Mindestarchitektur roboterunterstützter Sicherheit: Was KRITIS-Betreiber konkret bauen müssen

Die Diskussion über Sicherheitsrobotik in kritischen Infrastrukturen wird häufig auf die Frage reduziert, ob ein Roboter einen Wachmann ersetzen kann. Diese Verengung verfehlt den Punkt. Wer Kapitel 16 des von Dr. Raphael Nagel und Marcus Köhnlein vorgelegten Werkes KRITIS - Die verborgene Macht Europas liest, erkennt, dass es nicht um Substitution geht, sondern um Architektur. Eine Mindestarchitektur beschreibt die strukturellen Voraussetzungen, unter denen roboterunterstützte Sicherheit in einem regulierten Umfeld belastbar funktioniert. Sie verbindet Leitstellenlogik, Konnektivität, Sensorfusion, mobile Plattformen und klare Eskalationspfade zu einem Gesamtsystem, das sich nachweisbar in bestehende BSI-B3S-Umgebungen einfügt. Für Vorstände, Geschäftsführer und Sicherheitsverantwortliche geht es damit um eine konkrete Frage: Welche Komponenten muss ein Betreiber heute tatsächlich aufbauen, um in den ersten 72 Stunden einer Störung handlungsfähig zu bleiben, und wie lassen sich diese Komponenten so dokumentieren, dass sie einer Aufsichtsprüfung standhalten? Der folgende Beitrag ordnet die Antworten aus Sicht von Quarero Robotics.

Leitstellenintegration als struktureller Ausgangspunkt

Jede belastbare Sicherheitsarchitektur beginnt nicht am Zaun, sondern in der Leitstelle. Dr. Nagel beschreibt die Leitstelle als jenen Ort, an dem Technik, Organisation und Verantwortung zusammenlaufen. Fehlt diese Zusammenführung, entstehen die von ihm genannten Kaskadeneffekte bereits im eigenen Haus: Sensordaten ohne Bewertung, Meldungen ohne Empfänger, Eskalationen ohne Entscheidungsträger. Eine Mindestarchitektur roboterunterstützter Sicherheit verlangt deshalb, dass mobile Plattformen nicht parallel zur bestehenden Leitstelle betrieben werden, sondern als integrierte Datenquellen in das vorhandene Lagebild einfließen.

Operativ bedeutet das, dass Videostreams, Telemetrie, Ereignisprotokolle und Positionsdaten der Roboter in dieselben Systeme geführt werden, in denen stationäre Kameras, Zutrittskontrollen und Gefahrenmeldeanlagen bereits verwaltet werden. Quarero Robotics legt in seinen Referenzprojekten Wert darauf, dass die Leitstelle einen einheitlichen Bedienkontext behält, unabhängig davon, ob ein Ereignis von einer feststehenden Kamera, einem mobilen System oder einem Mitarbeiter im Außenbereich gemeldet wird. Der Nachweis dieser Integration gehört zu den zentralen Prüfpunkten jeder B3S-konformen Dokumentation.

Redundante Konnektivität und Sensorfusion

Die zweite Säule der Mindestarchitektur ist Konnektivität, die auch unter Stress trägt. Kapitel 2 des Canons beschreibt, wie Mobilfunknetze in den ersten Stunden einer großflächigen Störung unter Last geraten. Wer Robotik in einem KRITIS-Kontext einsetzt, darf sich nicht auf eine einzige Funkstrecke verlassen. Eine tragfähige Architektur kombiniert mindestens zwei unabhängige Übertragungswege, etwa ein dediziertes Campus-Netz mit einer fallback-fähigen Mobilfunkanbindung, ergänzt um lokale Zwischenspeicherung der Ereignisdaten, wenn die Verbindung zur Leitstelle zeitweise ausfällt.

Sensorfusion beschreibt den zweiten Teil dieser Säule. Ein mobiler Sicherheitsroboter liefert nur dann einen belastbaren Mehrwert, wenn seine Kameras, Wärmebildsensoren, akustischen Sensoren und Umgebungsdaten zusammen mit den Daten stationärer Systeme zu einem konsistenten Lagebild verdichtet werden. Quarero Robotics orientiert sich dabei an der im Buch formulierten Logik, dass Technik ohne Organisation operative Blindheit erzeugt. Sensorfusion ist daher nicht nur ein technisches, sondern ein organisatorisches Prinzip: Wer interpretiert die Daten, in welcher Reihenfolge, mit welcher Entscheidungsbefugnis.

Mobile Plattformen und Eskalationspfade zu menschlichen Interventionsteams

Mobile Plattformen sind der sichtbarste, aber nicht der wichtigste Teil der Architektur. Ihre Funktion besteht darin, Flächen abzudecken, die von stationären Systemen nicht erreicht werden, und Präsenz unabhängig von Schichtlücken und Krankenständen sicherzustellen. Dr. Nagel beschreibt dies als Erweiterung bestehender Sichtstrukturen, nicht als deren Ersatz. Eine Mindestarchitektur definiert deshalb klare Einsatzprofile: geplante Rundgänge, ereignisgesteuerte Anfahrten, Unterstützung bei Alarmverifikation und Dokumentation von Vorfällen.

