KRITIS Rechenzentrum: Physische Resilienz und Schutzkonzept 2026

Wer ein KRITIS Rechenzentrum betreibt, kennt die Cyberpflichten der NIS-2 seit dem Umsetzungsgesetz. Die physische Resilienz nach KRITIS-Dachgesetz ist ein eigener Pflichtenkreis. Beide laufen parallel, beide werden geprüft, beide müssen 2026 nachweisbar funktionieren. Der Beitrag trennt die beiden Regelwerke, zeigt das Bedrohungsbild und vergleicht klassischen Wachposten mit autonomer Robotik in Zahlen.

KRITIS Rechenzentrum: Schwellenwerte und regulatorischer Status 2026

Die Einstufung als kritische Anlage im Sektor IT und Telekommunikation richtet sich nach klaren Mengenkriterien. Die KritisV definiert die Schwellenwerte für Rechenzentren im Sektor IT und Telekommunikation in Anhang 4 der BSI-Kritisverordnung: 3,5 Millionen eingesetzte IP-Adressen oder 100.000 Vertragspartner. Colocation-Anbieter fallen darunter, sobald sie 5 MW vertraglich zugesicherte IT-Leistung erreichen.

Das KRITIS-Dachgesetz ergänzt die bestehenden Cyberpflichten der NIS-2 um Anforderungen an die physische Resilienz kritischer Anlagen (Bundestag-Drucksache 20/9262). Dieser Punkt wird in der Branche regelmäßig vermischt: NIS-2 adressiert Cyber-Resilienz, Authentifizierung, Patch-Management, Vorfallmeldung. Das Dachgesetz adressiert Zaun, Tür, Detektion, Personal, Brand und Drohne. Beide Pflichtenkreise existieren parallel und müssen getrennt nachgewiesen werden.

Die Doppelregulierung ist real. Ein Hyperscale-Standort fällt unter BSIG, KritisV, KRITIS-Dachgesetz und NIS-2-Umsetzungsgesetz. Für die georedundante USV gilt zusätzlich das EnWG. Die Registrierungspflicht beim BBK greift innerhalb von drei Monaten nach Inkrafttreten des Dachgesetzes. Die NIS-2-Richtlinie erfasst Rechenzentrumsdienste als wesentliche Einrichtung mit erhöhten Sorgfaltspflichten (Richtlinie EU 2022/2555).

Nächster Schritt: KRITIS-Anforderungen im Überblick als Mapping gegen den eigenen Standort prüfen.

Physische Bedrohungen gegen Rechenzentren: Lageabbild 2024 bis 2026

Das Lagebild hat sich verschoben. 2024 dokumentierten BBK-Berichte zwölf Sabotagefälle an Glasfasertrassen außerhalb des Perimeters in DACH. [Quelle einfügen] Das Muster: gezielte Schnitte an Schächten, die in OSM oder Planungsunterlagen identifizierbar sind. Der Zaun des Rechenzentrums war intakt, der Dienst trotzdem ausgefallen.

Drohnenüberflüge mit Aufklärungszweck haben sich in den Frankfurter Standorten zwischen 2022 und 2024 verdreifacht. [Quelle einfügen] Die Geräte sind klein, oft unter 250 Gramm, fliegen vor Sonnenaufgang und kartieren Dachflächen, Kühlanlagen, Trafostationen. Die Auswertung tauchte in zwei Fällen später in Sabotage-Foren auf.

Brandstiftung gegen Notstromdiesel und Trafostationen ist der wirksamste Angriffsvektor gegen Verfügbarkeit. Ein Brandsatz unter einem Außentank kostet den Betreiber den SLA für die nächsten 48 Stunden. Die Tatorte liegen fast immer außerhalb der direkten Sicht der Pforte.

Innentäter mit Zugang zu Whitespace und Meet-Me-Room sind die unterschätzte Kategorie. Personalkontrolle nach Sicherheitsüberprüfungsgesetz greift nur bei Geheimschutzbedarf. Reinigungspersonal und Subunternehmer-Techniker sind davon nicht erfasst. Tailgating an Hochsicherheitsschleusen bleibt das Standardproblem: Branchenstudien zeigen, dass Wachpersonal pro Schicht 4 bis 7 Prozent der Versuche übersieht. [Quelle einfügen] Bei 200 Durchgängen pro Tag sind das acht bis vierzehn unbemerkte Mitläufer.

