Erweiterte KRITIS-Anforderungen durch NIS-2-Richtlinie
Die Umsetzung der NIS-2-Richtlinie in nationales Recht hat den Kreis der betroffenen Organisationen drastisch ausgeweitet. Während der Begriff Kritische Infrastruktur lange Zeit mit Großkraftwerken, zentralen Wasserversorgern oder Knotenpunkten des Schienenverkehrs verknüpft war, ist diese Sichtweise seit 2026 obsolet. Durch die jüngsten Anpassungen im BSI-Gesetz fallen heute auch mittelständische Unternehmen aus den Sektoren Transport, Logistik, Gesundheitswesen und Entsorgung sowie Behörden und Ämter unter die strengen Meldepflichten und Sicherheitsanforderungen.
Wer die neuen Standards ignoriert, riskiert nicht nur fatale Betriebsausfälle, sondern sieht sich auch empfindlichen persönlichen Haftungsrisiken und Sanktionen gegenüber. Die Verwundbarkeit beschränkt sich dabei nicht nur auf digitale Elemente einer Infrastruktur - wie die mechanischen Angriffe auf die Stromversorgung in Berlin im September 2025 zeigten.
Vernetzung schafft neue Angriffsflächen
Moderne Gebäudeautomation ist heute fast ausnahmslos vernetzt. Ob über WLAN, Funk oder drahtgebundene Bussysteme: Jede automatisierte Tür, jedes smarte Fenster und jede RWA-Anlage (Rauch- und Wärmeabzug) ist ein potenzieller Endpunkt in einem Netzwerk. Damit wird jedes dieser Systeme zu einem möglichen Einfallstor für Cyberangriffe, wenn die Absicherung nicht dem aktuellen Stand der Technik entspricht.
Besonders problematisch ist dabei die Schnittstelle zwischen IT- und physischer Sicherheit. Ein klassisches Beispiel aus der Praxis illustriert das Risiko: Weist eine automatische Türanlage im laufenden Betrieb eine Störung auf, wird sie im hektischen Alltag oft aus Bequemlichkeit oder Unwissenheit mechanisch blockiert - sie wird "aufgehalten". In einem KRITIS-Kontext ist das keine Lappalie, sondern eine Sicherheitslücke, die die physische Trennung aufhebt, die eigentlich den Schutz vor unbefugtem Zutritt garantieren soll.
Physische und digitale Sicherheit als Einheit
Die Integrität einer KRITIS-Anlage steht und fällt mit der physischen Absicherung der Außenhülle sowie den internen Schnittstellen zwischen sensiblen KRITIS-Bereichen und öffentlich zugänglichen Zonen. Echte KRITIS-Konformität erfordert daher ein Umdenken: Digitale Absicherung und mechanische Zuverlässigkeit müssen als untrennbare Einheit geplant und betrieben werden.
Integrierte Planungsansätze für KRITIS-Konformität
Die neuen gesetzlichen Anforderungen verschieben die Prioritäten in der Planung massiv. Zu beobachten ist heute eine Zunahme von sogenannten Funktionskonflikten. Hohe Sicherheitsbarrieren und restriktive Zugangskontrollen kollidieren bei Türen und anderen Elementen der Außenhülle zwangsläufig mit dem Wunsch nach maximalem Bedienkomfort, umfassender Barrierefreiheit und einem möglichst geringen Wartungsaufwand.
Um teure Nachbesserungen oder gar komplette Neuplanungen zu vermeiden, müssen Bau- und Gebäudeverantwortliche früher denn je das Gespräch mit Experten suchen. Ein integrierter Planungsansatz betrachtet das Gebäude nicht als Summe einzelner Gewerke, sondern als Gesamtsystem.
Herausforderungen bei der Bestandsmodernisierung
Besonders herausfordernd ist die Modernisierung im Bestand. Viele KRITIS-relevante Gebäude verfügen über historisch gewachsene Systeme, die oft als Insel-Lösungen agieren. Die drängende Frage lautet: Wie lassen sich veraltete Komponenten KRITIS-konform nachrüsten, ohne die gesamte Infrastruktur austauschen zu müssen?
