KRITIS Sektor Ernährung: Großbäckerei, Molkerei, Schlachthof

Lebensmittelsicherheit unter KRITIS ist nicht das, was die meisten Betriebsleiter darunter verstehen. Sie ist nicht HACCP, nicht ISO 22000, nicht das Hygienerecht der Verordnung 852/2004. Sie ist die Frage, ob ein Schlachtbetrieb, eine Molkerei oder eine Großbäckerei nach einem Stromausfall, einem Brand am Kompressorhaus oder einer gezielten Manipulation an der Tankrampe innerhalb von Stunden wieder produzieren kann. Wer Lebensmittelsicherheit mit Produktsicherheit gleichsetzt, hat die Verschiebung der letzten fünf Jahre nicht mitvollzogen.

Der Gesetzgeber hat den Sektor Ernährung im Rahmen der BSI-Kritisverordnung formal verankert. Die praktische Folge dieser Verankerung ist im Markt unterbestimmt. Viele betroffene Betriebe haben einen IT-Sicherheitsbeauftragten benannt, ein ISMS aufgesetzt und einen Nachweis nach Paragraf 8a BSIG eingereicht. Die physische Seite des Schutzes, also Perimeter, Zufahrt, Stallgasse, Kühlhaus, Annahme, ist in vielen dieser Verfahren nicht in vergleichbarer Tiefe behandelt worden. Genau dort entstehen die Lücken, die sich in den nächsten Jahren als die teuersten erweisen werden.

Warum der Sektor Ernährung anders ist als die übrigen KRITIS-Sektoren

Sektor 6 unterscheidet sich von Energie, Wasser, Gesundheit oder Finanzwesen in einem grundlegenden Punkt. Die Versorgung ist nicht durch wenige zentrale Knoten gesichert, sondern durch eine breite Schicht von Produzenten, die sich gegenseitig substituieren können, solange die Schicht selbst stabil ist. Wenn ein einzelner Schlachtbetrieb ausfällt, übernimmt ein anderer. Wenn zwei oder drei großen Akteure parallel ausfallen, ist die regionale Versorgung mit Schweinefleisch innerhalb von zwei Wochen problematisch. Wenn ein Drittel der großen Molkereien gleichzeitig steht, ist die Frischmilchversorgung in zehn Tagen sichtbar gestört.

Diese Substituierbarkeit hat dazu geführt, dass die Schwellenwerte in der BSI-Kritisverordnung im Sektor Ernährung auf hohe Produktionsmengen gelegt sind. Erst Betriebe ab einer bestimmten Tonnage gelten als kritische Infrastruktur. Die Folge ist eine konzentrierte Pflichtenlandschaft. Wenige Hundert Betriebe in Deutschland fallen unter die Verordnung, der Rest des Sektors operiert außerhalb der KRITIS-Logik, obwohl er in der Lieferkette identisch funktioniert.

Aus Sicht des Herstellers von Sicherheitstechnologie ergibt sich daraus eine doppelte Aufgabe. Die regulierten Betriebe brauchen eine dokumentierte Architektur, die Auditfähigkeit, Verfügbarkeit und Reaktionszeit nachweist. Die nicht regulierten Betriebe brauchen eine Architektur, die ihre wirtschaftliche Existenz gegen Vorfälle absichert, deren Folgekosten in der Branche unterschätzt werden. Boswau + Knauer baut für beide Gruppen, und der Unterschied liegt nicht in der Hardware, sondern in der Dokumentation und in der Integration mit der Aufsicht.

Die Aufsicht selbst ist im Sektor Ernährung verteilt. Das Bundesamt für Sicherheit in der Informationstechnik prüft die IT-Seite. Das Bundesinstitut für Risikobewertung bewertet die produktbezogenen Risiken. Die Bundesanstalt für Landwirtschaft und Ernährung führt die fachliche Aufsicht für Teile des Sektors. Die Länder kontrollieren über ihre Veterinärbehörden die hygienische Seite. Diese Verteilung führt dazu, dass kein einzelner Adressat das vollständige Bild eines Betriebs sieht. Wer das verstanden hat, weiß, dass Sicherheit im Sektor Ernährung nicht aus einem einzelnen Berichtsweg entsteht, sondern aus der Summe mehrerer paralleler Nachweise, die untereinander konsistent sein müssen.

