Wenn wir auf die aktuelle Lage blicken – wie groß ist die Bedrohung durch Angriffe für Betreiber kritischer Infrastrukturen und betrifft das nur diese oder auch andere Unternehmen? 

Torsten Hiermann: Die Bedrohungslage hat sich in den letzten Monaten verändert und ist deutlich gestiegen. Bundeskanzler Friedrich Merz brachte es Ende September auf den Punkt: „Wir sind nicht im Krieg, aber wir sind auch nicht mehr im Frieden.“ Schädliche Manipulationen sind heute kein Randphänomen, sondern eine strategische Methode, um wirtschaftliche, politische oder auch gesellschaftliche Prozesse zu stören. Der Verfassungsschutz und das Bundesamt für Bevölkerungsschutz definieren dieses Vorgehen als bewusste Beeinträchtigung bis hin zur Zerstörung von Strukturen mit dem Ziel der Schwächung oder Einflussnahme. Wir sehen zudem, dass es nicht nur um den „klassischen“ Anschlag auf ein Gebäude geht, sondern auch um subtile Angriffe: Störungen von Lieferketten, gezielte Ausspähung, das Manipulieren von Wahrnehmungen  der Öffentlichkeit, die Verbreitung von Unsicherheit als Instrument politischer Willensbildung oder Staats ablehnender Haltungen. 

Die Täterlandschaft ist also breit gefächert. Wir kennen Angriffe auf Objekte aus dem Kontext von Terrorismus, aus extremistischen Milieus – gerade linksextremistische Gruppen neigen laut Polizeistatistik zu Anschlägen auf Infrastrukturen und liefern im Internet detaillierte Anleitungen, wie man Brandsätze baut. Wir sehen staatliche Akteure, die über sogenannte „Proxies“ arbeiten, also angeworbene Helfer, die auf den ersten Blick unauffällig erscheinen, in Wahrheit aber fremde Interessen verfolgen. Und wir dürfen die Gefahr aus dem Inneren nicht unterschätzen: Mitarbeiter, die frustriert sind oder sich ungerecht behandelt fühlen, können zu Saboteuren werden. 

Hinzu kommt, dass wir es heute mit hybriden Bedrohungen zu tun haben. Das bedeutet: Angriffe finden nicht nur physisch statt – etwa durch das Durchtrennen eines Kabels oder den Angriff auf eine Trafostation –, sondern sie kombinieren Cyberattacken, Social Engineering und klassisch, physische Angriffe. Täter greifen Daten ab, manipulieren Prozesse oder nutzen soziale Medien, um an Informationen zu kommen. Deshalb sage ich: Der Schutz von Objekten endet nicht am Zaun. 

Sie sprechen die Bedeutung von Informationen an. Können Sie das konkretisieren? 

Torsten Hiermann: Viele unterschätzen, wie wertvoll öffentlich zugängliche Informationen für einen potentiellen Angreifer sind. Social Media-Profileliefern interessante Informationen: In LinkedIn-Profilen steht häufig nicht nur, wo jemand arbeitet, sondern oft auch, an welchen Projekten und Technologien die Person beteiligt ist. Das ist für fremde Dienste ein hervorragendes Rekrutierungs- und Auswertungsinstrument. Und dass mit Google Earth vulnerable Punkte eines Standortes initial ausgewertet werden, ist nahezu ein alter Hut. 

Hinzu kommt eine Sorglosigkeit im Umgang mit internen Informationen. Ein reales Beispiel: In einem Objekt der kritischen Infrastruktur erhalten Handwerker und Dienstleister im Zuge der Sicherheitsunterweisung einen detaillierten Lageplan des Areals mit entsprechenden Anlagen-Bezeichnungen. Potenzielle Täter erhalten so eine präzise Grundlage für Angriffspunkt. Hier wird deutlich: Der Schutz vor Saboteuren heißt auch präventiver Informationsschutz. Welche Daten veröffentliche ich? Wie restriktiv gehe ich mit der Benennung von Ansprechpartnern um? Gibt es eine Social-Media-Policy? Und wie sensibilisiere ich Mitarbeiter, damit sie verstehen, dass sie selbst Teil der Sicherheitskette sind? 

