Wirtschaftsspionage und Werkschutz: was BfV-Bericht 2025 sagt

Wirtschaftsspionage ist kein nachrichtendienstliches Randthema, sondern eine kalkulierbare Betriebsstörung mit messbaren Folgekosten in der Bilanz industrieller Mittelständler und Großunternehmen.

Diese Aussage steht am Anfang, weil sie das Verhältnis von Werkschutz und Spionageabwehr richtig sortiert. Der Werkschutz ist nicht der Adressat der Bedrohung, er ist ihr erster Filter. Wer ihn nur als Pförtnerfunktion versteht, hat die Verteidigungslinie an der falschen Stelle gezogen. Der Verfassungsschutzbericht des BfV, in seiner aktuellen Fassung, liest sich auch in diesem Jahr wie eine Aufforderung an die Industrie, ihre eigene physische Sicherheit als Bestandteil der Wirtschaftsschutzarchitektur zu denken. Es geht nicht mehr um Tor und Schranke, sondern um die Frage, welche Vorgänge in welchem Zeitfenster nachweislich kontrolliert wurden.

Die zweite Beobachtung ist nüchterner. Die Mehrzahl der Vorfälle, die im Bericht qualitativ beschrieben werden, hat eine physische Komponente. Sie beginnt entweder am Zaun, am Tor, in der Anlieferung, im Besucherprozess oder am internen Übergang zwischen Bereichen unterschiedlicher Schutzbedarfe. Die rein digitale Spionage ohne physischen Vektor ist die Ausnahme, nicht die Regel. Wer den Werkschutz also als nachrangig behandelt, schwächt die Cyberabwehr, ohne es zu merken.

Was der Bericht qualitativ feststellt

Der Verfassungsschutzbericht beschreibt die Bedrohungslage in mehreren Dimensionen. Erstens nennt das BfV staatlich gelenkte Akteure, deren Interesse an deutschen Technologien in den vergangenen Jahren nicht zurückgegangen, sondern in der Breite gewachsen ist. Die Schwerpunkte verschieben sich entlang der industriepolitischen Linien jener Staaten, die als hauptverantwortlich genannt werden. Wer in den Bereichen Maschinenbau, Halbleiter, Optik, Energietechnik, Sensorik, Verteidigungselektronik, Pharmazie oder Spezialchemie arbeitet, ist nicht der Ausnahmefall, sondern der Regelfall der Bedrohung. Der Mittelstand ist nicht weniger betroffen als der Konzern, sondern weniger geschützt.

Zweitens beschreibt das BfV die Methoden in einer Bandbreite, die vom klassischen Informationsabfluss durch Beschäftigte über Cyberzugriff bis zur Nutzung legaler Geschäftsbeziehungen reicht. Joint Ventures, Lieferantenbeziehungen, Servicedienstleister, Wartungspartner, Reinigungskräfte, Hochschulkooperationen und Praktika werden als Vektoren genannt. Diese Liste ist kein Generalverdacht, sie ist eine Aufforderung zur Differenzierung in den Zutrittsklassen.

Drittens wird das Thema Insider in den letzten Berichten konsistent betont. Das BfV unterscheidet nicht zwischen dem klassischen Spion und dem unfreiwilligen Mitwirker. In beiden Fällen ist das Ergebnis dasselbe, ein Informationsabfluss, der die Wertschöpfung des betroffenen Unternehmens berührt. In beiden Fällen ist die Spur im Werkschutz dokumentiert oder eben nicht.

Viertens ordnet der Bericht die Lage in einen sicherheitspolitischen Kontext ein, der seit dem russischen Angriff auf die Ukraine in der Schärfe nicht abgenommen hat. Sabotage gegen kritische Infrastrukturen, Auskundschaftung von Energie- und Logistikknoten und das Interesse an Rüstungs- und Dual-Use-Themen werden als anhaltende Risiken beschrieben. Wer in diesen Bereichen tätig ist, hat eine Bedrohungslage, die nicht zyklisch ist, sondern strukturell.

