Wenn wir auf die aktuelle Lage blicken – wie groß ist die Bedrohung durch Angriffe für Betreiber kritischer Infrastrukturen und betrifft das nur diese oder auch andere Unternehmen? 

Torsten Hiermann: Die Bedrohungslage hat sich in den letzten Monaten verändert und ist deutlich gestiegen. Bundeskanzler Friedrich Merz brachte es Ende September auf den Punkt: „Wir sind nicht im Krieg, aber wir sind auch nicht mehr im Frieden.“ Schädliche Manipulationen sind heute kein Randphänomen, sondern eine strategische Methode, um wirtschaftliche, politische oder auch gesellschaftliche Prozesse zu stören. Der Verfassungsschutz und das Bundesamt für Bevölkerungsschutz definieren dieses Vorgehen als bewusste Beeinträchtigung bis hin zur Zerstörung von Strukturen mit dem Ziel der Schwächung oder Einflussnahme. Wir sehen zudem, dass es nicht nur um den „klassischen“ Anschlag auf ein Gebäude geht, sondern auch um subtile Angriffe: Störungen von Lieferketten, gezielte Ausspähung, das Manipulieren von Wahrnehmungen  der Öffentlichkeit, die Verbreitung von Unsicherheit als Instrument politischer Willensbildung oder Staats ablehnender Haltungen. 

Die Täterlandschaft ist also breit gefächert. Wir kennen Angriffe auf Objekte aus dem Kontext von Terrorismus, aus extremistischen Milieus – gerade linksextremistische Gruppen neigen laut Polizeistatistik zu Anschlägen auf Infrastrukturen und liefern im Internet detaillierte Anleitungen, wie man Brandsätze baut. Wir sehen staatliche Akteure, die über sogenannte „Proxies“ arbeiten, also angeworbene Helfer, die auf den ersten Blick unauffällig erscheinen, in Wahrheit aber fremde Interessen verfolgen. Und wir dürfen die Gefahr aus dem Inneren nicht unterschätzen: Mitarbeiter, die frustriert sind oder sich ungerecht behandelt fühlen, können zu Saboteuren werden. 

Hinzu kommt, dass wir es heute mit hybriden Bedrohungen zu tun haben. Das bedeutet: Angriffe finden nicht nur physisch statt – etwa durch das Durchtrennen eines Kabels oder den Angriff auf eine Trafostation –, sondern sie kombinieren Cyberattacken, Social Engineering und klassisch, physische Angriffe. Täter greifen Daten ab, manipulieren Prozesse oder nutzen soziale Medien, um an Informationen zu kommen. Deshalb sage ich: Der Schutz von Objekten endet nicht am Zaun. 

Sie sprechen die Bedeutung von Informationen an. Können Sie das konkretisieren? 

Torsten Hiermann: Viele unterschätzen, wie wertvoll öffentlich zugängliche Informationen für einen potentiellen Angreifer sind. Social Media-Profileliefern interessante Informationen: In LinkedIn-Profilen steht häufig nicht nur, wo jemand arbeitet, sondern oft auch, an welchen Projekten und Technologien die Person beteiligt ist. Das ist für fremde Dienste ein hervorragendes Rekrutierungs- und Auswertungsinstrument. Und dass mit Google Earth vulnerable Punkte eines Standortes initial ausgewertet werden, ist nahezu ein alter Hut. 

Hinzu kommt eine Sorglosigkeit im Umgang mit internen Informationen. Ein reales Beispiel: In einem Objekt der kritischen Infrastruktur erhalten Handwerker und Dienstleister im Zuge der Sicherheitsunterweisung einen detaillierten Lageplan des Areals mit entsprechenden Anlagen-Bezeichnungen. Potenzielle Täter erhalten so eine präzise Grundlage für Angriffspunkt. Hier wird deutlich: Der Schutz vor Saboteuren heißt auch präventiver Informationsschutz. Welche Daten veröffentliche ich? Wie restriktiv gehe ich mit der Benennung von Ansprechpartnern um? Gibt es eine Social-Media-Policy? Und wie sensibilisiere ich Mitarbeiter, damit sie verstehen, dass sie selbst Teil der Sicherheitskette sind? 

Seit einiger Zeit rücken Drohnen als Sicherheitsrisiko stärker in den Fokus. Wie sehen Sie die Rolle des Luftraums im Gesamtkonzept? 

