TK-Knoten und KRITIS: was der Glasfaserausbau ändert

Der Glasfaserausbau verändert die Schutzlogik des deutschen Telekommunikationssektors stärker als jede Regulierungsnovelle der vergangenen zehn Jahre, weil er die Anzahl der kritischen Verteilstationen vervielfacht, ohne dass der Schutzbedarf pro Knoten gesunken wäre.

Wer in den vergangenen Jahren auf eine Karte der TK-Netze geschaut hat, sah eine überschaubare Zahl großer Vermittlungsstellen, ergänzt durch eine zweite Ebene aus Hauptverteilern. Wer heute auf dieselbe Karte schaut, sieht eine dritte und vierte Ebene aus passiven und aktiven Komponenten, die in der Fläche verteilt sind und die in vielen Fällen weder bemannt noch fest überwacht werden. Diese Verschiebung ist nicht nur eine technische Frage. Sie ist eine Frage der Schutzverantwortung, weil mit jeder neuen Verteilstation ein Punkt entsteht, dessen Ausfall messbare Auswirkungen auf nachgelagerte Versorgungsbereiche hat. Der Sektor gewinnt an Schutzbedarf, gerade weil seine physische Topologie sich auflöst.

Boswau + Knauer beobachtet diese Entwicklung aus der Perspektive des Herstellers von Sicherheitstechnologie. Die Beobachtung ist nüchtern. Was vor zehn Jahren ein zentralisiertes Schutzproblem war, ist heute ein dezentrales Flächenproblem. Wer dieses Flächenproblem mit den Mitteln der zentralisierten Sicherheit lösen will, scheitert an der Multiplikation der Standorte. Wer es mit improvisierten Lösungen löst, scheitert an der regulatorischen Anforderung an Nachweisbarkeit.

Die neue Topologie des deutschen TK-Netzes

Die Bundesnetzagentur dokumentiert seit Jahren eine Verschiebung der Investitionsschwerpunkte hin zum FTTH-Ausbau, also der Versorgung bis zum Endkunden mit Glasfaser. Diese Verschiebung ist nicht ohne Folgen für die physische Struktur des Netzes. Wo früher ein einzelner Hauptverteiler mehrere tausend Anschlüsse versorgte, übernehmen heute kleinere Knoten diese Funktion, oft in Form passiver Splitter, ergänzt um aktive Komponenten an Übergabepunkten. Die Topologie wird flacher, breiter, in der Fläche dichter.

Diese Veränderung hat eine Konsequenz, die in der öffentlichen Debatte kaum diskutiert wird. Sie verändert die Definition kritischer Infrastruktur in diesem Sektor. Solange wenige große Standorte das Rückgrat bildeten, war Schutz eine Frage der Konzentration. Mit der Verteilung in die Fläche wird Schutz eine Frage der Skalierung. Eine Wachschicht, die einen Hauptverteiler bestreift, lässt sich darstellen. Eine Wachstruktur, die mehrere zehntausend Verteilstationen abdeckt, lässt sich nicht in Schichten darstellen, ohne dass die Personalkosten den ökonomischen Rahmen sprengen.

Hinzu kommt eine zweite Verschiebung. Die neuen Knoten sind technisch anspruchsvoller, weil sie aktive Komponenten enthalten, die auf Stromversorgung, Klimatisierung und Datenintegrität angewiesen sind. Ein Ausfall an einer dieser Komponenten ist nicht mehr ein Ausfall einer einzelnen Leitung, sondern eines Versorgungsabschnitts. Wer einen solchen Knoten beschädigt, sei es durch Vandalismus, durch Diebstahl von Kupferanteilen oder durch gezielten Eingriff, erzeugt eine Wirkung, die in ihrer Reichweite nicht mehr proportional zur Größe des Knotens ist. Die Asymmetrie zwischen Angriffsaufwand und Schadenswirkung wächst.

Die Bundesnetzagentur führt seit der Umsetzung der entsprechenden europäischen Vorgaben Register zu kritischen Infrastrukturen im TK-Sektor und konkretisiert die Anforderungen an Betreiber. Auch ohne präzise Zahlen zu nennen ist erkennbar, dass die Zahl der schutzpflichtigen Standorte mit dem Ausbau steigt. Wer als Betreiber heute meldet, was vor fünf Jahren noch nicht meldepflichtig war, hat eine Schutzpflicht, die er strukturell tragen muss. Die Frage ist nicht, ob diese Pflicht kommt. Sie ist gekommen. Die Frage ist, wie sie wirtschaftlich darstellbar ist.

