B3S Branchenstandards: Pflicht, Praxis, Audit-Realität

B3S sind kein BSI-Grundschutz und keine ISO 27001. B3S sind branchenspezifische Sicherheitsstandards, ausschließlich für KRITIS-Betreiber, vom BSI anerkannt, sektoral verbindlich. Wer diese drei Standards verwechselt, scheitert im Audit. Dieser Text trennt sie sauber und zeigt, was Sicherheitsleiter konkret nachweisen müssen.

B3S Branchenstandards: Definition und Rechtsgrundlage

B3S sind branchenspezifische Sicherheitsstandards nach § 8a Abs. 2 BSIG. Sie werden vom BSI nach BSI-Kritisverordnung anerkannt und gelten pro Sektor: Energie, Wasser, Gesundheit, Finanzen, ITK, Transport, Ernährung, Siedlungsabfall. Acht Sektoren, acht eigene Standardwelten.

Die Anerkennung durch das BSI gilt typisch zwei Jahre (§ 8a Abs. 2 BSIG). Danach folgt Re-Evaluierung gegen den aktuellen Stand der Technik. Was 2023 anerkannt wurde, ist 2025 nicht automatisch noch konform.

Ein B3S ersetzt nicht die Nachweispflicht alle zwei Jahre gegenüber dem BSI nach § 8a Abs. 3 BSIG. Er strukturiert sie. Der Betreiber kann den B3S anwenden oder eine eigene Sicherheitsarchitektur dokumentieren. Die Beweislast bleibt identisch.

Abgrenzung: BSI-Grundschutz ist generisch und nicht KRITIS-gebunden. ISO 27001 ist internationaler ISMS-Rahmen, freiwillig zertifizierbar, nicht sektoral. B3S ist KRITIS-spezifisch, branchengetrieben und in Deutschland gesetzlich verankert. Wer ISO 27001 vorlegt, hat damit keinen B3S erfüllt.

Konkret weiter im Abschnitt KRITIS-Anforderungen im Überblick.

Welche B3S existieren und wer sie herausgibt

Krankenhäuser arbeiten mit dem B3S der Deutschen Krankenhausgesellschaft (DKG), aktuelle Version 1.2. Anwendbar ab dem Schwellwert von 30.000 vollstationären Fällen pro Jahr (BSI-KritisV Anlage 5).

Wasserversorgung und Abwasserentsorgung folgen den B3S von DVGW und BDEW. Energie nutzt das BDEW-Whitepaper Informationssicherheit als faktischen Standard, ergänzt durch sektorale B3S für Netzbetreiber und Erzeuger.

Ernährung: B3S der BVE für Lebensmittelproduktion ab Schwellwert 434.500 Tonnen pro Jahr (BSI-KritisV Anlage 8). Wer darunter liegt, ist nicht KRITIS und nicht B3S-pflichtig. Die genauen Schwellenwerte stehen in der Sektorenliste und Schwellwerte.

Wichtig: Herausgeber sind Branchenverbände, nicht das BSI. Das BSI prüft den Entwurf und erkennt an oder lehnt ab. Der Verband schreibt, das BSI siegelt. Diese Trennung erklärt, warum B3S inhaltlich auf Praxis der Branche basieren und nicht auf abstrakter Theorie.

Physische Sicherheit im B3S: was konkret gefordert wird

Jeder B3S enthält ein Kapitel physische Sicherheit. Die Kernforderungen sind über Sektoren hinweg vergleichbar.

Perimeterüberwachung 24/7 mit dokumentierter Detektionsschwelle und Reaktionszeit. Nicht: Kameras vorhanden. Sondern: Detektion ab Distanz X innerhalb Y Sekunden, Alarmierung an Z, Intervention innerhalb T.

Zonierung in vier Stufen: öffentlich, kontrolliert, geschützt, hochgeschützt. Zwischen jeder Zone braucht es technische Übergangskontrollen. Mantrap, Vereinzelungsanlage, biometrische Zugangskontrolle. Eine Tür mit Schlüssel ist keine Zonengrenze im Sinne des B3S.

Redundanz der Überwachung: kein Single Point of Failure bei Kamera, Sensorik oder Personal. Fällt ein Sensor aus, übernimmt ein zweiter. Fällt ein Posten aus, gibt es Backup-Verfahren mit dokumentierter Aktivierungszeit.