Für den operativen Werkschutz bedeutet die Berichtslage zweierlei. Zum einen ist die Bedrohung dokumentiert, zum anderen ist sie nicht spektakulär. Sie verläuft entlang von Routinen, die der Werkschutz besser kennt als die Geschäftsführung. Wer den Bericht ernst nimmt, beginnt nicht mit einer Strategie, sondern mit einer Inventur der eigenen Routinen.

Welche Branchen tragen das Risiko in der Breite

Die Branchenverteilung ist im Bericht qualitativ beschrieben und in der Beratungspraxis konsistent erlebbar. Maschinenbau ist betroffen, weil deutsche Konstruktionslogik global gefragt ist. Halbleiter, Optik und Sensorik sind betroffen, weil sie in militärischen wie zivilen Anwendungen den Unterschied ausmachen. Energietechnik ist betroffen, weil sie die Übergangsphase zwischen alter und neuer Energieordnung trägt. Spezialchemie und Pharmazie sind betroffen, weil ihre Verfahren in Wettbewerber-Staaten nicht repliziert sind. Verteidigungselektronik ist betroffen, weil sie an der Schnittstelle zwischen Beschaffungslogik und technologischer Tiefe steht. Logistik ist betroffen, weil sie die Wege beschreibt, die andere Industrien nehmen.

Diese Aufzählung ist keine Liste, sondern eine Beschreibung der industriellen Substanz des Landes. Wer in dieser Substanz arbeitet, ist Adressat. Die Frage, ob das eigene Unternehmen zur Zielgruppe gehört, ist in den meisten Fällen mit Ja zu beantworten. Die ernsthaftere Frage ist, an welcher Stelle der eigene Werkschutz heute eine wirksame Antwort liefern könnte und an welcher Stelle nicht.

Wir beobachten in der Praxis, dass die Selbsteinschätzung deutscher Unternehmen in einem klaren Muster verläuft. Konzerne haben eine Sicherheitsorganisation, deren Reife ungleich verteilt ist zwischen Hauptverwaltung, Produktion und Außenstandorten. Familienunternehmen haben oft eine sehr gute Sicherheitskultur in der Zentrale und eine sehr schwache an den Übernahmestandorten. Mittelständler unterhalb der KRITIS-Schwellen unterschätzen die Lage, weil sie sich nicht in den Berichten wiederfinden, obwohl ihre Produkte in den Lieferketten der genannten Branchen stehen. Diese drei Muster sind im Werkschutz unmittelbar sichtbar, wenn man die Dokumentation der letzten zwölf Monate prüft.

Eine eigene Bemerkung gilt der Logistik und den Lieferanten. Wirtschaftsspionage adressiert in vielen Fällen nicht das Endprodukt, sondern den Zulieferer, dessen Sicherheitsniveau niedriger ist. Wer in der Lieferkette eines hochsensitiven Herstellers arbeitet, ohne das selbst zu wissen, ist deshalb in einer asymmetrischen Lage. Er trägt ein Risiko, das er nicht eingepreist hat. Die Sensibilisierung dieser Lieferanten ist eine Aufgabe, die der Hauptkunde nicht delegieren sollte, weil sie auf ihn zurückfällt, sobald der Abfluss bemerkt wird.

Die BG BAU, der GDV, die VdS-zertifizierten Versicherer und die Industrieverbände haben in den vergangenen Jahren in unterschiedlicher Intensität auf die Lage hingewiesen. Wer die Hinweise nicht in der eigenen Sicherheitsorganisation verankert, hat sie nicht gelesen.

Der Insider als zentrales Risiko

Das BfV nennt den Insider in einer Konsequenz, die in der Industrie noch nicht überall angekommen ist. Der Insider ist nicht der Mitarbeiter, der morgens mit dem Vorsatz erscheint, sein Unternehmen zu schädigen. Er ist in der Mehrzahl der Fälle eine Person, die aus einer Mischung von Loyalität, Erpressbarkeit, finanzieller Notlage oder politischer Bindung Informationen weitergibt. Das Spektrum reicht vom Wissenschaftler in einer Forschungskooperation bis zum Servicepartner, der Wartungsfenster nutzt.

