Energieversorger im Perimeter: warum klassische Konzepte 2026 nicht mehr tragen

Der klassische Perimeter der Energieversorgung ist nicht zu sichern. Er ist zu groß für Wachgänge, zu verteilt für stationäre Kameras und zu kritisch für die Bauzäune, mit denen er heute in vielen Standorten formal abgegrenzt wird.

Wer die deutschen und europäischen Energienetze betrachtet, sieht eine Topologie, die in den letzten zwei Jahrzehnten gewachsen ist, ohne dass das Sicherheitskonzept mitgewachsen wäre. Umspannwerke stehen in Industriegebieten, an Autobahnen, in landwirtschaftlich genutzten Räumen. Verteilstationen sitzen am Rand von Wohnvierteln. Glasfaserknoten liegen in unscheinbaren Schaltschränken, deren Adresse in offenen Karten verzeichnet ist. Diese Anlagen sind das Rückgrat einer Volkswirtschaft, die ihre Digitalisierung beschleunigt, während ihr physischer Schutz auf dem Stand der achtziger Jahre verharrt. Der Widerspruch ist nicht akademisch. Er ist operativ. Er zeigt sich in jeder Lagebesprechung der Netzbetreiber, in den Risikorückstellungen der Versicherer und in den Vermerken, die das BSI seit Jahren in Richtung KRITIS-Sektor formuliert.

Die Verschiebung der Bedrohungslage ist dabei nicht das einzige Argument. Auch ohne politische Akteure, ohne organisierte Kriminalität, ohne ideologische Sabotage rechnet sich der klassische Schutz nicht mehr. Kupferdiebstahl, Vandalismus und unautorisiertes Eindringen erzeugen Schäden, deren Folgekosten in der Bilanz selten sauber ausgewiesen werden, weil sie über mehrere Posten verteilt sind: Ersatzbeschaffung, Stillstand, Vertragsstrafen, Wiederherstellung der Versorgungssicherheit, Berichtspflichten gegenüber Aufsicht und Bundesnetzagentur. Eine neue Sicherheitsökonomie ist deshalb keine Frage der Mode, sondern der Buchhaltung.

Warum der klassische Perimeter scheitert

Der klassische Perimeter eines Umspannwerks besteht in der Regel aus Zaun, Beleuchtung, gelegentlichem Wachgang und einer Videoüberwachung, deren Aufzeichnung im Schadensfall geprüft wird. Jedes dieser Elemente hat eine Berechtigung, und keines dieser Elemente skaliert. Der Zaun hält ehrliche Menschen draußen. Die Beleuchtung verschiebt das Risiko in die Schatten. Der Wachgang ist gebunden an Personal, das in der Energieversorgung seit Jahren schwerer zu rekrutieren ist als in den meisten anderen Branchen. Die Videoüberwachung dokumentiert, was geschehen ist, aber sie verhindert es nicht.

Diese Logik trägt, solange die Anlagen selten sind, die Anzahl der Vorfälle niedrig bleibt und die Reaktionszeiten der Polizei in den ländlichen Räumen ausreichend kurz sind. Alle drei Voraussetzungen erodieren. Die Anzahl der relevanten Anlagen wächst mit der Energiewende, weil Einspeisepunkte, Speicher und Verteilstationen zunehmen. Die Anzahl der Vorfälle steigt, weil die Materialwerte gestiegen sind und weil die Hemmschwelle in einigen Tätergruppen sinkt. Die Reaktionszeiten der Polizei sind in Flächenländern, in denen die meisten Energieanlagen stehen, strukturell länger geworden.

Hinzu kommt ein Effekt, der in Sicherheitskonzepten selten benannt wird: die Trägheit der Versicherbarkeit. Versicherer haben in den letzten Jahren begonnen, ihre Prämien für KRITIS-nahe Risiken neu zu kalibrieren. Der GDV hat in mehreren Veröffentlichungen darauf hingewiesen, dass der Schadenverlauf in den Bereichen Kupferdiebstahl, Sabotage und Vandalismus an Versorgungsinfrastruktur sich verschlechtert. Wer in dieser Bewegung mit Bauzaun und Wachdienst argumentiert, verliert die Verhandlung. Wer mit dokumentierter, technologisch gestützter Perimetersicherung argumentiert, gewinnt Spielräume in der Prämiengestaltung, die mehrere Prozentpunkte des jährlichen Aufwands ausmachen können.

