Kurz vor Schichtwechsel in der Notaufnahme: Das Triage-System reagiert verzögert, Laborbefunde kommen nicht mehr an, im OP springt die Dokumentation auf Handbetrieb. Ein Cybervorfall zwingt die IT in den Krisenmodus, Schnittstellen zu Geräten werden getrennt, um die Systeme zu schützen. Und doch läuft die Versorgung weiter: Strom, Sauerstoff, Medizintechnik – die physische Infrastruktur bleibt stabil, weil Abläufe für den Ausfall geübt sind und Ersatzprozesse greifen. Der Fall zeigt: Resilienz entscheidet, ob ein Haus in der Krise behandelt oder blockiert.
RISIKEN PRIORISIEREN, MASSNAHMEN VERZAHNEN
KRITIS-Betreiber – also Betreiber kritischer Infrastrukturen von Energie und Wasser bis Gesundheit – profitieren von einem risikoorientierten Vorgehen. Am Anfang steht eine Bedrohungsanalyse. Sie klärt, wer wie angreift und welche Folgen drohen. Darauf aufbauend werden abgestufte Maßnahmen zusammengeführt: physische Kontrollen an Standorten, Cyber-Schutz für IT und OT (Operational Technology) sowie kontinuierliches Monitoring. OT steuert und überwacht physische Prozesse – von Prozessleitsystemen bis zur Sensorik in Versorgungsnetzen. Sie greift direkt in Anlagen ein. Deshalb haben Verfügbarkeit und Betriebssicherheit hier oberste Priorität. OT-Monitoring erkennt Abweichungen vom Normalverhalten früh, etwa unerwartete Kommunikation von Steuerungen. Technik wirkt jedoch nur im Zusammenspiel mit Prozessen und Menschen. Klare Rollen, geschulte Teams und redundante Betriebswege sind entscheidend.
Ein Kernbaustein ist die Notfall- und Wiederanlaufplanung. Sie definiert, welche Funktionen stets laufen müssen, welche Ersatzprozesse greifen und in welcher Reihenfolge Systeme wieder hochgefahren werden. Regelmäßige Übungen – idealerweise mit Behörden und Partnern aus dem Branchenverbund – testen Rollen, Schnittstellen und Entscheidungswege. Formate und Leitfäden stellt unter anderem die Plattform UP KRITIS des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bereit (https://tinyurl.com/yk9htfvv).
REGULIERUNG ALS KOMPASS
Parallel verdichten sich die rechtlichen Vorgaben. Mit nationalem KRITIS-Recht sowie europäischen Richtlinien zu Cybersecurity und Resilienz steigen die Anforderungen an Governance, Risikomanagement und Nachweise. Für Unternehmen heißt das: Verantwortlichkeiten benennen, Risiken systematisch bewerten, Mindeststandards umsetzen und Nachweise pragmatisch führen – von schlüssigen Risikoanalysen über dokumentierte Schutzmaßnahmen bis zu Protokollen der Übungen. Praxisnähe erleichtert dabei die Umsetzung. Die Sicherheitsarchitektur sollte zur betrieblichen Realität passen. Die Verantwortung muss in den Fachbereichen verankert sein – dort, wo Betrieb und Entscheidungen täglich stattfinden. Lieferanten und Dienstleister sind einzubinden. Betriebsdaten helfen bei Erkennung und Lagebildern. Zudem lohnt ein klarer Blick auf Abhängigkeiten: Welche Lieferanten sind kritisch, welche Ersatzteile knapp, welche Meldewege gelten im Ernstfall? Fazit: Der Schutz der kritischen Infrastruktur ist kein Projekt mit Enddatum, sondern ein laufender Verbesserungsprozess – und gemeinsame Pflicht. Wer Störungen managt, schützt Leben, Vertrauen und die Handlungsfähigkeit der Gesellschaft.