Warum die klassische Sicherheitslogik im TK-Sektor nicht mehr trägt

Die klassische Schutzlogik im TK-Sektor stützte sich auf drei Säulen. Eine bauliche Härtung der wichtigsten Standorte. Ein Werkschutz oder eine vertraglich gebundene Wachdienstleistung an diesen Standorten. Eine Alarmübertragung in eine Leitstelle, die im Vorfall reagiert. Diese drei Säulen funktionieren weiterhin an den großen Knoten. Sie funktionieren nicht in der Fläche.

Bauliche Härtung ist an einer Verteilstation in einem Wohngebiet nicht in derselben Tiefe darstellbar wie an einer Vermittlungsstelle. Der Standort ist öffentlich zugänglich, der Platz begrenzt, die Optik regulatorisch eingegrenzt. Werkschutz ist an einer Verteilstation, die in einem unbebauten Außenbereich steht, ökonomisch nicht zu rechtfertigen, weil der Anteil der bewachten Zeit gegenüber der unbewachten Zeit gegen Null geht. Alarmübertragung funktioniert, setzt aber voraus, dass an einer Stelle ein menschlicher Eingreifer erreichbar ist, der in einer Zeitspanne reagieren kann, die für den Schadensverlauf relevant ist. In der Fläche ist diese Zeitspanne oft zu lang.

Der Sektor steht damit vor einer Aufgabe, die nicht durch die Verstärkung der klassischen Mittel zu lösen ist. Mehr Wachpersonal bedeutet höhere Kosten, ohne dass die Wirksamkeit pro investierter Euro steigt. Mehr bauliche Härtung bedeutet langsamere Ausbauzyklen, ohne dass die Schutzwirkung im Außenbereich proportional zunimmt. Mehr Alarmübertragung erzeugt Datenströme, die in den bestehenden Leitstellen nicht ausgewertet werden können, weil die Personalstärke nicht im Verhältnis zur Vorfallzahl steht.

An dieser Stelle setzt die technologische Antwort an, die Boswau + Knauer in ihrer Arbeit mit Industrie- und Infrastrukturkunden entwickelt hat. Sie ist im Buch "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" als Plattformlogik beschrieben. Sie geht davon aus, dass ein einzelner Operator über die Verbindung von mobiler Robotik, Sensorik und Videoanalyse eine Vielzahl von Standorten gleichzeitig führen kann, ohne dass jeder Standort ein eigenes Personal bindet. Diese Verschiebung ist kein Ersatz für menschliche Reaktion. Sie ist eine Vervielfachung der Reichweite menschlicher Aufmerksamkeit. Im TK-Sektor mit seiner dezentralen Topologie ist diese Vervielfachung die einzige wirtschaftlich tragfähige Antwort auf die Skalierungsfrage.

Die Anforderungen aus BSI-Richtlinien an Betreiber kritischer Infrastrukturen, ergänzt um sektorspezifische Vorgaben der Bundesnetzagentur, machen deutlich, dass Nachweisbarkeit und Dokumentation der Schutzmaßnahmen kein Beiwerk sind. Sie sind Bestandteil der Pflicht. Eine Wachstruktur, die nicht dokumentiert, ist im Sinne der Regulierung schwächer als eine technische Lösung, die jede Beobachtung in einer auditfähigen Datenstruktur ablegt. Diese Verschiebung der Beweislast bevorzugt technologische Ansätze gegenüber rein personellen Konzepten.

Schutzkonzepte für FTTH-Verteilstationen

Eine FTTH-Verteilstation ist in ihrer physischen Erscheinung unauffällig. Sie ist ein Schrank, ein kleiner Container oder ein in den Boden integrierter Verschluss. Sie steht oft an Straßen, an Wegkreuzungen oder am Rand von Bebauung. Sie ist nicht das Ziel spektakulärer Angriffe. Sie ist das Ziel der unspektakulären, häufigen, schwer kalkulierbaren Vorfälle, die in der Summe das Schadensbild prägen.

Die Vorfallmuster sind aus anderen Sektoren bekannt. Vandalismus, der Wirkung sucht und nicht Wert. Diebstahl, der auf metallische Anteile zielt, insbesondere auf Kupfer in Energieversorgung und Erdung. Manipulation, die gezielt einzelne Komponenten beschädigt, um Versorgungsabschnitte zu stören. Hinzu kommt eine vierte Kategorie, die im TK-Sektor besondere Aufmerksamkeit verdient, nämlich die Beobachtung und Vorbereitung durch Akteure, deren Motive über opportunistischen Diebstahl hinausgehen. Diese vierte Kategorie ist statistisch klein, in ihrer potentiellen Wirkung aber überproportional groß.

