KRITIS Flughafen: Perimeter und Drohnenabwehr 2026

Flughafenbetreiber stehen 2026 vor zwei parallelen Regelwerken: NIS-2 für Cybersicherheit und das KRITIS-Dachgesetz für physische Resilienz. Beide treffen denselben Sicherheitsleiter, beide verlangen dokumentierte Schutzkonzepte. Dieser Text beschreibt die operative Umsetzung am Perimeter: von der Schwellenwertprüfung bis zur Abnahme durch das BBK.

KRITIS Flughafen: Was die Schwellenwerte für Verkehrsbetreiber bedeuten

Verkehrsflughäfen ab 20 Mio. Passagieren pro Jahr fallen unter den Sektor Verkehr im KRITIS-Rahmen (BSI-KritisV, Anhang 1, Kategorie Luftverkehr). Die Schwellenwerte für Verkehrsflughäfen sind in der BSI-Kritisverordnung festgelegt, §7 regelt den Bereich Luftverkehr. Für mittelgroße Flughäfen mit 8 bis 20 Mio. Passagieren greifen Schwellen über Frachtaufkommen und Slotzahlen.

Das KRITIS-Dachgesetz erweitert die Pflichten um physische Resilienz, nicht nur IT-Sicherheit. Die Bundestag-Drucksache 20/9262 definiert in §5 und §11 die Anforderungen für Sektor Verkehr und nennt explizit Sabotageschutz, Zugangskontrolle und All-Gefahren-Ansatz. Betreiber müssen ein Schutzkonzept vorlegen, das Perimeter, Airside und Landside getrennt behandelt.

Die Registrierungspflicht beim BBK gilt ab dem Moment der Identifikation als Kritische Anlage. Wer die Frist versäumt, riskiert Bußgelder bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist (KRITIS-Dachgesetz-E §42, BT-Drs. 20/9262). Die Aufsicht prüft nicht nur formale Meldung, sondern Wirksamkeit der Maßnahmen.

Nächster Schritt: KRITIS-Dachgesetz Anforderungen für Verkehrsbetreiber mit dem eigenen Schutzkonzept abgleichen.

Perimeter-Architektur am Flughafen: drei Zonen, drei Sensorlogiken

Ein Flughafen hat keinen einheitlichen Perimeter. Drei Zonen verlangen drei Sensorlogiken.

Außenzaun. Thermische Detektion und Annäherungserkennung müssen bei jeder Sichtbedingung funktionieren: Nebel, Regen, Schneefall, Gegenlicht. Festkameras liefern dauerhafte Linienüberwachung, mobile Plattformen verifizieren Alarme vor Ort. Klettern, Untergraben und Durchschneiden müssen separat detektiert werden.

Vorfeld und Airside. Runway Incursions sind die teuersten Sicherheitsvorfälle. Persistente Patrouille reduziert die Wahrscheinlichkeit, dass Personen oder Fahrzeuge unbemerkt in Rollbahnbereiche gelangen. Klassische CCTV-Lösungen scheitern an Distanz und beweglichen Objekten im Bildfeld.

Frachtbereiche. Hier kombiniert sich Zugangskontrolle mit Verifikation außerhalb des Kamerasichtfelds. Container, LKW und Ladebrücken erzeugen tote Winkel. Mobile Sensorik schließt diese Lücken.

Die hybride Architektur funktioniert: Festkameras decken Linien ab, Roboter schließen tote Winkel und verifizieren. Entscheidend ist die Latenz vom Alarm zur Verifikation. Über 90 Sekunden bedeutet: Der Eindringling ist weg, bevor die Streife eintrifft. Unter 90 Sekunden bleibt operative Reaktion möglich.

Nächster Schritt: Sensor-Mapping je Zone, dokumentiert in der Dachgesetz-Checkliste 2026.

Drohnenabwehr als Pflichtelement nach KRITIS-Dachgesetz

Drohnen sind die häufigste Ursache für Runway Closures in Europa. Das KRITIS-Dachgesetz nennt Drohnendetektion implizit über den All-Gefahren-Ansatz, das LuftSiG ergänzt die Vorgaben.

QR-3 mit Drohnendetektion erfasst Objekte per LiDAR und RF-Sensorik innerhalb eines Radius von 400 Metern (Technisches Datenblatt QR-3, Rev. 2025-Q4). Die Detektion ist Betreiberpflicht. Aktive Bekämpfung, also Störsender oder kinetische Abwehr, bleibt Hoheitsaufgabe der Bundespolizei. Diese Trennung ist juristisch zwingend. Wer als privater Betreiber aktiv stört, verstößt gegen Telekommunikationsrecht und Luftverkehrsgesetz.

Geokoordinaten der detektierten Drohne werden in unter 5 Sekunden an die Leitstelle übergeben (Technisches Datenblatt QR-3, Rev. 2025-Q4). Die Integration in das bestehende Lagezentrum erfolgt per Standard-API, kein Austausch der Leitstellensoftware nötig. Vorfälle werden BSI-konform protokolliert. Die Meldepflicht nach 24 Stunden gilt auch für versuchte Drohnenüberflüge, nicht nur für erfolgreiche Eindringungen (LuftSiG §16b i.V.m. KRITIS-Dachgesetz-E §11).