Protokollierung aller Detektionsereignisse mit Zeitstempel, revisionssicher für mindestens 90 Tage [je nach Sektor-B3S, z. B. DKG B3S v1.2, Abschnitt physische Sicherheit]. Manche Sektoren fordern 12 oder 24 Monate. Revisionssicher heißt: WORM-Speicher oder kryptographisch signierte Logs, nicht eine Excel-Datei auf dem Wachbuch-Laptop.

Nachweis der Wirksamkeit durch dokumentierte Tests, nicht durch Herstellerangaben. Wer eine Kamera mit Reichweite 200 Meter spezifiziert hat, muss nachweisen, dass sie bei Nebel und Nacht eine Person auf 150 Meter detektiert. Datenblatt reicht im Audit nicht.

Autonome Robotik als B3S-konforme Perimeterlösung

Klassische Bewachung erfüllt die B3S-Anforderungen. Mit erheblichem Personalaufwand. Autonome Robotik kann Teile davon übernehmen und gleichzeitig die Nachweisqualität verbessern.

Der QR-3 mit LiDAR und Drohnendetektion erfüllt die Detektionsanforderungen der hochgeschützten Zone. LiDAR liefert Objektklassifizierung unabhängig von Lichtverhältnissen, Drohnenmodul detektiert kleine UAVs in einem Radius, der durch Festkameras nicht abgedeckt wird. Referenznorm für autonome mobile Systeme ist EN ISO 13482.

Lückenlose Patrouillenprotokollierung erzeugt revisionssichere Logs für das BSI-Audit. Jede Bewegung, jede Detektion, jeder Sensorwert mit GPS und Zeitstempel. Auditoren bekommen Daten, nicht Erinnerungen einzelner Wachgänger.

Thermalsensorik des QR-2 detektiert Personen bei Nullsicht und Nacht ohne Beleuchtungsabhängigkeit. Das schließt eine bekannte Lücke klassischer Videoüberwachung: ausgefallene Flutlichter sind kein blinder Fleck mehr.

Klarstellung: Robotik ersetzt nicht den Sicherheitsdienst. Sie eliminiert die statischen Bewachungsposten. Interventionskräfte mit §34a-Sachkunde bleiben notwendig. Wer im Audit behauptet, ein Roboter ersetze den Posten vollständig, wird Nachfragen zur Eingreifkette nicht überstehen.

Kommerziell: Das Robotics-as-a-Service-Modell liefert den QR-3 für 3.800 Euro pro Monat. Keine CapEx, 48-Stunden-Lieferung, 24-Monats-Vertrag. Software-Updates, Wartung und Anerkennungs-relevante Firmware-Versionen sind enthalten.

B3S und KRITIS-Dachgesetz: was sich 2026 ändert

Das KRITIS-Dachgesetz nach Bundestag-Drucksache 20/9262 fordert erstmals integrierten Nachweis für physische und Cyber-Sicherheit. Bisher waren das zwei Spuren mit zwei Dokumentationen. Ab 2026 ist es eine.

B3S müssen ab 2026 explizit physische Schutzmaßnahmen für Anlagen und Perimeter dokumentieren. Verbände überarbeiten ihre Standards. Wer den aktuellen B3S anwendet, sollte die Revisionsplanung der Herausgeber kennen. Diese Planung gehört in den eigenen Re-Evaluierungszyklus.

Die verantwortliche Person nach Dachgesetz haftet persönlich für B3S-Konformität. Geldbußen bei Verstoß bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes Bundestag-Drucksache 20/9262, Art. X. Die Konsistenz mit Artikel 21 NIS-2 ist beabsichtigt: NIS-2 fordert technische und organisatorische Maßnahmen einschließlich physischer Sicherheit der Anlagen.

Übergangsfristen liegen je nach Sektor und Betreibergröße zwischen 12 und 24 Monaten. Energie und Wasser zuerst, kleinere Sektoren später.

Das BBK übernimmt die Registrierung, das BSI behält die B3S-Anerkennung. Zwei Behörden, ein Nachweis. Die operative Umsetzung der Registrierung beschreibt die BBK-Registrierung Schritt für Schritt.

Audit-Realität: was BSI-Prüfer tatsächlich sehen wollen

Audits sind keine Theorieprüfung. Was im Audit fällt, fällt nicht wegen fehlender Dokumente. Es fällt wegen fehlender Belege für gelebte Praxis.

Prüfer ziehen Stichproben aus Detektionsprotokollen der letzten 24 Monate. Nicht nur Stichtagsdokumente. Wer drei Wochen vor dem Audit ein neues System einführt, hat keine Historie und muss das Vorgängersystem belegen.