Seit einiger Zeit rücken Drohnen als Sicherheitsrisiko stärker in den Fokus. Wie sehen Sie die Rolle des Luftraums im Gesamtkonzept? 

Torsten Hiermann: Die Bedrohung durch Drohnen hat eine neue Dimension erreicht. Sie filmen, sammeln Aufklärungsdaten beispielsweise von Abläufen oder Reaktionszeiten, zeichnen digitale Signaturen auf, transportieren Objekte, „Wirkmittel“, und können diese abwerfen. Der Ukrainekrieg hat gezeigt, wie rasant die Technologie und Einsatzmöglichkeiten voranschreiten.  

Dennoch plädiere ich für eine differenzierte Betrachtung. Nicht jedes Unternehmen muss sofort in teure Anti-Drohnen-Systeme investieren. Entscheidend ist die Risikoanalyse. Ein „normaler“ Produktionsbetrieb ohne hat ein geringeres Risiko als beispielsweise ein Energieversorger, ein Chemiestandort, ein Flughafen oder eine militärische Liegenschaft. Insbesondere KRITIS-Betreiber müssen den Luftraum heute in ihren Sicherheitskonzepten „mitdenken“. 

Dabei darf nicht vergessen werden: Oft hat eine Drohne ihre Aufgabe bereits erfüllt, bevor sie entdeckt wurde. Die Kernfragen lauten also nicht nur: Wie erkennen wir Drohnen und wie reagieren wir darauf? Vielmehr muss in der Sicherheitskonzeption aus Täterperspektive gedacht werden: Was wird eine Drohne sehen und an Informationen abgreifen können? Und wie verhindere ich das „am Boden“?  

Welche Gegenmaßnahmen empfehlen Sie konkret – organisatorisch und technisch? 

Torsten Hiermann: Es geht um einen ganzheitlichen Ansatz. Zuerst die organisatorische Seite: Film- und Fotografierverbote auf Betriebsgeländen, Schulungen für Mitarbeiter, Kontrolle von Fahrzeugen und Personen auf mitgeführte Gegenstände: Auch müssen Zutrittskontrollen zuverlässig und wirksam sein – je nach Schutzniveau auch über biometrisch Verfahren. Der Punkt ist: Wenn ich „unten“ am Tor nicht prüfe, ob ein Dienstleister etwas unerwünscht einbringt, brauche ich mir über Drohnen „oben“ keine Sorgen zu machen. 

Technisch haben wir eine breite Palette: Perimetersensoren, Videoüberwachung, Bewegungsmelder und solche gegen Manipulationen. Drohnendetektionssysteme können sinnvoll sein. In besonders kritischen Bereichen mag auch aktive Abwehr in Betracht kommen, etwa durch Störsender, Abfangdrohnen oder weitere Maßnahmen. Gleichzeitig ist es jedoch wichtig, über Resilienz nachzudenken: redundante Stromversorgung, Notstromaggregate, gesicherte Lieferketten. Business Continuity ist immer Teil des Gesamtschutzes! 

Welche Rolle spielt ein integriertes Alarm- und Sicherheitsmanagement in diesem Zusammenhang? 

Torsten Hiermann: Eine entscheidende. Wir können noch so viele Einzelmaßnahmen einführen – wenn sie nicht integriert sind, entsteht wieder ein Flickenteppich. Alle Vektoren müssen berücksichtigt werden, damit ein wirksames 360-Grad-Sicherheitskonzept entsteht. 

Heißt das, dass sich künftig alle Unternehmen, nicht nur KRITIS-Betreiber, intensiver mit Angriffen beschäftigen müssen? 

