Ein Mann im Anzug steht an einem Podium und hält einen Vortrag vor dem Publikum der KRITIS-Konferenz PROTEKT. Eine Folie auf dem Bildschirm hinter ihm zeigt eine Präsentation für KRITIS Unternehmen.

KRITIS Unternehmen schützen: 3-core auf der PROTEKT Konferenz

KRITIS Unternehmen müssen Resilienz heute ganzheitlich denken, von BCM und Krisenorganisation bis zur physischen Sicherheit im Betrieb. Genau dazu hat Stefan Erdweg, Geschäftsführer der 3-core, auf der PROTEKT Einblicke aus der Umsetzung geteilt, basierend auf realen Projekterfahrungen in sicherheitskritischen Umfeldern. In diesem Beitrag zeigen wir die wichtigsten Praxishebel, mit denen Betreiber schnell belastbarer werden.

Ein Mann im Anzug und mit Brille spricht auf der Bühne in ein Mikrofon. Auf einem blauen Banner am unteren Rand steht: Stimmen von KRITIS Unternehmen - Experten Stefan Erdweg, Geschäftsführer 3-core GmbH.

Probleme in der Praxis von KRITIS Unternehmen

Die PROTEKT zeigt ziemlich deutlich: In der Praxis scheitert Resilienz nicht nur an Prozessen, sondern oft auch an fehlendem Fachwissen, ungeeigneten Tools oder Systemen, die nicht sauber zusammenarbeiten. Gleichzeitig merkt man schnell, dass selbst die beste Technik wenig bringt, wenn Zuständigkeiten unklar sind und Abläufe im Alltag nicht mitlaufen. In vielen Gesprächen mit Betreibern und Kunden der 3-core kam genau dieses Spannungsfeld hoch. Es braucht die richtigen Werkzeuge und Kompetenz, aber ebenso klare Verantwortungen und Routinen, die im Ernstfall wirklich tragen. Deshalb lohnt es sich, Prioritäten zu setzen und Lösungen so aufzubauen, dass sie im normalen Betrieb funktionieren und unter Stress nicht auseinanderfallen.

Warum KRITIS Unternehmen jetzt Resilienz ganzheitlich denken müssen

Für KRITIS Unternehmen ist „ein bisschen Security“ längst zu wenig, weil Störungen heute selten sauber in einer Schublade bleiben. Ein Cybervorfall zieht Betriebsprozesse in Mitleidenschaft, ein technischer Ausfall wird zum Kommunikationsproblem, ein physisches Ereignis trifft gleichzeitig Zutritt, Personal und Lieferketten. Wer kritische Infrastruktur betreibt, braucht deshalb ein Resilienz-System, das nicht nur schützt, sondern auch im Ereignisfall führt und den Betrieb stabil wieder in die Spur bringt.

Genau darum geht es: Prävention, Reaktion und Widerstandsfähigkeit müssen zusammenpassen. Prävention heißt, Risiken realistisch zu bewerten und Schutzmaßnahmen so umzusetzen, dass sie im Alltag funktionieren. Reaktion bedeutet, im Störfall schnell handlungsfähig zu sein, mit klaren Zuständigkeiten, Alarmierung, Lagebild und abgestimmter Kommunikation. Widerstandsfähigkeit zeigt sich darin, ob kritische Leistungen im Notbetrieb weiterlaufen können und ob Wiederherstellung und Wiederanlauf planbar, getestet und nachweisbar sind. Für KRITIS Unternehmen ist das kein „Extra“, sondern Teil der Betriebsfähigkeit.

Aus unserer Projekterfahrung bei KRITIS Unternehmen sehen wir dabei immer wieder typische Probleme:

  • Technik allein scheitert, wenn Prozesse und Rollen nicht mitziehen. Selbst gute Tools allein bringen wenig, wenn Verantwortlichkeiten unklar sind, Eskalationswege fehlen oder Entscheidungen zu spät fallen.

  • Organisation scheitert, wenn Maßnahmen nicht im Betrieb integrierbar sind. Was auf dem Papier gut klingt, muss mit Schichtbetrieb, Dienstleistern, Wartungsfenstern und Systemlandschaften zusammenpassen.

  • Dokumente allein scheitern, wenn sie nicht getestet, geübt und aktualisiert werden. Pläne werden erst durch Übungen belastbar.

