Gezielte Störungen gehören zu den unterschätzten, aber folgenschwersten Bedrohungen für Unternehmen und Organisationen. Sie sind oft schwer vorhersehbar, kommen unerwartet – und hinterlassen tiefgreifende Spuren. Während Cyberangriffe durch Ransomware oder Phishing medial präsent sind, geraten physische Eingriffe leicht aus dem Blick. Dabei nimmt gerade die Kombination beider Formen – digitale und physische Angriffe – zunehmend zu.

Was Unternehmen heute wissen und beachten müssen, um sich wirksam zu schützen, beleuchtet Björn Hawlitschka von der MACONIA GmbH im Interview.

Herr Hawlitschka, welche Formen von gezielten Angriffen – physisch oder digital – treten heute am häufigsten auf?

Björn Hawlitschka: Digitale Angriffe haben laut dem Digitalverband Bitkom in den letzten Jahren deutlich zugenommen. Ransomware, Phishing, gezielte Malware-Infektionen und andere Formen der Cyberkriminalität sind für Täter oft deutlich einfacher umzusetzen als physische Angriffe. Sie erfordern keine physische Präsenz, lassen sich weltweit anonym steuern und können mit vergleichsweise geringem Risiko durchgeführt werden. Die Zunahme von Homeoffice und die weitreichende Vernetzung sensibler Systeme haben diese Entwicklung zusätzlich befeuert. Das bedeutet aber nicht, dass physische Angriffe an Bedeutung verlieren – im Gegenteil: Sie sind zwar seltener, haben aber oft weitreichendere Auswirkungen, insbesondere wenn es um kritische Infrastrukturen geht. Ein Beispiel dafür ist der mutmaßlich politisch motivierte Brandvorfall beim Tesla-Werk in Grünheide, der erhebliche Auswirkungen auf die Stromversorgung hatte.

Warum ist die Kombination aus physischen und Cyberangriffen besonders gefährlich?

Björn Hawlitschka: Hybride Angriffe, bei denen digitale und physische Angriffsmethoden kombiniert werden, stellen eine besonders raffinierte und gefährliche Bedrohung dar. Der digitale Teil eines Angriffs kann etwa der Aufklärung dienen – indem Grundrisse ausgelesen, Alarmanlagen deaktiviert oder Zutrittskontrollen manipuliert werden. Diese digitalen Schwachstellen eröffnen den Weg für physische Aktionen, bei denen dann gezielt Schaden angerichtet wird. Ein Cyberangriff wird somit zur „Eintrittskarte“ für eine analoge Attacke. Angreifer nutzen diesen synergetischen Effekt, um die Wirkung zu maximieren und gleichzeitig Abwehrmechanismen zu unterlaufen, die oft auf nur eine Angriffsart ausgerichtet sind.

Welche Schwachstellen innerhalb eines Unternehmens begünstigen Angriffe?

Björn Hawlitschka: Ein zentraler Schwachpunkt vieler Organisationen ist die einseitige Fokussierung: entweder IT-Sicherheit oder physischen Schutz. Wer nur Firewalls und Antivirenprogramme pflegt, aber keine Zutrittskontrolle hat, öffnet Angreifern physisch Tür und Tor – und umgekehrt. Oft fehlen auch grundlegende organisatorische Strukturen wie ein funktionierender Krisenstab oder definierte Notfallprozesse. Solche Versäumnisse machen es Angreifern leicht, durch gezielte Aktionen Abläufe gezielt zu stören. Auch das Fehlen klarer Meldewege und Verantwortlichkeiten erschwert die Reaktion auf verdächtige Vorgänge erheblich. Letztlich ist es die Fragmentierung der Sicherheitsorganisation, die viele Unternehmen angreifbar macht.

Wie lässt sich der Mensch als potenzielle Schwachstelle gegen gezielte Angriffe absichern?

