KRITIS und physische Sicherheit: was NIS2 im Stahl und Beton bedeutet

NIS2 ist keine IT-Richtlinie. Sie ist eine Richtlinie über die Verfügbarkeit kritischer Dienste, und Verfügbarkeit endet nicht am Serverschrank, sondern an dem Zaun, der diesen Serverschrank umgibt.

Die Debatte um die deutsche Umsetzung dreht sich seit Monaten um Meldepflichten, um Geltungsbereiche, um die Frage, welche Unternehmen erfasst sind und welche nicht. Die Debatte dreht sich kaum um das, was in der Richtlinie selbst steht: dass die Sicherheit der Netz- und Informationssysteme physische Maßnahmen einschließt, dass Zugriffskontrollen einen Türrahmen voraussetzen, dass Resilienz auch bedeutet, dass jemand nicht mit dem Bolzenschneider in das Umspannwerk hineinkommt. Wer NIS2 ausschließlich auf der Ebene von Endpoint-Protection und Patch-Management diskutiert, hat die Hälfte des Gesetzestextes nicht gelesen.

Boswau + Knauer beobachtet diese Verkürzung mit Sorge, weil sie an der Stelle ansetzt, an der KRITIS-Betreiber am verwundbarsten sind. Die meisten Angriffe auf kritische Infrastruktur in Europa der letzten zwei Jahre waren physischer Natur. Durchtrennte Glasfaserkabel, beschädigte Antennenmasten, manipulierte Schaltanlagen. Kein dieser Vorfälle wurde durch eine bessere Firewall verhindert. Die Hebel liegen woanders. Dieser Beitrag setzt sie zurück in den Vordergrund.

Was die Richtlinie tatsächlich verlangt

Artikel 21 der NIS2-Richtlinie zählt zehn Mindestmaßnahmen auf, die wesentliche und wichtige Einrichtungen umzusetzen haben. Die Maßnahmen sind technologieneutral formuliert, was häufig als Schwäche gelesen wird, in Wahrheit aber eine Stärke ist. Die Richtlinie schreibt nicht vor, welche Kamera installiert wird, sondern dass die Sicherheit der physischen Umgebung gewährleistet sein muss. Sie schreibt nicht vor, welcher Zaun den Standort umgibt, sondern dass Zugriffskontrollen wirksam sein müssen.

Diese Technologieneutralität verlagert die Beweislast. Wer NIS2 umsetzt, muss zeigen, dass seine Maßnahmen geeignet sind. Geeignet ist nicht, was im Katalog steht. Geeignet ist, was im konkreten Bedrohungsszenario wirkt. Ein Betreiber eines Umspannwerks in ländlicher Lage steht vor anderen Bedrohungen als ein Rechenzentrumsbetreiber im Stadtgebiet. Beide unterliegen NIS2. Beide müssen ihre Maßnahmen begründen können.

In den deutschen Umsetzungsentwürfen werden die physischen Anforderungen an mehreren Stellen konkretisiert. Sicherheit der Lieferkette, Zugriffskontrolle, Sicherheit des Personals, Sicherheit der Räumlichkeiten und der Anlagen. Jeder dieser Punkte hat eine bauliche Dimension. Sicherheit der Räumlichkeiten ist nicht die Aufgabe der IT. Sie ist die Aufgabe derjenigen, die Stahl, Beton und Sensorik kombinieren können. Sicherheit der Lieferkette schließt ein, dass Lieferungen an einem Standort nicht unkontrolliert übernommen werden. Das setzt eine Schleuse voraus, ein Wiegesystem, eine Identifikation des Fahrers. Sicherheit des Personals schließt ein, dass Zutrittsrechte technisch durchsetzbar sind, nicht nur organisatorisch dokumentiert.

Das BSI hat in seinen orientierenden Hinweisen mehrfach betont, dass die physische Schicht integraler Bestandteil eines Sicherheitskonzepts ist. Die VdS-Richtlinien, insbesondere VdS 3473 für Cyber-Security und die klassischen Reihen zur mechanischen und elektronischen Einbruchsicherung, geben Hinweise auf das, was in der Praxis als geeignet anerkannt wird. Wer diese Quellen ignoriert, läuft Gefahr, im Schadensfall vor einer Aufsichtsbehörde zu stehen, die nach genau diesen Standards fragt.

