Sabotageakte gehören zu den unterschätzten, aber folgenschwersten Bedrohungen für Unternehmen und Organisationen. Sie sind oft schwer vorhersehbar, kommen unerwartet – und hinterlassen tiefgreifende Spuren. Während Cyberangriffe durch Ransomware oder Phishing medial präsent sind, geraten physische Sabotageakte leicht aus dem Blick. Dabei nehmen gerade die hybriden Bedrohungen – digitale und physische Angriffe – zunehmend zu. Was Unternehmen heute wissen und beachten müssen, um sich wirksam zu schützen, beleuchtet Björn Hawlitschka von der MACONIA GmbH im Interview. 

Herr Hawlitschka, Welche Formen von Sabotage – physisch oder digital – treten heute am häufigsten auf? 

Björn Hawlitschka: Digitale Sabotageakte haben laut dem Digitalverband Bitkom in den letzten Jahren deutlich zugenommen. Ransomware, Phishing, gezielte Malware-Infektionen und andere Formen der Cyberkriminalität sind für Täter oft deutlich einfacher umzusetzen als physische Angriffe. Sie erfordern keine physische Präsenz, lassen sich weltweit anonym steuern und können mit vergleichsweise geringem Risiko durchgeführt werden. Die Zunahme von Homeoffice und die weitreichende Vernetzung sensibler Systeme haben diese Entwicklung zusätzlich befeuert. Das bedeutet aber nicht, dass physische Sabotageakte an Bedeutung verlieren – im Gegenteil: Sie sind zwar seltener, haben aber oft weitreichendere Auswirkungen, insbesondere wenn es um kritische Infrastrukturen geht. Ein Beispiel dafür ist der mutmaßlich linksextremistisch motivierte Brandanschlag auf das Tesla-Werk in Grünheide, der erhebliche Auswirkungen auf die Stromversorgung hatte. 

Warum sind die hybriden Angriffe besonders gefährlich? 

Björn Hawlitschka: Hybride Angriffe, bei denen digitale und physische Sabotageformen kombiniert werden, stellen eine besonders raffinierte und gefährliche Bedrohung dar. Der digitale Teil eines Angriffs kann etwa der Aufklärung dienen – indem Grundrisse ausgelesen, Alarmanlagen deaktiviert oder Zutrittskontrollen manipuliert werden. Diese digitalen Schwachstellen eröffnen den Weg für physische Aktionen, bei denen dann gezielt Schaden angerichtet wird. Ein Cyberangriff wird somit zur „Eintrittskarte“ für eine analoge Attacke. Angreifer nutzen diesen synergetischen Effekt, um die Wirkung zu maximieren und gleichzeitig Abwehrmechanismen zu unterlaufen, die oft auf nur eine Angriffsart ausgerichtet sind. 

Welche Schwachstellen innerhalb eines Unternehmens begünstigen hybride Angriffe? 

Björn Hawlitschka: Ein zentraler Schwachpunkt vieler Organisationen ist die einseitige Fokussierung: entweder IT-Sicherheit oder physischen Schutz. Wer nur Firewalls und Antivirenprogramme pflegt, aber keine Zutrittskontrolle hat, öffnet Angreifern physisch Tür und Tor – und umgekehrt. Oft fehlen auch grundlegende organisatorische Strukturen wie ein funktionierender Krisenstab oder definierte Notfallprozesse. Solche Versäumnisse machen es Angreifern leicht, durch gezielte Aktionen Chaos zu stiften. Auch das Fehlen klarer Meldewege und Verantwortlichkeiten erschwert die Reaktion auf verdächtige Vorgänge erheblich. Letztlich ist es die Fragmentierung der Sicherheitsorganisation, die viele Unternehmen angreifbar macht. 

Wie lässt sich der Mensch als potenzielle Schwachstelle gegen Sabotage absichern? 

