Start
/
Security Blog
/

Resiliente Sicherheitsarchitekturen – Anforderungen für kritische Infrastrukturen

KRITIS-Anforderungen wie NIS2 und DORA erhöhen den Druck. Erfahren Sie, wie physische, technische und IT/OT-Sicherheit integriert werden, um Verfügbarkeit nachhaltig zu sichern.

Inhalt

KRITIS unter Druck: Warum Sicherheitsarchitektur jetzt entscheidend ist

Angriffe auf kritische Infrastrukturen sind längst keine isolierten Ereignisse mehr. Sie führen zu realen Auswirkungsketten: Produktionsstillstände, Versorgungsunterbrechungen, physische Schäden.

Parallel dazu steigt der regulatorische Druck: Mit NIS2, dem KRITIS-Dachgesetz und Vorgaben wie DORA ist Resilienz zur verbindlichen Anforderung geworden.

Das Problem: Die Ziele sind definiert – der Weg dorthin bleibt oft offen.

Die zentrale Frage für Betreiber kritischer Infrastrukturen lautet daher:
Wie entsteht aus regulatorischen Anforderungen eine funktionierende Sicherheitsarchitektur, die Verfügbarkeit wirklich sicherstellt?

Verfügbarkeit ist der Maßstab jeder KRITIS-Sicherheitsarchitektur

KRITIS-Sicherheit: Verfügbarkeit systematisch sichern – durch das integrierte Zusammenspiel von physischer, technischer und organisatorischer Sicherheit entlang von IT- und OT-Strukturen.

Sicherheit ist kein Selbstzweck – Verfügbarkeit ist das Ziel

Der zentrale Denkfehler vieler Organisationen: Sicherheit wird als Schutzglocke verstanden – nicht als Verfügbarkeitsstrategie.

Dabei ist das Ziel eindeutig: Ein störungsfreier Betrieb kritischer Prozesse muss jederzeit gewährleistet sein.

Das verändert die Perspektive:

  • Sicherheit = Unternehmens- und Verfügbarkeitsanker
  • Verfügbarkeit ist kein isoliertes Thema, sondern es braucht
  • das Zusammenspiel der aller Sicherheits- und Betriebsbausteine.

Physische, technische und IT/OT-Sicherheit folgen der gleichen Logik

Ein entscheidender Insight aus der Praxis:

Es gibt keinen grundlegend unterschiedlichen Schutzansatz für physische und IT-Sicherheit – nur andere Mittel.

Das bedeutet:

  • gleiche Methodik
  • gleiche Struktur
  • gleiche Zielsetzung

Nur die Werkzeuge unterscheiden sich:

  • bauliche Barrieren vs. Firewalls
  • Zutrittskontrolle vs. Berechtigungsmanagement
  • Videoüberwachung vs. Monitoring

Ohne IT/OT-Verständnis ist moderne Sicherheit nicht mehr möglich

Moderne Gebäude und kritische Infrastrukturen sind längst IT-basiert:

  • Zutrittskontrolle
  • Videoüberwachung
  • Gebäudeautomation
  • Leitstellen, Sicherheitsmanagement

All diese Systeme sind Bestandteile einer vernetzten Operational Technology (OT).

Die Konsequenz:
Physische Sicherheit existiert nicht mehr ohne IT – und IT nicht mehr ohne physische Rahmenbedingungen.

Integration statt Einzelmaßnahmen: Die größte Schwachstelle in der Praxis

Viele Sicherheitskonzepte scheitern nicht an fehlender Technik, sondern an fehlender Integration.

Typische Brüche:

  • keine risiko- und schutzzielbasierte Maßnahmenanalysen
  • keine alarm- und ereignisbasiertes Alarmmanagement
  • Sicherheitskonzepte ohne Einbindung in ein OT-Sicherheitskonzept
  • aber auch umgekehrt: OT-Systeme ohne physische Konzeptbasis
  • Redundanzen ohne Gesamtstrategie

Die Zielarchitektur muss sein:
Defense-in-Depth – Sicherheit in Zonen, Ebenen und Übergängen gedacht.

Von der Risikoanalyse zur belastbaren Sicherheitskonzeption

Eine belastbare Sicherheitsarchitektur entsteht nicht durch Einzelmaßnahmen, sondern durch ein strukturiertes Vorgehen.

