Physischer Penetrationstest für KRITIS: 10 von 12 Standorten haben versagt

70 % der Geländeumzäunungen, die wir in den letzten Monaten getestet haben, waren falsch montiert.

Nicht beschädigt, sondern falsch montiert. Die Muttern zur Befestigung der Zaunelemente zeigten nach außen. Ein Ringschraubenschlüsselset, und der Zaun hat die gewünschte Lücke.

Kein Einzelfall. Das ist der Durchschnitt aus 12 physischen Penetrationstests, die RH Security kürzlich im Auftrag von Rüstungszulieferern, Lebensmittelherstellern und Energieversorgern kürzlich durchgeführt hat. 10 von 12 Standorten haben den Test nicht bestanden.

Bevor ich erkläre, woran es lag: Keiner dieser Standorte war schlecht aufgestellt nach dem, was auf dem Papier stand. Alle hatten Zäune, Kameras, einen externen Wachdienst. Alle hätten bei einer Begehung wahrscheinlich grünes Licht bekommen.

 

Was unterscheidet einen physischen Penetrationstest von einer Begehung?

Eine Begehung prüft, ob Schutzmaßnahmen vorhanden sind. Ein physischer Penetrationstest prüft, ob sie standhalten.

Der Unterschied klingt klein, ist er aber nicht. Wir haben bei unseren Tests keine Werkzeuge, keine Drohnen, kein elektronisches Zusatzequipment eingesetzt. Wir haben uns an die Spielregeln gehalten: kein Schaden, keine Betriebsunterbrechung. Und trotzdem sind wir in 10 von 12 Fällen reingekommen.

Das liegt nicht daran, dass die Standorte fahrlässig gesichert waren. Physische Sicherheit unter Realbedingungen versagt einfach anders als unter Prüfungsbedingungen. Das erklärt die Zahl.

 

Die drei Stellen, an denen physische Sicherheit regelmäßig versagt

 

1. Die Geländeumzäunung

Der Zaun sieht aus wie ein Abschreckungsmittel. 2,00 bis 2,50 Meter, Stacheldraht on top. Bis man genauer hinschaut.

Bei fast 70 % der von uns geprüften Standardzäune war die Montage fehlerhaft, die Schrauben von außen zugänglich. Bei 70 % gab es sichtbare Beschädigungen, Baumeinwuchs als Übersteighilfe, offene Stellen an Ecken oder Toren. Kein einziger Standort hatte einen Unterkriechschutz. Wer nicht drübersteigen kann, gräbt sich drunter durch. Das haben wir mehrfach angewendet.

Und noch ein Problem, das unterschätzt wird: Ein Zaun, durch den man ins Betriebsgelände sehen kann, gibt dem Angreifer alle Zeit der Welt. Er kann Routinen studieren, Fahrzeugbewegungen beobachten, Sicherheitspersonal lokalisieren und seinen Angriff entsprechend planen. Ein Zaun ohne Sichtschutz ist kein Perimeterschutz, sondern ein Beobachtungsposten für die andere Seite.

 

2. Die Kameraüberwachung

Viel Technik, wenig Wirkung unter Tageslichtverhältnissen. Die meisten Systeme, die wir getroffen haben, entfalten ihre volle Funktion erst wenn kein regulärer Verkehr mehr auf dem Gelände stattfindet, also nachts oder am Wochenende. Bewegungsmelder, Thermalkameras, alles vernünftig eingestellt für ruhige Phasen.

Tagsüber, wenn Fahrzeuge kommen und gehen, Lieferanten auf dem Gelände sind und Mitarbeiter Schichten wechseln, ist das System auf Durchlass eingestellt. Genau da liegt das Fenster. Wer sich mit einer gelben Leuchtweste unter den laufenden Betrieb mischt, fällt nicht auf. Wir haben das an mehreren Standorten getestet. Erfolgsquote: 95 %.

 

3. Der externe Wachdienst

Das ist der Punkt, bei dem ich am vorsichtigsten formulieren möchte, weil er oft missverstanden wird.

Wachdienste machen ihren Job. Das Problem dabei ist eher strukturell: Ein Wachmann, der gleichzeitig die Zufahrtskontrolle betreut, Besucheranmeldungen abwickelt, Rundgänge macht und bei Bedarf als erste Anlaufstelle für alles Mögliche dient, kann keine verdeckten Angriffe erkennen. Sein Aufgabenfeld lässt das schlicht nicht zu.

Ein Aufklärer, der vor der eigentlichen Sicherheitskette steht und das Gelände im Vorfeld beobachtet, war an keinem der 12 Standorte vorhanden. Die zwei Standorte, die den Test bestanden haben, hatten eines gemeinsam: ein Sicherheitskonzept, das den Wachdienst nicht als einzige menschliche Instanz behandelt.

 

Warum hat das Thema gerade jetzt eine andere Dringlichkeit?