Björn Hawlitschka: Der Mensch ist – trotz aller Technik – nach wie vor eine der größten Schwachstellen im Sicherheitssystem. Doch er kann auch zur stärksten Verteidigungslinie werden, wenn er entsprechend eingebunden ist. Entscheidend ist hier eine gelebte Sicherheitskultur: Mitarbeitende müssen wissen, wie sie sich verhalten sollen, welche Risiken existieren und wo sie sich bei Verdachtsmomenten hinwenden können. Nur wenn das nötige Mindestmaß an Sicherheitsbewusstsein im Alltag verankert ist – wenn es also normal ist, einen Unbekannten auf dem Flur anzusprechen oder den Bildschirm beim Verlassen des Schreibtisches zu sperren – entsteht eine echte Schutzwirkung. Gleichzeitig ist es wichtig, Awareness-Programme nicht nur auf IT-Themen zu beschränken. Auch physische Sicherheitsaspekte wie Besucherregeln, USB-Port-Schutz oder Sichtschutz für sensible Bereiche müssen regelmäßig trainiert und kommuniziert werden. Technische Maßnahmen wie Zutrittskontrollen oder Videoüberwachung sind wichtig, aber ohne die Aufmerksamkeit der Mitarbeitenden nicht ausreichend. 

Welche Rolle spielt die geopolitische Lage bei der Zunahme von Sabotageakten? 

Björn Hawlitschka: Die aktuelle weltpolitische Lage trägt massiv zur Eskalation der Sabotagegefahr bei. Der russische Angriffskrieg auf die Ukraine markiert eine neue Eskalationsstufe, bei der auch gezielt westliche Infrastrukturen ins Visier genommen werden – ob durch staatlich gesteuerte Hackergruppen wie APT28 oder durch verdeckt operierende Agenten. Dabei kommt es immer häufiger zum Einsatz sogenannter „Low-Level-Agenten“: keine ausgebildeten Spione, sondern Einzelpersonen, die im Auftrag handeln und dabei gezielt einfache, aber wirksame Angriffe ausführen. Auch geopolitische Spannungen mit China könnten künftig zu einer Verstärkung von Wirtschaftsspionage und Sabotage führen, vor allem wenn wirtschaftliche Isolation oder Technologiebeschränkungen greifen. Zusätzlich besteht Potenzial in inländischen Bewegungen: Umweltaktivisten oder radikalisierte Gruppen können ebenfalls als Akteure auftreten, insbesondere wenn sie zunehmend frustriert über politische Untätigkeit werden.

Wie wichtig ist das Zusammenspiel von IT-Sicherheit und physischem Objektschutz zur Abwehr von hybriden Angriffen? 

Björn Hawlitschka: Ein effektiver Schutz vor hybriden Angriffen erfordert zwingend die Integration von IT-Sicherheit und physischem Objektschutz. Beide Bereiche müssen nicht nur technisch abgestimmt sein, sondern auch organisatorisch zusammenspielen. Moderne Sicherheitssysteme sollten der Lage sein, Einbruchmeldeanlage, Videoüberwachung, Zutrittskontrolle und Notstromversorgung in einem modularen und zentral steuerbaren Konzept umzusetzen.  In hybriden Angriffsszenarien ist es entscheidend, dass digitale Alarme auch zu physischen Reaktionen führen – zum Beispiel, dass eine Detektion an einem Zaun automatisch zu einer Intervention vor Ort führt. Ohne diese Verbindung entsteht ein gefährliches Reaktionsvakuum. 

Was sind Best Practices im Umgang mit Sabotage-Verdachtsfällen innerhalb eines Unternehmens? 

Björn Hawlitschka: Unternehmen sollten unbedingt über klare, gut kommunizierte Meldeketten verfügen. Mitarbeitende müssen wissen, wen sie bei einem Verdachtsmoment ansprechen können – und dass ihre Meldung ernst genommen wird. Zusätzlich ist es ratsam, bereits im Vorfeld Kontakte zu Sicherheitsbehörden wie dem Verfassungsschutz oder dem BKA zu pflegen, um im Ernstfall schnell reagieren zu können. Bei konkreten Vorfällen sollten externe Spezialisten wie IT-Forensiker oder Sicherheitsberater frühzeitig eingebunden werden. Wichtig ist auch, dass bei Unsicherheiten – etwa, wenn jemand auffällig fotografiert oder unbefugt Zutritt hat – lieber einmal zu viel als zu wenig reagiert wird. Ein professioneller Umgang mit solchen Situationen vermeidet Aktionismus und schafft Vertrauen. Unternehmen, die regelmäßig Krisenübungen durchführen, feste Notfallteams benennen und präventiv mit externen Partnern zusammenarbeiten, sind deutlich besser aufgestellt. Und: Eine gute Vorbereitung kostet zwar Geld – aber kein Vergleich zu den potenziellen Schäden einer gelungenen Sabotage. 

