KRITIS Hafen: Terminal-Sicherheit nach Dachgesetz 2026

Hafenterminals stehen 2026 unter doppeltem Regulierungsdruck. Das KRITIS-Dachgesetz verlangt physische Resilienz, NIS-2 verlangt Cyber-Resilienz, und die ISPS-pflichtigen Seehäfen haben zusätzlich den Port Facility Security Plan. Dieser Beitrag trennt See- von Binnenhafen-Terminals, beziffert die Pflichten in Euro und Wochen und ordnet Robotik als ergänzenden Baustein zwischen Zaun, Kai und Leitstelle ein.

KRITIS Hafen: Schwellenwerte und Betreiberpflichten 2026

Der Sektor Transport und Verkehr umfasst Häfen, deren Jahresumschlag die Schwellenwerte der BSI-Kritisverordnung überschreitet. Die KritisV definiert diese Schwellen für See- und Binnenhäfen anhand von Umschlagsmenge und Personenverkehr. Ein Containerterminal mit Umschlag oberhalb der Schwelle ist KRITIS-Anlage, unabhängig davon, ob der Betreiber öffentlich oder privat organisiert ist.

Das KRITIS-Dachgesetz nach Bundestag-Drucksache 20/9262 verpflichtet Betreiber zu physischen Schutzmaßnahmen zusätzlich zu den Cyberpflichten aus NIS-2. Die NIS-2-Richtlinie 2022/2555 regelt parallel Cyber- und Lieferkettenresilienz. Beide Regime greifen am Terminal gleichzeitig.

Operativ bedeutet das vier Pflichten. Erstens: Registrierung beim BBK als zentraler Meldestelle innerhalb der gesetzten Frist. Zweitens: Erstellung eines Resilienzplans mit baulichen, technischen und personellen Maßnahmen. Drittens: Meldung von Sicherheitsvorfällen innerhalb 24 Stunden an BBK und zuständige Länderaufsicht [§ Fundstelle im Dachgesetz oder KRITIS-DachG-Entwurf verlinken]. Viertens: Nachweis im 2-Jahres-Audit. Binnenhafen-Terminals fallen meist nicht unter ISPS, aber sehr wohl unter KritisV und Dachgesetz. Seehafen-Terminals tragen beides.

Nächster Schritt: 12-Pflichten-Checkliste Dachgesetz.

Bedrohungslage am Terminal-Perimeter

Ein mittleres Containerterminal hat Zaunlinien von zwei bis sechs Kilometern. Die Wasserseite ist offen, die Bahnanschlüsse durchbrechen den Perimeter, das Straßentor schleust Tausende Lkw pro Tag. Klassische Kameraketten decken statische Sichtachsen ab, lassen aber Kaikanten und Containerstapelflächen weitgehend blind.

Drohnenüberflüge zur Aufklärung von Containerstellplätzen und ISPS-Zonen sind seit 2023 dokumentiert. [Quelle einfügen] Im Binnenhafen kommt Diebstahl an abgestellten Trailern, Kühlcontainern und Hochwertfracht hinzu. Die Schadenshöhen pro Vorfall liegen in der Praxis zwischen 40.000 und 380.000 Euro, bei Pharmafracht höher. [Quelle einfügen]

Sabotagepotenzial besteht an Strom-, Kälte- und IT-Infrastruktur. Ein Ausfall der Reefer-Stromversorgung über zwölf Stunden vernichtet die Ladung mehrerer hundert Kühlcontainer. Das Risiko ist nicht hypothetisch, sondern Teil der Bedrohungsanalyse, die das Dachgesetz im Resilienzplan verlangt.

Nächster Schritt: Perimeterschutz für Industrieparks.

Bedrohungslage und operative Lücken im klassischen Wachschutz

Die BDSW-Branchendaten zeigen strukturelle Unterbesetzung im 24/7-Objektschutz. Häfen konkurrieren mit Logistikzentren, Industrieparks und kommunalen Aufträgen um dasselbe Personal mit Sachkundeprüfung nach §34a GewO. Die Tarifsteigerungen aus dem Manteltarifvertrag verschärfen die Lage.

Konkret in Euro: ein 24/7-Posten kostet 2026 zwischen 15.000 und 25.000 Euro monatlich, abhängig von Region und Qualifikation. [Quelle einfügen, z. B. BDSW-Tarifdaten] Drei Posten an einem mittleren Terminal binden 540.000 bis 900.000 Euro pro Jahr. [Herleitung belegen oder Quellenlink] Die Streifen zu Fuß erreichen unter realen Bedingungen zwei bis drei Durchgänge pro Schicht, das ergibt Patrouillenintervalle von zwei bis vier Stunden je Zaunabschnitt.

