Das Feld der Informationstechnik und Telekommunikation ist im Bündnisfall nicht nur Infrastruktur, sondern Voraussetzung für Führung, Versorgung und gesellschaftliche Stabilität. Ohne digitale Netze, Rechenzentren, Funk- und Mobilfunkversorgung, Satellitennavigation, Cloud-Dienste und sichere Kommunikationskanäle geraten nahezu alle anderen Bereiche unter Druck: Energie, Wasser, Gesundheit, Verkehr, Verwaltung, Wirtschaft und Medien. Gleichzeitig sind IT und TK besonders verwundbar, weil hybride Angriffe genau dort ansetzen, wo Vernetzung Effizienz schafft.
Der entscheidende Punkt: Der Schutz und Betrieb dieser Systeme liegt überwiegend in ziviler Verantwortung. Netzbetreiber, Provider, Rechenzentrumsbetreiber, Software- und Plattformanbieter sowie die zuständigen Behörden tragen die operative Last.
Was sich im Bündnisfall verändert
1) IT wird zum primären Angriffsziel
Hybride Bedrohungen wirken häufig zuerst digital: DDoS-Angriffe, Ransomware, Supply-Chain-Angriffe, Manipulation von Daten, Störung von Funk und GPS sowie Desinformation. Ziel ist selten „Zerstörung um der Zerstörung willen“, sondern die Schwächung von Steuerungsfähigkeit, Vertrauen und Alltagstauglichkeit.
2) Kaskadeneffekte nehmen zu
Ein Ausfall von Mobilfunk, Internet oder zentralen IT-Diensten führt nicht nur zu Kommunikationsproblemen, sondern zu realen Versorgungsrisiken: Leitstellen verlieren Erreichbarkeit, Logistiksysteme fallen aus, Zahlungssysteme werden instabil, Wasser- und Energieprozesse geraten unter Druck, Krankenhäuser verlieren IT-gestützte Abläufe.
3) Priorisierung und Notbetrieb werden zur Normalform
Im Bündnisfall kann nicht jedes System in voller Qualität weiterlaufen. Entscheidend wird, welche Dienste als „must run“ definiert sind, wie Notbetrieb organisiert wird und wie Kommunikation auch ohne digitale Komfortfunktionen funktioniert.
Wo die Verwundbarkeit liegt
Netzabhängigkeit und Single Points of Failure
Viele kritische Funktionen hängen an wenigen Knotenpunkten: Backbone-Verbindungen, zentrale Rechenzentren, DNS-Dienste, Authentifizierungs- und Identitätsinfrastruktur, Fernwartung und Cloud-Abhängigkeiten.
Leittechnik und Operational Technology (OT)
Industrie- und KRITIS-Betrieb hängt an OT-Systemen (SCADA, Fernwirktechnik). Wird diese Ebene gestört, entstehen direkte physische Folgen, etwa bei Energie, Wasser, Verkehr oder Produktion.
Supply-Chain und Drittanbieter
Sicherheitsrisiken entstehen oft nicht im eigenen Netz, sondern über Dienstleister, Softwareupdates, Bibliotheken, externe Wartung oder kompromittierte Identitäten. Das macht Sicherheit zur Ökosystem-Aufgabe.
Desinformation und Vertrauensverlust
Informationsoperationen zielen darauf, Verunsicherung zu erzeugen, institutionelles Vertrauen zu schwächen und die Bevölkerung in widersprüchliche Deutungen zu treiben. In Kombination mit technischen Störungen steigt die Gefahr von Panik, Lähmung oder aggressiver Gerüchtebildung.
Was resiliente IT/TK praktisch braucht
1) Redundanz und Ausweichfähigkeit
- mehrere Kommunikationswege (Mobilfunk, Festnetz, Funk, Satellit, Notfallkanäle)
- Offline-fähige Kernprozesse und Ersatzverfahren in Verwaltung, Gesundheit, Logistik
- robuste Backup- und Wiederanlaufpläne (inklusive „sauberer“ Backups)
2) Härtung und Segmentierung
- konsequentes Patch- und Schwachstellenmanagement
- Segmentierung zwischen IT und OT, Prinzip „least privilege“, starke Identitätssicherung
- Notfallmechanismen gegen DDoS und schnelle Sperr-/Reset-Prozesse für kompromittierte Zugänge
3) Übung und Krisenroutine
Resilienz entsteht durch geübte Abläufe: Incident Response, Kommunikationsketten, Entscheidungsrechte, Eskalationsstufen, Zusammenarbeit mit Behörden und anderen Betreibern.
