Das KRITIS-Dachgesetz verlangt von Betreibern kritischer Infrastrukturen Risikoanalysen, die weit über statische Dokumentation hinausgehen. Digitale Informationszwillinge bilden Anlagen kontinuierlich ab, machen Abhängigkeiten sichtbar und schaffen nachvollziehbare Datenbasen für Entscheidungen. Resilienz lässt sich so von Beginn an planen statt kostenintensiv nachzurüsten.
Das KRITIS-Dachgesetz führt Unternehmen zu einem systematischen, überprüfbaren Umgang mit Risiken. Digitale Informationszwillinge helfen hier, weil sie Komplexität beherrschbar machen.
Belastbare Risikoanalysen und wirksame Resilienzkonzepte: Unter anderem so setzt das KRITIS-Dachgesetz neue Sicherheitsmaßstäbe für Betreiber von kritischer Infrastruktur. Digitale Informationszwillinge können die Erfüllung dieser Anforderungen auf eine neue Stufe heben. Sie machen aus statischen Berichten ein dynamisches Führungsinstrument. Doch welche Rolle spielen Digitale Informationszwillinge genau dabei, aus Regulierung echte Handlungsfähigkeit zu machen?
Das KRITIS-Dachgesetz fordert von Betreibern kritischer Infrastrukturen eine Risikoanalyse, die weit über eine einmalige, statische Dokumentation hinausgeht. Gemeint ist kein Ordner im Regal und kein PDF, das einmal im Jahr aktualisiert wird, sondern ein belastbares, fortlaufend nutzbares Instrument. Digitale Informationszwillinge ermöglichen hier einen grundlegenden Paradigmenwechsel. Während klassische Risikoanalysen häufig in Tabellen oder Berichten vorliegen und nur periodisch angepasst werden, bildet ein Digitaler Informationszwilling die Anlage kontinuierlich und strukturiert ab. Im Zwilling sind technische Objekte, ihre Funktionszusammenhänge und die zugehörigen technischen Dokumente nach dem in der Anlage verwendeten Kennzeichensystemmiteinander verknüpft. Risiko- und Resilienzkonzepte werden nicht losgelöst formuliert, sondern basieren auf aktuellen Informationen. Dadurch lassen sich Stör- oder Angriffsszenarien theoretisch beschreiben und auf Basis valider, aktueller Daten realitätsnah durchspielen. Änderungen an der Anlage, neue Prüfberichte oder angepasste Betriebsweisen fließen unmittelbar in den digitalen Informationszwilling ein. Aus einer formalen Risikoanalyse wird so faktisch ein dynamisches Entscheidungsinstrument.
Ein zentraler Fokus des KRITIS-Dachgesetzes liegt auf der Vernetzung kritischer Infrastrukturen und den daraus entstehenden Kaskadeneffekten über Sektorgrenzen hinweg. Digitale Informationszwillinge machen diese Abhängigkeiten erstmals systematisch sichtbar. Im Modell sind etwa elektrische Versorgung, Prozessführung, räumliche Lage von Anlagenteilen sowie Notstrom- und Redundanzkonzepte miteinander verbunden. Ein Stromausfall wird dadurch nicht isoliert betrachtet, sondern in seinen Folgen für Pumpen, Steuerungen, Wasserversorgung oder sicherheitsrelevante Teilsysteme analysiert. Ursache-Wirkungs-Ketten lassen sich nachvollziehen und bewerten. Betreiber erkennen, welche Systeme voneinander abhängen und wo sich Ausfälle sektorenübergreifend fortpflanzen würden. Notfall- und Resilienzkonzepte können direkt mit diesen Abhängigkeiten verknüpft werden. Kaskadeneffekte werden damit nicht nur verstanden, sondern aktiv begrenzbar. Wenn digitale Informationszwillinge zu einer derartigen Grundlage von Entscheidungen im Krisenfall werden, gewinnt die Qualität der Daten eine unmittelbare haftungsrechtliche Bedeutung. Das KRITIS-Dachgesetz setzt voraus, dass Betreiber ihre Anlagen vollständig kennen und dass sicherheitsrelevante Informationen korrekt, aktuell und nachvollziehbar vorliegen. Ein Digitaler Informationszwilling erfüllt diese Anforderungen, wenn er als zentrale, konsolidierte Wissensbasis dient. Es müssen technische Dokumente, Prüfberichte, Schaltpläne und Sicherheitsnachweise strukturiert, klassifiziert und eindeutig den jeweiligen Anlagenteilen zugeordnet werden. Dadurch ist jederzeit nachvollziehbar, auf welcher Datengrundlage Entscheidungen getroffen wurden und ob diese Informationen zum Entscheidungszeitpunkt gültig waren. Diese Transparenz ist essenziell, um im Rahmen von Audits oder im Haftungsfall nachweisen zu können, dass Entscheidungen auf einer belastbaren und gesetzeskonformen Informationsbasis beruhten.