Am 3. Januar 2026 zündeten Täter eine Kabelbrücke in Berlin-Lichterfelde an. Kein aufwendiger Cyberangriff, keine hochentwickelte Technik. Ein Brandsatz an einem Knotenpunkt, an dem mehrere Leitungen gebündelt verliefen. Das Ergebnis: rund 45.000 Haushalte mit etwa 100.000 Menschen ohne Strom und Heizung, mehrere Krankenhäuser und Pflegeheime betroffen, Notrufnummern zeitweise eingeschränkt erreichbar. Der längste Stromausfall in Berlin seit 1945. Die Versorgung konnte erst am 7. Januar vollständig wiederhergestellt werden.

Die Täter wussten, wo sie angreifen müssen. Das ist der Punkt, der für Sicherheitsverantwortliche relevant ist. Nicht die politische Motivation, nicht die Frage wer dahintersteckt. Sondern die Tatsache, dass jemand gezielt einen physischen Schwachpunkt identifiziert, vorbereitet und ausgenutzt hat.

Drohnenüberflüge über LNG-Terminals, Brandanschläge auf Strommasten in Berlin im September 2025, Kabeldiebstahl auf Bahnstrecken. Das sind keine Einzelereignisse, sondern ein Muster.

Hybride Angriffe kombinieren physischen Zugang mit digitaler oder infrastruktureller Wirkung. Wer in ein Gebäude kommt, muss kein Schloss knacken und keinen Server hacken. Er braucht einen USB-Stick und einen unbeobachteten Moment am richtigen Rechner. Die physische Sicherheit ist in vielen Unternehmen der einfachste Angriffsvektor, weil sie seit Jahren weniger Aufmerksamkeit bekommen hat als die IT-Sicherheit.

Das ändert sich gerade, regulatorisch erzwungen.

 

Was bedeuten NIS2 und das KRITIS-Dachgesetz konkret?

Rund 23.000 Unternehmen in Deutschland werden unter die Kategorien des KRITIS-Dachgesetzes fallen. Für viele von ihnen ist physische Sicherheit bis jetzt eine Randnotiz im Resilienzplan gewesen.

Das reicht nicht mehr. NIS2 verlangt, dass Unternehmen physische Sicherheitsmaßnahmen explizit in ihren Schutzkonzepten verankern und deren Wirksamkeit nachweisen. Ein physischer Penetrationstest ist das anerkannte Instrument dafür, er liefert den Nachweis unter Realbedingungen, nicht auf Basis einer Checkliste.

Der gesetzliche Druck ist real. Aber ich würde einen anderen Grund vorziehen, wenn ich mit Sicherheitsverantwortlichen spreche: Ein tatsächlicher Angriff auf einen KRITIS-Standort kostet mehr als jeder Test. Nicht nur finanziell.

 

Warum bietet RH Security physische Penetrationstests an?

RH Security ist bekannt als Personenschutz-Unternehmen. Die Frage, warum wir physische Pentests machen, ist berechtigt.

Die Antwort liegt in der Ausbildung. Unser Gründer Ivo Schendel hat zehn Jahre praktische Aufklärungserfahrung in einem Spezialeinsatzkommando der Polizei. Dort geht es ständig darum, in Gebäude zu kommen, auf Gelände zu gelangen, Sicherheitskräfte zu umgehen und Schwachstellen zu identifizieren. Diese Fähigkeiten sind auf beiden Seiten anwendbar. Personenschutz und physische Sicherheitsüberprüfung kommen aus demselben operativen Denken: Wie kommt jemand an ein Schutzobjekt heran, und was verhindert das?

Für KRITIS-Unternehmen und Rüstungszulieferer bietet RH Security deshalb beides an: Penetrationstests für Standorte und Objektschutz, und auf Wunsch auch Personenschutz für Führungskräfte sowie Sicherheitsbegleitung für sensible Transporte. Alles kommt aus demselben Kompetenzprofil, nur in unterschiedliche Richtungen angewendet.

 

Was leistet ein physischer Penetrationstest nicht?

Ein Test ist eine Momentaufnahme. Er zeigt, wo die Lücken am Tag der Prüfung liegen. Routinen ändern sich, Personal wechselt, Gelände verändert sich. Ein einmaliger Test ohne Folgekonzept hat deshalb einen begrenzten Wert.

Was den Unterschied macht: ein detaillierter Bericht mit priorisierten Schwachstellen, konkrete Handlungsempfehlungen, und auf Wunsch eine kontinuierliche Begleitung als unabhängige zweite Instanz neben dem bestehenden Wachdienst. Genau das hat bei den zwei Standorten funktioniert, die unsere Tests bestanden haben.

 

Wie gut ist Ihr Standort wirklich gesichert?

Ob Ihr Wachdienst seinen Job macht, ist gar nicht die entscheidende Frage. Es geht eher darum, dass die meisten Sicherheitskonzepte für den „Normalbetrieb“ gebaut sind, nicht für jemanden, der gezielt nach der Lücke sucht.

Wenn Sie das in Ihrem Unternehmen überprüfen möchten, spreche ich gerne persönlich mit Ihnen. Kein Standardangebot, keine Checkliste. Wir schauen gemeinsam auf Ihre konkrete Situation.