Torsten Hiermann: Das hängt von der Risikoanalyse und vom Schutzniveau ab: Ein Mittelständler im Maschinenbau hat möglicherweise nicht die gleiche Bedrohungskulisse wie zum Beispiel ein Netzbetreiber. Aber auch er kann durch physische oder Angriffe auf die IT lahmgelegt werden – denken Sie nur an Cyberattacken, gestörte Lieferketten oder an die Stromversorgung. Die Produktion in der Tesla Gigafactory wurde nicht durch eine hochkomplexe Operation lahmgelegt, sondern mit simplen Mitteln:  Ein Brandanschlag auf eine Versorgungsleitung. Es geht also um die Frage: Wie verwundbar bin ich? Wie resilient sind meine Prozesse? Und habe ich Vorkehrungen getroffen, um bei einem Angriff handlungsfähig zu bleiben oder den Schaden zu minimieren? 

Genau da setzt das Thema Business Continuity an. Ein Gesamtschutz ist nicht nur Abwehr, sondern auch Vorbereitung. Und er verlangt, dass Unternehmen nicht nur den physischen Perimeter sehen, sondern Informationsschutz, Social Engineering, IT-Sicherheit und den Luftraum gleichermaßen berücksichtigen. 

Geopolitik, hybride Bedrohungen in Unternehmen und verwundbare Lieferketten – Unternehmenssicherheit ist heute strategischer denn je. Im Interview gibt Björn Hawlitschka von der MACONIA GmbH Einblicke in aktuelle Bedrohungsszenarien – und praxisnahe Empfehlungen. 

Herr Hawlitschka, inwiefern sind Unternehmen heute stärker von geopolitischen Risiken betroffen als noch vor zehn Jahren? 

Björn Hawlitschka: Ich habe Politikwissenschaft studiert und war dann lange an der Bundesakademie für Sicherheitspolitik tätig. Bereits dort haben wir mit einem erweiterten Sicherheitsbegriff gearbeitet, bei dem Vernetzung und strategisches Denken eine große Rolle spielen. Heute merken wir deutlich, dass geopolitische Risiken komplexer geworden sind. Früher konnten sich Unternehmen den Luxus leisten, IT und physische Sicherheit strikt zu trennen – das ist heute unvorstellbar. Konflikte wie der Ukraine-Krieg, die Pandemie oder Lieferkettenprobleme haben uns gezeigt, wie anfällig unsere Systeme sind. Schon ein querstehender Frachter im Suezkanal reicht, um ganze Produktionsketten lahmzulegen. 

Warum geraten kritische Infrastrukturen und Unternehmen zunehmend ins Visier von Staaten oder nichtstaatlichen Akteuren? 

Björn Hawlitschka: Wir beobachten zwei Stränge: Einerseits klassische, wirtschaftlich motivierte Cyberkriminalität – wie bei dem Darkside-Angriff auf die Colonial Pipeline 2021. Andererseits aber auch zunehmend politisch motivierte Sabotage. Beide Stränge sind gefährlich. Besonders perfide wird es, wenn Unternehmen hybriden Bedrohungen ausgesetzt sind, also physische und digitale Sabotage kombiniert werden. Die Motivation reicht von wirtschaftlicher Erpressung bis hin zur gezielten Destabilisierung ganzer Gesellschaften. 

Welche Branchen sind besonders gefährdet, und welche Bedrohungsszenarien sehen Sie aktuell als besonders kritisch? 

Björn Hawlitschka: Natürlich sind klassische Branchen wie Energie, Chemie oder Tech besonders im Fokus. Aber auch kleinere, mittelständische Unternehmen oder kommunale Einrichtungen sind angreifbar – zum Beispiel durch Ransomware. Besonders kritisch ist, wenn bei solchen Angriffen Sozialleistungen nicht mehr ausgezahlt werden können. Das untergräbt das Vertrauen in den Staat und kann gesellschaftliche Spannungen verstärken. 

Sehen Sie einen Trend zur gezielten hybriden Bedrohung der Unternehmen, also der Kombination aus physischer Sabotage und Cyberangriffen? 

Björn Hawlitschka: Absolut. In der Ukraine haben wir bereits 2015 die Kombination aus Cyberangriffen und physischen Sabotageakten gesehen. Die Form der hybriden Bedrohung wird zunehmen, weil sie besonders effektiv ist. 

