Wenn wir auf die aktuelle Lage blicken – wie groß ist die Bedrohung durch Angriffe für Betreiber kritischer Infrastrukturen und betrifft das nur diese oder auch andere Unternehmen? 

Torsten Hiermann: Die Bedrohungslage hat sich in den letzten Monaten verändert und ist deutlich gestiegen. Bundeskanzler Friedrich Merz brachte es Ende September auf den Punkt: „Wir sind nicht im Krieg, aber wir sind auch nicht mehr im Frieden.“ Schädliche Manipulationen sind heute kein Randphänomen, sondern eine strategische Methode, um wirtschaftliche, politische oder auch gesellschaftliche Prozesse zu stören. Der Verfassungsschutz und das Bundesamt für Bevölkerungsschutz definieren dieses Vorgehen als bewusste Beeinträchtigung bis hin zur Zerstörung von Strukturen mit dem Ziel der Schwächung oder Einflussnahme. Wir sehen zudem, dass es nicht nur um den „klassischen“ Anschlag auf ein Gebäude geht, sondern auch um subtile Angriffe: Störungen von Lieferketten, gezielte Ausspähung, das Manipulieren von Wahrnehmungen  der Öffentlichkeit, die Verbreitung von Unsicherheit als Instrument politischer Willensbildung oder Staats ablehnender Haltungen. 

Die Täterlandschaft ist also breit gefächert. Wir kennen Angriffe auf Objekte aus dem Kontext von Terrorismus, aus extremistischen Milieus – gerade linksextremistische Gruppen neigen laut Polizeistatistik zu Anschlägen auf Infrastrukturen und liefern im Internet detaillierte Anleitungen, wie man Brandsätze baut. Wir sehen staatliche Akteure, die über sogenannte „Proxies“ arbeiten, also angeworbene Helfer, die auf den ersten Blick unauffällig erscheinen, in Wahrheit aber fremde Interessen verfolgen. Und wir dürfen die Gefahr aus dem Inneren nicht unterschätzen: Mitarbeiter, die frustriert sind oder sich ungerecht behandelt fühlen, können zu Saboteuren werden. 

Hinzu kommt, dass wir es heute mit hybriden Bedrohungen zu tun haben. Das bedeutet: Angriffe finden nicht nur physisch statt – etwa durch das Durchtrennen eines Kabels oder den Angriff auf eine Trafostation –, sondern sie kombinieren Cyberattacken, Social Engineering und klassisch, physische Angriffe. Täter greifen Daten ab, manipulieren Prozesse oder nutzen soziale Medien, um an Informationen zu kommen. Deshalb sage ich: Der Schutz von Objekten endet nicht am Zaun. 

Sie sprechen die Bedeutung von Informationen an. Können Sie das konkretisieren? 

Torsten Hiermann: Viele unterschätzen, wie wertvoll öffentlich zugängliche Informationen für einen potentiellen Angreifer sind. Social Media-Profileliefern interessante Informationen: In LinkedIn-Profilen steht häufig nicht nur, wo jemand arbeitet, sondern oft auch, an welchen Projekten und Technologien die Person beteiligt ist. Das ist für fremde Dienste ein hervorragendes Rekrutierungs- und Auswertungsinstrument. Und dass mit Google Earth vulnerable Punkte eines Standortes initial ausgewertet werden, ist nahezu ein alter Hut. 

Hinzu kommt eine Sorglosigkeit im Umgang mit internen Informationen. Ein reales Beispiel: In einem Objekt der kritischen Infrastruktur erhalten Handwerker und Dienstleister im Zuge der Sicherheitsunterweisung einen detaillierten Lageplan des Areals mit entsprechenden Anlagen-Bezeichnungen. Potenzielle Täter erhalten so eine präzise Grundlage für Angriffspunkt. Hier wird deutlich: Der Schutz vor Saboteuren heißt auch präventiver Informationsschutz. Welche Daten veröffentliche ich? Wie restriktiv gehe ich mit der Benennung von Ansprechpartnern um? Gibt es eine Social-Media-Policy? Und wie sensibilisiere ich Mitarbeiter, damit sie verstehen, dass sie selbst Teil der Sicherheitskette sind? 

Seit einiger Zeit rücken Drohnen als Sicherheitsrisiko stärker in den Fokus. Wie sehen Sie die Rolle des Luftraums im Gesamtkonzept? 

