Physische Sicherheit nach KRITIS-Dachgesetz und NIS2: Das sollten Sicherheitsverantwortliche jetzt konkret umsetzen

Mit dem KRITIS-Dachgesetz und NIS2 ist physische Sicherheit für viele Unternehmen keine Ermessensfrage mehr.

Sicherheitsverantwortliche, die einen physischen Penetrationstest beauftragen wollen, stehen dabei oft vor denselben internen Fragen: Was passiert bei einem solchen Test genau? Wie ist das rechtlich abgesichert? Wer muss eingebunden werden? Und mit welchen Argumenten lässt sich das Budget gegenüber Geschäftsführung oder Aufsichtsrat begründen?

Dieser Artikel beantwortet diese Fragen so konkret, dass Sie die Antworten direkt in Ihrer Organisation verwenden können.

Was bedeuten das KRITIS-Dachgesetz und NIS2 konkret für die physische Sicherheit von Unternehmen?

Das KRITIS-Dachgesetz, das der Bundestag am 29. Januar 2026 verabschiedet hat, ist die nationale Umsetzung der EU-CER-Richtlinie. Es schreibt erstmals sektorübergreifend vor, dass Betreiber kritischer Anlagen physische Sicherheitsmaßnahmen nicht nur einführen, sondern deren Wirksamkeit auch nachweisen müssen.

Konkret: Betreiber müssen sich bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Neun Monate nach Registrierung ist eine erste physische Risikoanalyse fällig, danach im Vier-Jahres-Rhythmus (§ 12 KRITIS DachG). Die Umsetzung der daraus abgeleiteten Resilienzmaßnahmen muss alle zwei Jahre gegenüber dem BBK nachgewiesen werden. Bei Verstößen drohen Bußgelder in Millionenhöhe, und die persönliche Haftung der Geschäftsleitung ist ausdrücklich vorgesehen.

Parallel dazu verpflichtet NIS2, umgesetzt im deutschen NIS2-Umsetzungsgesetz vom 6. Dezember 2025, rund 30.000 Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen, darunter ausdrücklich physische Schutzmaßnahmen.

Für Sicherheitsverantwortliche bedeutet das: Beide Regelwerke fordern nicht nur das Vorhandensein von Maßnahmen, sondern deren nachweisbare Wirksamkeit. Ein physischer Penetrationstest liefert genau diesen Nachweis unter Realbedingungen, als Grundlage für die Risikoanalyse und als Dokument gegenüber den Behörden.

Was passiert bei einem physischen Penetrationstest?

Ein physischer Penetrationstest prüft, ob Ihre Schutzmaßnahmen standhalten, wenn jemand sie gezielt herausfordert. Ob sie vorhanden sind, ist dabei nicht die Frage, sondern ob sie unter realen Bedingungen funktionieren.

Bei 10 von 12 Standorten, die RH Security in den letzten Monaten getestet hat, war die Antwort: Nein. Alle hatten Zäune, Kameras und einen externen Wachdienst. Bei einer regulären Begehung hätten sie wahrscheinlich grünes Licht bekommen. Den Test haben sie nicht bestanden.

Eine Begehung prüft, ob Schutzmaßnahmen vorhanden sind. Ein Penetrationstest prüft, ob sie halten.

1. Vorbereitung

Bevor wir ein Gelände betreten, findet ein Kick-off-Gespräch statt, in der Regel mit Sicherheitsbeauftragtem und Geschäftsführung. Dabei werden Prüfumfang und Rahmenbedingungen schriftlich festgelegt: Welche Standorte werden getestet, in welchen Zeiträumen, mit welchen erlaubten Methoden? Gibt es Bereiche, die aus betrieblichen Gründen ausgenommen bleiben müssen? Wer ist eingeweiht, wer nicht? Außerdem wird festgelegt, wie im Fall einer unvorhergesehenen Situation zu eskalieren ist und wer intern erreichbar sein muss.

2. Durchführung

Was wir in der Durchführung fast immer sehen: Bauliche Mängel am Zaun oder an Zugängen und Prozesslücken im laufenden Betrieb treten gemeinsam auf. Wer nur an einer Stelle ansetzt, löst das Problem nicht vollständig.

Ein vermeintlicher Servicetechniker mit passendem Equipment und plausibler Geschichte kommt in vielen Fällen problemlos durch. Stoßzeiten und Schichtwechsel nutzen wir gezielt, weil die Kontrolle unter Last häufig zusammenbricht. Wir prüfen, ob sogenanntes Tailgating, also das unberechtigte Mitdurchschlüpfen hinter einer autorisierten Person, erkannt und angesprochen wird. Und wir schauen, ob die Kameraüberwachung im laufenden Betrieb tatsächlich das erfasst, wofür sie eingerichtet wurde.

Alles wird dokumentiert: Fotos, Zeitstempel, Beobachtungen, exakte Beschreibung der genutzten Methoden.