Die physische Übersetzung der zehn Maßnahmen

Die zehn Mindestmaßnahmen lassen sich in physische Bauteile übersetzen, ohne dass dabei der Kern der Richtlinie verloren geht. Risikoanalyse heißt physisch: eine Begehung des Standorts mit Blick auf Annäherungswege, tote Winkel, ungesicherte Übergänge, Nebenzugänge. Die meisten KRITIS-Standorte sind nicht aus einem Guss errichtet. Sie sind über Jahrzehnte gewachsen, mit Anbauten, mit Nebengebäuden, mit Bereichen, die einmal extern vermietet waren und heute wieder Teil des Sicherheitsperimeters sind. Eine ernsthafte Risikoanalyse erfasst diese Gewachsenheit. Sie erfasst die Stellen, an denen ein Zaun mit einem anderen verbunden ist, und die Übergänge, an denen die Verantwortung von einem Dienstleister auf den nächsten wechselt.

Vorfallbewältigung heißt physisch: dass Sensorik vorhanden ist, die einen Vorfall in dem Moment registriert, in dem er beginnt, nicht in dem Moment, in dem er bereits eingetreten ist. Bewegungserkennung am Zaun ist eine Möglichkeit. Thermische Sensorik ist eine andere. Die Kombination beider Quellen mit einer Videoanalyse, die zwischen Tier, Wind und Person unterscheidet, reduziert Fehlalarme auf ein Niveau, das im Dauerbetrieb tragbar ist. Wer Fehlalarme nicht in den Griff bekommt, baut ein System, das nach sechs Monaten abgeschaltet ist. Boswau + Knauer hat in den eigenen Plattformen Mehrkanalprüfungen eingebaut, in denen ein Alarm erst dann an die Leitstelle übergeben wird, wenn zwei unabhängige Sensoren denselben Vorgang bestätigt haben.

Business Continuity heißt physisch: dass die kritischen Komponenten auch dann erreichbar bleiben, wenn ein Teil des Standorts ausfällt. Redundante Zufahrten, redundante Stromversorgungen, redundante Kommunikationswege. Die Redundanz ist nicht nur elektrotechnisch zu denken. Sie ist baulich zu denken. Ein zweiter Strompfad, der im selben Schacht liegt wie der erste, ist keine Redundanz. Er ist eine doppelte Verwundbarkeit.

Lieferkettensicherheit heißt physisch: dass an der Pforte kontrolliert wird, wer welche Lieferung bringt. Das setzt einen Wiegevorgang voraus, eine Identifikation des Fahrers, eine Abgleichung mit der angekündigten Lieferung. Wer diese Kette nicht baut, hat einen Standort, der von außen mit einer falschen Lieferung erreichbar ist. Die Vorfälle der letzten Jahre zeigen, dass dieser Vektor unterschätzt wird.

Zugriffskontrolle heißt physisch: dass Türen, Schleusen, Drehkreuze und Schranken den dokumentierten Zutrittsrechten entsprechen. Die organisatorische Zuweisung einer Berechtigung ist wertlos, wenn die Tür mechanisch nicht prüft. Wir sehen in Audits regelmäßig Standorte, an denen das Berechtigungssystem auf dem Papier sauber ist, an denen aber eine Nebentür offen steht oder mit einem Keil offen gehalten wird, weil die Belegschaft auf kurzem Weg zur Kantine will.

Was die Aufsicht prüfen wird

Das BSI hat als zuständige Behörde die Aufgabe, die Einhaltung der NIS2-Pflichten zu überwachen. Die genaue Ausgestaltung der Prüfungspraxis wird sich in den nächsten Jahren etablieren. Die Richtung ist absehbar. Aufsichtsbehörden prüfen das, was sie prüfen können. Sie prüfen Dokumente, sie prüfen Prozesse, und sie prüfen, ob im Vor-Ort-Audit die Wirklichkeit zur Dokumentation passt.

Die Dokumentation der physischen Sicherheit ist in vielen Unternehmen schwach. Es gibt Verträge mit Wachdiensten, es gibt Wartungsprotokolle für Alarmanlagen, es gibt vereinzelt Bestandspläne. Was es selten gibt, ist eine zusammenhängende Darstellung der physischen Schutzschichten, ihrer Wirkungsweise und ihrer Wartungslage. Genau diese Darstellung wird die Aufsicht verlangen.

