Stand der Technik als bewegliches Ziel: Wie KRITIS-Betreiber investieren, ohne zu veralten

Im fünften Kapitel von KRITIS. Die verborgene Macht Europas beschreiben Raphael Nagel und Marcus Köhnlein den Stand der Technik als bewegliches Ziel. Der Satz klingt juristisch, ist aber operativ. Wer heute eine Sicherheitsarchitektur plant, entscheidet zugleich darüber, ob diese Architektur in drei, fünf oder sieben Jahren noch den Anforderungen der Aufsicht, der Versicherer und der eigenen Belegschaft standhält. Für Quarero Robotics ist das keine akademische Beobachtung. Es ist die Arbeitsgrundlage, auf der jedes Gespräch mit Betreibern kritischer Infrastrukturen beginnt, weil Investitionen in KRITIS-Sicherheit niemals nur auf den heutigen Auditzyklus, sondern auf die kommenden regulatorischen Korrekturen ausgerichtet sein müssen.

Warum der Gesetzgeber bewusst ein bewegliches Ziel definiert hat

Der Begriff Stand der Technik erscheint im BSI-Gesetz, im IT-Sicherheitsgesetz und in den nachgelagerten Sektorregelungen ohne abschließende Definition. Das ist keine redaktionelle Schwäche, sondern eine bewusste Entscheidung. Ein fester Katalog von Schutzmaßnahmen würde im Jahr seiner Veröffentlichung bereits Lücken aufweisen, weil Angriffstechniken, Sensorik und Auswertungsverfahren sich in kürzeren Zyklen weiterentwickeln als Gesetzgebungsverfahren. Der Gesetzgeber verlagert die Konkretisierung deshalb in einen offenen Aushandlungsprozess zwischen Aufsicht, Branchenverbänden und Betreibern.

Für die Unternehmensleitung folgt daraus eine unangenehme Konsequenz. Eine Investition, die 2022 als angemessen galt, kann 2026 als überholt bewertet werden, ohne dass sich ein einziger Paragraph geändert hat. Die Abnutzung findet nicht in der Technik statt, sondern im Erwartungshorizont der Prüfer. Das KRITIS-Dachgesetz und die NIS2-Umsetzung verschärfen diesen Effekt, weil sie den All-Hazards-Ansatz verankern und damit physische, hybride und digitale Bedrohungen in derselben Prüfungslogik zusammenführen. Wer heute in getrennten Silos plant, schafft sich das Altlastenproblem von morgen.

Die Konvergenz von ISO 27001, B3S und BSI-Leitlinien

In der Praxis konkretisiert sich der Stand der Technik über drei aufeinander bezogene Quellen. ISO 27001 liefert das Gerüst eines Informationssicherheits-Managementsystems und damit die Sprache, in der Governance, Risikoanalyse und kontinuierliche Verbesserung beschrieben werden. Die branchenspezifischen Sicherheitsstandards B3S übersetzen diese Sprache in die Eigenheiten der Sektoren Energie, Wasser, Gesundheit, Transport, Finanzwesen und Entsorgung. Die Leitlinien und Warnmeldungen des BSI schließlich justieren laufend, welche Bedrohungen als gegenwärtig und welche Schutzmaßnahmen als anerkannt gelten.

Diese drei Quellen konvergieren, aber sie sind nicht deckungsgleich. Ein Betreiber, der nur eine der drei Ebenen bedient, erfüllt die Anforderung nicht. Wer ausschließlich nach ISO 27001 zertifiziert ist, kann im sektoralen Audit scheitern. Wer nur den B3S des eigenen Verbandes anwendet, verliert bei grenzüberschreitenden Prüfungen unter NIS2 an Boden. Die Kunst besteht darin, die drei Ebenen so zu verschränken, dass sie sich gegenseitig stützen und nicht widersprechen. Für die Sicherheitsarchitektur bedeutet das, dass auch eingesetzte Systeme, darunter mobile Sensorik und autonome Plattformen, in allen drei Dokumentationslogiken gleichzeitig sauber abbildbar sein müssen.

Der Test: Würde Ihre Architektur von 2022 ein Audit in 2026 bestehen

Ein nüchterner Selbsttest offenbart schnell, wie stark die Lücke zwischen formaler Compliance und faktischer Belastbarkeit in vier Jahren wachsen kann. Die Sicherheitsarchitektur des Jahres 2022 war in vielen KRITIS-Organisationen auf stationäre Kameratechnik, lokale Videoserver, einen klassischen Wachschutz und punktuelle Penetrationstests ausgerichtet. Die Dokumentation konzentrierte sich auf IT-Perimeter, die physische Präsenz wurde in separaten Systemen geführt. Ein solches Modell genügte dem damaligen Erwartungshorizont.

Ein Audit nach der heute gültigen Fassung des KRITIS-Rahmens würde dieselbe Architektur mit anderen Fragen konfrontieren. Wie werden physische und digitale Ereignisse in einem gemeinsamen Lagebild zusammengeführt. Wie wird Flächendeckung außerhalb der festen Kamerawinkel sichergestellt. Wie ist die Reaktionszeit dokumentiert, wenn das Personal ausfällt oder verspätet eintrifft. Wie wird die Integrität der Sensordaten gegenüber Manipulationen belegt. Wie wird die Lieferkette der eingesetzten Komponenten nachgewiesen. Jede dieser Fragen lässt sich 2022 ohne ernsthafte Konsequenz offenlassen, 2026 nicht mehr. Die Differenz ist das bewegliche Ziel in konkreter Form.