Werkschutz wirkt gegen den Insider nicht durch Misstrauen, sondern durch Struktur. Struktur bedeutet, dass Zugriffe protokolliert sind, dass das Vier-Augen-Prinzip an den sensitiven Stellen nicht in der Stellenbeschreibung steht, sondern im Prozess durchgesetzt wird, dass Besuchergänge nicht improvisiert werden, dass Ausweise und Schlüssel nicht informell weitergegeben werden, dass Räume nach Schutzbedarf klassifiziert sind und dass die Klassifikation in der physischen Realität auch durchgesetzt wird.

In der Beratungspraxis sehen wir an dieser Stelle die größten Lücken. Werksbereiche, die als hochsensibel klassifiziert sind, werden tagsüber von Reinigungspersonal betreten, dessen Vertragsverhältnis über drei Subunternehmer läuft. Wartungstechniker bringen eigene Laptops in Bereiche, in denen das offiziell verboten ist, weil der Pförtner sie nicht prüft. Externe Servicekräfte werden nicht begleitet, weil das Werkschutzpersonal für die Begleitung nicht ausreichend besetzt ist. Diese Lücken sind nicht spektakulär, sie sind die Regel.

Die zweite Insider-Variante ist die unbeabsichtigte Mitwirkung. Eine Mitarbeiterin nimmt einen vermeintlich harmlosen Kontakt auf einer Messe an, ein Mitarbeiter wird in eine Konferenz eingeladen, deren Hintergrund er nicht prüft, ein Praktikant erhält Zugriff auf Konstruktionsdaten, weil das Rechtekonzept nicht zwischen Funktionen unterscheidet. Werkschutz allein verhindert diese Vorgänge nicht. Aber er liefert die Datenspur, die im Nachgang ermöglicht, den Vorfall zu rekonstruieren und die Lücke zu schließen. Eine Sicherheitsorganisation, die diese Spur nicht liefern kann, ist im Bedrohungsfall blind.

Das BfV bietet über die Wirtschaftsschutz-Ansprechpartner der Landesämter Sensibilisierungen an, die für sehr wenig Aufwand sehr viel Wirkung erzeugen. Wer die eigenen Schlüsselpositionen einmal jährlich durch diese Stellen briefen lässt, hat eine Maßnahme umgesetzt, die in keiner Bilanz erscheint und die trotzdem zu den wirksamsten gehört.

Welche technischen Maßnahmen wirken

Die wirksamen Maßnahmen sind nicht neu, sie sind nur selten konsequent umgesetzt. Wirksamkeit entsteht durch die Verbindung von Perimeter, Zutritt, Innenraum und Dokumentation. Wer in einer dieser vier Dimensionen Lücken hat, hat in den anderen drei einen geringeren Schutz, als das Datenblatt verspricht.

Am Perimeter sind die Anforderungen klar. Der Zaun ist eine Verzögerung, keine Barriere. Die wirksame Komponente ist die Detektion vor dem Zaun, am Zaun und unmittelbar dahinter. Eine Detektion, die Person, Fahrzeug und Witterung sauber unterscheidet, ist die Grundvoraussetzung dafür, dass die nachfolgenden Stufen funktionieren. Hier zahlt sich KI-gestützte Videoanalyse aus, die Fehlalarme so reduziert, dass die Leitstelle reagiert, wenn sie reagieren soll, und nicht abschaltet, wenn das System unbrauchbar wird. Mobile Videotürme und Sicherheitsroboter ergänzen die fest installierte Sensorik dort, wo Bauvorhaben, saisonale Lagerflächen oder veränderliche Außenbereiche keine feste Verkabelung erlauben.

Am Zutritt ist die Frage, ob die Identifikation einer Person mit der Berechtigung dieser Person in Echtzeit abgeglichen wird. Ein Ausweis, der nicht entzogen wird, sobald der Mitarbeiter das Unternehmen verlässt, ist eine offene Tür. Ein Besucherausweis, der ohne Begleitung in sensible Bereiche reicht, ist eine offene Tür. Die Schließanlage, die mechanisch geführt wird und deren Schlüsselverwaltung in einer Excel-Liste mündet, ist im Wirtschaftsschutz nicht haltbar. Elektronische Zutrittssysteme mit Rollen- und Bereichsmodell, mit Vier-Augen-Freigabe an den höchsten Klassifikationen und mit revisionsfähiger Protokollierung sind der Standard, an dem die BSI-Empfehlungen sich orientieren.