Nachweis der Reaktionskette: Detektion, Alarmierung, Intervention, Dokumentation. Vier Glieder. Jedes Glied mit Zeitstempel, jedes Glied mit benannter Verantwortung. Eine Detektion ohne dokumentierte Alarmierung ist im Audit ein Befund.

Schulungsnachweise für Personal mit Zugang zu kritischen Zonen, individuell zurückverfolgbar. Sammelunterschriften unter einer Teilnehmerliste reichen nicht. Auditoren wollen pro Person das Datum, das Thema, den Trainer, das Prüfergebnis.

Funktionsfähigkeit der Redundanz: Ausfalltests mit dokumentiertem Ergebnis. Mindestens jährlich. Wer behauptet, ein Backup-System sei einsatzbereit, muss zeigen, wann es zuletzt aktiviert wurde und wie lange die Umschaltung gedauert hat.

Lieferantennachweise für eingesetzte Sicherheitstechnik inklusive CE-Konformität und Normbezug. Bei autonomer Robotik bedeutet das: Konformitätserklärung und Norm-Referenz EN ISO 13482. Hinzu kommen Risikobewertung nach Maschinenrichtlinie und Datenschutzfolgenabschätzung.

Kostenvergleich: B3S-konforme Bewachung klassisch versus hybrid

Klassische 24/7-Bewachung eines Postens kostet zwischen 15.000 und 25.000 Euro pro Monat nach BDSW-Tarifstruktur. Die Spanne entsteht durch Tarifregion, Qualifikation (§34a versus Sachkundeprüfung) und Zuschläge für Nacht, Sonntag, Feiertag.

Drei Posten für eine mittlere Anlage: 540.000 bis 900.000 Euro pro Jahr reine Personalkosten (BDSW-Tarifstruktur). Ohne Technik, ohne Fluktuation, ohne Trainingsaufwand.

Hybridmodell mit zwei QR-2 plus einem Interventionsposten: circa 22.000 Euro pro Monat. Gleiche flächige Abdeckung, höhere Sensordichte, lückenlose Protokollierung.

Einsparung 60 bis 70 Prozent ohne Reduktion der B3S-Detektionsleistung [interne Quarero-Pilotdaten, verfügbar auf Anfrage]. Im Gegenteil: Die Detektionsqualität steigt, weil Sensorik nicht müde wird und Logs maschinenlesbar sind.

Bilanziell ist RaaS-OpEx vorteilhaft gegenüber Sicherheitstechnik-CapEx mit Abschreibung über fünf bis acht Jahre. Es gibt keine Aktivierung und keine Wertberichtigung bei Technologiewechsel. Die Kosten sind vollständig steuerlich abzugsfähig im Aufwandsjahr.

Vertiefung im Kostenvergleich Wachschutz versus Robotik.

Implementierungsfahrplan für Sicherheitsleiter

Ein 15-Wochen-Fahrplan zur B3S-konformen Perimeterstruktur. Pragmatisch, sequenziell, auditierbar.

Woche 1 bis 2: Geltungsbereich klären, einschlägigen B3S identifizieren, Gap-Analyse starten. Welche Anlagen fallen unter KRITIS? Welcher Schwellwert? Welcher Sektor-B3S? Welche Version?

Woche 3 bis 6: Perimeter-Audit mit Lieferanten, Sensorabdeckung gegen B3S-Anforderung mappen. Lücken benennen, technische Optionen bewerten, Investitionsentscheidung vorbereiten.

Woche 7 bis 10: Pilot mit Robotik in der kritischsten Zone. Detektionslogs gegen Anforderung prüfen. Falscher Alarm-Quote messen, Reaktionskette üben.

Woche 11 bis 14: Dokumentation für BSI-Nachweis aufbereiten, interne Schulungen durchführen, Lieferantennachweise konsolidieren. Test der Redundanz mit Protokoll.

Woche 15 plus: Skalierung auf weitere Zonen, kontinuierliche Wirksamkeitsprüfung etablieren. Quartalsweise Review der Detektionsstatistik, jährlich Ausfalltests.

Ergänzende Detailplanung in der KRITIS-Dachgesetz-Checkliste mit 14-Wochen-Plan.

Wer den Geltungsbereich seines B3S noch nicht abschließend bestimmt hat, beginnt mit der vollständigen Übersicht der KRITIS-Anforderungen im Überblick. Dort steht, welcher Schwellwert in welchem Sektor greift und welcher B3S anwendbar ist.