In den Vor-Ort-Audits wird geprüft werden, ob die Schutzmaßnahmen, die im Konzept stehen, in der Realität funktionieren. Eine Tür, die im Konzept als Zugangskontrolle ausgewiesen ist, muss im Audit auch eine sein. Sie muss schließen, sie muss verriegeln, sie muss eine Identifikation verlangen, und die Identifikation muss protokolliert werden. Wer hier nur eine der vier Bedingungen erfüllt, hat ein Problem.

Die Aufsicht wird sich auf etablierte Standards stützen. VdS-Anerkennungen für Einbruchmeldeanlagen, DIN-Normen für Widerstandsklassen mechanischer Sicherungselemente, EN-Normen für Videoüberwachungsanlagen. Wer Komponenten einsetzt, die diesen Standards entsprechen, hat eine Verteidigungslinie gegenüber der Frage, ob seine Maßnahmen geeignet sind. Wer Komponenten einsetzt, die diesen Standards nicht entsprechen, muss begründen, warum seine Lösung gleichwertig oder besser ist. Diese Begründung ist möglich, sie ist aber aufwendig, und sie wird im Streitfall jeden Buchstaben kosten.

TÜV und vergleichbare Prüforganisationen werden in den nächsten Jahren eine Rolle spielen, deren Umfang heute noch nicht vollständig definiert ist. Die Erfahrung aus der KRITIS-Verordnung in ihrer bisherigen Fassung deutet darauf hin, dass die Nachweise an die akkreditierten Prüfstellen herangetragen werden. Wer also heute eine physische Sicherheitsmaßnahme installiert, sollte sie so installieren, dass sie morgen einer akkreditierten Prüfung standhält. Das ist eine andere Anforderung als eine reine Funktionstauglichkeit. Sie betrifft die Dokumentation, die Inbetriebnahmeprotokolle, die Wartungsverträge und die Schulung des bedienenden Personals.

Der Mehrstandortbetreiber als Sonderfall

Die meisten KRITIS-Betreiber betreiben mehr als einen Standort. Energieversorger haben Umspannwerke verteilt über die Fläche. Wasserversorger haben Hochbehälter, Pumpwerke, Aufbereitungsanlagen. Telekommunikationsunternehmen haben Verteilerknoten, Antennenstandorte, Rechenzentren. Die Frage, ob jeder einzelne dieser Standorte denselben physischen Schutz benötigt, ist eine der häufigsten in der Beratungspraxis.

Die Antwort ist nicht universal. NIS2 verlangt eine Risikoanalyse, und diese Risikoanalyse darf differenzieren. Ein Hochbehälter in entlegener Lage hat ein anderes Schutzbedarfsprofil als das zentrale Wasserwerk. Ein passiver Verteilerknoten hat ein anderes Profil als das Rechenzentrum mit der Steuerungssoftware. Was die Richtlinie verlangt, ist die Begründung der Differenzierung. Wer alle Standorte gleich schützt, hat eine teure Lösung. Wer differenziert, muss die Differenzierung dokumentieren.

In der Praxis bewährt sich ein Schichtenmodell. Eine Grundsicherung, die an jedem Standort vorhanden ist und die elementare Anforderungen abdeckt. Eine erweiterte Sicherung an den Standorten, deren Ausfall überregionale Folgen hätte. Eine Vollsicherung an den wenigen Standorten, deren Kompromittierung systemische Risiken auslösen würde. Diese Schichtung ist erklärbar, sie ist kalkulierbar, und sie hält der Frage stand, warum dort weniger investiert wurde als hier.

Boswau + Knauer hat für genau diesen Anwendungsfall eine Plattformlogik entwickelt, in der dieselbe Hardware in unterschiedlichen Konfigurationen ausgerollt wird. Ein mobiler Videoturm an einem entlegenen Pumpwerk, ein stationäres Sensorik-Set an einem mittleren Standort, eine vollintegrierte Lösung mit Sicherheitsroboter, KI-gestützter Videoanalyse und angebundener Leitstelle am Hauptstandort. Drei Konfigurationen, eine Plattform, ein Wartungsmodell. Das Buch Vom Bau zur Sicherheitstechnologie beschreibt diesen Ansatz im Detail. Er ist die Antwort auf die Frage, wie ein Mehrstandortbetreiber NIS2 wirtschaftlich umsetzt, ohne an jedem Punkt eine Maximallösung zu finanzieren.