3. Auswertung

Nach Abschluss erhalten Sie einen schriftlichen Bericht, der auf Ihren Standort zugeschnitten ist. Er enthält priorisierte Schwachstellen, bewertet nach Eintrittswahrscheinlichkeit und potenziellem Schaden, sowie konkrete Maßnahmenempfehlungen, geordnet nach sofort umsetzbaren Punkten und mittelfristigen Investitionen. Der Bericht ist so aufgebaut, dass er an Geschäftsführung, Aufsichtsrat und externe Auditoren weitergegeben werden kann.

Typische Schwachstellen an Zaun, Tor, Zutrittskontrolle und Leitstelle

Nach unseren Einsätzen lassen sich die häufigsten Schwachstellen in vier Bereiche einteilen.

Zaun und Perimeter

Bei fast 70 % der von uns geprüften Standardzäune war die Montage fehlerhaft, Schrauben von außen zugänglich. Bei ebenso vielen gab es sichtbare Beschädigungen, Baumeinwuchs als Übersteighilfe oder offene Stellen an Übergängen zu Nachbargrundstücken. Kein einziger Standort hatte einen funktionierenden Unterkriechschutz.

Dazu kommt ein Punkt, der systematisch unterschätzt wird: Ein Zaun ohne Sichtschutz gibt dem potenziellen Angreifer Zeit. Wer ungestört von außen auf ein Gelände schauen kann, kann Routinen studieren, Fahrzeugbewegungen erfassen und den optimalen Zeitpunkt wählen. Der eigentliche Angriff beginnt dann, wenn er bereits gut vorbereitet ist.

Tore und Zufahrten

Tore versagen in der Regel nicht technisch, sondern prozessual. Überlastete Pförtner, die gleichzeitig Besucher abwickeln, Telefonleitungen bedienen und Lieferfahrzeuge durchwinken. Lieferanten, die nicht oder nur oberflächlich kontrolliert werden. Allgemeine Besucherausweise, die keinen Aufenthaltsbereich einschränken.

Das Muster dahinter ist fast immer dasselbe: Die Kontrolle funktioniert, wenn ausreichend Kapazität vorhanden ist. Unter Last bricht der Prozess zusammen.

Zutrittskontrolle

Kartenweitergabe unter Kollegen. Türen, die nicht ins Schloss fallen und von niemandem gemeldet werden. Tailgating, das zwar verboten ist, aber nie angesprochen wird, weil die Situation sozial unangenehm ist. Berechtigungsprofile, die nie bereinigt wurden und ehemaligen Mitarbeitern oder Dienstleistern weiterhin Zugang ermöglichen. In vielen Fällen liegt das Problem weniger bei der eingesetzten Technik als bei den Prozessen, die sie umgeben.

Leitstellen und Leitwarten

Die Leitstelle ist in vielen Unternehmen nicht separat gesichert. Sie liegt in einem Bereich, der für allgemeinen Bürobetrieb konzipiert wurde, nicht für sicherheitskritische Infrastruktur. Gemeinsame IT- und Leitsysteminfrastruktur ohne zusätzliche physische Trennung, keine dedizierte Schleuse. In einem unserer Tests standen wir nach 17 Minuten mit Warnweste und Klemmbrett unbehelligt in Sichtweite der Leitstelle.

Rechtliche Rahmenbedingungen vor dem ersten Testtag

Die Frage nach dem rechtlichen Rahmen steht in internen Gesprächen meist ganz am Anfang, und sie ist berechtigt.

Ein physischer Penetrationstest ist eine simulierte Angriffssimulation auf Ihr eigenes Objekt, ausdrücklich von Ihnen beauftragt und genehmigt. Die rechtliche Grundlage bildet der Beauftragungs- und Dienstleistungsvertrag, der Prüfumfang, erlaubte Methoden, Haftungsfragen und Vertraulichkeit regelt.

Folgende Punkte müssen darin geregelt sein:

1. Prüfumfang und Grenzen

Welche Standorte, Gebäudebereiche und Zeiträume sind eingeschlossen? Was ist explizit ausgeschlossen? Keine Eskalation gegenüber eigenem Personal, keine Gefährdung von Personen oder Anlagen, keine Beschädigung von Eigentum.

2. Eingeweihter Personenkreis

In der Regel: Geschäftsführung, Sicherheitsbeauftragter, Rechtsabteilung. Der Wachdienst weiß es typischerweise nicht, denn das ist Bestandteil des Tests. Dieser Punkt muss intern vorab klar kommuniziert werden, damit im Fall eines Zwischenfalls keine Haftungsfragen offenbleiben.

3. Notfallprotokoll

Was passiert, wenn ein Testmitarbeiter von eigenem Sicherheitspersonal gestellt wird? Es braucht eine klare Eskalationskette mit einem intern erreichbaren Ansprechpartner, der den Test jederzeit als solchen bestätigen kann.