Wichtig für die Dokumentation gegenüber BBK: Die Eskalationsmatrix muss die Übergabe an Bundespolizei explizit benennen. Sonst entsteht der Eindruck, der Betreiber überschreite seine Befugnisse.

Nächster Schritt: Drohnen-Detektionsradius mit Anflugkorridoren abgleichen und blinde Sektoren markieren.

TCO-Vergleich: stationärer Wachposten gegen autonome Patrouille

Ein 24/7-besetzter Wachposten am Flughafen kostet zwischen 15.000 und 25.000 EUR pro Monat (Bundesverband der Sicherheitswirtschaft BDSW, Lohnkostenerhebung 2024). Die Spanne ergibt sich aus Tarifbindung, Zuschlägen für Nacht- und Feiertagsschichten und Qualifikationsstufe nach §34a GewO oder erweiterter Sachkundeprüfung Luftsicherheit.

QR-3 mit Drohnendetektion kostet im RaaS-Modell ohne CapEx 3.800 EUR pro Monat (Quarero Robotics Preisblatt 2026, auf Anfrage). Drei Wachposten am Außenzaun lassen sich durch zwei QR-3 plus eine zentrale Leitstellenfunktion ersetzen. Das Personal wechselt in die Verifikations- und Eskalationsrolle. Dort wird es nach LuftSiG ohnehin gebraucht.

Die ROI-Schwelle wird bei mittelgroßen Flughäfen innerhalb 7 Monaten erreicht (interne TCO-Kalkulation Quarero Robotics, Basis: drei Wachposten à 18.000 EUR/Monat). Lieferung erfolgt in 48 Stunden, Mindestvertragslaufzeit 24 Monate, der Schulungsaufwand für Bedienpersonal liegt unter 4 Stunden.

Die Trade-off-Ehrlichkeit: Roboter ersetzen Streifen am Zaun und in Frachtgassen. Sie ersetzen nicht den Kontrolleur an Passagierschleusen, nicht den Bundespolizisten, nicht den Schichtleiter. Wer Vollautomatisierung verkauft, verkauft ein juristisches Problem.

Nächster Schritt: detaillierter Kostenvergleich Wachschutz für die eigene Standortgröße.

Schutzkonzept für KRITIS Flughafen: was die Aufsicht prüft

Das BBK prüft Wirksamkeit, nicht nur Vorhandensein von Schutzmaßnahmen. Ein Schutzkonzept, das Sensoren listet, aber keine Reaktionszeiten dokumentiert, fällt durch.

Der All-Gefahren-Ansatz verlangt Berücksichtigung von Sabotage, Drohnenüberflug, Naturereignis und hybrider Bedrohung. Hybrid bedeutet hier: koordinierter Angriff mit Drohne als Ablenkung und Bodenpenetration am gegenüberliegenden Zaunabschnitt. Solche Szenarien müssen in Übungen abgedeckt sein.

Redundanz auf Sensorebene ist Pflicht: mindestens zwei unabhängige Detektionspfade pro Zone. Ein Kameraausfall darf keine Schutzlücke erzeugen. Thermalkamera plus LiDAR auf mobiler Plattform erfüllt diese Anforderung, Doppel-CCTV mit gleicher Stromversorgung nicht.

Übungen mindestens jährlich, dokumentiert mit Reaktionszeiten und Lessons Learned. Die Aufsicht fragt nach konkreten Zeitstempeln: Alarm um 14:32:17, Verifikation um 14:33:09, Eskalation um 14:33:45. Wer keine Zeitstempel hat, hat keine Übung dokumentiert.

Der Verantwortliche gegenüber Behörden wird namentlich benannt, Vertretung ist geregelt und ebenfalls dokumentiert. Bei Vorfall muss die Erreichbarkeit innerhalb 60 Minuten gegeben sein.

Nächster Schritt: Schutzkonzept gegen die BBK-Registrierung Schritt für Schritt prüfen.

Datenschutz und Mitbestimmung beim Robotereinsatz Airside

Sicherheitsroboter erfassen Bilddaten. Das löst DSGVO-Pflichten aus, auch wenn der Einsatz Airside und damit außerhalb öffentlich zugänglicher Bereiche stattfindet.

Personenerkennung erfolgt anonymisiert. Keine biometrische Identifikation, keine Gesichtsabgleiche, keine Verknüpfung mit Personalakten. Der Roboter detektiert Mensch, Fahrzeug, Drohne als Objektklassen, nicht als Identitäten.

Eine DSGVO-Folgenabschätzung ist vor Inbetriebnahme verpflichtend, dokumentiert nach Art. 35 DSGVO. Der Datenschutzbeauftragte zeichnet ab, bei größeren Flughäfen empfiehlt sich Abstimmung mit der zuständigen Aufsichtsbehörde des Landes.