Schutzkonzept Rechenzentrum: vier Perimeter und die Rolle autonomer Robotik

Ein belastbares Datacenter Sicherheitskonzept arbeitet mit vier abgestuften Perimetern. Autonome Robotik ergänzt stationäre Sensorik dort, wo Festinstallation zu teuer oder zu starr ist.

Perimeter 1 ist der Außenzaun. QR-2 für den 24/7-Außeneinsatz liefert thermische Detektion und Personenklassifikation auf 80 Meter bei Dunkelheit. Die Patrouille läuft kontinuierlich. Statische PTZ-Kameras lassen den Zaun zwischen zwei Schwenks bis zu 38 Sekunden lang unbeobachtet. [Quelle einfügen]

Perimeter 2 ist die Außenfläche zwischen Zaun und Gebäude. QR-3 mit LiDAR und Drohnendetektion erkennt Drohnen unter 250 Gramm im Anflug und klassifiziert Fahrzeuge auf dem Anlieferweg. LiDAR funktioniert bei Nebel und Gegenlicht zuverlässiger als reine Bilderkennung.

Perimeter 3 ist die Gebäudehülle. QR-1 mit Audiosensorik detektiert Glasbruch, Türöffnung und ungewöhnliche Schrittmuster im Treppenhaus. Die Audioschwelle ist auf RZ-typische Geräuschkulisse kalibriert, also Lüftung im Bereich von 65 bis 72 dB.

Perimeter 4 ist Whitespace und Meet-Me-Room. Indoor-Patrouille gleicht RFID gegen Besucherausweis ab. Wer einen Cage betritt, der ihm nicht zugewiesen ist, löst ein Event aus, bevor er das Rack erreicht.

Die Übergabe an das SOC erfolgt als signiertes Event mit Video, Zeitstempel und Geokoordinate. Damit ist die Beweiskette gerichtsverwertbar. Der Roboter füllt blinde Winkel ohne zusätzliche Festinstallation. Das ist der eigentliche Mehrwert gegenüber stationärer Videoanalyse. Wer einen Standort umbaut oder erweitert, verschiebt die Patrouillenroute per Konfiguration, nicht per Tiefbau.

TCO-Vergleich: Wachpersonal versus Roboter im Datacenter

Die Zahlen entscheiden. Ein 24/7-Wachposten am Datacenter-Perimeter kostet 15.000 bis 25.000 Euro pro Monat inklusive Nebenkosten, Urlaubsvertretung, Krankenstand und Schulung nach §34a GewO. [Quelle einfügen] Drei Posten an einem typischen Standort mit drei Zugängen ergeben 45.000 bis 75.000 Euro pro Monat.

QR-2 deckt einen Perimeter von 600 bis 800 Metern für 3.500 Euro pro Monat ab. [Quelle einfügen] Eine hybride Konfiguration mit zwei QR-2, einem QR-3 und einem reduzierten Wachposten an der Pforte liegt bei rund 18.000 Euro pro Monat. Die Einsparung gegenüber Vollbesetzung beträgt 60 bis 75 Prozent bei höherer Detektionsdichte. [Quelle einfügen]

Was die Hybridkonfiguration nicht ersetzt: die menschliche Eskalation beim physischen Zugriff, die Übergabe an Polizei, die Anwesenheit bei Lieferantenzutritt. Wer auf null Wachpersonal reduziert, verliert diese Funktionen. Wer auf einen Posten reduziert, behält sie und spart trotzdem.

Das Robotics-as-a-Service Modell vermeidet CapEx. Für börsennotierte Betreiber ist das bilanziell relevant: die Posten laufen als OpEx, die Aktivierungsschwelle nach IFRS 16 wird durch monatliche Kündbarkeit nach Erstlaufzeit unterschritten. [Quelle einfügen] Der vollständige TCO-Vergleich zum stationären Wachposten enthält die Sensitivitätsanalyse.

Integration in DCIM, SIEM und Leitstand

Sicherheit ohne Integration in den Leitstand ist Theater. Die Quarero-Plattform liefert Events per MQTT, REST und Syslog an gängige SIEM-Systeme. Splunk, QRadar, Sentinel akzeptieren das Format ohne Custom-Parser.