Ein wirksames Schutzkonzept für FTTH-Standorte folgt einer einfachen Logik. Es muss in der Fläche skalieren, es muss in der Dokumentation auditfähig sein, und es muss in der Reaktion schnell genug sein, um den Vorfall vor seinem Abschluss zu erreichen. Diese drei Anforderungen sind nicht in einem einzelnen Produkt zu erfüllen. Sie sind in einer Kombination aus mobilen und stationären Komponenten zu erfüllen, die durch eine zentrale Datenlogik verbunden sind.

Stationäre Sensorik an den Standorten erfasst die Grunddaten, also Türöffnung, Erschütterung, thermische Auffälligkeit, akustische Signatur. Diese Daten werden nicht alle gleichzeitig in einen Alarm umgesetzt, sondern in eine Mehrkanalprüfung gegeben, die Fehlalarme reduziert. Eine Kameraanordnung mit KI-gestützter Videoanalyse unterscheidet zwischen erwartbarem und unerwartetem Verhalten, indem sie auf Modelle zurückgreift, die auf reale Daten aus Infrastrukturumgebungen trainiert sind. Mobile Komponenten, also patrouillierende Roboter oder mobile Videotürme, ergänzen das Bild an Standorten, an denen stationäre Lösungen aus Platz- oder Optikgründen nicht in der gewünschten Tiefe darstellbar sind.

Die Dokumentation läuft in einer Plattformlogik zusammen, die nicht nur für den Betreiber, sondern auch für die regulatorische Berichterstattung verwertbar ist. Wer gegenüber Bundesnetzagentur und BSI nachweisen muss, dass er seinen Schutzpflichten nachkommt, ist mit einer auditfähigen Datenstruktur in einer anderen Verhandlungsposition als mit einer Sammlung von Wachprotokollen. Versicherer, deren Konditionen über die Schadensquoten der vergangenen Jahre und die nachweisbaren Schutzmaßnahmen abhängen, akzeptieren strukturierte Daten eher als unstrukturierte Berichte. Der GDV als Verband der deutschen Versicherungswirtschaft hat in seinen Veröffentlichungen wiederholt darauf hingewiesen, dass technische Schutzmaßnahmen, deren Wirksamkeit dokumentiert ist, in die Prämienkalkulation einfließen.

Die Rolle der Bundesnetzagentur und der Auditfähigkeit

Die Bundesnetzagentur ist die zentrale Aufsichtsstelle für den TK-Sektor in Deutschland und Trägerin der Marktbeobachtung und Konsultation zu Sicherheitsfragen. Sie führt im Zusammenspiel mit dem BSI die Kataloge, an denen sich Betreiber zu orientieren haben, und sie konkretisiert die Anforderungen an die Meldung von Sicherheitsvorfällen. Wer in diesem Sektor operativ tätig ist, weiß, dass die Schwelle zur meldepflichtigen Beeinträchtigung niedriger geworden ist und dass die Frequenz der Meldungen mit dem Ausbau steigt.

Auditfähigkeit ist in diesem Umfeld kein technisches Beiwerk, sondern ein operatives Erfordernis. Eine Sicherheitslösung, die einen Vorfall verhindert, aber den verhinderten Vorfall nicht dokumentiert, ist im Sinne der Aufsicht weniger wertvoll als eine Lösung, die denselben Vorfall verhindert und die Verhinderung in einer prüfbaren Form ablegt. Diese Verschiebung ist nicht trivial. Sie hat Konsequenzen für die Auswahl der Systeme, weil nicht jedes System die geforderte Datenintegrität und Nachvollziehbarkeit liefert.

Boswau + Knauer baut die eigenen Plattformen mit der Anforderung, dass jeder erfasste Vorgang in einer Struktur abgelegt wird, die ohne weitere Aufbereitung in eine regulatorische Berichterstattung übergeben werden kann. Diese Anforderung ist im Buch zur Unternehmensgeschichte als Konsequenz aus der Bauerfahrung beschrieben, weil im Bau die Frage nach Belegen ebenso zentral ist wie im regulierten TK-Sektor. Wer aus einer Branche kommt, in der Nachkalkulation die wahre Auskunft gibt, baut Systeme, die nicht nur funktionieren, sondern auch dokumentieren, dass sie funktionieren.