Resilienzmaßnahmen stehen häufig im Spannungsfeld zwischen sicherheitstechnischer Notwendigkeit und wirtschaftlicher Tragfähigkeit. Digitale Informationszwillinge helfen, dieses Spannungsfeld aufzulösen: Sie sind ein wirkungsvolles Instrument für Informationsmanagement und technische Betriebsführung und kommen daher über den gesamten Lifecycle einer Energie erzeugenden Anlage täglich zum Einsatz. Gerade bei KRITIS-Neubauten oder umfangreichen Modernisierungen trägt dieser Ansatz dazu bei, Resilienz nicht nachträglich und kostenintensiv herzustellen, sondern von Beginn an effizient und bedarfsgerecht zu planen. Der Digitale Informationszwilling enthält zwangsläufig hochsensible Informationen über kritische Anlagen und potenzielle Schwachstellen. Seine Absicherung ist daher integraler Bestandteil des Gesamtkonzepts. Klare Zugriffskonzepte und eine saubere Datenstruktur sind entscheidend. Rollenbasierte Berechtigungen stellen sicher, dass Nutzer nur die Informationen sehen, die sie für ihre Aufgabe benötigen. Die strukturierte Anlage nach DCC-Klassen und Ablage gemäß dem realisierten technischen Kennzeichnungssystem verhindert unkontrollierte Datenkopien und schafft Transparenz über Nutzung und Verantwortung. Gleichzeitig ermöglicht der Zwilling, Schwachstellen gezielt zu identifizieren und abzusichern, statt sie unbewusst zu übersehen. Damit wird er zu einem aktiven Instrument zur Erhöhung der physischen und organisatorischen Sicherheit im Sinne des KRITIS-Dachgesetzes.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das KRITIS-Dachgesetz markiert einen Wendepunkt: Weg von der formalen Erfüllung regulatorischer Pflichten, hin zu einem systematischen, überprüfbaren Umgang mit Unsicherheit. Digitale Informationszwillinge passen genau in diesen Anspruch, weil sie Komplexität beherrschbar machen. Sie zwingen Organisationen dazu, Technik, Prozesse und Verantwortung neu zu denken – nicht als getrennte Welten, sondern als integriertes System. Wer einen Digitalen Informationszwilling einführt, entscheidet sich für ein umfassendes Werkzeug, das auch eine andere Form der Steuerung ermöglicht. Wissen wird nicht mehr verteilt in Abteilungen, Ordnern oder Einzelanwendungen gehalten, sondern zentral gebündelt. Entscheidungen basieren nicht länger auf Annahmen oder Erfahrungswerten allein, sondern auf überprüfbaren Zusammenhängen. Das verändert auch die Kultur im Umgang mit Risiko: von punktueller Kontrolle hin zu kontinuierlicher Aufmerksamkeit. Langfristig entsteht daraus ein strategischer Vorteil. Betreiber, die ihre Anlagen digital durchdrungen haben, können schneller reagieren, besser priorisieren und klarer kommunizieren – intern wie extern. Das stärkt die Resilienz im Sinne des Gesetzgebers und die Glaubwürdigkeit gegenüber Aufsicht, Öffentlichkeit und Partnern. Der Digitale Informationszwilling wird damit zu einem verbindenden Element zwischen Technik, Recht und Management. Am Ende geht es nicht darum, Risiken zu eliminieren – das wäre illusorisch. Es geht darum, sie durch eine aktuelle, valide Daten- und Informationsbasis sichtbar, nachvollziehbar und steuerbar zu machen. Genau hier liegt die eigentliche Rolle Digitaler Informationszwillinge im Kontext des KRITIS-Dachgesetzes: Sie übersetzen abstrakte Anforderungen in konkrete Handlungsfähigkeit. Und sie machen aus Regulierung einen Impuls für bessere Entscheidungen.
