Mit dem KRITIS-Dachgesetz verschärft der Gesetzgeber die Anforderungen an Betreiber kritischer Infrastrukturen. Erstmals müssen Unternehmen digitale und physische Schutzmaßnahmen gleichwertig betrachten. Wer Resilienz ernst nimmt, braucht eine Sicherheitsstrategie, die Cyberabwehr, Zutrittskontrolle und operative Redundanz nahtlos verbindet.
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen um mehr Resilienz und Stabilität zu erreichen.
Das KRITIS-Dachgesetz verschärft die Anforderungen für Betreiber kritischer Infrastrukturen. Wer seine Systeme gegen Cyberangriffe schützen will, darf physische Risiken nicht länger ausblenden. Gefordert sind ganzheitliche Sicherheitsstrategien, die digitale und analoge Schutzmechanismen intelligent verzahnen.
Cyberbedrohungen gelten laut aktueller D&O-Studie 2025 als das größte Haftungsrisiko für Unternehmen in Deutschland. Damit liegen sie vor Szenarien wie Lieferausfällen oder Datenschutzverstößen. Insbesondere Betreiber kritischer Infrastrukturen (KRITIS) stehen im Fokus, denn ihr Funktionieren entscheidet über die Stabilität des Gemeinwesens. Die angespannte geopolitische Lage, zunehmende hybride Bedrohungsszenarien und eine immer engmaschiger vernetzte Systemlandschaft führen dazu, dass klassische IT-Sicherheit an ihre Grenzen stößt. Mit dem neuen KRITIS-Dachgesetz entsteht ein weiterer verbindlicher Rechtsrahmen, der nicht nur wie bisher digitale, sondern nun auch physische Schutzmaßnahmen fordert. Die zentrale Botschaft: Resilienz beginnt nicht mehr nur am Bildschirm oder an der Tür zum Serverraum – sie umfasst künftig das gesamte Umfeld kritischer Anlagen.
Lange Zeit galten Firewalls, Patch-Management und Intrusion Detection als Garanten für Systemsicherheit. Doch viele Angriffe erfolgen heute nicht mehr ausschließlich im virtuellen Raum. Sabotageakte, Einbrüche, Vandalismus oder die gezielte physische Zerstörung technischer Infrastruktur können in Sekunden Schäden verursachen, die Wochen oder Monate nachwirken. Ungesicherte Außenzugänge, schlecht geschützte Gebäudetechnik oder unzureichend geschulte Mitarbeitende machen es potenziellen Angreifern leicht, bestehende Schutzmaßnahmen zu umgehen. So nützt die beste Firewall wenig, wenn der zentrale Server physisch erreichbar und ungesichert ist.
Mit dem KRITIS-Dachgesetz setzt Deutschland die EU-Richtlinie 2022/2557 zur Resilienz kritischer Einrichtungen (CER-Richtlinie) um. Es verpflichtet Betreiber versorgungskritischer Einrichtungen erstmals zur Umsetzung physischer Sicherheitsmaßnahmen im Sinne des All-Gefahren-Ansatzes. Betroffen sind unter anderem Energie-, Wasser-, Abfall-, Transport- und Gesundheitssektoren, sofern sie Dienstleistungen für mehr als 500.000 Menschen erbringen. Neben klassischen IT-Schutzmaßnahmen verlangt der Gesetzgeber auch präventive Vorkehrungen gegen Stromausfälle, Naturereignisse, Sabotageakte und andere nicht-digitale Gefahren. Dabei geht es nicht nur um den Schutz von Anlagen, sondern auch um die Fähigkeit, im Krisenfall handlungsfähig zu bleiben beziehungsweise diesen Zustand wiederherzustellen, sprich um Resilienz im umfassenden Sinn.
Für Unternehmen unterhalb der gesetzlichen Schwellenwerte gilt zwar keine formelle Melde- oder Umsetzungspflicht, wohl aber eine wachsende Verantwortung. Denn viele Anforderungen, etwa strukturierte Risikoanalysen, Zutrittsmanagement, Notfallvorsorge oder Alarmkonzepte, sind bereits heute als Stand der Technik anerkannt und damit faktisch verpflichtend im Sinne von Verkehrssicherungspflichten oder Organisationsverantwortung.
Der Gesetzgeber fordert eine integrierte Betrachtung: Sicherheitsstrategien müssen sämtliche Gefährdungslagen, von Cyberangriffen über technische Ausfälle bis zu physischer Gewalt, systematisch einbeziehen. In der Praxis genügt es also nicht mehr, punktuell einzelne Maßnahmen umzusetzen. So entfalten beispielsweise Zutrittskontrollsysteme ihren Nutzen erst dann, wenn sie mit der IT-Landschaft, dem Gebäudemanagement und der organisatorischen Struktur vernetzt sind. Auch die technische Überwachung, wie etwa durch Kameras, Bewegungssensoren oder digitale Zugangschips, ist nur dann wirksam, wenn sie in ein Lagebild mündet, das Echtzeitreaktionen und Auswertungen ermöglicht. Ebenso sind organisatorische Maßnahmen entscheidend. Wer hat wann Zugang zu welchen Bereichen? Gibt es geregelte Eskalationsprozesse, nachvollziehbare Schlüsselverwaltungen, dokumentierte Abläufe für Störungen? Wie wird mit Fremdfirmen, Reinigungskräften oder temporärem Personal verfahren? Antworten auf diese und ähnliche Fragen sind sowohl Teil guter Unternehmensführung also auch Bestandteil eines tragfähigen Sicherheitskonzepts.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fehlende Strukturen als systemisches Risiko
In puncto Sicherheit zeigen sich in der Realität vielerorts strukturelle Defizite. Besonders in mittelständischen oder kommunalen Betrieben fehlt es oft an Ressourcen, Know-how oder Sicherheitsbewusstsein. Vorfälle wie Einbruch oder Vandalismus werden nicht systematisch erfasst, geschweige denn als Muster erkannt. Die Kommunikation mit Strafverfolgungsbehörden verläuft häufig reaktiv und ohne abgestimmte Lagebilder. Besonders problematisch: Angriffe auf kritische Infrastruktur haben fast immer eine Vortatphase. Diese kann Wochen oder Monate andauern und umfasst typischerweise das Ausspähen von Objekten, das Testen von Reaktionszeiten oder das gezielte Einschleusen von Informationen.