Die Bedrohungslage für die Wirtschaft und Institutionen ist in den letzten Jahren deutlich gestiegen. Opfer von Sabotage, Wirtschaftsspionage oder Ransomware-Attacken zu werden, zählt mittlerweile zu den häufigsten Risiken. Gerade die Unternehmen, die zu den KRITIS-Einrichtungen gehören, müssen gesetzesseitig besondere Vorkehrungen treffen, um sich gegen Angriffe und Ausfälle aller Art zu schützen. Torsten Hiermann von CriseConsult gibt im Interview wichtige Einblicke in die Herausforderungen, denen sich Unternehmen in Bezug auf physische und Cybersicherheit gegenübersehen.

Ganzheitliche Sicherheitskonzepte als Grundlage einer wirksamen KRITIS-Strategie 

Warum ist ein 360-Grad-Sicherheitsansatz in KRITIS so entscheidend? Wo erleben Sie in der Praxis, dass Sicherheitsmaßnahmen isoliert betrachtet werden, ohne das große Ganze einzubeziehen? 

Torsten Hiermann: Der 360-Grad-Ansatz ist immer entscheidend – besonders, wenn es um den Schutz von Unternehmenswerten oder sogar um die Sicherheit von Menschen geht. Dabei bedeutet 360 Grad nicht, dass alle Bereiche das gleiche Sicherheitsniveau benötigen. Schutzziele und Maßnahmen können durchaus unterschiedlich sein, selbst innerhalb eines Unternehmens oder Areals. Entscheidend ist jedoch, Sicherheit ganzheitlich und integriert zu betrachten. Ein Beispiel aus der Praxis wäre, dass Unternehmen umfangreich über Drohnendetektion und -abwehr nachdenken, andererseits aber die Fahrzeuge von Handwerksunternehmen mehr oder weniger unkontrolliert auf das Firmengelände gelassen werden. Das passt nicht zusammen und zeigt, warum eine isolierte Betrachtung von Sicherheitsmaßnahmen nicht zielführend ist. 

Welche typischen Schwachstellen in der physischen Sicherheit haben Sie beobachtet? Wie oft sind diese auf fehlende Integration mit anderen Sicherheitsbereichen zurückzuführen? 

Torsten Hiermann: Technisch gesehen gibt es ausreichend wirksame Maßnahmen zur physischen Absicherung. Schwachstellen entstehen in der Praxis häufig durch zwei Hauptfaktoren: mangelnde Security-Awareness und fehlende Investitionsbereitschaft. Die Awareness ist hier besonders entscheidend, denn sie bestimmt, ob und wie konsequent ein Unternehmen seine Werte professionell und auf zeitgemäßem Niveau schützt. Wichtig ist dabei, realistisch zu bleiben: Nicht alle theoretisch möglichen Maßnahmen sind wirtschaftlich sinnvoll. Ein 360-Grad-Ansatz bedeutet vielmehr, gezielt Risikobetrachtungen vorzunehmen. Ein typisches Praxisbeispiel:  

Unternehmen sensibilisieren Mitarbeiter intensiv für Social Engineering. Gleichzeitig sind Mitarbeiterparkplätze offen zugänglich oder Parkausweise signalisieren potenziellen Angreifern, dass dieses Auto zu einem Beschäftigten der Firma XY gehört. Die Zuordnung eines privaten Fahrzeugs zu einem Mitarbeiter eines Unternehmens macht aus dem Fahrzeug ein Ziel: Firmenausweis, Transponder, Laptop . . .   Unternehmenssicherheit beginnt nicht am Perimeter, sondern samstags auf dem Parkplatz am Baumarkt. Hier wird nämlich im Zweifelsfall aus einer zufälligen Begegnung ein „Target“, weil der schwarze Audi A6 über die Parkplakette oder auch den beschrifteten Kennzeichenhalter signalisiert: Hier steht das Fahrzeug eines Mitarbeiters in gehobener Funktion der Firma XY. Oder aus der Täterperspektive betrachtet: Die Person, die in den Wagen ein- oder aussteigt, ist meine Person of Interest . . . 