4. Haftung

Wer haftet für etwaige Schäden, die im Rahmen des Tests entstehen? Das muss vor Testbeginn vertraglich geregelt sein.

Mit einem sauber aufgesetzten Vertrag ist der Test rechtlich klar abgesichert.

Wie oft sollte ein physischer Penetrationstest durchgeführt werden?

Das KRITIS-Dachgesetz gibt hier erstmals eine belastbare gesetzliche Orientierung: physische Risikoanalyse mindestens alle vier Jahre (§ 12 KRITISDachG), Nachweispflicht gegenüber dem BBK alle zwei Jahre. Ein physischer Penetrationstest ist das sinnvolle Vorbereitungsinstrument, denn er liefert die Grundlage, auf der die Risikoanalyse aufbaut.

Unabhängig vom gesetzlichen Zyklus ist ein anlassbezogener Test sinnvoll: nach baulichen Veränderungen am Standort, nach Personalwechsel im Wachdienst oder beim Dienstleister, nach einem Sicherheitsvorfall, auch wenn er glimpflich ausgegangen ist, sowie wenn sich die Bedrohungslage für den eigenen Sektor erkennbar verschärft hat.

Das Budget gegenüber Geschäftsführung und Aufsichtsrat begründen

Im Managementgespräch reicht der Hinweis auf physische Sicherheitslücken allein selten aus. Hilfreich sind konkrete Argumente, die in der Sprache der Entscheider formuliert sind.

Vier Argumente für das Managementgespräch

1. Gesetzliche Pflicht und persönliche Haftung

Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zum nachweisbaren Einsatz angemessener physischer Schutzmaßnahmen. Bei Verstößen drohen Bußgelder in Millionenhöhe, und die persönliche Haftung der Geschäftsleitung ist im Gesetz ausdrücklich vorgesehen. Ein dokumentierter Penetrationstest belegt, dass diese Pflicht nicht nur auf dem Papier, sondern unter Realbedingungen erfüllt wurde.

2. Kosten eines realen Vorfalls

Ein physischer Angriff auf einen KRITIS-Standort hat Konsequenzen weit über den unmittelbaren Schaden hinaus: Betriebsunterbrechung, Reputationsschaden, behördliche Untersuchungen, Versicherungsfragen. Stellen Sie diesen konservativen Schaden dem Testbudget gegenüber. Die Rechnung fällt in fast jedem Fall eindeutig aus.

3. Priorisierung statt Gießkanne

Ohne Test wird entweder zu viel in die falschen Bereiche investiert oder zu wenig, ohne es zu wissen. Der Bericht liefert eine priorisierte Maßnahmenliste, die als Investitionsgrundlage direkt verwendbar ist.

Entlastung des Managements. Nach einem Vorfall lautet die erste Frage: Was hat das Unternehmen getan, um sich zu schützen? Ein dokumentierter Penetrationstest mit daraus abgeleiteten Maßnahmen gibt darauf eine klare Antwort. Fehlt ein solcher Nachweis, ist das ebenso eine Aussage.

4. Empfehlung für das Managementgespräch

Für eine Aufsichtsratssitzung oder ein Managementgespräch reichen in der Regel eine bis zwei Seiten. Der Kern: regulatorischer Ausgangspunkt, konservative Schadensschätzung, Testbudget im Vergleich, klare Empfehlung mit Zeitplan.

Ein einmaliger Test reicht nicht aus

Ein Test ist eine Momentaufnahme.

Er zeigt, wo die Lücken am Tag der Prüfung liegen. Damit die Erkenntnisse aber dauerhaft wirken, müssen sie in den Alltag integriert werden:

Sofortmaßnahmen

Manche Punkte lassen sich unmittelbar umsetzen: Zaunmontage korrigieren, Checklisten am Pförtnerbereich einführen, Berechtigungsprofile bereinigen. Diese Maßnahmen kosten wenig und schließen die kritischsten Lücken.

Schulung und Briefing

Die meisten Schwachstellen entstehen aus Verhaltensroutinen. Wachpersonal, das Tailgating nicht anspricht, weil es sozial unangenehm ist. Mitarbeiter, die Türen offenhalten, ohne darüber nachzudenken. Solche Muster lassen sich durch Technik allein nicht beheben.

Laufende Qualitätssicherung

Unangekündigte Stichprobenkontrollen zwischen den großen Tests halten das Niveau. Das ist die Funktion, die ein externer Partner als unabhängige zweite Instanz neben dem Wachdienst übernimmt, kein Ersatz, sondern eine Ergänzung.

Die zwei Standorte, die unsere Tests bestanden haben, hatten genau das: ein Sicherheitskonzept, das nicht beim einmaligen Test endet.

Wenn Sie den nächsten Schritt planen möchten, spreche ich gerne persönlich mit Ihnen. Gemeinsam schauen wir auf Ihre konkrete Situation und entwickeln daraus den sinnvollen nächsten Schritt.