Stationäre Kameras decken nur fest installierte Sichtachsen ab. Adaptive Verfolgung über mehrere Zonen ist ohne PTZ-Steuerung durch einen Operator nicht möglich. In Spitzenzeiten überwacht derselbe Operator dutzende Kanäle gleichzeitig. Die Vorfallsdokumentation läuft häufig handschriftlich oder über freie Textfelder. Gerichtsfest verwertbar ist beides nur bedingt.

Nächster Schritt: TCO-Vergleich Wachschutz.

QR-3 im Terminal: Sensorik und Einsatzprofil

Der QR-3 mit LiDAR und Drohnenerkennung navigiert auf Containerflächen, Kaianlagen und unbefestigten Bereichen autonom. Die LiDAR-basierte SLAM-Karte erfasst die Stapelhöhen in Echtzeit und passt Routen an, wenn Container umgeschlagen werden. Das ist im Terminal-Alltag entscheidend, weil sich die Topologie täglich ändert.

Drohnenerkennung läuft über RF-Detektion gängiger Steuerprotokolle und akustische Signaturen bis 400 Meter. Die Thermalkamera erkennt Personen bei Nebel, Regen und Dunkelheit, also unter den Bedingungen, unter denen Eindringversuche an der Wasserseite tatsächlich stattfinden.

Patrouillenrouten laufen mit randomisierten Intervallen. Das verhindert Vorhersagbarkeit. Feste Streifenpläne sind ein bekanntes Angriffspunkt. Die Anbindung an die Leitstelle erfolgt über verschlüsseltes 4G/5G mit Live-Stream. Eingriff durch einen menschlichen Operator ist jederzeit möglich. Der Roboter ist Sensor und mobile Plattform. Er trifft keine Entscheidungen.

Grenze des Systems: Zugangskontrolle zu ISPS-Zonen bleibt menschlich. Robotik ergänzt den Perimeter und die Containerflächen, ersetzt aber nicht den PFSO oder den Posten am Hauptgate.

TCO-Vergleich: 24/7-Wachposten gegen QR-3-Flotte

Drei 24/7-Wachposten an einem mittleren Terminal kosten wie oben hergeleitet 540.000 bis 900.000 Euro pro Jahr. Drei QR-3 im Robotics-as-a-Service ohne CapEx liegen bei 136.800 Euro pro Jahr. [Preisübersicht verlinken oder Quelle angeben] Die Lieferung erfolgt innerhalb 48 Stunden, die Vertragslaufzeit beginnt bei 24 Monaten.

Der reine Vergleich ist irreführend, weil Robotik den Posten am Gate nicht ersetzt. Realistisch ist ein Hybridmodell: ein menschlicher Interventionsposten am Gate plus eine QR-3-Flotte für Perimeter und Containerflächen. Dieses Modell reduziert die Gesamtkosten in den von uns begleiteten Fällen um rund 60 Prozent gegenüber dem Drei-Posten-Modell. [Fallstudie oder Datengrundlage verlinken]

Versicherungsprämien sinken bei dokumentierter Robotik-Bestreifung in mehreren Fallbeispielen. Die Versicherer akzeptieren das zeitgestempelte Log als Nachweis der tatsächlichen Patrouillenfrequenz. Handschriftliche Streifenbücher bieten diesen Vorteil nicht.

Was funktioniert: Hybridmodell mit ein bis zwei Posten plus zwei bis drei QR-3. Was nicht funktioniert: reiner Robotik-Betrieb ohne menschliche Interventionskraft, weil die ISPS-Pflichten und der §34a-Posten am Gate menschlich bleiben müssen.

Integration in ISPS und Hafenordnung

Bei Seehafen-Terminals ist die Abstimmung mit dem Port Facility Security Officer vor Pilotbeginn Pflicht. Robotik-Routen werden in den Port Facility Security Plan eingebettet. Die zuständige Wasserschutzpolizei und die Generaldirektion Wasserstraßen und Schifffahrt erhalten Kenntnis davon.

Binnenhafen-Terminals ohne ISPS-Pflicht haben diese Hürde nicht, müssen aber die jeweilige Hafenordnung und die KritisV-Vorgaben beachten. Die Zugangskontrolle zu ISPS-Zonen bleibt in beiden Fällen menschlich, Robotik bewegt sich definitionsgemäß auf dem Perimeter und in Pufferzonen, nicht in der Restricted Area des Schiffs.