Der klassische Perimeter scheitert also nicht an einem einzelnen Element, sondern an der Summe seiner Annahmen. Er war für eine Welt gebaut, in der Energieinfrastruktur als unauffällig galt. Diese Welt existiert nicht mehr. Wer die alten Konzepte fortschreibt, fortschreibt nicht den Schutz, sondern das Risiko.

Die Geometrie der Energieanlagen

Ein Umspannwerk ist kein Lagerplatz. Diese Aussage klingt selbstverständlich, sie hat aber Konsequenzen, die in vielen Sicherheitskonzepten nicht berücksichtigt sind. Die Geometrie eines Umspannwerks unterscheidet sich grundlegend von der Geometrie einer Industriehalle, eines Logistikgeländes oder einer Baustelle. Sie ist offen, sie ist mit Hochspannungsanlagen besetzt, die Annäherung verbieten, sie ist in der Regel von vegetativen oder topografischen Strukturen umgeben, die Sichtachsen unterbrechen.

Diese Geometrie verlangt Schutzkonzepte, die in Schichten denken. Die erste Schicht ist die Außenwahrnehmung jenseits des Zauns, also jener Raum, in dem ein potenzieller Angreifer sich orientiert, bevor er die Grenze überschreitet. Die zweite Schicht ist die Perimeterlinie selbst, an der die Detektion stattfinden muss. Die dritte Schicht ist die innere Fläche, auf der die Anlagen stehen und auf der die Bewegung einer Person bereits eine sicherheitsrelevante Information ist. Die vierte Schicht ist der unmittelbare Anlagenbereich, in dem jede Annäherung eine Eskalation auslöst.

Die meisten klassischen Konzepte arbeiten nur in Schicht zwei. Sie sichern die Linie, sie verzichten auf die Vorfeldwahrnehmung und sie überlassen die innere Fläche der Hoffnung, dass niemand sie betritt. Eine moderne Perimeterarchitektur arbeitet in allen vier Schichten gleichzeitig und verknüpft sie zu einer einzigen Datenstruktur, die in einer Leitwarte verstanden, priorisiert und weitergegeben werden kann.

Die Verteilstation ist ein anderer Fall. Sie ist kleiner, sie ist häufiger, sie steht in Räumen, die nicht für Sicherheitstechnologie ausgelegt sind. Eine Verteilstation an einem Feldweg lässt sich nicht mit demselben Konzept sichern wie ein Umspannwerk an einem Industriestandort. Wer beide Anlagentypen mit demselben Standardpaket adressiert, hat entweder zu viel Geld in die Verteilstation gesteckt oder zu wenig in das Umspannwerk. Eine Plattformlogik, die zwischen diesen Typen differenziert, ohne in jeder Anlage ein Einzelprojekt zu sehen, ist die Voraussetzung dafür, dass die Sicherheitsökonomie eines Netzbetreibers überhaupt rechenbar bleibt. Boswau + Knauer hat diese Plattformlogik in Kapitel 14 des Buchs „BOSWAU + KNAUER , Vom Bau zur Sicherheitstechnologie" als Konsequenz aus der Erfahrung mit Industrie und Logistik beschrieben.

Der Glasfaserknoten schließlich ist der unauffälligste der drei Anlagentypen und in vielen Risikoanalysen der unterschätzteste. Er sieht aus wie ein Schaltschrank, er steht oft am Straßenrand, er wird selten begangen. Ein erfolgreicher Eingriff in einen Glasfaserknoten kann jedoch Wirkungen entfalten, die in der Außenkommunikation unverhältnismäßig groß sind, weil sie nicht nur die Datenversorgung eines Gebiets unterbrechen, sondern auch die Steuerungsfähigkeit anderer kritischer Anlagen beeinträchtigen, die auf dieselbe Glasfaser angewiesen sind. Wer die Geometrie der Energieanlagen ernst nimmt, denkt diese Knoten in dieselbe Sicherheitsarchitektur ein, in der die großen Anlagen stehen.