Herausforderungen und Schlüsselfaktoren bei der Umsetzung von KRITIS-Anforderungen 

Wie gut sind KRITIS-Betreiber auf die neuen Anforderungen des KRITIS-Dachgesetzes und NIS2 vorbereitet? Wo sehen Sie die größten Herausforderungen in der Umsetzung? 

Torsten Hiermann: Ich sehe hier weniger eine Herausforderung als vielmehr einen deutlichen Mehraufwand. Und wenn wir einen Blick werfen auf das, was geschützt werden soll, dann geht es letztlich um Business Continuity, also um die Absicherung unternehmerischer Aktivitäten. Wichtig wird daher sein, welche konkreten Vorgaben und Fristen seitens des Gesetzgebers gesetzt werden. Die Anforderungen des KRITIS-Dachgesetzes und von NIS2 sind verständlicherweise invasiv – dies ist angesichts vielfältiger aktueller Bedrohungslagen auch notwendig. Es muss aber ein angemessener Maßstab und ein angemessener Zeitraum zur Umsetzung von Maßnahmen zur Verfügung stehen. 

Inwiefern stellt die Trennung zwischen IT-Sicherheit und physischer Sicherheit ein Problem dar? Sehen Sie hier ein strukturelles Defizit? 

Torsten Hiermann: IT-Sicherheit und physische Sicherheit sind zwei eigenständige Bereiche mit unterschiedlichen Ansätzen und Anforderungen. Beide Bereiche verlangen spezifische Risikobewertungen, Maßnahmen und Reaktionsstrukturen. Entscheidend ist jedoch, dass diese Bereiche letztendlich ineinandergreifen müssen. Eine ganzheitliche Betrachtung bedeutet nicht, dass es eine allmächtige übergeordnete Corporate Security oder einen allmächtigen CISO (Chief Information Security Officer) geben muss. Unstrittig dürfte aber sein: Komplexen Bedrohungslagen begegnet man idealerweise mit integrierten Sicherheitskonzepten. Die Sicherheit einer Organisation wird bestimmt von einem ganzheitlichen Ansatz. Sicherheit ist eine Gemeinschaftsaufgabe, die im Übrigen bereits damit beginnt, „Tailgating“ (unberechtigtes Zutrittserschleichen) zu verhindern. 

Welche Best Practices haben Sie für die praktische Umsetzung eines ganzheitlichen Sicherheitsansatzes in KRITIS? Gibt es konkrete Maßnahmen oder Checklisten, die sich bewährt haben? 

Torsten Hiermann: Ich empfehle einen Blick auf die Schutzmaßnahmen im Bundeskanzleramt. Aber ernsthaft: Je nach Bedrohungslage und Schutzzielen sind Sicherheitskonzepte so komplex, dass einfache Checklisten nicht mehr ausreichen. Je höher die KRITIS-Anforderungen, desto sinnvoller ist es, Sicherheitsberater oder Fachplaner einzubeziehen. Man kann das gut mit Spezialkliniken vergleichen: Die Erfahrung und Expertise unterscheiden sich erheblich zwischen Kliniken, die wenige und jenen, die viele spezialisierte Eingriffe durchführen. 

Gibt es eine Fehleinschätzung, die Ihnen immer wieder begegnet, wenn es um Sicherheit in KRITIS geht? 

Torsten Hiermann: Die grundlegendste Fehleinschätzung resultiert daraus, dass aufgrund fehlender Evidenz die Notwendigkeit von integrierten Sicherheitsmaßnahmen nicht gesehen wird, nach dem Motto „Es ist bisher ja nichts passiert“. Während diese Haltung in weniger kritischen Bereichen vertretbar sein mag, müssen KRITIS-Unternehmen deutlich strengere Maßstäbe anlegen.  Sicherheit darf nicht reaktiv sein, sondern muss präventiv und strategisch geplant werden. 

Welche Technologien oder neuen Sicherheitskonzepte halten Sie für besonders zukunftsweisend? 