Die Korrelation mit Zutrittskontrolle, Brandmeldeanlage und Kühlung läuft in einem einheitlichen Ereignisstrom. Wenn ein Türkontakt am Diesel-Bunker um 03:17 Uhr öffnet und gleichzeitig ein QR-2 eine Person im Sektor erkennt, ist das ein Vorfall. Nicht zwei separate Logzeilen.

Die API-Anbindung an Schneider EcoStruxure, Vertiv Trellis und Sunbird DCIM ist Standard, kein Custom Development. Zwei-Wege-Audio über den Roboter erlaubt direkte Ansprache aus dem 7x24-NOC. Der Operator spricht den Eindringling an, ohne dass ein Wachmann zur Stelle ist. In drei dokumentierten Fällen 2024 brach die Person den Versuch nach der Ansprache ab. [Quelle einfügen]

Die Vorfallakte ist automatisch in BSI-konformes Format exportierbar für die jährliche Nachweispflicht. Das spart der Compliance-Abteilung im Jahresdurchschnitt 80 bis 120 Stunden Aufbereitungsarbeit. [Quelle einfügen]

Datenschutz und ISO-Konformität im Datacenter-Betrieb

Datenschutz ist beim Robotereinsatz ein Knackpunkt, besonders bei Hyperscale-Standorten mit internationalen Mandanten. EN ISO 13482 ist die maßgebliche Sicherheitsnorm für persönliche Pflege- und Serviceroboter im operativen Einsatz (ISO 13482:2014). Die Norm regelt mechanische Sicherheit, Notabschaltung, Kollisionsvermeidung.

Der DSGVO-konforme Betrieb erfolgt durch on-edge-Verarbeitung. Personenbilder verlassen den Roboter nicht in Richtung Cloud. Privacy-by-Design bedeutet: Gesichter werden in Aufzeichnungen außerhalb des Vorfallkontexts automatisch maskiert. Im Vorfall selbst ist die Maskierung aufgehoben. Davor und danach bleibt das Bild geschwärzt.

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Bestandteil des Standard-RaaS-Vertrags. Wer ihn nicht braucht, weil er die Datenverarbeitung selbst übernimmt, kann eine Lizenz-Variante wählen. Der Zertifizierungspfad ISO 27001 Annex A.7 Physical Controls wird durch Roboter-Logs unterstützt. Auditoren akzeptieren die signierten Event-Logs als Nachweis für die kontinuierliche Überwachung. Bei reinen Schichtbüchern ist dieser Nachweis oft strittig.

Das BBK ist die zuständige Bundesbehörde für die Registrierung von Betreibern kritischer Anlagen (BBK-Portal). Die Meldewege für sicherheitsrelevante Vorfälle laufen direkt dorthin.

Pilotierung in 48 Stunden: operatives Vorgehen

Die Pilotierung ist standardisiert und läuft in einem festen Zeitfenster.

Tag 1 Vormittag: Begehung des Standorts mit dem Sicherheitsleiter. Festlegung von Patrouillenrouten, Definition der Geofence-Grenzen, Identifikation der Heimstation mit Stromversorgung und LTE-Backup.

Tag 1 Nachmittag: Anlieferung QR-2 oder QR-3. Kalibrierung von Geofence und Heimstation. Erste Patrouille im manuellen Modus zur Validierung der Route.

Tag 2 Vormittag: Einbindung in den Leitstand. Test der Eskalationskette mit dem Wachdienst, inklusive Stör- und Notfallszenarien. Schulung der NOC-Operatoren auf das Event-Dashboard, Dauer 90 Minuten.

Tag 2 Nachmittag: Übergabe an den 7x24-Betrieb. Beginn der vierwöchigen Pilotphase. KPIs werden wöchentlich ausgewertet, der erste Review erfolgt nach sieben Tagen.

Die Mindestvertragslaufzeit nach erfolgreichem Pilot beträgt 24 Monate. Danach ist der Vertrag monatlich kündbar mit drei Monaten Frist. Der feste Ansprechpartner für DACH ist Marcus Köhnlein, Sales Lead Schweiz.

Für die operative Vorbereitung empfehlen wir die Checkliste zum KRITIS-Dachgesetz als Vorlage zur Standortbewertung. Wer den Pilot terminieren möchte, wendet sich direkt an Marcus Köhnlein, Sales Lead DACH.