Der VdS Schadenverhütung mit seinen Anerkennungsverfahren und der TÜV in seiner Rolle als technische Prüforganisation sind zwei weitere Bezugspunkte, an denen sich die Auditfähigkeit messen lassen muss. Auch wenn diese Stellen nicht unmittelbar als Aufsichtsinstanzen im TK-Sektor agieren, prägen sie die Erwartungshaltung an Sicherheitstechnik in einer Weise, die in den Ausschreibungen und Beschaffungsentscheidungen großer Betreiber sichtbar wird. Wer als Hersteller die Anforderungen dieser Stellen kennt und in der Produktentwicklung berücksichtigt, hat einen Vorteil gegenüber Anbietern, deren Systeme erst im Nachhinein an die Prüfanforderungen angepasst werden müssen.

Personalfrage, Versicherbarkeit und Skalierung

Die Personalfrage ist im TK-Sektor mit derselben Härte präsent wie in anderen sicherheitsrelevanten Bereichen. Der BDSW als Bundesverband der Sicherheitswirtschaft dokumentiert seit Jahren die strukturelle Knappheit qualifizierter Wachkräfte, ergänzt um steigende Lohnkosten und regulatorische Anforderungen an die Ausbildung. Diese Knappheit trifft auf eine Topologie, die mehr Standorte verlangt, als mit klassischen Personalkonzepten abgedeckt werden können. Die Lücke schließt sich nicht durch Anwerbung. Sie schließt sich durch Verschiebung der Aufgaben.

Die Verschiebung folgt einer klaren Trennung. Routinevorgänge werden technisch ausgeführt, Ausnahmen werden an einen Operator übergeben, gezielte Eingriffe werden an eine geeignete Eingreiftruppe weitergeleitet. Diese vierstufige Logik aus automatischer Ausführung, automatischer Analyse, menschlicher Prüfung und menschlicher Reaktion ist nicht neu. Sie ist neu in ihrer Anwendung auf die dezentrale Topologie des FTTH-Netzes. Sie erlaubt es, mit einer überschaubaren Operatorenzahl eine sehr große Anzahl von Standorten zu führen, vorausgesetzt die technische Schicht ist verlässlich und die Datenstruktur ist sauber.

Versicherer haben in den vergangenen Jahren ihre Anforderungen an Betreiber kritischer Infrastruktur erhöht. Wer eine Police für ein dezentrales TK-Netz neu verhandelt, sieht sich Fragebögen gegenüber, die vor zehn Jahren in dieser Tiefe nicht existierten. Die Antworten auf diese Fragebögen entscheiden über Selbstbehalt, Deckungssumme und Prämie. Wer auf diese Fragebögen mit dokumentierten technischen Maßnahmen antworten kann, verhandelt in einer anderen Position als ein Betreiber, der auf personelle Maßnahmen verweist, deren Wirksamkeit nicht in derselben Tiefe belegt ist. Diese Verschiebung der Verhandlungsposition ist ein wirtschaftlicher Hebel, der in der Investitionsrechnung für Sicherheitstechnologie häufig unterschätzt wird.

Skalierung ist die wirtschaftliche Konsequenz aus den drei genannten Punkten. Eine Plattform, die für einen Standort wirtschaftlich darstellbar ist, ist für hundert Standorte überproportional wirtschaftlich, weil die Grenzkosten pro zusätzlichem Standort sinken. Diese Logik ist im Bau seit Jahrzehnten bekannt und sie überträgt sich auf den TK-Sektor, sobald die technische Schicht die Skalierung trägt. Boswau + Knauer hat die eigenen Plattformen mit dieser Anforderung entwickelt, weil die Erfahrung mit Großprojekten gezeigt hat, dass Sicherheit, die nicht skaliert, nicht in den Markt findet.

Was bleibt

Der Glasfaserausbau ist nicht abgeschlossen, und mit jedem Quartal entstehen weitere Verteilstationen, die in den Schutzbereich des TK-Sektors fallen. Die regulatorischen Anforderungen werden nicht milder werden, weil der gesamtgesellschaftliche Stellenwert digitaler Versorgung mit dem Ausbau weiter steigt. Wer als Betreiber in diesem Sektor heute Entscheidungen über die nächste Generation seiner Schutzkonzepte trifft, trifft sie für eine Topologie, die in fünf Jahren noch flächiger sein wird als heute.

