Drohnenabwehr KRITIS: Pflichten und Technik 2026

Drohnenabwehr KRITIS ist 2026 keine Kür mehr. Der Gesetzgeber zieht die Pflicht auf Detektion luftgestützter Bedrohungen ein, die Bedrohungslage hat sich verschoben, und die klassische Zaunlinie verteidigt nichts mehr, was über 30 Meter Höhe passiert. Dieser Text ordnet Recht, Technik und Kosten so, dass ein Werkleiter den Aufsichtsrat in einer Sitzung durch die Entscheidung führen kann.

Drohnenabwehr KRITIS: Eskalation der Bedrohungslage 2026

Seit 2023 dokumentieren BBK und Bundespolizei wiederkehrende Drohnenvorfälle an Raffinerien, Umspannwerken und Rechenzentren in Deutschland, Österreich und der Schweiz. [Quellennachweis einfügen] Die Vorfälle reichen von Aufklärungsflügen bis zu Sachbeschädigung durch Lastabwurf. Keiner dieser Fälle wurde vom betroffenen Betreiber selbst detektiert. Die Meldung kam in der Regel durch Zeugen, nicht durch den Werkschutz.

Die technische Schwelle für Angreifer ist gefallen. Eine Konsumdrohne mit 5 bis 7 km Reichweite, Wärmebild und 4K-Optik kostet im Handel unter 2.000 Euro. [Quellennachweis einfügen] FPV-Drohnen mit 120 km/h und einem Kilogramm Nutzlast liegen bei 400 Euro. [Quellennachweis einfügen] Wer einen Industriepark abriegelt, muss davon ausgehen, dass der Gegner auf Augenhöhe ausgerüstet ist. Schwarmangriffe mit fünf bis zwanzig Drohnen sind dokumentiert [Quellennachweis einfügen], und FPV-Eindringlinge passieren jede klassische Zaun- und Kameralinie in unter fünfzehn Sekunden.

Der häufigste Schaden ist nicht Sabotage, sondern Spionage. Auslesen von Lieferketten über sichtbare Tankzüge, Erfassen von Personalbewegungen zu Schichtwechseln, Identifizierung von Sicherheitslücken am Dach. Das sind Aufklärungsziele, die früher physische Penetration verlangt haben. Heute reicht ein Flug.

Der KRITIS-Dachgesetz-Entwurf verpflichtet Betreiber zu Schutzmaßnahmen gegen luftgestützte Bedrohungen (Bundestag-Drucksache 20/9262). Das ist die Rechtsgrundlage, auf die Auditoren ab 2026 prüfen werden. Weiterführend: KRITIS-Dachgesetz Anforderungen.

Rechtlicher Rahmen: was Betreiber dürfen und was nicht

Der häufigste Rechtsfehler im Werkleitergespräch ist die Verwechslung von Detektion und Abwehr. Detektion ist erlaubt. Passive Sensorik (RF, Radar, akustisch, optisch, LiDAR) unterliegt keiner Sondergenehmigung, solange Frequenzbereiche nicht gestört werden und Aufzeichnungen DSGVO-konform erfolgen.

Aktive Abwehr ist staatlichen Stellen vorbehalten. Jamming, Übernahme und Abschuss sind in Deutschland Polizei und Bundeswehr zugewiesen, geregelt über § 27 LuftSiG und das TKG (BMI). Ein Werkschutz, der ein Jamming-Gerät betreibt, begeht eine Ordnungswidrigkeit oder eine Straftat, abhängig vom Frequenzeingriff. Betreiber müssen Detektion plus Alarmierungskette vorhalten, nicht Neutralisierung selbst leisten.

Der KRITIS-Dachgesetz-Entwurf (Drucksache 20/9262) führt eine Nachweispflicht für luftgestützte Detektion ein. NIS-2 ergänzt das um Meldewege bei Sicherheitsvorfällen mit Auswirkung auf wesentliche Dienste (EUR-Lex 2022/2555). Wenn eine Drohne ein Rechenzentrum überfliegt und IT-Auswirkungen plausibel sind, ist der Vorfall meldepflichtig. Details zur Meldekette: NIS-2-Compliance.

Die Sektorzuordnung und Schwellenwerte regelt die BSI-KritisV. Wer dort gelistet ist, kommt um eine dokumentierte Drohnendetektion nicht herum.

Detektionsschichten: das Vier-Sensor-Modell

Eine belastbare Drohnendetektion KRITIS arbeitet mit vier Sensorarten in Fusion. Eine einzelne Schicht versagt regelmäßig.

RF-Detektion. Erfasst Steuerfrequenzen im 2,4-GHz- und 5,8-GHz-Band. Identifiziert bei den meisten Konsumdrohnen Hersteller, Modell und Seriennummer aus dem Datalink. Reichweite bis 5 km. Schwäche: autonome Drohnen ohne Funkverbindung sind unsichtbar.