Sensorik, Robotik und Videoanalyse im Verbund

Eine moderne Perimeterarchitektur für Energieanlagen ruht auf drei technologischen Säulen, deren Wirkung nicht in der einzelnen Komponente liegt, sondern in ihrer Verbindung. Sensorik liefert die Wahrnehmung jenseits des Bildes. Robotik liefert die Bewegung, die ein Wachgang nicht in derselben Konsistenz leisten kann. Videoanalyse liefert die Interpretation, die ein Operator allein in der nötigen Geschwindigkeit nicht trifft. Jede dieser Säulen existiert seit Jahren am Markt. Der Unterschied zwischen einem Sicherheitssystem und einer Sammlung von Geräten liegt in ihrer Integration.

Die Sensorik an einem Umspannwerk ist mehrkanalig. Sie kombiniert optische Erfassung mit thermischer Detektion, akustischer Auswertung und, an besonders kritischen Punkten, mit Bodenvibration. Die Mehrkanaligkeit ist nicht Redundanz im trivialen Sinn. Sie ist die Voraussetzung dafür, dass Fehlalarme auf ein Niveau gebracht werden, das im Dauerbetrieb tragbar ist. Wer mit einem Kanal arbeitet, baut ein System, das nach sechs Monaten abgeschaltet wird, weil die Anzahl der Fehlauslösungen die Aufmerksamkeit der Operator erschöpft hat. Wer mit drei oder vier Kanälen arbeitet, die unabhängig voneinander entscheiden und deren Übereinstimmung als Auslöser dient, baut ein System, das auch nach drei Jahren noch ernst genommen wird.

Die Robotik bringt eine Dimension hinzu, die in der Energieversorgung lange als unpraktikabel galt. Mobile Plattformen, die das Gelände eines Umspannwerks oder eines Speicherparks abfahren, ergänzen die stationäre Sensorik durch Bewegung. Sie sehen Bereiche, die fest installierte Kameras nicht erreichen, sie sind sichtbar und damit abschreckend wirksam, und sie verlagern die Routinearbeit weg von menschlichem Personal hin zu Systemen, deren Aufmerksamkeit nicht in den letzten Stunden vor Sonnenaufgang nachlässt. Die Robotik in der Energieversorgung muss anders ausgelegt sein als in der Bauindustrie. Sie muss mit elektromagnetischen Feldern umgehen, sie muss Abstandsregeln zu Hochspannungsanlagen einhalten, sie muss in Vegetationsphasen, in denen das Gelände sich optisch verändert, weiter funktionieren. Diese Anforderungen sind nicht trivial, sie sind aber lösbar.

Die Videoanalyse ist die Schicht, die aus den Daten der Sensorik und der Robotik eine handhabbare Information macht. Sie unterscheidet zwischen dem Reh, das den Zaun streift, und der Person, die den Zaun prüft. Sie unterscheidet zwischen dem Wartungstechniker, der zur angemeldeten Schicht erscheint, und der Person, die zur Schichtzeit nichts zu suchen hat. Diese Unterscheidung ist nicht eine Frage allgemeiner Intelligenz. Sie ist eine Frage spezialisierter Modelle, die auf realen Daten aus dem Sektor trainiert sind und deren Grenzen dokumentiert werden. Wer der Videoanalyse mehr zutraut, als sie leisten kann, baut ein System, das in der ersten ernsthaften Prüfung versagt. Wer sie auf das spezifiziert, was sie verlässlich leistet, baut ein System, das einer Person erlaubt, eine Anzahl von Standorten gleichzeitig zu führen, die früher die Aufgabe ganzer Wachteams war.

Der Verbund dieser drei Säulen ist die eigentliche Architektur. Eine Sensorik ohne Robotik sieht nur, was sie sieht. Eine Robotik ohne Sensorik fährt nur, wohin sie fährt. Eine Videoanalyse ohne beide ist ein Filter. Erst die Verbindung ergibt das System, das die Geometrie der Energieanlagen tatsächlich abdeckt.

Die Leitwarte als Integrationspunkt

Die Leitwarte eines Netzbetreibers ist der Punkt, an dem sich entscheidet, ob eine Sicherheitsarchitektur funktioniert. Sie ist nicht das Gerät, nicht die Plattform und nicht der Roboter. Sie ist der Ort, an dem ein Mensch innerhalb von Sekunden entscheidet, was ein Vorgang bedeutet und welche Reaktion er auslöst. Wer die Leitwarte nicht in seine Architektur einbezieht, baut eine Sammlung von Sensoren, deren Meldungen am Operator vorbeilaufen.

