Am 17. Januar 2026 tritt die nationale Resilienzstrategie der Bundesregierung in Kraft. Sie ist die Antwort auf eine Erkenntnis, die sich längst in Rechenzentren, Kraftwerken und Krankenhäusern manifestiert hat: Digitalisierung macht kritische Infrastruktur gleichzeitig leistungsfähiger und verwundbarer. Deutschland steht vor der Aufgabe, die Systeme zu schützen, die das Funktionieren der Gesellschaft garantieren – und die zunehmend vernetzt sind.
Was kritische Infrastruktur wirklich bedeutet
Kritische Infrastruktur bezeichnet Einrichtungen, deren Ausfall erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätte. Das Bundesministerium des Innern definiert zehn Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie öffentliche Verwaltung. Diese Infrastrukturen sind nicht isoliert, sondern hochgradig voneinander abhängig. Ein Stromausfall legt Krankenhäuser lahm, eine Störung im Telekommunikationsnetz blockiert Rettungsdienste, ein Cyberangriff auf Wasserwerke gefährdet die Trinkwasserversorgung.
Die Klassifizierung erfolgt nach klaren Schwellenwerten: Betroffen sind Unternehmen und Einrichtungen, die mehr als 500.000 Personen versorgen und deren Ausfall die Gesamtversorgung Deutschlands beeinträchtigen würde. Diese Betreiber kritischer Infrastruktur unterliegen seit Jahren gesetzlichen Verpflichtungen, doch das neue KRITIS-Dachgesetz verschärft die Anforderungen deutlich.
Digitalisierung als Effizienzgewinn und Einfallstor
Die Vernetzung industrieller Steuerungssysteme hat Prozesse optimiert, Kosten gesenkt und Effizienz gesteigert. Doch sie hat auch Angriffsflächen geschaffen. Operational Technology (OT), einst isoliert von IT-Netzwerken, ist heute über Schnittstellen erreichbar – und damit potenziell angreifbar. Die Cybersicherheit in der vernetzten Welt steht vor der Herausforderung, Legacy-Systeme mit modernen Sicherheitsanforderungen zu vereinen.
Cyberangriffe auf kritische Infrastruktur haben in den vergangenen Jahren zugenommen. Ransomware-Attacken treffen Krankenhäuser, DDoS-Angriffe legen Telekommunikationsnetze lahm, und staatlich gesteuerte Akteure sondieren gezielt Schwachstellen in Energienetzen. Die Bedrohungen sind nicht theoretisch, sondern real und dokumentiert.
KRITIS-Dachgesetz: Einheitliche Standards statt Flickenteppich
Das KRITIS-Dachgesetz setzt die EU-CER-Richtlinie in nationales Recht um und schafft erstmals bundesweit einheitliche Mindeststandards für den physischen und digitalen Schutz kritischer Infrastrukturen. Bisherige Regelungen wie das BSI-Gesetz fokussierten primär auf IT-Sicherheit; das neue Dachgesetz erweitert den Blick auf physische Resilienz.
Kernpunkte des Gesetzes:
- Verpflichtung zu Risikoanalysen und Risikobewertungen durch staatliche Stellen
- Einrichtung von Notfallteams und verstärkter Objektschutz
- Meldepflicht für Vorfälle, die die Versorgungssicherheit gefährden
- Einheitliche Kriterien zur Identifizierung kritischer Anlagen
Die Resilienzstrategie, die bis Januar 2026 vorliegen muss, definiert langfristige Ziele und Maßnahmen zur Stärkung der Widerstandsfähigkeit. Sie ist kein statisches Dokument, sondern Ausgangspunkt für kontinuierliche Anpassungen an neue Bedrohungslagen. Betreiber kritischer Infrastruktur stehen vor der Aufgabe, bestehende Sicherheitskonzepte zu überarbeiten und an die gesetzlichen Vorgaben anzupassen.
Technologische Schutzmaßnahmen und ihre Grenzen
Systeme zur Angriffserkennung (SzA) sind seit Mai 2023 verpflichtender Bestandteil der Nachweise gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Sie überwachen Netzwerkverkehr, erkennen Anomalien und lösen Alarme aus. Doch Technologie allein bietet keinen vollständigen Schutz. Die IoT-Sicherheit in Smart-Home-Umgebungen zeigt, wie vernetzte Geräte zu Schwachstellen werden können – ein Problem, das sich in industriellen Umgebungen potenziert.
Zero-Trust-Architekturen setzen auf konsequente Identitätsprüfung und Zugriffskontrollen. Jeder Zugriff wird validiert, unabhängig davon, ob er von intern oder extern erfolgt. Dieses Prinzip erschwert laterale Bewegungen von Angreifern innerhalb eines Netzwerks erheblich. Ergänzt wird dies durch Netzwerksegmentierung, die kritische Bereiche von weniger sensiblen Systemen trennt und Angriffsketten unterbricht.
Innovationen wie Blockchain-Technologie bieten Potenziale für manipulationssichere Dokumentation und dezentrale Authentifizierung. Doch ihre Integration in bestehende Infrastrukturen erfordert Investitionen und organisatorische Umstellungen, die nicht jeder Betreiber kurzfristig stemmen kann.
Die menschliche Komponente: Schulung und Awareness
Technische Maßnahmen versagen, wenn Menschen fehlerhafte Entscheidungen treffen. Phishing-Mails, Social Engineering und unzureichende Passwortvergabe bleiben häufige Einfallstore. Regelmäßige Schulungen sensibilisieren Mitarbeitende für Bedrohungen und schärfen das Bewusstsein für sicherheitskritisches Verhalten.
