Wer kritische Infrastruktur betreibt, ist seit Januar in der Beweispflicht: Veraltete Schließanlagen und fehlende Lifecycle-Strategien werden zum Risiko für die Geschäftsführung. Auch der Schutz der Werkstore gewann an Bedeutung und ist nun ebenso wichtig ist wie die Firewall.
Nach einer mehrjährigen Hängepartie hat der Bundestag am 29. Januar 2026 Fakten geschaffen. Mit dem KRITIS-Dachgesetz rückt nun eine Dimension der Sicherheit in den Fokus, die im Schatten der Cyberabwehr oft vernachlässigt wurde: der physische Schutz. Bisher konzentrierten sich Regulierungen vor allem auf Firewalls und Bitströme, doch das neue Gesetz schließt die Lücke zur realen Welt und etabliert erstmals bundeseinheitliche Mindeststandards für den Schutz physischer Anlagen.
Betroffen ist ein breites Spektrum der deutschen Wirtschaft und Verwaltung. Elf Sektoren – von Energie und Wasser bis hin zu Ernährung, Weltraum und öffentlicher Verwaltung – stehen nun unter verschärfter Beobachtung. Als Faustregel gilt eine Versorgungsschwelle von 500.000 Menschen, wobei die Bundesländer das Recht behalten, diese Messlatte individuell tiefer zu legen. Für die betroffenen Unternehmen bedeutet das vor allem eines: Die Verantwortung für die Resilienz wandert unmissverständlich direkt auf den Schreibtisch der Geschäftsführung.
Die Krux mit der veralteten Hardware
Die größte Hürde auf dem Weg zur Compliance lauert oft an den Werkstoren und in den Technikzentralen. In vielen Unternehmen leisten Zutrittskontroll- und Zeiterfassungssysteme Dienst, die bereits zehn Jahre oder älter sind. Was früher als solide galt, wird heute zum massiven Compliance-Risiko. Wenn Ersatzteile nicht mehr lieferbar sind, Software-Updates ausbleiben und moderne, verschlüsselte Leserprotokolle fehlen, entspricht die Anlage schlicht nicht mehr dem gesetzlich geforderten „Stand der Technik“. Das KRITIS-Dachgesetz macht den Lifecycle-Status der Hardware damit zu einem prüfungsrelevanten Faktor.
Ein ganzheitlicher Fahrplan zur Resilienz
Wer die neuen Anforderungen systematisch umsetzen will, muss den Schutz seiner Infrastruktur als einen dynamischen Kreislauf begreifen. Es beginnt bei der präzisen Identifikation kritischer Gebäude und einer schonungslosen Risikoanalyse, die auch die Lieferketten und die langfristige Verfügbarkeit technischer Komponenten einbezieht. Der physische Perimeter – gesichert durch Zäune, Schranken und elektronische Zutrittslösungen – bildet dabei nur das Fundament.
Die eigentliche operative Stärke liegt in der softwaregestützten Verwaltung. Moderne Ansätze ersetzen manuelle Schlüsselprotokolle durch digitale, workflow-gesteuerte Berechtigungen. Intelligente Türsysteme melden ihren Zustand in Echtzeit und müssen selbst bei Stromausfall oder in Krisenszenarien wie Evakuierungen zuverlässig funktionieren. Erst durch die lückenlose Protokollierung aller Vorgänge und regelmäßige System-Checks entsteht ein revisionssicheres Gesamtbild, das den behördlichen Anforderungen standhält.
Strategie der schrittweisen Modernisierung
Die Herausforderung für Betreiber besteht darin, die physische Sicherheit nicht als isoliertes Gewerk zu betrachten. Eine effektive Strategie bündelt mechanische, mechatronische und elektronische Komponenten in einem zentralen Managementsystem, das sich nahtlos in bestehende IT- und Personalstrukturen einfügt. Modular aufgebaute Lösungen erlauben es zudem, veraltete Systeme schrittweise zu modernisieren, ohne den laufenden Betrieb zu gefährden.
Sicherheit ist seit dem Beschluss vom 29. Januar 2026 keine statische Aufgabe mehr, sondern ein zentrales Management-Thema. Wer jetzt nicht handelt und seine Hardware auf den Prüfstand stellt, riskiert weit mehr als nur ein Bußgeld – er riskiert die langfristige Betriebssicherheit in einem regulatorisch deutlich strengeren Marktumfeld.
Weitere Artikel zum Schwerpunkt „Human Capital Management“