Die Integration in die Leitwarte verlangt, dass Sicherheitsmeldungen in derselben Sprache eintreffen wie die ohnehin verarbeiteten Netzmeldungen. Sie verlangt, dass Priorisierung möglich ist, dass Falschalarme bereits vor Ankunft in der Leitwarte gefiltert wurden und dass jede Meldung in einer Form vorliegt, die ohne Interpretationsaufwand verstanden wird. Eine Meldung, die in der Leitwarte erst entschlüsselt werden muss, ist eine Meldung, die im Ernstfall zu spät kommt.

Die Robotik fügt sich in die Leitwarte ein, indem sie nicht als zusätzliche Aufgabe sichtbar wird, sondern als Verstärkung der vorhandenen Aufmerksamkeit. Ein Operator, der heute die Netzlage überwacht, soll morgen nicht zusätzlich zehn Roboter steuern. Er soll sehen, wenn ein Roboter etwas meldet, das menschliche Entscheidung verlangt. In allen anderen Fällen soll der Roboter so unauffällig laufen wie die Klimaanlage des Schaltraums. Diese Unauffälligkeit ist eine Designentscheidung. Sie ist in der Hardware angelegt, in der Software vertieft und in der Bedienlogik vollendet.

Die Integration der Videoanalyse folgt derselben Logik. Sie liefert Vorfilterung, sie liefert Kontext, sie liefert Begründung. Ein Alarm, der ohne Begründung in der Leitwarte erscheint, ist eine Belastung. Ein Alarm, der mit Begründung erscheint, ist eine Entscheidungsvorlage. Der Unterschied ist nicht semantisch, er ist operativ. Er entscheidet darüber, ob die Reaktionszeit im Bereich von Sekunden oder im Bereich von Minuten liegt.

Die Schnittstellen zwischen Sicherheitssystem und Leitwarte sind dabei kein technologisches Problem allein. Sie sind ein organisatorisches Problem, weil sie Verantwortungen berühren, die in vielen Energieversorgern zwischen IT, Betrieb und Sicherheit aufgeteilt sind. Wer hier ohne klare Klärung der Zuständigkeiten arbeitet, baut Systeme, die in der Inbetriebnahme funktionieren und im ersten echten Vorfall scheitern. Der VdS und die einschlägigen TÜV-Stellen haben in den letzten Jahren mehrere Leitlinien veröffentlicht, die diese organisatorische Dimension explizit machen. Wer sie ernst nimmt, hat ein Werkzeug, das den internen Klärungsprozess strukturiert.

Wirtschaftlichkeit über den Lebenszyklus

Die Wirtschaftlichkeit einer Perimetersicherung in der Energieversorgung lässt sich nicht in einem Quartalsbericht abbilden. Sie wirkt über den Lebenszyklus der Anlage, und sie wirkt über mehrere Posten gleichzeitig. Wer sie in einem einzigen Posten sucht, findet sie nicht.

Der erste Posten ist die Reduktion direkter Schäden. Kupferdiebstahl, Vandalismus und Eingriffe in Schaltanlagen verursachen Material- und Wiederherstellungskosten, die sich pro Vorfall im fünfstelligen Bereich bewegen können und in Ausnahmefällen darüber. Eine Reduktion dieser Vorfälle um eine signifikante Größenordnung trägt sich in den meisten Konstellationen innerhalb weniger Geschäftsjahre.

Der zweite Posten ist die Reduktion der Folgekosten. Ein Vorfall an einer Verteilstation, der die Versorgung eines Gewerbegebiets für mehrere Stunden unterbricht, erzeugt nicht nur den Wiederherstellungsaufwand. Er erzeugt Gespräche mit der Bundesnetzagentur, Berichte gegenüber der Aufsicht, Erklärungen gegenüber Großkunden und, in einigen Fällen, Vertragsstrafen aus Versorgungsverträgen. Diese Folgekosten sind in der internen Verrechnung selten dem Sicherheitsbudget zugeschlagen. Wer sie zuordnet, erkennt die Wirkung der Perimetersicherung an Stellen, an denen er sie vorher nicht gesucht hat.