Torsten Hiermann: Die Bedrohung durch Drohnen hat eine neue Dimension erreicht. Sie filmen, sammeln Aufklärungsdaten beispielsweise von Abläufen oder Reaktionszeiten, zeichnen digitale Signaturen auf, transportieren Objekte, „Wirkmittel“, und können diese abwerfen. Der Ukrainekrieg hat gezeigt, wie rasant die Technologie und Einsatzmöglichkeiten voranschreiten.  

Dennoch plädiere ich für eine differenzierte Betrachtung. Nicht jedes Unternehmen muss sofort in teure Anti-Drohnen-Systeme investieren. Entscheidend ist die Risikoanalyse. Ein „normaler“ Produktionsbetrieb ohne hat ein geringeres Risiko als beispielsweise ein Energieversorger, ein Chemiestandort, ein Flughafen oder eine militärische Liegenschaft. Insbesondere KRITIS-Betreiber müssen den Luftraum heute in ihren Sicherheitskonzepten „mitdenken“. 

Dabei darf nicht vergessen werden: Oft hat eine Drohne ihre Aufgabe bereits erfüllt, bevor sie entdeckt wurde. Die Kernfragen lauten also nicht nur: Wie erkennen wir Drohnen und wie reagieren wir darauf? Vielmehr muss in der Sicherheitskonzeption aus Täterperspektive gedacht werden: Was wird eine Drohne sehen und an Informationen abgreifen können? Und wie verhindere ich das „am Boden“?  

Welche Gegenmaßnahmen empfehlen Sie konkret – organisatorisch und technisch? 

Torsten Hiermann: Es geht um einen ganzheitlichen Ansatz. Zuerst die organisatorische Seite: Film- und Fotografierverbote auf Betriebsgeländen, Schulungen für Mitarbeiter, Kontrolle von Fahrzeugen und Personen auf mitgeführte Gegenstände: Auch müssen Zutrittskontrollen zuverlässig und wirksam sein – je nach Schutzniveau auch über biometrisch Verfahren. Der Punkt ist: Wenn ich „unten“ am Tor nicht prüfe, ob ein Dienstleister etwas unerwünscht einbringt, brauche ich mir über Drohnen „oben“ keine Sorgen zu machen. 

Technisch haben wir eine breite Palette: Perimetersensoren, Videoüberwachung, Bewegungsmelder und solche gegen Manipulationen. Drohnendetektionssysteme können sinnvoll sein. In besonders kritischen Bereichen mag auch aktive Abwehr in Betracht kommen, etwa durch Störsender, Abfangdrohnen oder weitere Maßnahmen. Gleichzeitig ist es jedoch wichtig, über Resilienz nachzudenken: redundante Stromversorgung, Notstromaggregate, gesicherte Lieferketten. Business Continuity ist immer Teil des Gesamtschutzes! 

Welche Rolle spielt ein integriertes Alarm- und Sicherheitsmanagement in diesem Zusammenhang? 

Torsten Hiermann: Eine entscheidende. Wir können noch so viele Einzelmaßnahmen einführen – wenn sie nicht integriert sind, entsteht wieder ein Flickenteppich. Alle Vektoren müssen berücksichtigt werden, damit ein wirksames 360-Grad-Sicherheitskonzept entsteht. 

Heißt das, dass sich künftig alle Unternehmen, nicht nur KRITIS-Betreiber, intensiver mit Angriffen beschäftigen müssen? 

Torsten Hiermann: Das hängt von der Risikoanalyse und vom Schutzniveau ab: Ein Mittelständler im Maschinenbau hat möglicherweise nicht die gleiche Bedrohungskulisse wie zum Beispiel ein Netzbetreiber. Aber auch er kann durch physische oder Angriffe auf die IT lahmgelegt werden – denken Sie nur an Cyberattacken, gestörte Lieferketten oder an die Stromversorgung. Die Produktion in der Tesla Gigafactory wurde nicht durch eine hochkomplexe Operation lahmgelegt, sondern mit simplen Mitteln:  Ein Brandanschlag auf eine Versorgungsleitung. Es geht also um die Frage: Wie verwundbar bin ich? Wie resilient sind meine Prozesse? Und habe ich Vorkehrungen getroffen, um bei einem Angriff handlungsfähig zu bleiben oder den Schaden zu minimieren? 

Genau da setzt das Thema Business Continuity an. Ein Gesamtschutz ist nicht nur Abwehr, sondern auch Vorbereitung. Und er verlangt, dass Unternehmen nicht nur den physischen Perimeter sehen, sondern Informationsschutz, Social Engineering, IT-Sicherheit und den Luftraum gleichermaßen berücksichtigen.