Torsten Hiermann: Die Bedrohung durch Drohnen hat eine neue Dimension erreicht. Sie filmen, sammeln Aufklärungsdaten beispielsweise von Abläufen oder Reaktionszeiten, zeichnen digitale Signaturen auf, transportieren Objekte, „Wirkmittel“, und können diese abwerfen. Der Ukrainekrieg hat gezeigt, wie rasant die Technologie und Einsatzmöglichkeiten voranschreiten.  

Dennoch plädiere ich für eine differenzierte Betrachtung. Nicht jedes Unternehmen muss sofort in teure Anti-Drohnen-Systeme investieren. Entscheidend ist die Risikoanalyse. Ein „normaler“ Produktionsbetrieb ohne hat ein geringeres Risiko als beispielsweise ein Energieversorger, ein Chemiestandort, ein Flughafen oder eine militärische Liegenschaft. Insbesondere KRITIS-Betreiber müssen den Luftraum heute in ihren Sicherheitskonzepten „mitdenken“. 

Dabei darf nicht vergessen werden: Oft hat eine Drohne ihre Aufgabe bereits erfüllt, bevor sie entdeckt wurde. Die Kernfragen lauten also nicht nur: Wie erkennen wir Drohnen und wie reagieren wir darauf? Vielmehr muss in der Sicherheitskonzeption aus Täterperspektive gedacht werden: Was wird eine Drohne sehen und an Informationen abgreifen können? Und wie verhindere ich das „am Boden“?  

Welche Gegenmaßnahmen empfehlen Sie konkret – organisatorisch und technisch? 

Torsten Hiermann: Es geht um einen ganzheitlichen Ansatz. Zuerst die organisatorische Seite: Film- und Fotografierverbote auf Betriebsgeländen, Schulungen für Mitarbeiter, Kontrolle von Fahrzeugen und Personen auf mitgeführte Gegenstände: Auch müssen Zutrittskontrollen zuverlässig und wirksam sein – je nach Schutzniveau auch über biometrisch Verfahren. Der Punkt ist: Wenn ich „unten“ am Tor nicht prüfe, ob ein Dienstleister etwas unerwünscht einbringt, brauche ich mir über Drohnen „oben“ keine Sorgen zu machen. 

Technisch haben wir eine breite Palette: Perimetersensoren, Videoüberwachung, Bewegungsmelder und solche gegen Manipulationen. Drohnendetektionssysteme können sinnvoll sein. In besonders kritischen Bereichen mag auch aktive Abwehr in Betracht kommen, etwa durch Störsender, Abfangdrohnen oder weitere Maßnahmen. Gleichzeitig ist es jedoch wichtig, über Resilienz nachzudenken: redundante Stromversorgung, Notstromaggregate, gesicherte Lieferketten. Business Continuity ist immer Teil des Gesamtschutzes! 

Welche Rolle spielt ein integriertes Alarm- und Sicherheitsmanagement in diesem Zusammenhang? 

Torsten Hiermann: Eine entscheidende. Wir können noch so viele Einzelmaßnahmen einführen – wenn sie nicht integriert sind, entsteht wieder ein Flickenteppich. Alle Vektoren müssen berücksichtigt werden, damit ein wirksames 360-Grad-Sicherheitskonzept entsteht. 

Heißt das, dass sich künftig alle Unternehmen, nicht nur KRITIS-Betreiber, intensiver mit Angriffen beschäftigen müssen? 

Torsten Hiermann: Das hängt von der Risikoanalyse und vom Schutzniveau ab: Ein Mittelständler im Maschinenbau hat möglicherweise nicht die gleiche Bedrohungskulisse wie zum Beispiel ein Netzbetreiber. Aber auch er kann durch physische oder Angriffe auf die IT lahmgelegt werden – denken Sie nur an Cyberattacken, gestörte Lieferketten oder an die Stromversorgung. Die Produktion in der Tesla Gigafactory wurde nicht durch eine hochkomplexe Operation lahmgelegt, sondern mit simplen Mitteln:  Ein Brandanschlag auf eine Versorgungsleitung. Es geht also um die Frage: Wie verwundbar bin ich? Wie resilient sind meine Prozesse? Und habe ich Vorkehrungen getroffen, um bei einem Angriff handlungsfähig zu bleiben oder den Schaden zu minimieren? 

Genau da setzt das Thema Business Continuity an. Ein Gesamtschutz ist nicht nur Abwehr, sondern auch Vorbereitung. Und er verlangt, dass Unternehmen nicht nur den physischen Perimeter sehen, sondern Informationsschutz, Social Engineering, IT-Sicherheit und den Luftraum gleichermaßen berücksichtigen. 