Radar mit Mikro-Doppler. Erfasst Rotorrotation auch bei RF-stillen FPV-Drohnen. Reichweite ab 800 m, abhängig von Drohnengröße. Schwäche: Vogelschwärme erzeugen Falschmeldungen, wenn die Filterung nicht kalibriert ist.

Akustische Sensorik. Rotorensignatur als Bestätigungsschicht. Robust bei Sichtbehinderung durch Nebel, Regen oder Tarnung. Wirksame Reichweite 300 bis 500 m, abhängig von Umgebungslärm. In Industrieumgebungen die schwächste Einzelschicht, als Bestätigung aber wertvoll.

LiDAR und optische Verifikation. Positionsbestätigung in drei Dimensionen, Lastdetektion am Drohnenrumpf, forensische Aufzeichnung für die Strafverfolgung. LiDAR sieht auch bei Nacht und in Gegenlicht, klassische Optik liefert das gerichtsverwertbare Bild.

Die Fusion über einen Sensor-Fusion-Layer reduziert False Positives auf unter zwei Prozent. [Quellennachweis einfügen] Eine RF-only-Lösung liegt typischerweise bei zwölf bis achtzehn Prozent Falschalarmen [Quellennachweis einfügen], was im Audit als unzureichend bewertet wird, weil die Alarmierungskette dann nicht ausgelöst wird.

QR-3: mobile Drohnendetektion im Perimeter

Statische Detektionsmasten haben eine fixe Abdeckung. Eine mobile Plattform verschiebt die Detektionszone entlang der Patrouillenroute und schließt blinde Sektoren. Der QR-3 mit LiDAR und Drohnendetektion ist für diesen Einsatz ausgelegt.

Der LiDAR-Kopf erkennt Objekte bis 120 m Höhe mit 360-Grad-Abdeckung im Patrouillenradius. [Quellennachweis / Datenblatt einfügen] Thermische Verifikation unterscheidet Drohne von Vogel anhand Motorwärme und Flugmuster, ein Vogel hat keine punktförmige Wärmequelle in Rumpfmitte. Patrouillenrouten erweitern die Detektionszone gegenüber statischen Masten um Faktor vier bis sechs [Quellennachweis einfügen]. Der Sensorkopf bewegt sich entlang der Hauptachsen des Werks, statt auf einen Punkt fixiert zu sein.

Die Direktintegration in das Lagebild der Werkleitstelle erfolgt über REST-API und MQTT. Detektionsereignisse gehen mit Zeitstempel, GPS-Position und Sensorsignatur in das SIEM. Die automatische Eskalation an Polizei und BBK-Meldestelle läuft innerhalb der gesetzlichen Frist. Der Werkschutz muss die Verifikation bestätigen, bevor die Behördenmeldung ausgelöst wird.

Mietpreis 3.800 Euro pro Monat im Robotics-as-a-Service Modell, Lieferung in 48 Stunden, Ersatzgerät und Kalibrierung inklusive.

Integration in das bestehende Sicherheitskonzept

Drohnenabwehr ist Bestandteil des Schutzkonzepts nach § 8a BSI-Gesetz und KRITIS-Dachgesetz. Sie ist keine isolierte Disziplin. Der Auditor bewertet das Gesamtkonzept, nicht einzelne Sensoren.

Die Sensorebene muss mit SIEM, Leitstelle und physischem Wachschutz korrelieren. Eine Insellösung scheitert im Audit, weil die Reaktionszeit nicht nachweisbar ist. Wenn der RF-Detektor eine Drohne meldet, das Lagebild der Leitstelle aber keinen Eintrag zeigt, ist die Kette gebrochen.

Die Alarmierungskette ist standardisiert: Detektion, Verifikation, Werkschutz, Polizei, Behördenmeldung. Dokumentiert in unter 90 Sekunden, vom ersten Sensorereignis bis zur abgesetzten Meldung. [Quellennachweis einfügen] Das ist die Kennzahl, die im Audit geprüft wird.

Übungsturnus zweimal jährlich, inklusive Tabletop mit dem zuständigen Landeskriminalamt. Eine Übung pro Jahr ist Minimum, zwei sind Standard für KRITIS-Betreiber der oberen Schwellen. Aufzeichnungspflicht 90 Tage, DSGVO-konforme Maskierung außerhalb des Werksgeländes (öffentliche Verkehrsflächen und benachbarte Grundstücke). Mehr zur Perimeterintegration: Perimeterschutz im Industriepark.

TCO: Drohnenabwehr im RaaS-Modell vs. CapEx

Die Kostenrechnung entscheidet die Beschaffung. Drei Szenarien sind realistisch.

Stationäre C-UAS-Anlage. 180.000 bis 450.000 Euro CapEx, abhängig von Sensorzahl und Maststruktur. [Quellennachweis einfügen] Plus 15 Prozent jährliche Wartung, plus Kalibrierung, plus Sensortausch nach 24 bis 36 Monaten. Abschreibung über fünf Jahre. Zur Hälfte seiner Buchwertdauer ist das System technisch veraltet.