Der dritte Posten ist die Versicherbarkeit. Wer eine dokumentierte, technologisch gestützte Perimetersicherung betreibt, verhandelt anders mit seinem Versicherer als wer mit Bauzaun und Wachdienst arbeitet. Die Differenz ist messbar, sie ist in den Vertragsbedingungen sichtbar und sie ist in der Prämiengestaltung wirksam. Der GDV hat in seinen Schadenstatistiken zu Infrastruktur die Korrelation zwischen Schutzniveau und Schadensquote dokumentiert. Diese Korrelation ist die Verhandlungsgrundlage.

Der vierte Posten ist die Personalbindung. Sicherheitspersonal in der Energieversorgung ist knapp, und es wird knapper. Eine Architektur, die mit derselben Personalstärke mehr Standorte abdeckt, löst nicht nur ein Kostenproblem. Sie löst ein Verfügbarkeitsproblem. Die BG BAU und der BDSW haben in den letzten Jahren mehrfach auf die strukturelle Verknappung qualifizierter Wachkräfte hingewiesen. Wer in dieser Lage in Personal investiert, ohne in Technologie zu investieren, verbessert seine Position nicht, sondern verteuert sie.

Der fünfte Posten ist die Vorbereitung auf regulatorische Verschärfungen. Die KRITIS-Regulierung verschärft sich in den nächsten Jahren absehbar. Wer heute eine Architektur baut, die diese Verschärfungen vorwegnimmt, hat morgen einen Vorlauf, den seine Wettbewerber aufholen müssen. Wer wartet, baut unter Druck, und Bauen unter Druck ist teurer als Bauen mit Vorlauf.

Pilotbetrieb statt Versprechen

Eine Sicherheitsarchitektur für Energieanlagen wird nicht im Powerpoint entschieden. Sie wird im Pilotbetrieb entschieden, in einer definierten Anlage, über eine definierte Laufzeit, gegen einen vorher vereinbarten Erfolgsmaßstab. Wer auf Versprechen einkauft, kauft Risiken. Wer auf Pilotbetrieb einkauft, kauft Daten.

Ein Pilotbetrieb über neunzig Tage an einem Umspannwerk liefert eine Datenbasis, die in der weiteren Skalierung Entscheidungen trägt, die ohne diese Datenbasis Spekulation wären. Die Anzahl der Detektionen pro Tag, die Verteilung über Tageszeit und Wochentag, die Falschalarmrate, die Reaktionszeit zwischen Sensoreintritt und Operator-Aktion, die Verfügbarkeit der Robotik in unterschiedlichen Witterungsbedingungen. Diese Größen sind nicht abstrakt. Sie sind die Größen, mit denen die nächste Investitionsentscheidung gerechnet wird.

Ein Pilotbetrieb ist kein Risiko, wenn er strukturiert ist. Er ist ein Risiko, wenn er als Demonstration angelegt ist. Der Unterschied liegt in der Vorbereitung. Vorab definierte Erfolgsmaßstäbe, vorab geklärte Schnittstellen zur Leitwarte, vorab definierte Eskalationspfade, vorab vereinbarte Berichtsstruktur. Wer diese vier Punkte vor Beginn klärt, hat nach neunzig Tagen ein Ergebnis, das er intern und gegenüber dem Vorstand verteidigen kann.

Was bleibt

Der Perimeter der Energieversorgung ist keine Frage der Optik mehr. Er ist eine Frage der Operationsfähigkeit. Wer ihn mit den Konzepten der achtziger Jahre weiterführt, schreibt nicht den Schutz fort, sondern das Risiko. Wer ihn mit einer Architektur aus Sensorik, Robotik und Videoanalyse neu denkt, die in der Leitwarte zusammenläuft und über den Lebenszyklus wirtschaftlich rechenbar ist, hat eine Position, in der er gegenüber Aufsicht, Versicherer und Vorstand argumentationsfähig bleibt.