Im Innenraum entscheidet die Schutzbedarfsklassifikation. Räume mit Konstruktionsunterlagen, Server, Forschung und Vorseriellem brauchen eine eigene Stufe. Diese Stufe wird selten durchgehalten. Sie wird zugunsten kurzer Wege aufgeweicht, weil die Bauakustik nicht stimmt, weil die Klimatisierung an anderer Stelle endet, weil die Reinigung am Abend in einem Rutsch durchläuft. Wer hier nicht trennt, kann die Trennung nicht durchsetzen.

Die Dokumentation ist die vierte und am häufigsten unterschätzte Dimension. Ein Vorfall, der nicht dokumentiert ist, ist kein Vorfall, sondern eine Erinnerung. Erinnerungen sind in Versicherungsfragen, in Strafanzeigen und in der internen Aufarbeitung wertlos. Die Verbindung von Videoaufzeichnung, Zutrittslog und Schichtbuch in einem revisionsfähigen Format ist die Voraussetzung dafür, dass ein Vorfall nach drei Wochen noch rekonstruierbar ist. Das ist die Standardfrist, in der ein Vorgang typischerweise auffällt, nicht der Tag selbst.

In unserem Manuskript BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie, ist dieser Punkt in einem eigenen Abschnitt zu Hardware und Software ausgeführt. Die Pointe lautet, dass keine einzelne Komponente das Problem löst, sondern die Plattformlogik, die alle Komponenten in derselben Datenstruktur dokumentiert. Wer Punktlösungen kauft, kauft Inseln. Wer Plattformen aufbaut, kauft Beweisbarkeit.

Was Personal heute tatsächlich leisten kann

Der Werkschutz steht unter Personaldruck, der sich nicht durch Forderungen lösen lässt. Die Verfügbarkeit qualifizierter Kräfte ist begrenzt, die Stundensätze steigen, die Bereitschaft zu Nacht- und Schichtarbeit nimmt ab. Wer in dieser Lage mehr Personal fordert, ohne über Technologie zu sprechen, fordert etwas, das der Markt nicht liefert.

Die wirksame Antwort ist eine andere Aufgabenteilung. Routinerunden, deren Wert in der Sichtbarkeit und in der Detektion liegt, werden zunehmend durch Sicherheitsroboter und mobile Videotürme übernommen. Die menschliche Aufmerksamkeit verschiebt sich in die Leitstelle, in die Begleitung sensibler Vorgänge, in die Verifikation und in die Eingriffslogik. Ein Operator in der Leitstelle kann mit KI-gestützter Videoanalyse mehrere Standorte gleichzeitig führen, wenn die Vorfilterung sauber arbeitet. Diese Verschiebung ist kein Stellenabbau, sie ist eine Umnutzung von Kapazität, die ohnehin knapp ist.

Der BDSW hat in den vergangenen Jahren konsistent darauf hingewiesen, dass die Branche ohne technologische Unterstützung in einigen Segmenten nicht mehr in der Lage sein wird, die geforderten Leistungen zu erbringen. Diese Aussage gilt für den Werkschutz mit besonderer Schärfe, weil hier die Kombination aus Schichtdienst, Spezialisierung und Verlässlichkeit den höchsten Druck erzeugt.

Schulung ist die zweite Stellschraube. Werkschützer, die in der Spionageabwehr geschult sind, erkennen Vorgänge, die ein ungeschulter Pförtner nicht erkennt. Die Wirtschaftsschutz-Ansprechpartner der Landesbehörden und der Verband für Sicherheit in der Wirtschaft bieten dafür Formate, die in den Schichtbetrieb integriert werden können. Wer einmal im Jahr eine Halbtagesschulung für die Schichtführer durchführt, hebt das Niveau der gesamten Belegschaft.