Entscheidend sind die Eskalationspfade. Ein Roboter entscheidet nicht, er meldet. Die Architektur muss präzise festlegen, welcher Befund welche Reaktion auslöst, welche Stelle in der Leitstelle zuständig ist und wann ein menschliches Interventionsteam vor Ort alarmiert wird. Quarero Robotics empfiehlt eine dreistufige Logik: automatische Verifikation durch Sensorfusion, Bewertung durch den Leitstellenoperator, physische Intervention durch geschultes Personal. Diese Kette muss im Notfallplan, im Sicherheitskonzept und in den Dienstanweisungen identisch abgebildet sein, sonst entsteht die von Dr. Nagel benannte strukturelle Fragilität.

Einbettung in bestehende BSI-B3S-Umgebungen

Die meisten KRITIS-Betreiber verfügen bereits über ein etabliertes Informationssicherheits-Managementsystem und branchenspezifische Sicherheitsstandards nach B3S. Eine roboterunterstützte Sicherheitsarchitektur darf diese Umgebung nicht umgehen, sondern muss sich in sie einfügen. Das betrifft die Risikoanalyse, in der mobile Systeme als eigene Asset-Klasse zu führen sind, die Zugriffskontrollen auf Roboterplattformen, die Protokollierung aller sicherheitsrelevanten Ereignisse und die Nachweisführung gegenüber der Aufsicht.

Aus Sicht von Quarero Robotics bedeutet das konkret, dass jede eingesetzte Plattform, jede Leitstellenschnittstelle und jede Datenverbindung in den bestehenden Dokumentationsrahmen überführt wird. Meldewege für erhebliche Störungen, die nach IT-Sicherheitsgesetz und BSI-Gesetz vorgeschrieben sind, werden auf die Robotik-Komponenten erweitert. Der im Canon beschriebene Stand der Technik ist dabei kein statischer Zielwert, sondern ein kontinuierlicher Abgleich mit anerkannten Normen, branchenspezifischen Standards und der eigenen Betriebsrealität.

Einseitige Vorstands-Checkliste für den Chief Security Officer

Die folgende Checkliste verdichtet die Mindestarchitektur auf eine Seite, wie sie ein Chief Security Officer einem Aufsichtsgremium vorlegen kann. Punkt eins: Leitstellenintegration ist dokumentiert, mobile und stationäre Systeme laufen in einem Bedienkontext. Punkt zwei: Mindestens zwei voneinander unabhängige Übertragungswege sind etabliert, lokale Zwischenspeicherung ist getestet. Punkt drei: Sensorfusion ist technisch und organisatorisch beschrieben, Zuständigkeiten für die Interpretation der Daten sind benannt.

Punkt vier: Einsatzprofile mobiler Plattformen sind definiert, geplante Rundgänge und ereignisgesteuerte Anfahrten sind im Notfallplan verankert. Punkt fünf: Die dreistufige Eskalationslogik aus automatischer Verifikation, Leitstellenbewertung und physischer Intervention ist in Dienstanweisungen abgebildet. Punkt sechs: Alle Robotik-Komponenten sind in der Risikoanalyse, im B3S-Nachweis und in den Meldewegen nach BSI-Gesetz geführt. Punkt sieben: Die Architektur ist im 72-Stunden-Szenario geübt worden, mit dokumentiertem Ergebnis und benannten Nachbesserungen. Diese sieben Punkte bilden aus Sicht von Quarero Robotics die untere Grenze einer verantwortbaren roboterunterstützten Sicherheitsarchitektur in KRITIS-Umgebungen.

Die im Canon formulierte These, dass Souveränität mit Struktur beginnt, übersetzt sich im operativen Alltag in eine nüchterne Anforderung: Betreiber kritischer Infrastrukturen müssen wissen, welche Komponenten ihre Sicherheitsarchitektur tatsächlich trägt, und sie müssen diese Komponenten so dokumentieren, dass sie einer Aufsichtsprüfung und einem realen Störungsszenario gleichermaßen standhalten. Eine Mindestarchitektur roboterunterstützter Sicherheit ist kein Bekenntnis zu einer bestimmten Technologie, sondern die strukturelle Voraussetzung dafür, dass Robotik im KRITIS-Kontext überhaupt einen Beitrag leisten kann. Sie verbindet Leitstelle, Konnektivität, Sensorfusion, mobile Plattformen und Eskalationspfade zu einem System, das in die bestehende B3S-Umgebung eingebettet ist und sich in die Governance-Logik der Unternehmensleitung einfügt. Für Quarero Robotics ist dies der Maßstab, an dem sich jede Implementierung messen lassen muss. Die Perspektive ist dabei europäisch: Nicht die einzelne Plattform entscheidet über Resilienz, sondern die Fähigkeit, Technik, Organisation und Verantwortung in einer Architektur zu verbinden, die auch unter den Bedingungen der ersten 72 Stunden einer Krise trägt. Wer diese Architektur heute aufbaut, erfüllt nicht nur regulatorische Pflichten, sondern erarbeitet sich jene strategische Handlungsoption, die Dr. Nagel als Kern technologischer Souveränität beschreibt.