4) Kommunikation unter Störung
Krisenkommunikation muss auch ohne Internet funktionieren: Warnsysteme, Sirenen, Radio, Lautsprecherdurchsagen, lokale Anlaufstellen, Aushänge. Gleichzeitig braucht es ein vorbereitetes Narrativ gegen Desinformation: klare, wiedererkennbare Quellen, konsistente Botschaften, schnelle Richtigstellungen.
Was das für Unternehmen, Kommunen und Haushalte heißt
Unternehmen und KRITIS-Betreiber
brauchen klar definierte „must run“-Dienste, Zugriff auf Notbetrieb, redundante Kommunikationswege und eine geübte Zusammenarbeit mit Dienstleistern und Behörden. Cyber ist kein Compliance-Thema, sondern Betriebsfähigkeit.
Kommunen und Verwaltung
müssen Kernprozesse für Offline-Betrieb definieren: Erreichbarkeit von Leitstellen, Krisenstäben, Bürgerinformation, Zahlungs- und Meldewege. Das betrifft nicht nur IT, sondern Organisation und Personal.
Haushalte
stabilisieren das System durch Grundvorsorge: batteriebetriebenes Radio, Powerbank, analoge Notfallkontakte, Wissen über Warnsysteme. Wer Warnungen einordnen kann und nicht auf Gerüchte angewiesen ist, bleibt handlungsfähig.
Vorsorge- und Sicherstellungsgesetze
Postgesetz (PostG) und Telekommunikationsgesetz (TKG)
Post- und Telekommunikationsnetze gehören zu den tragenden Grundfunktionen moderner Gesellschaften: Sie ermöglichen Warnung, Lagekommunikation, Zahlungsverkehr, Versorgungsketten und staatliche Handlungsfähigkeit. Das Postgesetz (PostG) und das Telekommunikationsgesetz (TKG) bilden dafür den zentralen Rechtsrahmen im Normalbetrieb – und sind im Krisen- und Konfliktkontext relevant, weil sie die Rahmenbedingungen für Verfügbarkeit, Leistungsfähigkeit und organisatorische Pflichten von Post- und TK-Anbietern setzen.
Energie: Energiesicherungsgesetz (EnSiG)
Ohne Energie funktionieren Rechenzentren, Mobilfunk, Leitstellen und Warnsysteme nur begrenzt. Das EnSiG schafft den Rahmen, Energieversorgung in Störungen so zu steuern, dass Kommunikations- und Steuerungsfähigkeit möglichst erhalten bleibt.
Wasser: Wassersicherstellungsgesetz (WasSiG)
Wasserversorgung hängt an IT/OT-Leittechnik, Kommunikation, Mess- und Steuerungssystemen; Störungen können Betrieb und Wiederanlauf verzögern. Das WasSiG ist relevant, weil Versorgungssicherung nur funktioniert, wenn Steuerungsfähigkeit und Krisenkommunikation auch unter digitaler Störung erhalten bleiben.
Ernährung: Ernährungssicherstellungs- und -vorsorgegesetz (ESVG)
Ernährungsversorgung hängt an IT: Warenwirtschaft, Bestellungen, Kühlmonitoring, Zahlungsprozesse und Krisenkommunikation sind digital. Das ESVG ist relevant, weil eine Versorgungskrise ohne funktionierende Informations- und Kommunikationswege schwer steuerbar ist und deshalb Resilienz dieser Systeme die Umsetzung mitentscheidet.
Verkehr und Logistik: Verkehrssicherstellungsgesetz (VerkSiG)
TK- und IT-Infrastruktur sind auf Wartung, Störungsbehebung und physische Logistik (Ersatzteile, Batterien, Notstrom) angewiesen. Das VerkSiG ist relevant, weil Verkehrssteuerung im Krisenmodus bestimmt, ob diese Unterstützungsleistungen rechtzeitig an kritische Standorte gelangen.
Resilienzregulierung für KRITIS (physisch & cyber)
- NIS2 ist hier Kernsubstanz: verbindliche Mindestanforderungen an Cyberrisikomanagement, Incident-Meldungen und Lieferkettensicherheit sollen digitale Grundfunktionen stabil halten.
- Das KRITIS-Dachgesetz bleibt als physischer Rahmen relevant, soweit kritische Anlagen/Standorte (z. B. zentrale Knoten, Betriebsstätten) als kritische Infrastruktur erfasst sind.