Sabotageakte gehören zu den unterschätzten, aber folgenschwersten Bedrohungen für Unternehmen und Organisationen. Sie sind oft schwer vorhersehbar, kommen unerwartet – und hinterlassen tiefgreifende Spuren. Während Cyberangriffe durch Ransomware oder Phishing medial präsent sind, geraten physische Sabotageakte leicht aus dem Blick. Dabei nehmen gerade die hybriden Bedrohungen – digitale und physische Angriffe – zunehmend zu. Was Unternehmen heute wissen und beachten müssen, um sich wirksam zu schützen, beleuchtet Björn Hawlitschka von der MACONIA GmbH im Interview. 

Herr Hawlitschka, Welche Formen von Sabotage – physisch oder digital – treten heute am häufigsten auf? 

Björn Hawlitschka: Digitale Sabotageakte haben laut dem Digitalverband Bitkom in den letzten Jahren deutlich zugenommen. Ransomware, Phishing, gezielte Malware-Infektionen und andere Formen der Cyberkriminalität sind für Täter oft deutlich einfacher umzusetzen als physische Angriffe. Sie erfordern keine physische Präsenz, lassen sich weltweit anonym steuern und können mit vergleichsweise geringem Risiko durchgeführt werden. Die Zunahme von Homeoffice und die weitreichende Vernetzung sensibler Systeme haben diese Entwicklung zusätzlich befeuert. Das bedeutet aber nicht, dass physische Sabotageakte an Bedeutung verlieren – im Gegenteil: Sie sind zwar seltener, haben aber oft weitreichendere Auswirkungen, insbesondere wenn es um kritische Infrastrukturen geht. Ein Beispiel dafür ist der mutmaßlich linksextremistisch motivierte Brandanschlag auf das Tesla-Werk in Grünheide, der erhebliche Auswirkungen auf die Stromversorgung hatte. 

Warum sind die hybriden Angriffe besonders gefährlich? 

Björn Hawlitschka: Hybride Angriffe, bei denen digitale und physische Sabotageformen kombiniert werden, stellen eine besonders raffinierte und gefährliche Bedrohung dar. Der digitale Teil eines Angriffs kann etwa der Aufklärung dienen – indem Grundrisse ausgelesen, Alarmanlagen deaktiviert oder Zutrittskontrollen manipuliert werden. Diese digitalen Schwachstellen eröffnen den Weg für physische Aktionen, bei denen dann gezielt Schaden angerichtet wird. Ein Cyberangriff wird somit zur „Eintrittskarte“ für eine analoge Attacke. Angreifer nutzen diesen synergetischen Effekt, um die Wirkung zu maximieren und gleichzeitig Abwehrmechanismen zu unterlaufen, die oft auf nur eine Angriffsart ausgerichtet sind. 

Welche Schwachstellen innerhalb eines Unternehmens begünstigen hybride Angriffe? 

Björn Hawlitschka: Ein zentraler Schwachpunkt vieler Organisationen ist die einseitige Fokussierung: entweder IT-Sicherheit oder physischen Schutz. Wer nur Firewalls und Antivirenprogramme pflegt, aber keine Zutrittskontrolle hat, öffnet Angreifern physisch Tür und Tor – und umgekehrt. Oft fehlen auch grundlegende organisatorische Strukturen wie ein funktionierender Krisenstab oder definierte Notfallprozesse. Solche Versäumnisse machen es Angreifern leicht, durch gezielte Aktionen Chaos zu stiften. Auch das Fehlen klarer Meldewege und Verantwortlichkeiten erschwert die Reaktion auf verdächtige Vorgänge erheblich. Letztlich ist es die Fragmentierung der Sicherheitsorganisation, die viele Unternehmen angreifbar macht. 

Wie lässt sich der Mensch als potenzielle Schwachstelle gegen Sabotage absichern? 

