Mit dem für Anfang 2026 erwarteten KRITIS-Dachgesetz müssen Betreiber kritischer Infrastrukturen in Deutschland ihre Resilienz deutlich erhöhen. Während Cybersecurity bereits seit Jahren im Fokus steht, rückt nun auch die physische Sicherheit verstärkt in den Mittelpunkt der regulatorischen Anforderungen.

Das Gesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um und ergänzt die bestehenden Regelungen zur IT-Sicherheit (BSI-Gesetz).

Betroffen sind zehn Sektoren: Neben klassischen KRITIS-Bereichen wie Energie, Banken, Gesundheit und Transport zählen auch Medien und Kultur, öffentliche Verwaltung, Siedlungsabfallentsorgung, Weltraum sowie Lebensmittelproduktion und -vertrieb dazu. Die Anforderungen gehen weit über einfache Türschlösser hinaus: Gefordert sind durchgängige Konzepte für Zutrittskontrolle, Berechtigungsmanagement und lückenlose Dokumentation aller sicherheitsrelevanten Vorgänge.

Die Herausforderung: Veraltete Systeme als Sicherheitsrisiko

Viele mittelständische Unternehmen setzen noch auf Zutrittskontroll- und Zeiterfassungssysteme, die zehn Jahre oder älter sind. Diese Systeme weisen häufig erhebliche Schwachstellen auf: Ersatzteile sind nicht mehr verfügbar, Software-Updates werden nicht mehr bereitgestellt, und moderne Sicherheitsfeatures wie verschlüsselte Leserprotokolle werden nicht unterstützt.

Gerade im Kontext des KRITIS-Dachgesetzes wird der Lifecycle-Status der eingesetzten Hardware zum entscheidenden Faktor. Betreiber kritischer Infrastrukturen müssen künftig nachweisen können, dass ihre Systeme dem aktuellen Stand der Technik entsprechen – veraltete Hardware wird damit zum Compliance-Risiko.

Sieben Handlungsfelder für KRITIS-Compliance

Um die Anforderungen des KRITIS-Dachgesetzes systematisch umzusetzen, sollten Betreiber kritischer Infrastrukturen folgende sieben Bereiche adressieren:

1. Grundlagen und Risikoanalyse: Im ersten Schritt muss geklärt werden, ob das Unternehmen überhaupt unter die KRITIS-Definition fällt. Anschließend sind alle kritischen Gebäude, Räume und Prozesse zu identifizieren. Eine umfassende Risiko- und Schwachstellenanalyse bildet die Grundlage für alle weiteren Maßnahmen. Dabei sollten nicht nur aktuelle Bedrohungen, sondern auch die Verfügbarkeit von Ersatzteilen und der Lifecycle-Status der eingesetzten Systeme geprüft werden.
2. Physische Zutrittssicherung: Der Perimeter muss durch Zäune, Schranken und Drehkreuze gesichert werden. Gebäudeeingänge und Hochsicherheitsbereiche wie Rechenzentren oder Prototypenwerkstätten erfordern elektronische Zutrittslösungen. Die Integration mechanischer und elektronischer Zugangssysteme in einer einheitlichen Plattform ermöglicht eine zentrale Überwachung und Steuerung.
3. Zutrittsverwaltung und Berechtigungsmanagement: Die zentrale Vergabe und der Entzug von Zutrittsrechten müssen über workflow-gesteuerte Prozesse erfolgen. Antrags- und Genehmigungsprozesse sollten digitalisiert und lückenlos dokumentiert werden. Die Schließanlagenverwaltung mit Sicherungskarten und Schlüsselprotokollen stellt sicher, dass auch mechanische Zutritte nachvollziehbar bleiben.
4. Automatisierte Türsysteme und Integration: Moderne Türsysteme ermöglichen die Überwachung des Türzustands in Echtzeit. Für die Betriebssicherheit ist zudem das Verhalten bei Stromausfall, die jeweiligen Widerstandsklassen und die Integration in zentrale Management-Plattformen entscheidende Faktoren. Digitale Planungstools unterstützen dabei, Zutrittspunkte normgerecht auszulegen.
5. Service und Lifecycle-Management: Regelmäßige Wartungen, Updates und Lifecycle-Checks stellen sicher, dass die Systeme dauerhaft funktionsfähig bleiben. Schulungen sensibilisieren das Personal für Sicherheitsrisiken. Die Lieferkettenkommunikation sowie die vollständige Dokumentation aller Maßnahmen sind essentiell für Audits.
6. Resilienz, Notfall- und Krisenmanagement: Notfallprotokolle definieren, wie die Betriebsfähigkeit im Ernstfall aufrechterhalten wird. Zutrittsfreigaben für Einsatzkräfte und die Priorisierung kritischer Bereiche müssen vorab festgelegt werden. Regelmäßige Tests und Szenarien – etwa Evakuierungssimulationen – stellen die Wirksamkeit der Maßnahmen sicher.
7. Compliance und Reporting: Die lückenlose Protokollierung aller Zutrittsvorgänge, Audit-Logs und revisionssichere Reports sind Pflicht. Security Health Checks (SHC) bewerten regelmäßig den Status der Systeme und identifizieren Modernisierungsbedarf. Die Integration physischer, organisatorischer und digitaler Maßnahmen in ein übergeordnetes Sicherheitskonzept rundet die Compliance ab.