Was im Schlachtbetrieb physisch geschützt werden muss

Ein Schlachtbetrieb mittlerer Größe verarbeitet zwischen zehn- und zwanzigtausend Tiere pro Woche. Diese Zahl ist nicht abstrakt. Sie übersetzt sich in zweiundzwanzig bis fünfundzwanzig Sattelzüge Anlieferung pro Tag, in eine kontinuierliche Kühlkette von der Schlachtung bis zur Verladung und in eine Personalschicht, die in den Nachtstunden auf ein Minimum reduziert ist. Genau in diesen Nachtstunden liegen die größten physischen Risiken. Sie sind nicht hypothetisch. Sie sind in der Schadenstatistik der Branche dokumentiert.

Die kritischen Punkte eines Schlachtbetriebs lassen sich auf wenige Linien reduzieren. Erstens die Anlieferung der Lebendtiere, die in offenen Stallgassen erfolgt und sowohl tierschutzrechtlich als auch sicherheitsrechtlich exponiert ist. Zweitens die Schlachtlinie selbst, deren elektrische Betäubungstechnik bei Stromausfall innerhalb von Minuten gestoppt werden muss und deren Wiederanlauf strenge tierschutzrechtliche Auflagen erfüllt. Drittens die Kühlhäuser, in denen Bestände im sechsstelligen Eurobereich gelagert werden und deren Temperaturführung im Falle einer Manipulation oder eines technischen Defekts innerhalb von acht bis zwölf Stunden die Verkaufsfähigkeit der gesamten Charge entscheidet. Viertens die Verladerampe, an der die Mehrheit aller dokumentierten Eindringversuche und Manipulationen stattfindet, weil sie systembedingt die offenste Schnittstelle des Betriebs ist.

Die physische Sicherung dieser Linien folgt einer einfachen Logik. Der Perimeter trennt das Betriebsgelände vom öffentlichen Raum. Die Zufahrtskontrolle dokumentiert jede Anlieferung und jede Abholung. Die Innenraumüberwachung sichert die Bereiche, in denen die Wertschöpfung stattfindet und in denen ein Vorfall die Produktion direkt stoppt. Die Lastkontrolle der Kühlinfrastruktur erkennt Abweichungen, bevor sie produktrelevant werden. Diese vier Ebenen sind nicht optional. Sie sind die Mindestarchitektur, an der sich ein KRITIS-pflichtiger Schlachtbetrieb messen lassen muss, und sie sind die wirtschaftlich sinnvolle Architektur für jeden größeren Betrieb unabhängig von der Verordnung.

In der Praxis sehen wir, dass diese Ebenen in vielen Betrieben historisch gewachsen sind. Ein Bauzaun aus den neunziger Jahren, eine Pförtnerloge mit Klemmbrett, eine Videoanlage aus dem ersten Jahrzehnt der digitalen Aufzeichnung, ein Kühlhaus mit einer einzigen Temperatursonde. Diese Kombination war vor zwanzig Jahren angemessen. Sie ist es nicht mehr. Die Bedrohungslage hat sich verändert, und die regulatorischen Erwartungen sind mitgewachsen.

Die Molkerei und das Problem der Verfügbarkeit

Eine Molkerei der Größe, die unter die KRITIS-Verordnung fällt, verarbeitet täglich mehrere Hunderttausend Liter Rohmilch. Die Anlieferung erfolgt im Zwei- bis Vier-Stunden-Takt, sieben Tage in der Woche. Eine Unterbrechung dieser Kette ist nicht durch Lagerbestände abzufedern, weil Rohmilch ein verderbliches Gut ist und die Erfassungstanks an den Höfen ebenfalls in einem engen Zeitfenster geleert werden müssen.