QR-3 im RaaS. 3.800 Euro pro Monat, alle Updates, Ersatzgerät bei Defekt, Sensorkalibrierung und Software-Updates inklusive. Keine Abschreibung, vollständig OpEx, kündbar mit kurzer Frist nach Vertragsende.

Statischer 24/7-Wachposten. 15.000 bis 25.000 Euro pro Monat je Posten, abhängig von Manteltarifvertrag und Region. [Quellennachweis einfügen] Ohne Drohnendetektion, also keine Substitution, sondern Ergänzung. Details: TCO-Vergleich Wachschutzkosten.

Ein Hybridmodell aus einem QR-3 und zwei QR-2 deckt 80 Hektar Industrieperimeter unter 12.000 Euro monatlich ab [Quellennachweis / Datenblatt einfügen]. Eingeschlossen sind Drohnendetektion, Personenerkennung und Patrouillenfunktion. Das ist die Hälfte eines einzigen 24/7-Wachpostens. Abschreibungsrisiko entfällt vollständig. Bei einer Technologie mit 18 bis 24 Monaten Generationszyklus ist das der entscheidende Vorteil.

Umsetzung: 90-Tage-Roadmap für Betreiber

Eine realistische Einführung läuft über drei Phasen.

Tage 1 bis 14: Bedrohungsanalyse. Identifikation kritischer Punkte. Trafostation, Tankfeld, Serverraum-Außenwand, Kühlanlagen, Notstromversorgung. Kartierung der Anflugkorridore aus den Hauptwindrichtungen und entlang von Sichtachsen aus benachbarten öffentlichen Flächen.

Tage 15 bis 30: Pilotinstallation. Ein QR-3 entlang der höchstexponierten Patrouillenroute. Aufzeichnung der Baseline (Vogeldichte, Falschmeldungsrate, RF-Hintergrund) für die Kalibrierung. Schulung der ersten Werkschutzschicht auf Sensorinterpretation.

Tage 31 bis 60: Integration. Anbindung an Leitstelle und SIEM. Alarmierungskette mit Polizei testen, zwei dokumentierte Übungen durchführen, Eskalationsprotokolle nachjustieren. In dieser Phase werden die meisten Schwachstellen sichtbar. Sie liegen in der Regel an der Schnittstelle zwischen Werkschutz und SIEM.

Tage 61 bis 90: Roll-out. Vollständiger Perimeter, Audit-Dokumentation für BBK-Meldung erstellen, Übungsplan für die nächsten 24 Monate festlegen. Parallel laufende Schulung der gesamten Werkschutzmannschaft auf Sensorinterpretation und Eskalationsprotokoll.

Die Roadmap setzt voraus, dass die übrige KRITIS-Compliance steht. Wer dort Lücken hat, arbeitet die 12-Pflichten-Checkliste KRITIS 2026 parallel ab.

Fünf Audit-Fehler und ihre Ursachen

Fünf Fehler tauchen in fast jedem Audit auf.

Fehler 1: Vertrauen auf einzelne Sensorart. RF-only versagt bei autonomen Drohnen ohne Funkverbindung. Eine FPV-Drohne mit vorprogrammierter Route ist für reine RF-Sensorik unsichtbar. Die Vier-Sensor-Fusion ist nicht optional.

Fehler 2: Kauf statt Miete. Sensorgenerationen veralten in 18 bis 24 Monaten. [Quellennachweis einfügen] Eine CapEx-Anlage mit fünf Jahren Abschreibung ist nach drei Jahren technisch hinter dem Angreifer. RaaS überträgt das Generationsrisiko auf den Anbieter.

Fehler 3: Detektion ohne Alarmierungskette. Der Audit prüft Reaktionszeit, nicht Sensorkatalog. Wer ein perfektes Radar betreibt, aber keine dokumentierte Eskalation zur Polizei hat, fällt durch.

Fehler 4: Aktive Gegenmaßnahmen ohne Rechtsgrundlage. Jamming-Geräte werden auf Sicherheitsmessen verkauft, sind in Deutschland aber für Betreiber unzulässig. Der Einsatz ist nach LuftSiG und TKG strafbar. Counter-UAS Deutschland heißt für private Betreiber: detektieren, melden, dokumentieren.

Fehler 5: Drohnenabwehr isoliert vom übrigen Perimeterschutz. Auditoren bewerten das Gesamtkonzept. Eine separate Drohneneinheit ohne Anbindung an Werkschutz, SIEM und Leitstelle erfüllt die Anforderung nicht.

Nächster Schritt

Die rechtliche Pflicht steht, die Technik ist verfügbar, die Kosten sind im RaaS-Modell kalkulierbar. Wer 2026 in ein KRITIS-Audit geht, braucht eine dokumentierte Drohnendetektion mit Alarmierungskette. Der Einstiegspunkt ist eine Pilotinstallation entlang der exponiertesten Route. Anforderungen und Spezifikation: QR-3 Drohnendetektion, Technische Übersicht.