Eine fundierte Bestandsaufnahme ist der erste Schritt, um Schnittstellen zu identifizieren, die sowohl sicherheitstechnisch als auch funktional zukunftsfähig sind. Ziel muss es sein, eine Lösung zu finden, die den strengen Schutzbedarf erfüllt, ohne den Gebäudebetrieb durch übermäßige Komplexität zu lähmen.
Technische Standards für sichere Interoperabilität
Ein entscheidender technischer Hebel für die Umsetzung KRITIS-konformer Lösungen ist die Interoperabilität. Automatisierte Tür- und Fensterlösungen müssen heute komplexe Aufgaben simultan bewältigen: Brandschutzvorgaben müssen erfüllt, Flucht- und Rettungswege jederzeit garantiert und die Barrierefreiheit gewahrt bleiben. Gleichzeitig muss das System vollumfänglich in die übergeordnete Gebäudesteuerung integriert sein, um Statusmeldungen in Echtzeit zu liefern.
Experten setzen konsequent auf offene und sichere Kommunikationsstandards, um die notwendige Transparenz und Sicherheit zu gewährleisten. Aktuell bildet OPC UA die Basis für einen plattformunabhängigen und sicheren Datenaustausch. Mit Blick auf die Zukunft und die steigenden Anforderungen an die Netzwerksicherheit wird auch BACnetSC (Secure Connect) eine zentrale Rolle spielen.
Verschlüsselung als Grundvoraussetzung
Diese Standards ermöglichen es, Sicherheitsfunktionen nicht nur zu steuern, sondern verschlüsselt zu kommunizieren und lückenlos zu überwachen. In einer KRITIS-konformen Architektur ist diese Verschlüsselung auf Protokollebene Grundvoraussetzung, um Man-in-the-Middle-Angriffe auf die Gebäudetechnik zu verhindern.
Praxisempfehlungen für KRITIS-konforme Gebäudeautomation
Für die praktische Umsetzung ergeben sich aus den neuen Anforderungen konkrete Handlungsempfehlungen:
- Frühzeitige Integration von Sicherheitsexperten in die Planungsphase
- Betrachtung des Gebäudes als Gesamtsystem statt isolierter Gewerke
- Fundierte Bestandsaufnahme vor Modernisierungsmaßnahmen
- Einsatz offener und sicherer Kommunikationsstandards
- Implementierung durchgängiger Verschlüsselung auf Protokollebene
- Regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen
Besonders bei Zutrittskontrollsystemen ist darauf zu achten, dass mechanische Sicherheitsmaßnahmen nicht durch operative Notlösungen unterlaufen werden. Störungen müssen systematisch behoben werden, statt improvisierte Workarounds zu etablieren.
Ausblick: Sicherheit als Daueraufgabe
KRITIS-Konformität ist kein einmaliges Projekt, sondern eine Daueraufgabe im Lebenszyklus eines Gebäudes. Angesichts einer sich ständig verändernden Bedrohungslage und einer dynamischen Gesetzgebung ist eine vorausschauende Planung der einzige Weg zur Resilienz.
Die Integration von IT-Sicherheit und physischer Gebäudesicherheit wird künftig noch wichtiger werden. Unternehmen, die heute in zukunftsfähige Lösungen investieren, können Sicherheit als Wettbewerbsvorteil nutzen statt als Hindernis zu erleben. Mit den richtigen Partnern und einer intelligent vernetzten Gebäudeautomation wird Sicherheit zum Garanten für einen stabilen und zukunftsfähigen Betrieb.
Die Erweiterung der KRITIS-Anforderungen macht deutlich: Der Schutz kritischer Infrastrukturen beginnt bereits an der Gebäudehülle und erfordert ein Umdenken in der gesamten Planungs- und Betriebsphase von Immobilien.
