Gefährdungsanalyse KRITIS: Vorlage und Methodik 2026
Gefährdungsanalyse KRITIS nach Dachgesetz: Methodik, Vorlage mit 12 Pflichtfeldern, Bedrohungsszenarien und 14-Wochen-Fahrplan für Betreiber.
Die Gefährdungsanalyse KRITIS ist ab 2026 der zentrale Nachweis, dass ein Betreiber seine kritische Dienstleistung gegen alle relevanten Gefahren absichert. Sie ist kein Anhang zum Schutzkonzept, sondern eigenständiges Pflichtdokument. Dieser Text liefert Methodik, Vorlagenstruktur mit zwölf Pflichtfeldern und einen 14-Wochen-Fahrplan, mit dem die Analyse prüfungsfähig wird.
Gefährdungsanalyse KRITIS: rechtlicher Rahmen 2026
Das KRITIS-Dachgesetz verpflichtet Betreiber zur dokumentierten All-Gefahren-Analyse. Diese ist getrennt von der NIS-2-Cyberbetrachtung zu führen und deckt physische, hybride und Natur-Gefahren ab. Die Bundestags-Drucksache 20/9262 fixiert den Sanktionsrahmen bei bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Konzernumsatzes (Bundestag-Drucksache 20/9262). Die Geschäftsleitung haftet persönlich.
§ 8a BSIG und die KritisV definieren die sektoralen Schwellenwerte. Energie, Wasser, Ernährung, IT, Gesundheit, Finanzwesen, Transport und kommunale Entsorgung haben jeweils eigene Anlagenkategorien und Mindestversorgungsgrößen (BSI-KritisV). Die Gefährdungsanalyse ist alle 24 Monate zu aktualisieren und beim BBK zu hinterlegen.
Wichtige Abgrenzung: Die Gefährdungsanalyse KRITIS ist nicht die Gefährdungsbeurteilung nach ArbSchG. Die Arbeitsschutz-Beurteilung schützt Beschäftigte am Arbeitsplatz. Die KRITIS-Analyse schützt die Allgemeinheit vor Versorgungsausfall. Beide existieren parallel, mit eigenen Verantwortlichen und eigenen Dokumenten. Wer beides in einem Dokument vermischt, scheitert in der ersten Stichprobe.
Der Geltungsbereich umfasst nach den Ostsee-Vorfällen 2024 explizit Drohnenangriffe und Sabotage durch Insider. Naturgefahren wie Hochwasser, Sturm und Hitze gehören ebenso dazu wie Kaskadeneffekte aus vorgelagerten Netzen. Wer den 12-Pflichten-Rahmen noch nicht abgearbeitet hat, beginnt mit der KRITIS-Dachgesetz Checkliste mit 12 Pflichten.
Methodik: vom Schutzobjekt zum Szenario
Schritt 1 ist die Bestandsaufnahme der kritischen Dienstleistung. Welche Anlagen müssen funktionieren, damit die Dienstleistung läuft? Trafostation, Pumpwerk, Leitwarte, Notstromversorgung. Anlagen ohne Wirkung auf die Dienstleistung gehören nicht in die Analyse.
Schritt 2 klassifiziert die Assets nach Wiederherstellungszeit (RTO). Anlagen mit RTO über 72 Stunden sind hochkritisch und erhalten in der Vorlage eine eigene Markierung. Anlagen mit RTO unter 4 Stunden werden geringer priorisiert, aber nicht ausgeschlossen.
Schritt 3 bildet Szenarien nach dem 5x5-Raster aus Eintrittswahrscheinlichkeit und Schadensausmaß, abgeleitet aus der BBK-Methodik zur Risikoanalyse (BBK). Für jedes Szenario gilt: konkrete Beschreibung, nicht generisch. "Sabotage am Umspannwerk Nord, Eingriff am Steuerschrank C-12" ist verwertbar. "Sabotage" allein nicht.
Schritt 4 leitet Maßnahmen ab, getrennt nach Prävention (Zaun, Zugangskontrolle), Detektion (Sensorik, Patrouille), Reaktion (Interventionskraft, Leitstelle) und Wiederanlauf (Ersatzteillager, Personalreserve). Diese Trennung verhindert, dass ein einziger Posten als Allzweckantwort missbraucht wird.
Schritt 5 dokumentiert das Restrisiko schriftlich. Die Geschäftsleitung akzeptiert mit Datum und Unterschrift. Ohne diese Unterschrift gilt die Analyse als nicht abgeschlossen. Die Methodik steht damit. Die Vorlage folgt.