Torsten Hiermann: Entscheidend sind die Vernetzung und Integration von Systemen, Detektion und Aktion werden stärker miteinander verbunden, auch durch den Einsatz Künstlicher Intelligenz. Allerdings zeigen Erfahrungen, dass professionelle Angreifer immer neue Wege suchen und finden werden. Wenn die technischen Sicherheitsmaßnahmen sehr hoch sind, kann die Sicherheitskultur im Unternehmen zur Schwachstelle werden – und umgekehrt. Auch hier gilt erneut: Der 360-Grad-Ansatz ist alternativlos. 

Was sind Ihre drei wichtigsten Empfehlungen für KRITIS-Betreiber, um ihre Sicherheitsstrategie nachhaltiger und effektiver zu gestalten? 

Torsten Hiermann: Nachhaltig steht für dauerhaft wirksam. Und effektiv heißt: es muss auch wirken. Spontan agierende Täter lassen sich abschrecken. Professionell agierende Täter passen ihre Strategien an. Im Umkehrschluss bedeutet dies: Sicherheitsmaßnahmen müssen gespiegelt am jeweiligen Schutzziel State-of-the-Art sein und immer wieder neu an aktuellen Risikoanalysen und Bedrohungsszenarien ausgerichtet werden. Sicherheit ist ein Prozess. Keine Stand-alone-Technologie und kein statisches Konzept

NOX SYSTEMS begleitet KRITIS-Betreiber, Planer und Errichter mit integrierbaren Sicherheitslösungen – für eine Sicherheitsarchitektur, die mitdenkt.  > Unsere Lösungen

Geopolitik, hybride Bedrohungen in Unternehmen und verwundbare Lieferketten – Unternehmenssicherheit ist heute strategischer denn je. Im Interview gibt Björn Hawlitschka von der MACONIA GmbH Einblicke in aktuelle Bedrohungsszenarien – und praxisnahe Empfehlungen. 

Herr Hawlitschka, inwiefern sind Unternehmen heute stärker von geopolitischen Risiken betroffen als noch vor zehn Jahren? 

Björn Hawlitschka: Ich habe Politikwissenschaft studiert und war dann lange an der Bundesakademie für Sicherheitspolitik tätig. Bereits dort haben wir mit einem erweiterten Sicherheitsbegriff gearbeitet, bei dem Vernetzung und strategisches Denken eine große Rolle spielen. Heute merken wir deutlich, dass geopolitische Risiken komplexer geworden sind. Früher konnten sich Unternehmen den Luxus leisten, IT und physische Sicherheit strikt zu trennen – das ist heute unvorstellbar. Konflikte wie der Ukraine-Krieg, die Pandemie oder Lieferkettenprobleme haben uns gezeigt, wie anfällig unsere Systeme sind. Schon ein querstehender Frachter im Suezkanal reicht, um ganze Produktionsketten lahmzulegen. 

Warum geraten kritische Infrastrukturen und Unternehmen zunehmend ins Visier von Staaten oder nichtstaatlichen Akteuren? 

Björn Hawlitschka: Wir beobachten zwei Stränge: Einerseits klassische, wirtschaftlich motivierte Cyberkriminalität – wie bei dem Darkside-Angriff auf die Colonial Pipeline 2021. Andererseits aber auch zunehmend politisch motivierte Sabotage. Beide Stränge sind gefährlich. Besonders perfide wird es, wenn Unternehmen hybriden Bedrohungen ausgesetzt sind, also physische und digitale Sabotage kombiniert werden. Die Motivation reicht von wirtschaftlicher Erpressung bis hin zur gezielten Destabilisierung ganzer Gesellschaften. 

Welche Branchen sind besonders gefährdet, und welche Bedrohungsszenarien sehen Sie aktuell als besonders kritisch? 

Björn Hawlitschka: Natürlich sind klassische Branchen wie Energie, Chemie oder Tech besonders im Fokus. Aber auch kleinere, mittelständische Unternehmen oder kommunale Einrichtungen sind angreifbar – zum Beispiel durch Ransomware. Besonders kritisch ist, wenn bei solchen Angriffen Sozialleistungen nicht mehr ausgezahlt werden können. Das untergräbt das Vertrauen in den Staat und kann gesellschaftliche Spannungen verstärken. 