Versicherer, GDV und die zweite Aufsicht

Neben der staatlichen Aufsicht entsteht eine zweite Aufsichtsebene, die in der NIS2-Diskussion bisher zu wenig beachtet wird. Die Versicherer. Der Gesamtverband der Deutschen Versicherungswirtschaft hat in den letzten Jahren seine Anforderungen an Versicherte deutlich verschärft. Cyber-Versicherungen verlangen Nachweise über die IT-Sicherheit, Sachversicherungen verlangen Nachweise über die physische Sicherheit, Betriebsunterbrechungsversicherungen verlangen beides.

Ein KRITIS-Betreiber, der NIS2-Maßnahmen umsetzt, ohne sie versicherungsfähig zu dokumentieren, hat doppelt gearbeitet. Die Aufsicht prüft nach NIS2. Der Versicherer prüft nach VdS-Klassen, nach Sicherungsklassen, nach Reaktionszeiten. Wer seine Investition so plant, dass sie beide Prüfungen besteht, spart die zweite Runde.

In Pilotprojekten, die Boswau + Knauer in den letzten Jahren begleitet hat, zeigt sich regelmäßig, dass die Versicherer auf die Anpassung der Prämien schneller reagieren als die Aufsichtsbehörden. Eine wirksame physische Schutzschicht senkt die Prämie messbar, in Bandbreiten, die je nach Risikoklasse und Vorgeschichte des Standorts variieren. Diese Senkung ist Teil der Wirtschaftlichkeitsrechnung. Sie ist nicht der Hauptgrund für die Investition, aber sie verkürzt die Amortisation auf eine Größenordnung, die im Vorstand akzeptiert wird.

Die BG BAU spielt an dieser Stelle eine Rolle, die häufig übersehen wird. Bei Baumaßnahmen zur Errichtung oder Modernisierung von Sicherungsanlagen gelten die berufsgenossenschaftlichen Vorschriften. Wer bei der Installation eines Zauns, eines Drehkreuzes oder einer Kamera die einschlägigen Vorschriften ignoriert, hat einen Mangel, den jeder spätere Auditor finden wird. Saubere Sicherheitstechnik beginnt bei sauberer Bauausführung.

Was zu tun ist und in welcher Reihenfolge

NIS2 ist umzusetzen. Der Umsetzungsstand vieler Betreiber ist unzureichend. Diese Beobachtung deckt sich mit den Hinweisen aus den Aufsichtsbehörden und mit den Rückmeldungen aus der Versicherungswirtschaft. Was zu tun ist, lässt sich in eine sinnvolle Reihenfolge bringen.

Der erste Schritt ist eine ehrliche Bestandsaufnahme der physischen Schutzschicht. Diese Bestandsaufnahme ist nicht durch interne Selbstbeschreibung zu leisten. Sie ist durch einen externen Blick zu leisten, der die Standorte mit der Brille eines Angreifers betrachtet. Die zwölf Fragen der Sicherheitsdiagnose, die Boswau + Knauer entwickelt hat, liefern in zwanzig Minuten eine erste Standortbestimmung. Sie ersetzt kein Audit. Sie ersetzt die Vagheit, mit der die meisten Vorstandsdiskussionen über Sicherheit beginnen.

Der zweite Schritt ist die Übersetzung der NIS2-Pflichten in konkrete physische Maßnahmen, standortspezifisch und differenziert nach Risikoklasse. Diese Übersetzung ist die Kernaufgabe eines Audits, das drei bis fünf Tage vor Ort dauert und einen Bericht liefert, der intern oder extern verwertbar ist.

Der dritte Schritt ist ein Pilotbetrieb an einem Standort, an dem die geplante Lösung unter realen Bedingungen über neunzig Tage erprobt wird. Aus diesem Pilotbetrieb ergibt sich die Datenbasis, mit der die Skalierung auf die übrigen Standorte entschieden wird.

Wer diesen Weg geht, hat in einem Jahr eine NIS2-Umsetzung, die der Aufsicht standhält, die der Versicherung dient und die im Schadensfall wirkt. Wer ihn nicht geht, wird ihn nach dem ersten Vorfall rückwirkend gehen, unter Zeitdruck, unter Medienaufmerksamkeit, unter erhöhten Kosten. Die Reihenfolge entscheidet über die Höhe der Rechnung.