Vorlage: die zwölf Pflichtfelder pro Szenario
Jedes Szenario der KRITIS Risikoanalyse Vorlage enthält zwölf Felder. Diese Struktur reproduziert das BBK-Prüfraster und ist auditfähig.
| Feld | Inhalt |
|---|---|
| 1 | Szenario-ID (laufende Nummer, z. B. KRIT-2026-014) |
| 2 | Bezeichnung (kurz, präzise, ortsbezogen) |
| 3 | Betroffene Anlage und Standort |
| 4 | Kritische Dienstleistung |
| 5 | Gefährdungskategorie (physisch, Cyber, Natur, hybrid) |
| 6 | Eintrittswahrscheinlichkeit 1 bis 5 mit Quelle |
| 7 | Schadensausmaß Versorgung 1 bis 5 |
| 8 | Schadensausmaß Personen, Umwelt, Reputation 1 bis 5 |
| 9 | Risikoindex (Produkt, farbcodiert) |
| 10 | Maßnahmen mit Verantwortlichem, Frist, Budget |
| 11 | Wirksamkeitskennzahl (messbar, quartalsweise) |
| 12 | Verweis auf Wartungs- und Übungsplan |
Die Eintrittswahrscheinlichkeit braucht eine Quellenangabe. Zulässig sind Sektorstatistik, dokumentierte Vorfallhistorie oder begründete Expertenschätzung mit Protokoll. Eine Bewertung ohne Quelle wird vom BBK zurückgewiesen.
Der Risikoindex ist das Produkt aus Wahrscheinlichkeit und maximalem Schadensausmaß. Ab Index 12 ist eine Maßnahme zwingend. Indizes von 6 bis 11 erfordern eine begründete Entscheidung. Werte unter 6 werden dokumentiert und überwacht.
Feld 11 entscheidet über Auditfähigkeit. "Detektion und Erstreaktion unter 4 Minuten, gemessen quartalsweise durch Red-Team-Test" ist eine Kennzahl. "Wachschutz vorhanden" ist keine. Feld 12 verlangt den Übungsnachweis. Ohne dokumentierte Übung gilt die Maßnahme als nicht implementiert.
Bedrohungsszenarien: was 2026 in jede Analyse gehört
Fünf Szenarien gehören 2026 in jede Gefährdungsanalyse KRITIS, unabhängig vom Sektor.
Drohnenüberflug mit Aufklärungs- oder Abwurfabsicht: seit 2024 in 11 Bundesländern dokumentiert. Betroffen sind alle Sektoren mit Außenanlagen, von Umspannwerken bis Wasserwerken. Die Detektion erfordert LiDAR oder RF-Sensorik, optische Systeme allein reichen bei Nacht nicht.
Sabotage durch externe Täter am Perimeter: Kabel- und Lichtwellenleiter-Durchtrennung ist das häufigste Muster. Die durchschnittliche Wiederherstellung beträgt 36 Stunden. Maßnahmen kombinieren mechanische Härtung mit Frühdetektion am äußeren Zaun.
Insider-Threat mit physischem Zugang: laut BDSW-Branchendaten machen Insider-Fälle einen erheblichen Anteil schwerer Vorfälle aus (BDSW Zahlen, Daten, Fakten). Häufig in Kombination mit Cyberkomponente, was ein hybrides Szenario im Sinne der Vorlage ergibt.
Hochwasser und Starkregen: nach BBK-Klimaprojektion 2030 für einen großen Teil der KRITIS-Standorte relevant. Die Analyse muss Pegelstände, Rückhalteflächen und Notstrom auf erhöhter Ebene berücksichtigen.
Stromausfall der vorgelagerten Netzebene über 24 Stunden: Pflichtszenario seit der KritisV-Novelle 2025. Es prüft, wie lange die eigene Dienstleistung ohne Fremdstrom aufrechterhalten wird, und ob Diesel-, Batterie- oder PV-Backups dokumentiert und getestet sind. Die NIS-2-Cyberbetrachtung läuft parallel und ergänzt diese physischen Szenarien um Angriffsvektoren auf OT und IT (NIS-2 Richtlinie).
Eine vollständige Liste der sektorspezifischen Mindestszenarien findet sich in den Anforderungen für KRITIS-Betreiber.
Physische Maßnahmen: Perimeter, Detektion, Intervention
Der mechanische Perimeter ist Grundvoraussetzung. Zaun nach DIN EN 1722, Vereinzelungsanlagen an Personentoren, Poller an Fahrzeugzufahrten. Mechanik allein detektiert nichts. Sie verzögert.
Sensorische Detektion durch Thermalkameras und LiDAR erkennt Eindringversuche bei Nacht, Nebel und Regen. Statische Anlagen haben Toterfassungsbereiche, vor allem an Ecken, hinter Trafogebäuden und an Hängen. Diese Lücken sind in der Vorlage zu dokumentieren, nicht zu verschweigen.
Autonome Patrouille schließt diese Lücken. QR-2 deckt 24/7-Außenperimeter mit Thermal und Personenerkennung ab. QR-3 mit LiDAR und Drohnenerkennung ergänzt um Luftraumüberwachung im Nahbereich. Details zur Anwendung auf Industrieflächen liefert die Übersicht Perimeterschutz für Industrieparks.
Die Interventionszeit der Polizei beträgt im ländlichen Raum 12 bis 18 Minuten. Jede Maßnahme der Vorlage muss diese Lücke durch eigene Erstreaktion überbrücken, mechanisch, sensorisch oder personell. Eine TCO-Gegenüberstellung der Optionen findet sich in Wachschutz-Kosten im TCO-Vergleich.