1. Kritische Werte, Prozesse und Abhängigkeiten identifizieren

  • Welche Funktionen sind geschäftskritisch?
  • Welche Systeme tragen diese Funktionen?
  • Welche Abhängigkeiten bestehen (IT, OT, Energie, Infrastruktur)?

2. Prozesse, Ausfallszenarien und Gefährdungen bewerten

Die zentrale Perspektive:
Was passiert, wenn etwas ausfällt?

Hier setzt die Business Impact Analyse (BIA) an:

  • Erkennen der unternehmenskritischen Funktionen, Abläufe und Prozesse
  • Bewerten dieser gem. Ausfallrelevanz
  • Gegenmaßnahmen, und …
  • relevant für das Sicherheitsmanagement:
    Betrachten und behandeln dieser im Kontext von physischer und IT/OT-Security

3. Schutzziele und Bedrohungsszenarien definieren

Typische Zielgrößen einer KRITIS-Sicherheitsarchitektur:

  • Verfügbarkeit, Unversehrtheit, Compliance
  • Abschrecken, Vorbeugen, Abwehren, Wiederherstellung
  • Belastbarkeit (Resilienz)

Beispiel:
Eine zentrale Kenngröße im Security-Management ist die Vorausschau und Kalkulation möglicher Täterprofile. Ein Täterprofil „Gelegenheitsvandalismus“ ist sicherlich anders zu bewerten als eine zielgerichtete, mit hoher Motivation durchgeführte schädigende Aktion.

4. Sicherheitsmaßnahmen integriert ableiten – nicht isoliert

Auf dieser Grundlage werden Maßnahmen systematisch und integriert entwickelt.

Physische Sicherheit

  • bauliche Schutzmaßnahmen (Zugänge, Zufahrten, Wände, Türen, Zonierung, …)
  • Perimeterschutz
  • Brandschutz und Umweltschutz

Technische Sicherheit

  • Zutrittskontrolle, Video, Alarmierung
  • Gefahrenmeldetechnik, Alarmmanagement und -Organisation
  • Leitstellenintegration und Monitoring

IT- und OT-Sicherheit

  • Schutz vor externen und internen Cyberangriffen
  • Informationssicherheit (Netzwerksegmentierung, Berechtigungsmanagement)
  • Absicherung von Steuerungs- und Leitsystemen
  • sichere Remote-Zugänge

Verfügbarkeitsmaßnahmen

  • • Ausfallsicherheit des Betriebs
  • • Medienanbindungen (Strom, Gas, Wasser, Daten, …)
  • • Sicherung der technischen Infrastrukturfunktionen (Stromversorgung, USV, NEA, Verteilungen, Klimatisierung, Kühlung, Mehrpfad-Architekturen, …)
  • • Inbetriebnahme- und Changemanagement

Fehler-, Ausfall-, Notfall- und Störungsmanagement

  • Funktions- und Integrationstests, die das Zusammenwirken der Systeme auf den Prüfstand stellen
  • Ineinandergreifendes Fehler- und Störungsmanagement
  • Notfallmanagement mit vordefinierten Handlungs- und Betriebsregelungen
  • Instandhaltung, Pflege- und Supportleistungen

Gerade im Hochverfügbarkeitskontext zeigt sich:
Bauliche, technische und infrastrukturelle Maßnahmen greifen ineinander – vom Strom bis zur Zutrittskontrolle.

Verfügbarkeit entsteht durch Architektur – nicht durch Einzelmaßnahmen

Ein häufiger Irrtum:

„Wir haben Redundanzen, also sind wir sicher.“

Die Realität:

  • Redundanz ohne Architektur bringt wenig
  • Einzelmaßnahmen ohne Integration erzeugen Scheinsicherheit

Beispiel:
Ein Serverraum ohne abgestimmte Stromversorgung oder Klimatisierung ist trotz IT-Security nicht hochverfügbar.

Typische Schwachstellen in der Praxis

  • IT- und physische Sicherheit werden getrennt betrachtet
  • OT-Systeme werden unterschätzt
  • Verfügbarkeit wird nicht aktiv geplant
  • regulatorische Anforderungen werden isoliert umgesetzt

→ Ergebnis: Compliance ohne echte Wirksamkeit

Was eine KRITIS-konforme Sicherheitskonzeption wirklich auszeichnet

1. Klare Verfügbarkeitsorientierung

Sicherheit wird konsequent vom Betrieb her gedacht.