Die dritte Stellschraube ist die Verbindung zur eigenen IT-Sicherheit. Werkschutz und IT-Sicherheit arbeiten in den meisten Unternehmen getrennt, obwohl die Vorfälle, die das BfV beschreibt, in beide Disziplinen reichen. Eine wöchentliche Abstimmung, in der beide Seiten ihre Beobachtungen austauschen, ist eine Maßnahme, die nichts kostet und die in mehreren von uns begleiteten Fällen den entscheidenden Vorfall früh sichtbar gemacht hat.

Wer offiziell berät und wer offiziell prüft

Die deutsche Wirtschaftsschutzlandschaft ist gut aufgestellt, aber wenig bekannt. Das BfV unterhält in jedem Bundesland Wirtschaftsschutz-Ansprechpartner, die kostenlos und vertraulich beraten. Diese Stellen sind nicht öffentlich präsent, weil ihre Wirkung in der Vertraulichkeit liegt. Wer dort anruft, wird in Gesprächsformaten beraten, die ohne Aktenanlage funktionieren, wenn das gewünscht ist.

Das BSI deckt die digitale Seite ab. Seine Empfehlungen zu IT-Sicherheit, zu KRITIS und zur Lieferkettenabsicherung sind in den vergangenen Jahren konsistent geschärft worden. Wer in einem KRITIS-Sektor arbeitet, kommt an den BSI-Vorgaben nicht vorbei. Wer in einem Sektor knapp unterhalb der Schwelle arbeitet, sollte die Vorgaben dennoch lesen, weil sie die nächste Gesetzgebung beschreiben.

Die VdS-zertifizierten Stellen prüfen Sicherungsanlagen, der GDV vertritt die Versichererperspektive, der TÜV deckt technische Prüfungen ab, der BDSW vertritt die Sicherheitswirtschaft, die BG BAU bringt die Perspektive der Bauwirtschaft ein, deren Standorte oft Übergänge zur Industrie darstellen. Diese Institutionenlandschaft ist die Grundlage, auf der jede ernsthafte Sicherheitsorganisation aufsetzen kann.

Die Aufgabe eines Herstellers wie BOSWAU + KNAUER ist nicht, diese Institutionen zu ersetzen, sondern in ihrer Logik zu liefern. Unsere Plattformen sind so gebaut, dass sie die Anforderungen dieser Stellen erfüllen, ohne dass der Kunde die Integration jedes Mal neu lösen muss. Wer eine Sicherheitsanlage betreibt, deren Dokumentation in den Formaten verfügbar ist, die Versicherer, BSI und Behörden erwarten, hat einen Verhandlungsvorteil, der sich in Prämien, in Auflagen und in der Reaktion bei Vorfällen niederschlägt.

Was bleibt

Der BfV-Bericht ist keine Diagnose, die das Unternehmen entlastet. Er ist eine Diagnose, die das Unternehmen in die Pflicht nimmt. Die Lage ist beschrieben, die Methoden sind benannt, die Branchen sind genannt. Wer nach Lektüre des Berichts feststellt, dass die eigene Sicherheitsorganisation diese Lage nicht abbildet, hat zwei Möglichkeiten. Die erste ist, weiterzumachen wie bisher und auf das Glück der vergangenen Quartale zu vertrauen. Die zweite ist, eine Standortbestimmung zu beginnen, die nicht in der Strategieabteilung endet, sondern am Werkstor.

Werkschutz im Sinne der Spionageabwehr ist keine zusätzliche Aufgabe, sondern eine Schärfung bestehender Routinen. Sie verlangt eine Klassifikation der Schutzbedarfe, eine technische Plattform, die Vorfälle dokumentiert, eine personelle Aufgabenteilung, die das verfügbare Personal nicht überfordert, und eine Verbindung zur IT-Sicherheit, die nicht in monatlichen Berichten endet, sondern in wöchentlichen Beobachtungen. Wer diese vier Punkte hält, hat eine Verteidigungslinie, die den im BfV-Bericht beschriebenen Bedrohungen standhält.