Die Verfügbarkeit einer Molkerei ist deshalb ein zentraler Sicherheitsbegriff. Sie bemisst sich nicht in Prozentwerten pro Jahr, sondern in zulässigen Stunden Stillstand, bevor die Lieferkette auf der Erzeugerseite kollabiert. Wer eine Molkerei sichern will, sichert nicht das Produkt, sondern den Prozess, und er sichert ihn gegen Vorfälle, die nicht primär kriminell motiviert sein müssen. Ein Brand in der Energiezentrale, eine Manipulation an der Annahmestation, ein Cyberangriff auf die Anlagensteuerung, ein Defekt in der Kälteanlage haben in dieser Logik dieselbe Wirkung.

Die physische Sicherheit einer Molkerei konzentriert sich auf wenige Punkte. Die Annahmestation, an der Tankwagen ihr Produkt abgeben und an der Manipulationen die Rohware verändern können. Die zentrale Energie- und Kälteinfrastruktur, die im Falle eines Eingriffs den gesamten Betrieb stoppt. Die Lagertanks, deren Reinheit und Temperaturführung produktentscheidend sind. Die Verladung der Fertigprodukte, an der die Kühlkette in die Distribution übergeht.

In den von uns auditierten Betrieben dieser Größe zeigt sich ein wiederkehrendes Muster. Die Investitionen in IT-Sicherheit haben in den letzten fünf Jahren deutlich zugenommen. Die Investitionen in die physische Sicherung der Annahme- und Energieinfrastruktur sind in vielen Fällen hinter dieser Entwicklung zurückgeblieben. Das Ergebnis ist ein Schutzprofil, das gegen die spektakuläre Bedrohung gewappnet ist und gegen die alltägliche unterdimensioniert bleibt. Ein Audit deckt diese Asymmetrie regelmäßig in den ersten zwei Tagen auf. Was Boswau + Knauer in einem solchen Audit liefert, ist im Buch zur Sicherheitstechnologie des Unternehmens unter dem Stichwort der sechs Lieferobjekte dokumentiert.

Die Großbäckerei als unterschätzter Sektorteilnehmer

Großbäckereien werden in der öffentlichen Wahrnehmung selten als kritische Infrastruktur diskutiert. In der Verordnungslogik fallen sie unter Sektor 6, sobald sie definierte Tonnagen erreichen. In der wirtschaftlichen Realität versorgen wenige Großbäckereien die Mehrheit der Einzelhandelsketten in Deutschland mit Brot, Brötchen, Feingebäck und Tiefkühlteiglingen. Wenn eine dieser Großbäckereien für eine Woche ausfällt, bemerken die Verbraucher den Ausfall innerhalb von achtundvierzig Stunden im Regal.

Die physische Schutzlogik einer Großbäckerei unterscheidet sich von der eines Schlachtbetriebs oder einer Molkerei in einem wesentlichen Punkt. Die Rohstoffe sind weniger verderblich, dafür ist die Prozessführung empfindlicher gegen Manipulationen. Eine Veränderung der Zutatenführung in der Mischlinie ist visuell schwer zu erkennen und kann erst in der Endkontrolle auffallen. Ein Eindringen in das Mehlsilo oder in die Zutatenbehälter ist eine Bedrohung, die in der Schadensbewertung erheblich höher liegt als der reine Materialwert.

Aus dieser Logik ergibt sich eine Schutzarchitektur, die stärker auf die Innenraumüberwachung und auf die Zugangskontrolle zu den Mischbereichen setzt als auf den klassischen Perimeter. Der Zaun ist wichtig, das Tor ist wichtig, der eigentliche Hebel liegt aber in der Frage, wer wann welchen Mischbereich betreten hat, ob diese Person dort sein durfte und ob ihr Aufenthalt mit der Schichtplanung konsistent ist. Diese Frage beantworten klassische Wachstrukturen nur unter erheblichem Personaleinsatz. Eine Kombination aus KI-gestützter Videoanalyse, Zutrittskontrolle und Sensorik beantwortet sie in Echtzeit, ohne dass eine Person den Bildschirm dauerhaft besetzt halten muss.