Notfallpläne und Krisenmanagement müssen regelmäßig getestet werden. Simulationen realer Angriffsszenarien decken Schwachstellen auf und trainieren Handlungsabläufe unter Druck. Die Resilienz einer Infrastruktur zeigt sich nicht nur in der Vermeidung von Vorfällen, sondern in der Fähigkeit, nach einem Angriff schnell wieder funktionsfähig zu sein.
Die Zusammenarbeit zwischen Betreibern, staatlichen Stellen und Sicherheitsbehörden wird durch Initiativen wie die Allianz für Cyber-Sicherheit und UP KRITIS gefördert. Diese Netzwerke ermöglichen Informationsaustausch, Früherkennung von Bedrohungen und koordinierte Reaktionen auf Vorfälle.
Sektorspezifische Herausforderungen
Jeder KRITIS-Sektor bringt eigene Anforderungen mit. Energieversorger müssen Smart-Grid-Technologien absichern, die Stromnetze intelligent steuern, aber auch neue Angriffsvektoren eröffnen. Krankenhäuser kämpfen mit veralteten medizinischen Geräten, die nicht patchbar sind und dennoch mit Netzwerken verbunden werden müssen. Wasserwerke setzen auf Steuerungssysteme, die jahrzehntealt sind und nie für Vernetzung konzipiert wurden.
Das Finanz- und Versicherungswesen unterliegt bereits strengen Regulierungen, doch auch hier steigen die Anforderungen. Transportsysteme wie Bahn und Luftfahrt integrieren zunehmend digitale Steuerungen, die präzise Koordination ermöglichen – und gleichzeitig verwundbar sind. Der Sektor Weltraum ist neu im KRITIS-Katalog und trägt der wachsenden Abhängigkeit von Satellitenkommunikation und GPS-Diensten Rechnung.
Kosten, Investitionen und wirtschaftliche Realität
Die Umsetzung der KRITIS-Anforderungen ist kostenintensiv. Kleinere Betreiber stoßen an finanzielle Grenzen, wenn sie Sicherheitsaudits, Zertifizierungen und technische Aufrüstungen finanzieren müssen. Förderprogramme existieren, doch ihre Beantragung ist bürokratisch und zeitaufwendig.
Die wirtschaftliche Abwägung zwischen Sicherheitsinvestitionen und betrieblicher Effizienz bleibt eine Gratwanderung. Ein Ausfall durch einen Cyberangriff verursacht oft höhere Kosten als präventive Maßnahmen – doch diese Erkenntnis setzt sich erst nach Schadensfällen durch. Die Versicherungswirtschaft reagiert mit spezialisierten Cyber-Policen, die jedoch strikte Sicherheitsstandards voraussetzen und im Schadensfall nicht alle Kosten abdecken.
Internationale Verflechtung und grenzüberschreitende Risiken
Kritische Infrastruktur endet nicht an nationalen Grenzen. Europäische Energienetze sind verbunden, Lieferketten global, Cyberangriffe kennen keine Staatsgrenzen. Das KRITIS-Dachgesetz ist Teil einer europäischen Strategie, die einheitliche Standards schaffen und grenzüberschreitende Zusammenarbeit stärken soll.
Doch unterschiedliche Rechtsrahmen, Datenschutzvorgaben und Sicherheitskulturen erschweren die Kooperation. Ein Angriff auf die Infrastruktur eines EU-Landes kann Dominoeffekte auslösen, die andere Staaten treffen. Die Koordination zwischen nationalen CERTs (Computer Emergency Response Teams) und europäischen Institutionen ist entscheidend für schnelle Reaktionen.
Häufig gestellte Fragen zu kritischer Infrastruktur
Was zählt in Deutschland zur kritischen Infrastruktur? Zu den KRITIS gehören Sektoren wie Energie, Wasser, Gesundheit, Finanzwesen, Transport, Ernährung, Informationstechnik, Weltraum, Siedlungsabfallentsorgung und öffentliche Verwaltung.
Welche Unternehmen sind vom KRITIS-Dachgesetz betroffen? Betroffen sind Betreiber, die mehr als 500.000 Personen versorgen und deren Ausfall die Gesamtversorgung Deutschlands gefährden würde.
Was ändert sich durch das KRITIS-Dachgesetz ab 2026? Das Gesetz führt bundesweit einheitliche Mindeststandards für physischen und digitalen Schutz ein, verpflichtet zu Risikoanalysen, Notfallteams und Vorfallsmeldungen.
Wie schützen sich Betreiber kritischer Infrastruktur vor Cyberangriffen? Maßnahmen umfassen Systeme zur Angriffserkennung, Zero-Trust-Architekturen, Netzwerksegmentierung, Mitarbeiterschulungen und regelmäßige Sicherheitsaudits.
Welche Rolle spielt das BSI beim Schutz kritischer Infrastruktur? Das Bundesamt für Sicherheit in der Informationstechnik überwacht die Einhaltung der IT-Sicherheitsanforderungen, bietet Unterstützung und koordiniert die Reaktion auf Vorfälle.
Gibt es Fördermittel für Sicherheitsmaßnahmen? Ja, es existieren staatliche Förderprogramme, deren Beantragung jedoch bürokratisch aufwendig sein kann.
Die Architektur kritischer Infrastruktur gleicht einem Organismus, dessen Organe miteinander kommunizieren müssen, um zu funktionieren. Wird ein Teil angegriffen, reagiert das System – oder es versagt. Die Resilienzstrategie 2026 setzt auf Prävention, Erkennung und schnelle Wiederherstellung. Doch sie ist kein Schlussstrich, sondern Startpunkt für kontinuierliche Anpassung an eine Bedrohungslandschaft, die sich schneller verändert als gesetzliche Vorgaben.