Björn Hawlitschka: Der Mensch ist – trotz aller Technik – nach wie vor eine der größten Schwachstellen im Sicherheitssystem. Doch er kann auch zur stärksten Verteidigungslinie werden, wenn er entsprechend eingebunden ist. Entscheidend ist hier eine gelebte Sicherheitskultur: Mitarbeitende müssen wissen, wie sie sich verhalten sollen, welche Risiken existieren und wo sie sich bei Verdachtsmomenten hinwenden können. Nur wenn das nötige Mindestmaß an Sicherheitsbewusstsein im Alltag verankert ist – wenn es also normal ist, einen Unbekannten auf dem Flur anzusprechen oder den Bildschirm beim Verlassen des Schreibtisches zu sperren – entsteht eine echte Schutzwirkung. Gleichzeitig ist es wichtig, Awareness-Programme nicht nur auf IT-Themen zu beschränken. Auch physische Sicherheitsaspekte wie Besucherregeln, USB-Port-Schutz oder Sichtschutz für sensible Bereiche müssen regelmäßig trainiert und kommuniziert werden. Technische Maßnahmen wie Zutrittskontrollen oder Videoüberwachung sind wichtig, aber ohne die Aufmerksamkeit der Mitarbeitenden nicht ausreichend. 

Welche Rolle spielt die geopolitische Lage bei der Zunahme von Sabotageakten? 

Björn Hawlitschka: Die aktuelle weltpolitische Lage trägt massiv zur Eskalation der Sabotagegefahr bei. Der russische Angriffskrieg auf die Ukraine markiert eine neue Eskalationsstufe, bei der auch gezielt westliche Infrastrukturen ins Visier genommen werden – ob durch staatlich gesteuerte Hackergruppen wie APT28 oder durch verdeckt operierende Agenten. Dabei kommt es immer häufiger zum Einsatz sogenannter „Low-Level-Agenten“: keine ausgebildeten Spione, sondern Einzelpersonen, die im Auftrag handeln und dabei gezielt einfache, aber wirksame Angriffe ausführen. Auch geopolitische Spannungen mit China könnten künftig zu einer Verstärkung von Wirtschaftsspionage und Sabotage führen, vor allem wenn wirtschaftliche Isolation oder Technologiebeschränkungen greifen. Zusätzlich besteht Potenzial in inländischen Bewegungen: Umweltaktivisten oder radikalisierte Gruppen können ebenfalls als Akteure auftreten, insbesondere wenn sie zunehmend frustriert über politische Untätigkeit werden.

Wie wichtig ist das Zusammenspiel von IT-Sicherheit und physischem Objektschutz zur Abwehr von hybriden Angriffen? 

Björn Hawlitschka: Ein effektiver Schutz vor hybriden Angriffen erfordert zwingend die Integration von IT-Sicherheit und physischem Objektschutz. Beide Bereiche müssen nicht nur technisch abgestimmt sein, sondern auch organisatorisch zusammenspielen. Moderne Sicherheitssysteme sollten der Lage sein, Einbruchmeldeanlage, Videoüberwachung, Zutrittskontrolle und Notstromversorgung in einem modularen und zentral steuerbaren Konzept umzusetzen.  In hybriden Angriffsszenarien ist es entscheidend, dass digitale Alarme auch zu physischen Reaktionen führen – zum Beispiel, dass eine Detektion an einem Zaun automatisch zu einer Intervention vor Ort führt. Ohne diese Verbindung entsteht ein gefährliches Reaktionsvakuum. 

Was sind Best Practices im Umgang mit Sabotage-Verdachtsfällen innerhalb eines Unternehmens? 

Björn Hawlitschka: Unternehmen sollten unbedingt über klare, gut kommunizierte Meldeketten verfügen. Mitarbeitende müssen wissen, wen sie bei einem Verdachtsmoment ansprechen können – und dass ihre Meldung ernst genommen wird. Zusätzlich ist es ratsam, bereits im Vorfeld Kontakte zu Sicherheitsbehörden wie dem Verfassungsschutz oder dem BKA zu pflegen, um im Ernstfall schnell reagieren zu können. Bei konkreten Vorfällen sollten externe Spezialisten wie IT-Forensiker oder Sicherheitsberater frühzeitig eingebunden werden. Wichtig ist auch, dass bei Unsicherheiten – etwa, wenn jemand auffällig fotografiert oder unbefugt Zutritt hat – lieber einmal zu viel als zu wenig reagiert wird. Ein professioneller Umgang mit solchen Situationen vermeidet Aktionismus und schafft Vertrauen. Unternehmen, die regelmäßig Krisenübungen durchführen, feste Notfallteams benennen und präventiv mit externen Partnern zusammenarbeiten, sind deutlich besser aufgestellt. Und: Eine gute Vorbereitung kostet zwar Geld – aber kein Vergleich zu den potenziellen Schäden einer gelungenen Sabotage.