Notfallmanagement für KRITIS Unternehmen

Notfallmanagement für KRITIS Unternehmen ist die vorab geplante Reaktion auf Störungen, um Schäden zu begrenzen und den Betrieb schnell zu stabilisieren. Es regelt Zuständigkeiten, Alarmierung und Eskalation sowie die ersten Maßnahmen, damit im Ernstfall strukturiert gehandelt werden kann.

Krisenmanagement für KRITIS Unternehmen

In außergewöhnlichen Lagen muss die gesamte Organisation handlungs- und entscheidungsfähig bleiben. Krisenmanagement für KRITIS Unternehmen schafft dafür klare Rollen (z. B. Krisenstab), eine strukturierte Lageführung, eingeübte Abläufe und abgestimmte interne sowie externe Kommunikation.

Business Continuity Managment (BCM)

Damit kritische Prozesse auch bei längeren Störungen weiterlaufen oder zeitnah wiederhergestellt werden, braucht es ein systematisches Vorgehen. Business Continuity Management (BCM) für KRITIS Unternehmen umfasst dafür unter anderem Business-Impact-Analysen, Notbetriebs- und Wiederanlaufstrategien, dokumentierte Pläne sowie regelmäßige Tests und Übungen zur Wirksamkeitsprüfung.

Sicherheitskonzepte für KRITIS Unternehmen

Damit Schutzmaßnahmen im Alltag funktionieren und im Ernstfall greifen, braucht es klare Schutzziele, Risikobewertung und Verantwortlichkeiten. Maßnahmen werden in Betrieb und Prozesse integriert, um Standorte und Abläufe vor Zugriff, Sabotage und Störungen zu schützen. Das ist der Kern von Sicherheitskonzepte für KRITIS Unternehmen.

Nächste Schritte für KRITIS Unternehmen

  1. Den 3-core Quick Check zum KRITIS-Dachgesetz als Einstieg nutzen, um Betroffenheit und nächste Schritte zu bestimmen.
  2. Betroffenheit, Schutzziele und Prioritäten ableiten und in einer klaren Maßnahmenübersicht festhalten.
  3. Notfall- und Krisenorganisation aufsetzen oder schärfen (Rollen, Alarmierung, Eskalation, Kommunikation).
  4. BCM und Wiederanlauf für kritische Prozesse konkretisieren und in Abläufe und Zuständigkeiten überführen.
  5. Physische Sicherheitsmaßnahmen in ein integriertes Sicherheitskonzept überführen und im Betrieb verankern.
  6. Übungen, Tests und Schulungen durchführen, um Abläufe zu festigen, Wirksamkeit zu prüfen und Maßnahmen kontinuierlich zu verbessern.
Vier Personen in Geschäftskleidung versammeln sich um einen Holztisch und konzentrieren sich auf einen Laptop, während sie über KRITIS DachG Umsetzung diskutieren. Zwei sitzen, zwei stehen in der Nähe in einem modernen, minimalistisch eingerichteten Büro.

Die PROTEKT ist eine Fachkonferenz, auf der physische Sicherheit, Sicherheitsorganisation und IT-/Cyber-Themen zusammen gedacht werden. Für KRITIS Unternehmen ist genau diese Verzahnung entscheidend, weil Resilienz nur funktioniert, wenn Technik, Prozesse und Betrieb gemeinsam funktionieren.

Damit sind Organisationen gemeint, deren Ausfall erhebliche Auswirkungen auf Versorgung und Sicherheit haben kann. Praktisch heißt das: höhere Anforderungen an Sicherheitsniveau, Krisenfähigkeit und Nachweisbarkeit – oft über mehrere Disziplinen hinweg.

Das hängt von Branche, Rolle im Versorgungsnetz und konkreten Kriterien/Schwellenwerten ab. In der Praxis beginnt es mit einer Betroffenheitsprüfung: Das heißt kritische Prozesse identifizieren, Abhängigkeiten bewerten und Verantwortlichkeiten für die Umsetzung festlegen.

Erstens BCM mit klaren Notbetriebs- und Wiederanlaufplänen. Zweitens Krisenmanagement mit geübten Rollen, Lagebild und Kommunikation. Drittens physische Sicherheitsmaßnahmen, die in den Betrieb integriert sind (Zonen, Zutritt, Detektion, Reaktion).

Ein strukturierter Quick-Check: kritische Prozesse, Verantwortlichkeiten, bestehende Pläne, Übungsstand und physische Schutzlage erfassen – und daraus ein priorisiertes Maßnahmenpaket ableiten. Genau so entsteht schnell Orientierung, ohne Aktionismus.

Entdecken Sie mehr: Projekte & Artikel

Artikel auf LinkedIn weiterlesen