Großbäckereien sind in unserer Auditpraxis der Sektor, in dem die größten relativen Wirkungsgewinne durch eine Modernisierung der physischen Sicherheit zu erreichen sind. Das liegt nicht daran, dass diese Betriebe weniger investiert hätten als Schlachtbetriebe oder Molkereien. Es liegt daran, dass die produktbezogenen Risiken in diesem Teilsektor in der bisherigen Sicherheitsplanung schwächer abgebildet wurden, weil die öffentliche Aufmerksamkeit auf die Hygiene und nicht auf die Manipulationsresistenz gerichtet war.

Die Behördenlandschaft und der Umgang mit ihr

Die Aufsichtsstruktur im Sektor Ernährung ist verteilt, und diese Verteilung ist nicht zufällig. Sie spiegelt die unterschiedlichen Schutzgüter wider, die in der Produktion eines Lebensmittels gleichzeitig wirken. Das Bundesamt für Sicherheit in der Informationstechnik prüft die IT- und OT-Sicherheit, die Bundesanstalt für Landwirtschaft und Ernährung die fachliche Versorgungslage, das Bundesinstitut für Risikobewertung die produktbezogenen Risiken, die Veterinärämter der Länder die hygienische Praxis vor Ort. Hinzu kommen die Berufsgenossenschaften, der Gesamtverband der Deutschen Versicherungswirtschaft als faktischer Maßstab für Versicherbarkeit und im technischen Bereich VdS und TÜV als Prüforganisationen.

Ein Betrieb, der diese Landschaft koordiniert bedienen will, braucht eine interne Funktion, die alle Berichtswege in einer konsistenten Datenbasis hält. Wer dem BSI ein Bild der Lage übergibt, das von dem Bild abweicht, das er der zuständigen Veterinärbehörde übergibt, hat ein Konsistenzproblem, das in einer Krisensituation zur Belastung wird. Konsistenz heißt nicht Gleichschaltung. Sie heißt, dass die zugrunde liegenden Daten dieselben sind und dass die unterschiedlichen Adressaten unterschiedliche Ausschnitte derselben Realität sehen.

Die physische Sicherheitsarchitektur eines Betriebs liefert in dieser Konsistenzlogik die nachweisbare Datenbasis. Wenn ein Betrieb in der Lage ist, jeden Zutritt zu sensiblen Bereichen für die letzten dreißig Tage auszuwerten, jede Anlieferung mit Bild und Zeitstempel zu belegen und jede Temperaturabweichung mit der zugehörigen Reaktion zu dokumentieren, hat er gegenüber jeder der genannten Behörden eine belastbare Grundlage. Diese Grundlage ist gleichzeitig die Grundlage gegenüber dem Versicherer in der jährlichen Prämienverhandlung.

Wir empfehlen Betrieben im Sektor Ernährung, die Frage der Behördenadressierung nicht erst dann zu klären, wenn der erste Vorfall sie erzwingt. Die ruhige Vorbereitung im Normalbetrieb kostet einen Bruchteil dessen, was die Reaktion unter Druck kostet. Eine solche Vorbereitung ist Bestandteil eines strukturierten Sicherheitsaudits, wie Boswau + Knauer es in drei bis fünf Tagen vor Ort durchführt.