Björn Hawlitschka: Der Mensch ist – trotz aller Technik – nach wie vor eine der größten Schwachstellen im Sicherheitssystem. Doch er kann auch zur stärksten Verteidigungslinie werden, wenn er entsprechend eingebunden ist. Entscheidend ist hier eine gelebte Sicherheitskultur: Mitarbeitende müssen wissen, wie sie sich verhalten sollen, welche Risiken existieren und wo sie sich bei Verdachtsmomenten hinwenden können. Nur wenn das nötige Mindestmaß an Sicherheitsbewusstsein im Alltag verankert ist – wenn es also normal ist, einen Unbekannten auf dem Flur anzusprechen oder den Bildschirm beim Verlassen des Schreibtisches zu sperren – entsteht eine wirksame Schutzebene. Gleichzeitig ist es wichtig, Awareness-Programme nicht nur auf IT-Themen zu beschränken. Auch physische Sicherheitsaspekte wie Besucherregeln, USB-Port-Schutz oder Sichtschutz für sensible Bereiche müssen regelmäßig trainiert und kommuniziert werden. Technische Maßnahmen wie Zutrittskontrollen oder Videoüberwachung sind wichtig, aber ohne die Aufmerksamkeit der Mitarbeitenden nicht ausreichend.

Welche Rolle spielt die geopolitische Lage bei der Zunahme von Angriffen?

Björn Hawlitschka: Die aktuelle weltpolitische Lage trägt massiv zur Eskalation der Gefährdungslage bei. Der russische Angriffskrieg auf die Ukraine trägt massiv zur Eskalation der Gefährdungslage bei, bei der auch gezielt westliche Infrastrukturen ins Visier genommen werden – ob durch staatlich gesteuerte Hackergruppen wie APT28 oder durch verdeckt operierende Akteuren. Dabei kommt es immer häufiger zum Einsatz sogenannter „Low-Level-Agenten“: keine ausgebildeten Spione, sondern Einzelpersonen, die im Auftrag handeln und dabei gezielt einfache, aber wirksame Angriffe ausführen. Auch geopolitische Spannungen mit China könnten künftig zu einer Verstärkung von Wirtschaftsspionage und Störungen führen, vor allem wenn wirtschaftliche Isolation oder Technologiebeschränkungen greifen. Zusätzlich besteht Potenzial in inländischen Bewegungen: Umweltaktivisten oder radikalisierte Gruppen können ebenfalls als Akteure auftreten, insbesondere wenn sie zunehmend frustriert über politische Untätigkeit werden.

Wie wichtig ist das Zusammenspiel von IT-Sicherheit und physischem Objektschutz zum Schutz vor gezielten Angriffen?

Björn Hawlitschka: Ein effektiver Schutz vor Angriffen erfordert zwingend die Integration von IT-Sicherheit und physischem Objektschutz. Beide Bereiche müssen nicht nur technisch abgestimmt sein, sondern auch organisatorisch zusammenspielen. Moderne Sicherheitssysteme sollten der Lage sein, Einbruchmeldeanlage, Videoüberwachung, Zutrittskontrolle und Notstromversorgung in einem modularen und zentral steuerbaren Konzept umzusetzen. Besonders in hybriden Angriffsszenarien ist es entscheidend, dass digitale Alarme auch zu physischen Reaktionen führen – zum Beispiel, dass eine Detektion an einem Zaun automatisch zu einer Intervention vor Ort führt. Ohne diese Verbindung entsteht ein gefährliches Reaktionsvakuum.

Was sind Best Practices im Umgang mit Verdachtsfällen innerhalb eines Unternehmens?

Björn Hawlitschka: Unternehmen sollten unbedingt über klare, gut kommunizierte Meldeketten verfügen. Mitarbeitende müssen wissen, wen sie bei einem Verdachtsmoment ansprechen können – und dass ihre Meldung ernst genommen wird. Zusätzlich ist es ratsam, bereits im Vorfeld Kontakte zu Sicherheitsbehörden wie dem Verfassungsschutz oder dem BKA zu pflegen, um im Ernstfall schnell reagieren zu können. Bei konkreten Vorfällen sollten externe Spezialisten wie IT-Forensiker oder Sicherheitsberater frühzeitig eingebunden werden. Wichtig ist auch, dass bei Unsicherheiten – etwa wenn jemand auffällig fotografiert oder unbefugt Zutritt hat – lieber einmal zu viel als zu wenig reagiert wird. Ein professioneller Umgang mit solchen Situationen vermeidet Aktionismus und schafft Vertrauen. Unternehmen, die regelmäßig Krisenübungen durchführen, feste Notfallteams benennen und präventiv mit externen Partnern zusammenarbeiten, sind deutlich besser aufgestellt. Und: Eine gute Vorbereitung kostet zwar Geld – aber kein Vergleich zu den potenziellen Schäden solcher Vorfälle.