Was bleibt

NIS2 hat die physische Sicherheit zurück auf die Vorstandsagenda gebracht, auch wenn die öffentliche Debatte das verbergt. Die Richtlinie verlangt mehr als IT-Maßnahmen. Sie verlangt einen Schutz, der an dem Punkt beginnt, an dem ein Mensch oder ein Fahrzeug sich dem Standort nähert. Wer diese Anforderung übersetzt, übersetzt sie in Zäune, in Türen, in Sensorik, in Sicherheitsroboter, in Videoanalyse und in eine Dokumentation, die der Prüfung standhält.

Boswau + Knauer arbeitet an dieser Übersetzung seit Jahren, weil die Verbindung von baulicher Erfahrung und technologischer Tiefe genau dort gebraucht wird, wo NIS2 die größten Lücken aufdeckt. Wer den ersten Schritt gehen möchte, findet im Weg I ein vertrauliches Gespräch von sechzig Minuten ohne Folgeverpflichtung. Wer schneller in die Substanz will, beauftragt das Audit nach Weg II und hat nach drei bis fünf Tagen einen schriftlichen Bericht in der Hand, der die NIS2-relevanten Lücken benennt und die Maßnahmen priorisiert.

Häufige Fragen

Welche physischen Schutzmaßnahmen verlangt NIS2?

Die Richtlinie ist technologieneutral formuliert und benennt keine konkreten Bauteile. Sie verlangt geeignete Maßnahmen zur Sicherung der Räumlichkeiten, der Anlagen, der Lieferkette und des Personals. In der Übersetzung bedeutet das Perimeterschutz mit Zaun und Sensorik, Zugangskontrollen an Türen und Schleusen, Videoüberwachung mit ereignisbezogener Analyse, dokumentierte Reaktionswege bei Vorfällen und eine wartungsfähige Infrastruktur. Welche Tiefe an jedem Standort angemessen ist, ergibt sich aus der Risikoanalyse. Eine pauschale Antwort ist mit der Richtlinie nicht vereinbar, eine standortspezifische Differenzierung ist verlangt.

Wie prüft das BSI die physische Umsetzung?

Die Prüfungspraxis wird sich in den kommenden Jahren ausdifferenzieren. Absehbar ist, dass das BSI Dokumente prüft, Prozesse prüft und in Vor-Ort-Audits abgleicht, ob die Wirklichkeit zur Dokumentation passt. Maßstab werden etablierte Standards sein, insbesondere VdS-Anerkennungen, DIN-Widerstandsklassen und EN-Normen für Videoüberwachung. Akkreditierte Prüfstellen, darunter TÜV, werden voraussichtlich eine Rolle bei der Nachweisführung übernehmen. Wer heute installiert, sollte so installieren, dass die Komponenten morgen einer akkreditierten Prüfung standhalten. Das betrifft Inbetriebnahmeprotokolle, Wartungsverträge und die Schulung des Bedienpersonals.

Welche Standards (VdS, ISO) erfüllen die NIS2-Anforderungen?

Eine vollständige Deckung durch einen einzelnen Standard gibt es nicht. ISO 27001 deckt den Managementrahmen ab, lässt aber die physische Tiefe weitgehend offen. VdS-Richtlinien, insbesondere VdS 3473 für Cyber-Security und die klassischen Reihen zur mechanischen und elektronischen Einbruchsicherung, decken die physische Schicht ab, sind aber nicht eins zu eins NIS2. In der Praxis bewährt sich eine Kombination. ISO 27001 für den Rahmen, VdS für die physische Tiefe, BSI-Grundschutz für die Übersetzung in den deutschen Kontext. Diese Kombination ist gegenüber der Aufsicht verteidigbar und gegenüber dem Versicherer prämienwirksam.

Müssen alle Standorte eines KRITIS-Betreibers physisch geprüft werden?

Ja, aber nicht alle in derselben Tiefe. NIS2 verlangt eine Risikoanalyse, die zwischen Standorten differenzieren darf. Ein passiver Verteilerknoten hat ein anderes Schutzbedarfsprofil als das zentrale Steuerungsrechenzentrum. Was die Richtlinie verlangt, ist die Begründung der Differenzierung. In der Praxis bewährt sich ein Schichtenmodell mit Grundsicherung an allen Standorten, erweiterter Sicherung an überregional relevanten Standorten und Vollsicherung an systemkritischen Standorten. Dieses Modell ist wirtschaftlich tragfähig, dokumentierbar und gegenüber der Aufsicht erklärbar. Eine pauschale Maximallösung an allen Standorten ist weder verlangt noch finanzierbar.