Solche Vorbereitungshandlungen bleiben in Unternehmen ohne eigene Sicherheitsabteilung meist unentdeckt. Auch technische Systeme wie Videoüberwachung oder Zutrittssensorik stoßen hier an Grenzen, nicht zuletzt wegen datenschutzrechtlicher Einschränkungen im öffentlichen Raum. Genau hier liegt der Ansatzpunkt für gezielte Prävention.
Ein wirksames Sicherheitskonzept für KRITIS-nahe Unternehmen muss auch verdeckte operative Maßnahmen einplanen. Diese verfolgen das Ziel, potenziell sicherheitsrelevante Verhaltensmuster im Umfeld kritischer Anlagen frühzeitig zu erkennen. Die praktischen Maßnahmen basieren nicht auf Zufall, sondern auf gezielter Risikoanalyse, psychologischer Eignungsdiagnostik und einem präzisen operativen Briefing. Fachpersonal kann Vortatindikatoren identifizieren, Muster analysieren und auffällige Bewegungen im öffentlichen Raum einordnen. Dieses Prinzip der verdeckten Aufklärung ist aus dem Personenschutz bekannt und lässt sich auf KRITIS-Objekte übertragen. Dabei geht es nicht um Beobachtung im klassischen Sinn, sondern um das strukturierte Erkennen von Frühwarnsignalen.
Redundanz, Resilienz und Reaktionsfähigkeit
Neben Prävention ist auch die Fähigkeit entscheidend, im Ernstfall handlungsfähig zu bleiben. Redundanzkonzepte gewinnen daher an Bedeutung. Ausweichstandorte, Back-up-Systeme, autarke Notstromversorgung, dezentrale Steuerungseinheiten müssen mitgedacht werden. Unternehmen sollten sich bewusst fragen: Welche Funktionen müssen unter allen Umständen aufrechterhalten bleiben? Welche Prozesse sind entbehrlich und welche unverzichtbar? Denn ein gutes Resilienzkonzept trennt zwischen betriebskritischen und verzichtbaren Komponenten, definiert Wiederanlaufzeiten und legt Zuständigkeiten im Störfall klar fest. Auch hier gilt: Wer keine klare Struktur hat, kann im Krisenfall nicht effizient reagieren, unabhängig davon, wie hoch der Digitalisierungsgrad ist.
Cybersecurity darf heute nicht mehr isoliert betrachtet werden. In einer Welt, in der digitale Schwachstellen physische Folgen haben – und umgekehrt –, braucht es ganzheitliche Sicherheitsstrategien. Das KRITIS-Dachgesetz ist mehr als nur Regulierung: Es ist ein Weckruf für Unternehmen aller Größen, ihre Schutzkonzepte zu überdenken und neu auszurichten. Die entscheidenden Maßnahmen beginnen genauso in der Cloud wie vor Ort. So umfasst eine zukunftsfähige Sicherheitsarchitektur operative Aufklärung, redundante Systeme und ein durchdachtes Risikomanagement. Sprich: Wer heute in IT-Sicherheit investiert, muss physische Risiken gleichwertig behandeln. Nicht alles, was sicher scheint, ist auch tatsächlich geschützt. Entscheidend ist, was im Ernstfall funktioniert.
Über den Autor: Christian Heppner ist Experte für Strategisches Sicherheitsmanagement bei der SecCon Group GmbH mit Sitz in Unterschleißheim. Das Unternehmen bietet operative, spezialisierte Dienstleistungen für hochsensible Infrastrukturen und exponierte Personen. Zum Leistungsspektrum gehören zudem Risiko- und Schwachstellenanalysen, Sicherheitskonzepte und die Implementierung sicherheitsrelevanter Maßnahmen – auch in Zusammenarbeit mit Behörden und anderen Akteuren. Das auf KRITIS-Schutzkonzepte spezialisierte Unternehmen ist zudem Mitglied im Bundesverband für den Schutz Kritischer Infrastrukturen (BSKI).
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/f2/ca/f2caeff6d3d3110297c88f5b46e78f50/0126729662v2.jpeg "Das BMI hat die Schwerpuntke des nun beschlossenen Entwurfs zum KRITIS-Dachgesetz zusammengefasst. (Bild: XaMaps - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/83/fc83bba1b67d90af1745e8328b971468/0121432866v2.jpeg "KRITIS-Betreiber sollen gemäß BSI bei Systemen zur Angriffserkennung den Umsetzungsgrad der Stufe 4 erreichen, hier ist aber oft noch sehr viel zu tun. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/bd/b9bd6e6cc5501398cb9b903a5ee4228e/0126093912v2.jpeg "Medizintechnische Geräte müssen abgesichert sein, auch gegenüber Cyberangriffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/1d/461db8f24d67ff95304f0e01dc86d423/0128706664v2.jpeg "Seit dem 3. Januar 2026 herrscht in Berlin der Ausnahmezustand. Ein großer Stromausfall legte nicht nur Teile der Stadt lahm, sondern sorgt auch für Sorgen um die Sicherheit kritischer Infrastrukturen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")