Der nächste Schritt ist nicht eine Investitionsentscheidung, sondern ein Gespräch. Wir bieten Verantwortlichen in Industrie und Logistik ein vertrauliches Gespräch von sechzig Minuten an, in dem die eigene Lage gegen die Bedrohungslage gehalten wird. Wer nach diesem Gespräch zu der Einschätzung kommt, dass weitere Schritte sinnvoll sind, geht in ein Audit von drei bis fünf Tagen vor Ort, mit definiertem Lieferumfang und definiertem Festpreis. Wer den operativen Beweis sucht, geht in einen neunzigtägigen Pilotbetrieb an einem definierten Standort. Drei Wege, die aufeinander aufbauen, aber jeder für sich tragfähig sind.

Häufige Fragen

Was sagt der aktuelle BfV-Bericht?

Der Verfassungsschutzbericht beschreibt eine anhaltend hohe und in der Breite gewachsene Bedrohungslage durch staatlich gelenkte Akteure, deren Interesse an deutscher Technologie strukturell, nicht zyklisch ist. Die Methoden reichen von Cyberzugriff über Insider bis zur Nutzung legaler Geschäftsbeziehungen. Sabotagepotenzial gegen kritische Infrastrukturen wird als anhaltendes Risiko genannt. Für den Werkschutz folgt daraus, dass die physische Sicherheit Bestandteil der Spionageabwehr ist, nicht ihre Vorstufe. Die Empfehlung lautet, Routinen, Klassifikationen und Dokumentation so zu schärfen, dass Vorfälle nicht nur verhindert, sondern auch beweisbar rekonstruiert werden können.

Welche Branchen sind betroffen?

Maschinenbau, Halbleiter, Optik, Sensorik, Energietechnik, Spezialchemie, Pharmazie, Verteidigungselektronik und ihre Zulieferer stehen im Mittelpunkt. Die Logistik ist betroffen, weil sie die Wege dieser Industrien beschreibt. KRITIS-Betreiber tragen die regulatorisch höchste Last, mittelständische Zulieferer das oft unterschätzte Risiko, weil sie in den Lieferketten sensibler Hersteller stehen, ohne sich der Lage bewusst zu sein. Die Frage, ob das eigene Unternehmen Adressat ist, ist in den meisten industriellen Bereichen mit Ja zu beantworten. Die ernsthaftere Frage betrifft die Reife der eigenen Antwort.

Welche Maßnahmen wirken?

Wirksam ist die Verbindung von vier Dimensionen. Perimeter mit KI-gestützter Detektion, die Personen, Fahrzeuge und Witterung sauber unterscheidet. Zutritt mit elektronischer Rechteverwaltung und revisionsfähiger Protokollierung. Innenraum mit konsequent durchgesetzter Schutzbedarfsklassifikation. Dokumentation, die Video, Zutrittslog und Schichtbuch in einer Datenstruktur führt. Ergänzend wirken regelmäßige Sensibilisierungen durch BfV-Wirtschaftsschutz, eine wöchentliche Abstimmung zwischen Werkschutz und IT-Sicherheit, sowie der Einsatz mobiler Videotürme und Sicherheitsroboter dort, wo feste Verkabelung nicht möglich ist. Die Plattformlogik ist entscheidend, nicht die Einzelkomponente.

Wer berät offiziell?

Die Wirtschaftsschutz-Ansprechpartner der Verfassungsschutzbehörden des Bundes und der Länder beraten kostenlos und vertraulich. Das BSI deckt die digitale Seite ab und liefert Empfehlungen für KRITIS und Lieferketten. Der GDV vertritt die Versichererperspektive, VdS-zertifizierte Stellen prüfen Sicherungsanlagen, der TÜV deckt technische Prüfungen ab, der BDSW vertritt die Sicherheitswirtschaft, die BG BAU adressiert Bauwirtschaftsthemen, die in industrielle Übergänge reichen. Wer diese Institutionenlandschaft kennt und in der eigenen Sicherheitsorganisation einbindet, hat die Grundlage. Hersteller wie BOSWAU + KNAUER liefern die technische Plattform, die die Anforderungen dieser Stellen erfüllt.