Der Betriebsrat ist einzubinden, sobald Roboter in Mitarbeiterbereichen patrouillieren, nicht nur Airside in Personalgängen, sondern auch in Pausenbereichen oder auf Vorfeldwegen, die Bodenpersonal nutzt. §87 BetrVG greift bei technischen Überwachungseinrichtungen.

Aufzeichnung wird auf 72 Stunden begrenzt (empfohlene Praxis nach DSK-Orientierungshilfe Videoüberwachung, Stand 2023). Längere Speicherung nur bei dokumentiertem Vorfall mit Aktenzeichen. Hinweisschilder nach BDSG §4 sind an allen Patrouillenzonen sichtbar anzubringen, mehrsprachig bei internationalen Flughäfen.

Die zugrundeliegende Norm für Roboter im Personenumfeld ist EN ISO 13482. Sie regelt Sicherheitsanforderungen für autonome Serviceroboter und ist Voraussetzung für die CE-Kennzeichnung.

Nächster Schritt: DSGVO-Folgenabschätzung mit Betriebsrat und Datenschutzbeauftragtem terminieren, vor Pilotstart.

Integration in Luftsicherheitsorganisation und Bundespolizei

Roboter ergänzen menschliches Personal. In Eskalationslagen ersetzen sie es nicht. Diese Grenze muss im Schutzkonzept klar stehen. Fehlt sie, entstehen Haftungsfragen.

Die Schnittstelle zur Bundespolizei-Leitstelle wird nach LuftSiG abgestimmt. Welche Ereignisse gehen automatisch weiter, welche filtert die Betreiberleitstelle vor? Bei Drohnenalarm gilt: sofortige Übergabe, parallel zur internen Verifikation.

Die Eskalationsmatrix folgt vier Schritten. Detektion durch Sensor oder Roboter. Verifikation durch Operator in Leitstelle. Meldung an interne Schichtleitung und je nach Lage an Bundespolizei. Übergabe der operativen Führung bei Eintreffen der Polizeikräfte. Jeder Schritt ist mit Zeitstempel zu protokollieren.

Schichtübergaben werden dokumentiert. Der Roboterstatus, also Akkustand, Wartungsmeldungen, aktuelle Patrouillenroute, ist Teil der Lagebesprechung. Wer dies dem Betreiber überlässt, ohne klare Verantwortung, riskiert Lücken bei Schichtwechsel.

Roboterbedienung lässt sich in 4 Stunden vermitteln: Notfallabschaltung, manuelle Steuerung und Standardabfragen am Leitstand. Komplexere Konfiguration bleibt beim Herstellersupport.

NIS-2 ergänzt parallel zum KRITIS-Dachgesetz die Cybervorgaben für Verkehrsbetreiber. Die Schnittstellen zwischen Robotern und Leitstelle fallen unter Art. 21 NIS-2 als Teil der Netz- und Informationssysteme. Verschlüsselung, Zugriffsprotokollierung und Patchmanagement sind nachzuweisen.

Nächster Schritt: Eskalationsmatrix mit Bundespolizei abstimmen und unterzeichnen lassen.

Umsetzung: 14 Wochen vom Audit zur operativen Patrouille

Die Umsetzung an einem mittelgroßen Flughafen folgt einem belastbaren Zeitplan, sofern die internen Abstimmungen rechtzeitig starten.

Woche 1 bis 3. Gefährdungsanalyse nach KRITIS-Dachgesetz, Zonierung des Perimeters in Außenzaun, Airside, Fracht, Landside. Sensor-Mapping je Zone, inklusive Beleuchtungsverhältnisse, Funkschatten und vorhandener Infrastruktur.

Woche 4 bis 6. Schutzkonzept verschriftet, intern abgestimmt mit Geschäftsführung, Datenschutz, Betriebsrat. Externe Abstimmung mit Bundespolizei und BBK. Erste Rückläufe einarbeiten.

Woche 7 bis 10. Pilot mit zwei QR-3 im Frachtbereich. Diese Zone eignet sich: überschaubar, klare Zugangsregeln, geringere DSGVO-Sensitivität als Passagierbereiche. Datenerhebung zu False Positives, Detektionsreichweite, Latenzen.

Woche 11 bis 12. Erweiterung auf Außenzaun. Anbindung der Leitstelle per API, Test der Übergabe an Bundespolizei-Schnittstelle. Dokumentation der Reaktionszeiten.

Woche 13 bis 14. Abnahme, finales Mitarbeitertraining, BBK-Registrierung abgeschlossen. Übergabe in den operativen Betrieb mit definierten KPIs: Detektionsrate, False-Positive-Rate, mittlere Verifikationszeit.

Was schiefgehen kann. Verzögerung bei Betriebsratsanhörung kostet typischerweise 4 bis 6 Wochen (Erfahrungswert aus Quarero-Pilotprojekten 2024–2025). Frühe Einbindung verhindert das. Funkschatten an Hallenwänden erfordern zusätzliche Repeater, am besten in Woche 3 erkannt, nicht in Woche 11.

Technische Spezifikation und Pilotmodalitäten sind unter QR-3 mit Drohnendetektion abrufbar.