisch in KRITIS-Sicherheitskonzepte integrieren

Damit physische Sicherheit wirksam in KRITIS-Sicherheitskonzepte eingebunden werden kann, empfiehlt sich ein strukturiertes Vorgehen:

1. Kritische Assets identifizieren: Relevante Anlagen und Infrastrukturkomponenten werden bestimmt.

2. Risiken bewerten: Bedrohungen wie Manipulation, Sabotage oder unbefugte Eingriffe werden analysiert.

3. Maßnahmen ableiten: Technische, physische und organisatorische Schutzmaßnahmen werden passend zum Risikoprofil festgelegt.

4. In bestehende Sicherheitsprozesse integrieren: Physische Ereignisse werden in Monitoring, Alarmierung und Reaktionsprozesse eingebunden.