Maßnahmenarchitektur und ihre Übersetzung in den Betrieb

Eine Maßnahmenarchitektur für einen KRITIS-pflichtigen Lebensmittelbetrieb gliedert sich in vier Schichten. Die äußere Schicht ist der Perimeter mit Zaun, Tor, Sichtbarkeit und Beleuchtung. Die zweite Schicht ist die Zufahrt mit Erkennung, Dokumentation und Aufenthaltskontrolle. Die dritte Schicht ist die Gebäudehülle mit Zugängen, Notausgängen und Außenflächen, die in der Schicht zwischen den Toren liegen. Die vierte Schicht ist der Innenraum mit den produktionskritischen Bereichen, der Energie- und Kälteinfrastruktur und den Lagerflächen.

Jede Schicht hat ihre eigene Sensorik, ihre eigene Reaktionslogik und ihre eigene Dokumentationspflicht. Die äußere Schicht arbeitet mit sichtbarer Abschreckung, mit Bewegungsdetektion und mit der Mehrkanalverifikation, die einen Fehlalarm aus dem Routinegeschehen herausfiltert. Die zweite Schicht arbeitet mit Kennzeichenerkennung, mit Personenidentifikation und mit der Verbindung dieser Daten zur Lieferdisposition. Die dritte Schicht arbeitet mit Zutrittskontrolle, mit Verschlussüberwachung und mit der Verbindung zu den Schichtplänen des Betriebs. Die vierte Schicht arbeitet mit Innenraumkameras, mit Anwesenheitserkennung in sensiblen Bereichen und mit der direkten Verbindung zur Anlagensteuerung, soweit diese Verbindung sicherheitstechnisch zulässig ist.

Die Übersetzung dieser Architektur in einen konkreten Betrieb folgt einer Reihenfolge, die wir aus Hunderten Audits ableiten. Zuerst wird die äußere Schicht so gehärtet, dass sie der dokumentierten Bedrohungslage standhält. Dann wird die Zufahrt so strukturiert, dass jede Bewegung auf dem Gelände nachvollziehbar ist. Dann wird die Gebäudehülle so geschlossen, dass kein unkontrollierter Übergang zwischen Außen und Innen möglich ist. Erst dann wird die Innenraumüberwachung in der Tiefe ausgebaut, in der sie die produktionskritischen Bereiche sichert. Diese Reihenfolge ist nicht beliebig. Sie spiegelt die Logik der Eindringtiefe wider und sichert, dass jeder Investitionsschritt eine eigenständige Wirkung hat, auch wenn der nächste Schritt verschoben wird.

Eine wirtschaftliche Größenordnung lässt sich für diese Architektur in der Bandbreite eines mittleren sechsstelligen bis unteren siebenstelligen Eurobetrags angeben, je nach Betriebsgröße und Ausgangslage. Diese Größenordnung amortisiert sich in der Regel innerhalb weniger Jahre durch reduzierte Schadensquoten, niedrigere Versicherungsprämien und vermiedene Stillstandszeiten. Die genaue Rechnung liefert das Audit, nicht der Katalog.

Was bleibt

Der Sektor Ernährung ist unter KRITIS angekommen, aber er hat den Übergang in eine durchgängige physische Schutzlogik noch nicht abgeschlossen. Die regulatorische Pflicht ist formal erfüllt, die wirtschaftliche und operative Substanz der Pflichterfüllung ist im Markt ungleich verteilt. Diese Ungleichheit wird in den kommenden Jahren zu sichtbaren Unterschieden in der Schadensquote, in der Versicherbarkeit und in der Reaktionsfähigkeit auf Vorfälle führen. Wer heute die Architektur seines Betriebs prüft, hat in fünf Jahren eine Position, die ihn von seinen Wettbewerbern unterscheidet. Wer es nicht tut, wird die Differenz nachträglich bezahlen, in einer Lage, in der die Entscheidung nicht mehr ihm gehört.