Die Verschiebung dieser Architektur ist nicht eine Frage einer einzelnen Investition, sondern einer Reihe von Entscheidungen über mehrere Jahre. Der erste Schritt ist eine ehrliche Standortbestimmung. Der zweite Schritt ist ein strukturiertes Audit an einer oder zwei repräsentativen Anlagen. Der dritte Schritt ist ein Pilotbetrieb, dessen Ergebnis die Skalierung trägt oder die Architektur korrigiert. Boswau + Knauer arbeitet in diesen Schritten mit Netzbetreibern, Stadtwerken und industriellen Energieerzeugern. Der nächste Schritt für Verantwortliche, die diesen Beitrag bis hierher gelesen haben, ist ein vertrauliches Gespräch von sechzig Minuten, in dem die eigene Lage gezeichnet wird und in dem die Gegenseite zeichnet, was sie an dieser Stelle sehen würde. Wer aus diesem Gespräch ohne Folge geht, hat die Stunde nicht verloren. Wer mit einer Folge geht, hat einen Anfangspunkt, den er vorher nicht hatte.

Häufige Fragen

Welche Sicherheitsanforderungen gelten für Umspannwerke?

Umspannwerke fallen je nach Spannungsebene und Versorgungsbedeutung unter die KRITIS-Regulierung und unterliegen damit den Vorgaben des BSI-Gesetzes sowie den Branchenstandards des jeweiligen Sektors. Hinzu kommen Vorgaben des Arbeitsschutzes durch die BG BAU und die BG ETEM, Vorgaben der Versicherer entlang der GDV-Richtlinien sowie Empfehlungen des VdS zur Perimeterabsicherung. Die konkreten Anforderungen ergeben sich aus der Kombination dieser Quellen und werden in der Praxis durch interne Sicherheitsrichtlinien der Netzbetreiber präzisiert. Eine pauschale Antwort führt in die Irre. Eine Standortbestimmung pro Anlage liefert die belastbare Grundlage.

Reichen Bauzaun und Beleuchtung in der Energieversorgung aus?

In den meisten relevanten Anwendungen reichen Bauzaun und Beleuchtung nicht aus. Sie wirken gegen Gelegenheitstäter, sie wirken nicht gegen geplante Eingriffe, organisierten Diebstahl oder Sabotage. Sie liefern keine Detektion, keine Dokumentation in Echtzeit und keine Reaktionsfähigkeit. Die steigenden Schadensquoten in den GDV-Statistiken, die Verschärfung der KRITIS-Regulierung und die Verknappung qualifizierter Wachkräfte zwingen zu einer Architektur, die Sensorik, Robotik und Videoanalyse mit der Leitwarte verbindet. Bauzaun und Beleuchtung bleiben Bestandteile, sie sind aber nicht mehr das Konzept, sondern eine seiner Schichten.

Wie integrieren sich Roboter in die Leitwarte?

Mobile Sicherheitsplattformen integrieren sich in die Leitwarte über offene Schnittstellen, die in der Sprache des bestehenden Leitsystems sprechen. Sie melden vorgefilterte, mit Kontext versehene Ereignisse und fügen sich in die Priorisierungslogik ein, die der Operator ohnehin nutzt. Routinevorgänge laufen unsichtbar im Hintergrund, nur entscheidungsrelevante Vorgänge erreichen den Operator. Voraussetzung ist eine vorherige Klärung der Zuständigkeiten zwischen IT, Betrieb und Sicherheit. Der VdS und die TÜV-Stellen haben Leitlinien veröffentlicht, die diese organisatorische Klärung strukturieren. Ohne diese Klärung scheitert die Integration unabhängig von der Qualität der Technik.

Welche Schäden entstehen durch Vandalismus an Energieanlagen?

Die Schäden durch Vandalismus reichen vom unmittelbaren Sachschaden über Wiederherstellungskosten bis zu Folgeschäden aus Versorgungsunterbrechungen. Material- und Reparaturkosten bewegen sich pro Vorfall häufig im mittleren bis hohen vierstelligen Bereich, bei größeren Eingriffen darüber. Hinzu kommen Berichtspflichten gegenüber der Bundesnetzagentur, Erklärungen gegenüber Großkunden, mögliche Vertragsstrafen und Reputationsfolgen. In der Aggregation über ein Geschäftsjahr ergeben sich Beträge, die in mittelgroßen Netzgebieten den Aufwand für eine moderne Perimeterarchitektur deutlich übersteigen. Die genaue Wirtschaftlichkeit ist standortabhängig und ergibt sich aus einem strukturierten Audit.