Die Wirksamkeit der Maßnahmen wird quartalsweise durch Red-Team-Tests verifiziert. Selbsterklärungen ohne Test gelten in der Prüfung als nicht belegt.
Dokumentation und Prüfung durch das BBK
Die Gefährdungsanalyse wird als eigenständiges Dokument geführt, nicht als Anhang zum Schutzkonzept. Der typische Umfang liegt bei 40 bis 80 Seiten, abhängig von Anlagenanzahl und Sektor.
Pflichtbestandteile sind: Methodikbeschreibung, Szenarienkatalog, Maßnahmenmatrix, Restrisikoerklärung der Geschäftsleitung, Übungsplan und Revisionshistorie. Fehlt einer dieser Teile, ist das Dokument nicht prüfungsfähig.
Das BBK kann Stichprobenprüfungen mit 14 Tagen Vorlauf ankündigen. Die vollständige Dokumentation muss in deutscher Sprache vorliegen. Englische Anhänge werden geduldet, der Hauptteil nicht. Auditfähigkeit setzt voraus, dass jede Aussage durch Beleg gestützt ist: Sensorlog, Schulungsnachweis, Wartungsprotokoll, Übungsbericht.
Empfehlung: digitale Führung mit Versionskontrolle. Ein PDF-Insellauf führt zu Inkonsistenzen, sobald mehr als zwei Personen Änderungen einbringen. Änderungen müssen mit Datum, Autor und Begründung nachvollziehbar sein. Die formale Einreichung beim BBK ist in der BBK-Registrierung Schritt für Schritt beschrieben.
Typische Fehler und wie sie zu vermeiden sind
Fehler 1: Übernahme generischer Vorlagen ohne Standortbezug. Das BBK erkennt Boilerplate-Texte an formulierten Versatzstücken und fordert Nacharbeit. Jede Vorlage ist Ausgangspunkt, nicht Endprodukt.
Fehler 2: Wahrscheinlichkeit auf Basis konzerninterner Vorfälle statt Sektorstatistik. Wer nur eigene Daten auswertet, unterschätzt seltene, aber katastrophale Ereignisse systematisch. Externe Sektordaten von BBK, BDSW und Sektorverbänden sind heranzuziehen.
Fehler 3: Maßnahmen ohne Kennzahl. "Wachschutz vorhanden" ist kein Nachweis. "Detektion und Intervention unter 4 Minuten, gemessen quartalsweise" schon. Jedes Maßnahmenfeld benötigt eine messbare, quartalsweise prüfbare Größe.
Fehler 4: Trennung von Cyber- und physischer Analyse ohne Schnittstelle. Hybride Szenarien wie der manipulierte Zugang über kompromittierte Ausweise fallen sonst durchs Raster. Die Vorlage muss eine Spalte "hybrider Anteil" mitführen.
Fehler 5: Geschäftsleitung unterschreibt, ohne den Maßnahmenkatalog gelesen zu haben. Bei einem Haftungsfall wertet die Staatsanwaltschaft dies als Vorsatz, nicht als Fahrlässigkeit. Die Konsequenzen sind in Vorstandshaftung unter NIS-2 im Detail beschrieben.
Vom Dokument zur Umsetzung: 14-Wochen-Fahrplan
Woche 1 bis 3: Asset-Inventur und Sektorrecherche. Workshop mit Betrieb, IT, Werkschutz und externer Beratung. Ergebnis: vollständige Anlagenliste mit RTO-Klassifizierung und Sektor-Benchmark.
Woche 4 bis 7: Szenariobildung und Bewertung in moderierten Sitzungen. Parallel Begehung aller kritischen Standorte mit Foto- und Lagedokumentation. Ergebnis: Szenarienkatalog mit Risikoindizes.
Woche 8 bis 10: Maßnahmenableitung mit Budget und Lieferanten. Pilotinstallation Sensorik oder Robotik. Die Lieferzeit Quarero beträgt 48 Stunden ab Auftragsbestätigung für QR-2 und QR-3. Ergebnis: Maßnahmenmatrix mit Verantwortlichen und Fristen.
Woche 11 bis 12: Schulung der Mitarbeitenden, Tabletop-Übung mit Beteiligung von Leitstelle und Geschäftsleitung, erste Red-Team-Tests am Perimeter. Ergebnis: Übungsnachweise und Wirksamkeitskennzahlen.
Woche 13 bis 14: Finalisierung des Dokuments, Restrisikoerklärung, Unterschrift Geschäftsleitung, Einreichung beim BBK. Ergebnis: hinterlegte Gefährdungsanalyse mit Eingangsbestätigung.
Folgezyklus: Quartalsreview der Kennzahlen, jährliche Tabletop-Übung, vollständige Aktualisierung alle 24 Monate. Ad-hoc-Aktualisierung bei Vorfällen, baulichen Änderungen oder neuen Bedrohungslagen.
Wer die Gefährdungsanalyse KRITIS noch nicht begonnen oder eine bestehende Analyse auf Auditfähigkeit prüfen lassen möchte, vereinbart einen 30-minütigen Fachtermin über das Kontaktformular. Wir liefern die Vorlagenstruktur und die Sensorik in einem Vorgang.