Boswau + Knauer arbeitet mit Betrieben aus dem Sektor Ernährung in drei Formaten. Das vertrauliche Gespräch von sechzig Minuten klärt die Lage und liefert eine Einschätzung, die der Betrieb intern weiterverwenden kann. Das Audit von drei bis fünf Tagen vor Ort liefert die sechs Lieferobjekte, die in der Sicherheitsstrategie des Betriebs unmittelbar verwertbar sind. Der Pilotbetrieb über neunzig Tage liefert die belastbaren Daten, die die Entscheidung über die Skalierung auf weitere Standorte vorbereiten. Welcher dieser Wege der richtige ist, ergibt sich aus der Lage des Betriebs. Das Gespräch ist der einfachste Eintrittspunkt und kostet außer der vereinbarten Stunde nichts.

Häufige Fragen

Welche Lebensmittelbetriebe sind KRITIS?

Unter die BSI-Kritisverordnung im Sektor Ernährung fallen Betriebe, die definierte Schwellenwerte in der Produktion, Verarbeitung oder Verteilung überschreiten. Erfasst sind insbesondere große Schlachtbetriebe, Molkereien, Großbäckereien, Mühlen und Betriebe der Lebensmitteldistribution ab einer bestimmten Tonnage oder einem bestimmten Umschlagvolumen. Die genaue Schwelle ist im jeweiligen Anhang der Verordnung geregelt und unterliegt der periodischen Anpassung. Maßgeblich ist nicht die Selbsteinschätzung des Betriebs, sondern die rechnerische Überprüfung anhand der Verordnungsschwellen. Betriebe knapp unterhalb der Schwelle sollten die Entwicklung beobachten und vorsorglich die Architektur der Pflichtigen prüfen.

Welche Schwellenwerte gelten?

Die Schwellenwerte im Sektor Ernährung sind in der BSI-Kritisverordnung sektorspezifisch festgelegt und liegen für die produzierenden Teilsektoren in Größenordnungen, die in der Branche als groß bis sehr groß gelten. Für Schlachtbetriebe, Molkereien und Großbäckereien orientiert sich die Schwelle an Jahresmengen, die nur von einer überschaubaren Zahl an Betrieben in Deutschland erreicht werden. Für den Handel und die Distribution gelten Umschlagsschwellen. Die genauen Werte sind in der aktuellen Fassung der Verordnung einzusehen. Wir empfehlen jedem Betrieb in der Nähe der Schwelle, die Berechnung durch eine unabhängige Stelle prüfen zu lassen.

Welche Behörden sind zuständig?

Die Zuständigkeit im Sektor Ernährung ist verteilt. Das Bundesamt für Sicherheit in der Informationstechnik prüft die IT- und OT-Sicherheit und nimmt die Nachweise nach Paragraf 8a BSIG entgegen. Die Bundesanstalt für Landwirtschaft und Ernährung führt die fachliche Aufsicht für Teile des Sektors. Das Bundesinstitut für Risikobewertung bewertet produktbezogene Risiken. Die Länder kontrollieren über ihre Veterinär- und Lebensmittelüberwachungsbehörden die hygienische Praxis. Die Berufsgenossenschaften, der GDV im Versicherungskontext sowie VdS und TÜV als Prüforganisationen vervollständigen das Bild. Konsistenz über alle Adressaten hinweg ist die zentrale Anforderung an die Berichtsstruktur des Betriebs.

Welche Maßnahmen sind verpflichtend?

Verpflichtend ist der Nachweis angemessener technischer und organisatorischer Vorkehrungen zum Schutz der kritischen Dienstleistung. Die Anforderungen umfassen die IT- und OT-Sicherheit, die physische Sicherung der produktionskritischen Anlagen, die Verfügbarkeit von Notfallplänen und die Meldung erheblicher Vorfälle. Branchenspezifische Sicherheitsstandards konkretisieren die Anforderungen für den Sektor Ernährung. Die physische Schutzarchitektur ist Teil dieser Anforderungen und umfasst Perimeter, Zufahrt, Gebäudehülle und Innenraum mit der jeweils zugehörigen Sensorik, Reaktionslogik und Dokumentation. Die Umsetzung erfolgt in einer Tiefe, die der dokumentierten Bedrohungslage und dem Schutzbedarf des Betriebs entspricht.