Sehen Sie einen Trend zur gezielten hybriden Bedrohung der Unternehmen, also der Kombination aus physischer Sabotage und Cyberangriffen? 

Björn Hawlitschka: Absolut. In der Ukraine haben wir bereits 2015 die Kombination aus Cyberangriffen und physischen Sabotageakten gesehen. Die Form der hybriden Bedrohung wird zunehmen, weil sie besonders effektiv ist. 

Welche grundlegenden Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um sich gegen digitale Bedrohungen abzusichern? 

Björn Hawlitschka: Wichtig ist eine solide Risikoanalyse, die alle Geschäftsprozesse abbildet. Dazu gehört zuvor die Business Impact Analyse: Welche Prozesse sind besonders kritisch? Wie lange dürfen sie ausfallen? Und: Patchmanagement! Das klingt banal, aber viele Schwachstellen entstehen, weil verfügbare Sicherheitsupdates nicht eingespielt wurden. Auch Sensibilisierung der Mitarbeitenden spielt eine große Rolle – denn der Mensch ist sowohl größte Schwachstelle als auch wichtigste Ressource. 

Wie lassen sich physische Sicherheitsmaßnahmen effektiv mit Cyberabwehrstrategien verzahnen? 

Björn Hawlitschka: Der Zero-Trust-Ansatz ist hier sehr hilfreich – nicht nur in der IT, sondern auch physisch: Niemandem blind vertrauen, auch wenn jemand im Gebäude ist. Awareness muss in allen Bereichen geschult werden. Viele Firmen schützen den äußeren Ring sehr gut – aber sobald jemand drinnen ist, kann er sich frei bewegen. Das ist ein Risiko. 

Gibt es Best Practices oder konkrete Beispiele aus der Unternehmenswelt, die als Vorbild für Sicherheitsstrategien dienen können? 

Björn Hawlitschka: Microsoft mit seinem Zero-Trust-Modell ist ein gutes Beispiel. Oder Toyota, die nach Fukushima ihre Lieferkettenstrategien überarbeitet haben und heute mit mehr Redundanz planen. Wichtig ist, dass man nicht nur reaktiv ist, sondern aus Krisen lernt. 

Welche Maßnahmen würden Sie Unternehmen empfehlen, die erst am Anfang einer professionellen Sicherheitsstrategie stehen? 

Björn Hawlitschka: Der erste Schritt ist: die eigenen Prozesse kennen. Ohne zu wissen, wie die eigene „Burg“ aussieht, kann man sie auch nicht schützen. Dann folgt eine Business Impact Analyse. Und schließlich sollte man realistische Notfallübungen durchführen. Auch Red Team Tests – also externe Angriffe zur Schwachstellenerkennung – sind sehr empfehlenswert. 

Wie sollten Unternehmen mit der Herausforderung umgehen, dass Sicherheitsmaßnahmen oft als Kostenfaktor und nicht als Investition betrachtet werden? 

Björn Hawlitschka: Ich empfehle zwei Rechenmodelle: Erstens – wie teuer wäre ein realer Schaden? Zweitens – welche Geschäfte entgehen mir, wenn ich keine Zertifizierungen oder ISMS/BCM-Systeme vorweisen kann? Immer mehr Kunden – gerade aus der Bankenwelt – verlangen Sicherheitsnachweise. Wer da nichts vorzuweisen hat, verliert Aufträge. 

Welche physischen Sicherheitsmaßnahmen sind besonders wichtig für Unternehmen mit verteilten Standorten oder hybriden Arbeitsmodellen? 

Björn Hawlitschka: Bei mehreren Standorten sollte klar geregelt sein, wer in welcher Situation zuständig ist – insbesondere ab welcher Vorfallschwere die „Zentrale“ übernimmt: Bereits im Notfall oder erst in einer Krise? Es braucht dazu definierte Eskalationsstufen. Und natürlich auch regelmäßige Notfallübungen – sowohl lokal als auch zentral. Wichtig ist: Auch kleine Vorfälle können große Auswirkungen haben. Deshalb ist Vorbereitung alles. 

Sicherheit beginnt mit dem richtigen System. NOX-Systeme stehen für flexible und wirtschaftliche Lösungen – für Sicherheitsinfrastrukturen, die mit Ihren Anforderungen wachsen. > Mehr erfahren