Über den Autor: Hans Karl Preuß ist geschäftsführender Gesellschafter der GABO IDM mit Sitz in Erlangen. Er leitet das Unternehmen seit über einem Jahrzehnt und ist Experte für die Digitalisierung kritischer Infrastrukturen. Er ist spezialisiert auf Wissensmanagement und die Erstellung von Digitalen Informationszwillingen. Zudem vertritt er GABO IDM seit 2014 im Branchenverband vgbe und ist Mitglied des Kongress-Komitees sowie Experte für Kennzeichnungssysteme.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/fa/fbfad3864ef2a802462c0e63f2b7dff2/0122470970v1.jpeg "Aktive Angriffe laufen auf Microsoft-Produkte derzeit zwar nicht. Dennoch waren einige der Schwachstellen vor dem Patchen öffentlich bekannt und die Updates des Microsoft Patchdays sollten dringend umgesetzt werden. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e404520283714af15431e4963d7ea71/0129740507v2.jpeg "Trotz der Zerschlagung im Mai 2025 ist LummaStealer laut Bitdefender wieder aktiv und verbreitet sich vor allem über Social Engineering mit CastleLoader, um Zugangsdaten und Sitzungen von Opfern abzugreifen. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/3d/a03d38a6d09f4ed77d67e25d0b85d0db/0129965652v2.jpeg "Nachdem der Bundestag das KRITIS-Dachgesetz noch einmal angepasst hatte, hat der Bundesrat nun zugestimmt. Nun stehen einem finalen Gesetzesbeschluss nur noch Formsachen im Weg. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/ed/82ed8e528452a616405d60e5233468b5/0129895942v2.jpeg "Protected Users härtet privilegierte AD-Konten durch technische Einschränkungen auf Clients und Domänencontrollern. Die Sicherheitsgruppe reduziert Angriffsflächen messbar, verlangt aber Betriebsdisziplin. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/8d/d98d7787e5351a5674cf0cd94cee8e5a/0129910237v2.jpeg "Für Android-Nutzer bedeutet die Zero-Day-Schwachstelle bei Qualcomm, dass Daten offenlegt werden oder Systeme abstürzen könnten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/94/34947a712dc7940127c21632028d998e/0129945344v2.jpeg "Kurz vor Ende der Registrierungsfrist haben sich circa 6.600 Unternehmen beim BSI-Portal angemeldet, um ihren Pflichten nach NIS 2 nachzukommen. (Bild: alphaspirit - stock.ad)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/4a/0d4a805981611f7acce37b36a12efb3c/0129887977v1.jpeg "Das KRITIS-Dachgesetz führt Unternehmen zu einem systematischen, überprüfbaren Umgang mit Risiken. Digitale Informationszwillinge helfen hier, weil sie Komplexität beherrschbar machen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f2/ca/f2caeff6d3d3110297c88f5b46e78f50/0126729662v2.jpeg "Das BMI hat die Schwerpuntke des nun beschlossenen Entwurfs zum KRITIS-Dachgesetz zusammengefasst. (Bild: XaMaps - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/f3/d2f36438bf20929068e40aeaef2a3a31/0127820650v2.jpeg "Der wirksame Schutz von kritischen Infrastrukturen erfordert eine konsequent segmentierte, mehrschichtige Sicherheitsstrategie mit starker Authentifizierung, begrenzten Fernzugriffen, kontinuierlicher Überwachung und klar getrennten IT-, OT- und IoT-Netzwerken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a1/17/a11776aa5970b8f9cdc54e83ba976cca/0124885184v2.jpeg "Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe. (Bild: © Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/d3/c9d3abcd7b9acd136cf55ee3f4b63e8e/0127602760v2.jpeg "Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen um mehr Resilienz und Stabilität zu erreichen. (Bild: © danheighton - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/81/0d81f7414f52130803e1a8f78882fa6a/0129861540v1.jpeg "NIS-2 und das KRITIS-Dachgesetz betreffen besonders die Lebensmittelindustrie, wenn Produktionsanlagen oder Logistikzentren als kritische Infrastruktur gelten. (Bild: © Daniel & Halfpoint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/d3/c9d3abcd7b9acd136cf55ee3f4b63e8e/0127602760v2.jpeg "Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen um mehr Resilienz und Stabilität zu erreichen. (Bild: © danheighton - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/81/0d81f7414f52130803e1a8f78882fa6a/0129861540v1.jpeg "NIS-2 und das KRITIS-Dachgesetz betreffen besonders die Lebensmittelindustrie, wenn Produktionsanlagen oder Logistikzentren als kritische Infrastruktur gelten. (Bild: © Daniel & Halfpoint - stock.adobe.com)")