Welche grundlegenden Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um sich gegen digitale Bedrohungen abzusichern? 

Björn Hawlitschka: Wichtig ist eine solide Risikoanalyse, die alle Geschäftsprozesse abbildet. Dazu gehört zuvor die Business Impact Analyse: Welche Prozesse sind besonders kritisch? Wie lange dürfen sie ausfallen? Und: Patchmanagement! Das klingt banal, aber viele Schwachstellen entstehen, weil verfügbare Sicherheitsupdates nicht eingespielt wurden. Auch Sensibilisierung der Mitarbeitenden spielt eine große Rolle – denn der Mensch ist sowohl größte Schwachstelle als auch wichtigste Ressource. 

Wie lassen sich physische Sicherheitsmaßnahmen effektiv mit Cyberabwehrstrategien verzahnen? 

Björn Hawlitschka: Der Zero-Trust-Ansatz ist hier sehr hilfreich – nicht nur in der IT, sondern auch physisch: Niemandem blind vertrauen, auch wenn jemand im Gebäude ist. Awareness muss in allen Bereichen geschult werden. Viele Firmen schützen den äußeren Ring sehr gut – aber sobald jemand drinnen ist, kann er sich frei bewegen. Das ist ein Risiko. 

Gibt es Best Practices oder konkrete Beispiele aus der Unternehmenswelt, die als Vorbild für Sicherheitsstrategien dienen können? 

Björn Hawlitschka: Microsoft mit seinem Zero-Trust-Modell ist ein gutes Beispiel. Oder Toyota, die nach Fukushima ihre Lieferkettenstrategien überarbeitet haben und heute mit mehr Redundanz planen. Wichtig ist, dass man nicht nur reaktiv ist, sondern aus Krisen lernt. 

Welche Maßnahmen würden Sie Unternehmen empfehlen, die erst am Anfang einer professionellen Sicherheitsstrategie stehen? 

Björn Hawlitschka: Der erste Schritt ist: die eigenen Prozesse kennen. Ohne zu wissen, wie die eigene „Burg“ aussieht, kann man sie auch nicht schützen. Dann folgt eine Business Impact Analyse. Und schließlich sollte man realistische Notfallübungen durchführen. Auch Red Team Tests – also externe Angriffe zur Schwachstellenerkennung – sind sehr empfehlenswert. 

Wie sollten Unternehmen mit der Herausforderung umgehen, dass Sicherheitsmaßnahmen oft als Kostenfaktor und nicht als Investition betrachtet werden? 

Björn Hawlitschka: Ich empfehle zwei Rechenmodelle: Erstens – wie teuer wäre ein realer Schaden? Zweitens – welche Geschäfte entgehen mir, wenn ich keine Zertifizierungen oder ISMS/BCM-Systeme vorweisen kann? Immer mehr Kunden – gerade aus der Bankenwelt – verlangen Sicherheitsnachweise. Wer da nichts vorzuweisen hat, verliert Aufträge. 

Welche physischen Sicherheitsmaßnahmen sind besonders wichtig für Unternehmen mit verteilten Standorten oder hybriden Arbeitsmodellen? 

Björn Hawlitschka: Bei mehreren Standorten sollte klar geregelt sein, wer in welcher Situation zuständig ist – insbesondere ab welcher Vorfallschwere die „Zentrale“ übernimmt: Bereits im Notfall oder erst in einer Krise? Es braucht dazu definierte Eskalationsstufen. Und natürlich auch regelmäßige Notfallübungen – sowohl lokal als auch zentral. Wichtig ist: Auch kleine Vorfälle können große Auswirkungen haben. Deshalb ist Vorbereitung alles. 

Sicherheit beginnt mit dem richtigen System. NOX-Systeme stehen für flexible und wirtschaftliche Lösungen – für Sicherheitsinfrastrukturen, die mit Ihren Anforderungen wachsen. > Mehr erfahren