2. Integrierte Sicherheitsarchitektur

Alle Ebenen greifen ineinander:

  • physische Sicherheit
  • technische Sicherheit
  • IT- und OT-Sicherheit
  • organisatorische Maßnahmen

3. Systemdesign statt Einzelmaßnahmen

Sicherheit wird als Architektur aufgebaut – nicht als Sammlung einzelner Maßnahmen.

KRITIS-Sicherheit beginnt nicht bei der Technik – sondern bei der Frage, welche Funktionen unter allen Umständen verfügbar bleiben müssen.

Strategischer Ausblick: von Compliance zu echter Resilienz

Die regulatorischen Anforderungen werden weiter steigen.
Der entscheidende Hebel liegt jedoch nicht in der Normenerfüllung, sondern in der Umsetzung:

  • Integration von IT, OT und physischer Sicherheit
  • konsequente Ausrichtung auf Verfügbarkeit
  • Sicherheitsarchitekturen, die im Betrieb funktionieren – nicht nur im Audit

Organisationen, die diesen Ansatz verfolgen, erreichen mehr als Compliance:
Sie schaffen echte Resilienz für kritische Infrastrukturen.

Diesen Beitrag teilen:

Inhalt

Weitere Artikel

  • Banken

Resiliente Sicherheitsarchitekturen – Anforderungen für kritische Infrastrukturen

KRITIS-Anforderungen wie NIS2 und DORA erhöhen den Druck. Erfahren Sie, wie physische, technische und IT/OT-Sicherheit integriert ...
Weiterlesen →
  • Rechenzentrum

Multi-Betriebsmodelle für Rechenzentren: Zwischen Effizienzdruck und Governance-Komplexität

Wie Rechenzentren Kapazitäten effizient nutzen: Multi-Betriebsmodelle im Fokus – inklusive Herausforderungen bei Governance, Sicherheit und Betrieb. ...
Weiterlesen →
  • Funktions- & Integrationstests

Integrationstests: Warum gute Konzepte in der Praxis scheitern – und wie man das verhindert

Viele technische Konzepte scheitern nicht an der Planung, sondern an fehlenden Integrationstests. Warum das Zusammenspiel entscheidend ...
Weiterlesen →
Nach oben scrollen
Leistungen
Branchen
Unternehmen
Referenzen
Beratungsgespräch vereinbaren

Impressum

Datenschutz

VZM auf der Data Centre World 2026 in Frankfurt
Sicherheitsberatung
Analysen & Bewertungen

Risiken fundiert einschätzen

Corporate Security

Ganzheitliche Unternehmenssicherheit

Sicherheitskonzeption

Individuelle Schutzstrategien

Datenschutz

Daten und Compliance

KI & KI-Compliance

Rechtssicher mit Künstlicher Intelligenz

Zertifizierungen & Audits

Sicherheit mit Standards belegen

City Sicherheit & Anfahrschutz

Urbane Sicherheitslösungen

Expatriate & Travel Security

Sicherheit weltweit

Personelle Sicherheitsdienstleistungen

Qualifiziertes Sicherheitspersonal

Sicherheitsplanung
Sicherheitstechnik

Technische Sicherheitssysteme

Schließanlagen & Türen-Engineering

Funktionale Zutrittslösungen

Brandschutz

Schutz vor Brand und Gefahrenlagen

Resilienz-Management
Risikomanagement

Risiken beherrschen

Business Continuity Management

Geschäftsprozesse absichern

Krisenmanagement

Unerwartetes strukturiert bewältigen

Technik und Infrastruktur
Rechenzentren

Verfügbarkeit kritischer IT-Infrastrukturen

IT- & Informationssicherheit

Sicherheit für IT und OT

Leitstellen & Sicherheitszentralen

Planung & Betrieb zentraler Sicherheitssysteme

Funktions- und Integrationstests

Sicherheitsfunktionen zuverlässig prüfen

Öffentliche Einrichtungen
Infrastruktur & Versorgung
Wirtschaft & Industrie
Events & Organisationen
Kritische Infrastruktur Branchenübergreifend

Versorgungs- und Sicherheitssysteme mit zentraler Bedeutung

Unternehmen