Integrierte Lösung statt Insellösungen

„Die Kombination aus physischen Sicherheitslösungen und intelligenter Software ist der Schlüssel zu einer effizienten KRITIS-Compliance. Unternehmen benötigen eine einheitliche Plattform, die mechanische, mechatronische und elektronische Zutritte in einem System verwaltet und sich nahtlos in bestehende HR-, IT- und Gebäudemanagementsysteme einfügt“, betont Jochen Moll, Geschäftsführer bei Atoria. „Wir bieten zusammen mit unseren Partnern hierzu eine durchgängige Lösung, die von der Hardware wie Türsysteme, Zutrittskontrollkomponenten und Schließanlagen über die zentrale Management-Software bis hin zu digitalen Planungstools und Security Health Checks alles umfasst. Der modulare Aufbau ermöglicht es, schrittweise zu modernisieren und dabei den laufenden Betrieb aufrechtzuerhalten.“

www.proalpha.com

(Fotos: bbk.bund)

Eine Bitkom-Studie zeigt, dass drei Viertel der deutschen Industrie bisher nicht das volle Potenzial in puncto Artificial Intelligence (AI) ausschöpfen können. Christoph Kull, President Business Applications bei Proalpha, kommentiert Herausforderungen und Potenziale im Hinblick auf den Einsatz von Industrial AI.

Neben fehlenden Ressourcen wie Zeit und Kompetenz sorgen insbesondere die komplexe Regulierung und daraus entstehende rechtliche Unsicherheiten für die Zurückhaltung bei dem Thema. So sehen 88 Prozent der Befragten die Politik in der Pflicht, AI-Innovationen nicht zu überregulieren.

„Nur wer über erste Pilotprojekte hinausgeht und AI gezielt dort einsetzt, wo sie echten Mehrwert stiftet, wird langfristig profitieren. Daher ist es ein Alarmzeichen, wenn zu komplexe Regulatorik die Industrie beim Einsatz von AI hemmt. Dabei können Unternehmen bereits heute mittels Industrial AI Lösungen ihre Datenintelligenz mit operativer Exzellenz verknüpfen – von der Lieferkette über die Produktion bis hin zur Nachhaltigkeit.

Laut der Bitkom-Studie sehen die Unternehmen in Deutschland durchaus das große Potenzial der Artificial Intelligence – in erster Linie im Bereich des Energiemanagements, gefolgt von Robotik, Analytik und Lagermanagement.

Mittels Industrial AI lassen sich bereits heute die Auswirkungen auf die Umwelt entlang der Wertschöpfungskette in Echtzeit analysieren und steuern – etwa durch die Auswertung von Energie- und Ressourcendaten. Unternehmen können so Emissionen sichtbar machen, Einsparpotenziale identifizieren und fundierte Nachhaltigkeitsentscheidungen treffen. Dazu zählen die datengestützte Berechnung von CO₂-Fußabdrücken, das Erkennen von Energiefressern und die Optimierung einzelner Prozessschritte – von der regulatorischen Sicherheit bis zur verbesserten Außenwirkung.

Umso bedauerlicher ist es, dass die zu komplexe AI-Regulierung der Erfüllung der vom Gesetzgeber geforderten Nachhaltigkeitsberichtspflicht im Weg steht – auch weil die Kennzahlen für die Erfüllung der CSRD und des ESG-Reportings durch AI-gestütztes Energiemanagement und Co2-Tracking zu ermitteln wären.

Die geplante Investitionsoffensive und die Bereitstellung von 500 Milliarden Euro der Bundesregierung für Infrastrukturprojekte sind der richtige Ansatz. Auch hat sich die Politik eine pragmatische Deregulierung von Bürokratie auf die Fahnen geschrieben. Dennoch zeigen die Ergebnisse der Bitkom-Studie, dass die komplexe Regulierung im Bereich AI die deutsche Industrie bisher ausbremst – jetzt ist die Politik gefragt, hier schnell und entschlossen zu handeln.

Die neue Koalition möchte den Transfer in neue Geschäftsmodelle und konkrete Anwendungsfelder auch im Bereich Industrial Artificial Intelligence stärken. Dies ist eine sehr gute Basis, damit der Mittelstand Industrial AI endlich in die Praxis umsetzen kann – allerdings nicht überreguliert und trotzdem rechtssicher.“

www.proalpha.com

(Foto: Gerd Altmann, Pixabay)