Die Antwort auf diese Entwicklung liegt nicht in der Verstärkung der klassischen Mittel. Sie liegt in einer Verschiebung der Schutzlogik, die Technologie nutzt, um menschliche Aufmerksamkeit dorthin zu lenken, wo sie gebraucht wird, und die dort dokumentiert, wo Dokumentation eine regulatorische Anforderung ist. Boswau + Knauer arbeitet mit Betreibern, deren Schutzaufgaben über die einzelne Liegenschaft hinausgehen, und liefert Plattformen, die in der Fläche skalieren, ohne in jedem Standort ein eigenes Personal zu binden.

Wer den Schutzbedarf seines TK-Netzes neu bewerten will, beginnt mit einem strukturierten Gespräch. Weg I bei Boswau + Knauer ist genau dafür eingerichtet. Sechzig Minuten, vertraulich, ohne Folgeverpflichtung. Was am Ende dieser sechzig Minuten steht, ist eine Einschätzung der eigenen Lage, die in den vergangenen Quartalen so nicht möglich war. Wer danach in die Tiefe gehen will, findet in Weg II das Audit und in Weg III den Pilotbetrieb. Die Reihenfolge ist nicht vorgeschrieben. Die Ernsthaftigkeit der Auseinandersetzung ist die einzige Bedingung.

Häufige Fragen

Welche TK-Knoten fallen unter KRITIS?

Unter die KRITIS-Definition im TK-Sektor fallen jene Anlagen und Komponenten, deren Ausfall erhebliche Auswirkungen auf die Versorgungssicherheit hat. Die konkrete Abgrenzung ergibt sich aus den Vorgaben des BSI, ergänzt um sektorspezifische Konkretisierungen der Bundesnetzagentur. Mit dem FTTH-Ausbau verschiebt sich die Definition zunehmend auch auf nachgelagerte Verteilebenen, weil die Wirkung eines Ausfalls dieser Ebenen für die Versorgung bestimmter Gebiete relevant werden kann. Betreiber sind gut beraten, ihre Standortlisten regelmäßig gegen die aktuellen Schwellenwerte zu prüfen und die meldepflichtigen Anlagen in einer Form zu dokumentieren, die auditfähig bleibt.

Welche Rolle hat die BNetzA?

Die Bundesnetzagentur ist die zentrale Aufsichtsstelle für den deutschen TK-Sektor und konkretisiert die Anforderungen an Betreiber im Bereich Sicherheitstechnik, Meldepflichten und Versorgungssicherheit. Sie arbeitet mit dem BSI zusammen und führt eigene Verfahren, in denen Betreiber ihre Schutzmaßnahmen darstellen müssen. Mit dem Ausbau dezentraler Strukturen wächst die Bedeutung der BNetzA als Konkretisiererin der Anforderungen, weil viele Fragen erst in der Anwendung auf die neue Topologie ihre praktische Bedeutung entfalten. Betreiber, die mit der Agentur strukturiert kommunizieren, kommen schneller zu belastbaren Auslegungen als jene, die die Konkretisierung dem Vorfall überlassen.

Wie wird FTTH gesichert?

Die Sicherung von FTTH-Standorten folgt einer Kombination aus baulicher Härtung, stationärer Sensorik, KI-gestützter Videoanalyse und mobilen Komponenten wie patrouillierenden Robotern oder mobilen Videotürmen. Die zentrale Anforderung ist Skalierung, weil die Anzahl der Standorte mit klassischen Mitteln nicht wirtschaftlich abzudecken ist. Eine Plattformlogik, die alle Standorte in einer Datenstruktur zusammenführt und die Aufmerksamkeit eines Operators auf die relevanten Vorfälle lenkt, ist die wirtschaftlich tragfähige Antwort. Die Auditfähigkeit der Dokumentation ist dabei nicht Beiwerk, sondern Voraussetzung für die regulatorische Anerkennung der Schutzmaßnahmen.

Welche Vorfälle gab es 2025?

Verlässliche Aggregatzahlen für das laufende Jahr sind zum Zeitpunkt dieser Veröffentlichung noch nicht veröffentlicht. Qualitativ ist erkennbar, dass die Frequenz von Vorfällen an dezentralen Verteilstationen mit dem Ausbau steigt und dass Muster aus anderen Infrastruktursektoren, insbesondere Vandalismus und Metalldiebstahl, auch im TK-Sektor häufiger dokumentiert werden. Einzelne Ereignisse mit größerer Wirkung wurden im Verlauf des Jahres von verschiedenen Stellen kommuniziert. Eine seriöse Gesamtbewertung wird erst mit den jährlichen Berichten der zuständigen Stellen möglich sein. Betreiber sollten sich nicht auf nachträgliche Berichte verlassen, sondern eigene Daten erheben.