Datenschutzkonformität nach DSGVO erfolgt durch Zonen-Maskierung. Wohn- und Büroflächen werden in der Karte als No-Record-Zone hinterlegt, die Kamera schwärzt diese Bereiche automatisch. Die Schnittstelle zum PSIM-System läuft über offene API (REST oder MQTT). Vorfälle erscheinen so direkt im bestehenden Lagebild.

Nächster Schritt: KRITIS-Sektoren im Überblick.

Pilotierung: 14 Wochen bis Vollbetrieb

Die Pilotphase folgt einem festen Schema, weil die regulatorischen Schritte parallel zum technischen Setup laufen müssen.

Woche 1 bis 2: Site Survey vor Ort, Funkvermessung für 4G/5G-Abdeckung, Kartierung der Patrouillenkorridore mit LiDAR. Ergebnis ist die SLAM-Karte und der Funkversorgungsplan.

Woche 3 bis 4: Abstimmung mit dem PFSO bei Seehäfen, BBK-Meldung des Pilotvorhabens und Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Ohne diese Dokumente startet kein Betrieb.

Woche 5 bis 8: Probebetrieb eines QR-3 auf einem definierten Teilabschnitt, üblicherweise einem Containerstellplatz mit klar abgegrenztem Perimeter. Ziel ist die Validierung der Routen, Sensorabdeckung und Leitstellen-Anbindung.

Woche 9 bis 12: Skalierung auf Vollflotte, Schulung der Leitstellenmitarbeiter auf die Operator-Konsole, Abnahme durch interne Sicherheitsleitung.

Woche 13 bis 14: Übergabe in den Regelbetrieb, gerichtsfeste Dokumentation der Pilotergebnisse, KPI-Review mit Patrouillenfrequenz, Vorfallszahlen und Reaktionszeiten.

Nächster Schritt: BBK-Registrierung Schritt für Schritt.

Nachweis und Dokumentation gegenüber BBK

Jede Patrouille erzeugt ein zeitgestempeltes Log mit GPS-Track und Sensordaten. Das Log ist unveränderbar gespeichert und über Hash-Ketten gegen Manipulation gesichert. Die tatsächliche Patrouillenfrequenz ist damit objektiv nachweisbar. Handschriftliche Streifenbücher leisten das nicht.

Vorfälle werden automatisch klassifiziert und an die Leitstelle eskaliert. Die Klassifikation unterscheidet zwischen Person im Perimeter, Drohne im Luftraum, Fahrzeug außerhalb Route und technischer Anomalie. Jede Klasse hat ein eigenes Eskalationsprofil, das mit der Hafenordnung und dem Resilienzplan abgestimmt wird.

Exportformate decken die Anforderungen der prüfenden Stellen ab: BSI, BBK und die Aufsichtsbehörde der Länder. Üblich sind PDF mit Hash-Signatur für die Akte, CSV für die statistische Auswertung und JSON für die API-Übergabe an das PSIM oder ein Behörden-Portal.

Aufbewahrungsfristen nach KritisV und Hafenordnung sind voreingestellt. Standard sind drei Jahre für Vorfallsdaten und sechs Monate für Routine-Patrouillen-Logs [Rechtsgrundlage verlinken], abweichende Vorgaben einzelner Länderaufsichten lassen sich konfigurieren.

Der Resilienznachweis im 2-Jahres-Audit nach Dachgesetz lässt sich direkt aus dem System ableiten. Die Auditoren erhalten einen Datenraum mit Patrouillenfrequenz, Vorfallshistorie, Reaktionszeiten und Ausfallzeiten. Das ersetzt die manuelle Zusammenstellung. In vielen Häfen bindet diese heute mehrere Wochen Vorbereitung.

Konkreter Einstieg

Wer 2026 vor der BBK-Registrierung steht und den Resilienzplan ausarbeitet, sollte die physische Komponente nicht nachgelagert behandeln. KritisV, Dachgesetz und NIS-2 verlangen nachweisbare Patrouillen, dokumentierte Vorfallsklassifikation und auditfähige Datenhaltung. Robotik liefert diese Nachweise als Nebenprodukt des Regelbetriebs, klassische Streifen liefern sie nur mit erheblichem Zusatzaufwand.

Für eine konkrete TCO-Rechnung am eigenen Terminal, einen Site Survey oder die Abstimmung des Pilotumfangs mit dem PFSO: Details zur Plattform, Sensorik und RaaS-Konditionen: QR-3 Produktseite mit LiDAR und Drohnenerkennung oder direkt zum RaaS-Angebot für Hafenterminals.