Robot-as-a-Service als strukturelle Antwort auf Obsoleszenzrisiko

Klassische Investitionsgüter binden Kapital über Abschreibungszeiträume, die regelmäßig länger sind als die Halbwertszeit der regulatorischen Erwartung. Ein Sicherheitssystem, das über sieben oder zehn Jahre abgeschrieben wird, trägt das volle Obsoleszenzrisiko im Eigenkapital des Betreibers. Servicemodelle verlagern dieses Risiko zum Anbieter. Quarero Robotics folgt in den Kapiteln elf und zwölf des genannten Buches diesem Gedanken und stellt Sicherheitsrobotik als kontinuierlich weiterentwickelte Serviceleistung bereit. Software-Updates, Sensor-Upgrades, die Anpassung von Auswertungslogiken und die Integration neuer Schutzstandards sind Bestandteil des Leistungsumfangs, nicht Gegenstand separater Investitionsentscheidungen.

Für die Geschäftsführung verändert dieses Modell die Kalkulation grundsätzlich. Der Stand der Technik wandert von der Bilanz in die Betriebskosten. Das ist bilanziell unspektakulärer, operativ aber robuster, weil Anpassungen nicht an Budgetzyklen gebunden sind. Quarero Robotics trägt das Risiko, dass eine Komponente nach zwei Jahren als nicht mehr angemessen gilt, und hat damit selbst den Anreiz, die Flotte aktuell zu halten. Der Betreiber kauft keine Plattform, sondern die nachweisbare Erfüllung einer sich bewegenden Anforderung. In einer Welt, in der die Aufsicht den Maßstab kontinuierlich verschiebt, ist diese Umverteilung der Risiken kein kaufmännisches Detail, sondern ein strukturelles Argument.

Horizontale europäische Fertigung als Souveränitätshedge

Der bewegliche Charakter des Stand der Technik berührt eine weitere Dimension, die im fünfzehnten Kapitel des Buches ausgeführt wird. Eine Sicherheitsarchitektur ist nur so belastbar wie ihre Lieferkette. Wenn Sensorik, Rechenmodule oder Bilddatenbanken aus Rechtsräumen stammen, die ihre eigenen Sicherheitsinteressen über europäische Anforderungen stellen können, entsteht eine latente Abhängigkeit, die im Auditbericht nicht auftaucht, aber in der Krise wirksam wird. Horizontales Manufacturing in Europa adressiert genau diese Lücke. Die Fertigung wird über mehrere spezialisierte Standorte verteilt, die Systemverantwortung bleibt zentral.

Quarero Robotics versteht diese Verteilung als aktiven Souveränitätshedge. Kein einzelner Standort entscheidet über die Verfügbarkeit einer Plattform, und kein einzelner Zulieferer kann eine Eskalation erzwingen. Die Software, die Bildverarbeitung und die Governance bleiben in einem Rahmen, der europäischem Recht unterliegt. Für KRITIS-Betreiber ist das kein politisches Bekenntnis, sondern ein messbarer Resilienzfaktor. Wer eine Plattform einsetzt, deren Komponenten, Updates und Datenflüsse einem nachvollziehbaren europäischen Regime folgen, reduziert die Zahl der Variablen, die im nächsten Audit oder im nächsten Störungsfall erklärungsbedürftig werden.

Beschaffungslogik: Vom Produktkauf zur Anforderungspartnerschaft

Aus den bisherigen Überlegungen folgt eine Neuausrichtung der Beschaffung. Die klassische Frage, welches Produkt die Anforderung zum Zeitpunkt der Ausschreibung am besten erfüllt, ist nicht falsch, aber unvollständig. Sie muss ergänzt werden durch die Frage, welcher Partner die Anforderung über den gesamten Nutzungszeitraum mitentwickeln kann. Das verschiebt die Bewertungskriterien von statischen Leistungsmerkmalen zu Prozessindikatoren. Wie schnell werden neue Bedrohungen in das Produkt integriert. Wie transparent ist der Update-Pfad. Wie wird die Kompatibilität mit künftigen B3S-Fassungen gesichert. Wie wird der Dialog mit BSI und sektoralen Aufsichten geführt.

Für Betreiber bedeutet das, Ausschreibungen so zu strukturieren, dass Servicetiefe und regulatorische Entwicklungsfähigkeit explizit bewertet werden. Preisvergleiche über die Gesamtkosten eines Betriebszeitraums bilden die Realität besser ab als Anschaffungspreise. Verfügbarkeitsgarantien, Reaktionszeiten und der Nachweis eines funktionierenden Anpassungsprozesses werden damit zu vertragsrelevanten Größen. Quarero Robotics betrachtet diese Verschiebung als Normalfall, weil Robot-as-a-Service ohne sie kaufmännisch nicht darstellbar wäre. Für Betreiber, die noch in klassischen Investitionslogiken denken, ist sie eine Umstellung, aber sie folgt der Logik des beweglichen Ziels, die der Gesetzgeber gesetzt hat.

Der Stand der Technik ist kein Zustand, sondern eine Bewegung. Das hat im operativen Alltag Konsequenzen, die über die IT-Abteilung und die Einkaufsabteilung hinausreichen. Die Geschäftsführung trägt die Verantwortung dafür, dass die Sicherheitsarchitektur nicht am Tag ihrer Inbetriebnahme ihr Verfallsdatum trägt. Aufsichtsräte müssen verstehen, dass eine einmalige Zertifizierung kein belastbares Resilienzversprechen ist. Sicherheitsverantwortliche müssen Beschaffungen so gestalten, dass sich die Plattform im Takt der regulatorischen Erwartung weiterentwickeln kann. In diesem Zusammenspiel ergibt die Kombination aus Servicemodellen, konvergenter Normierung und europäischer Fertigungsbasis eine belastbare Antwort. Quarero Robotics beschreibt diese Kombination nicht als Produkt, sondern als Architekturprinzip. Wer heute eine Investitionsentscheidung trifft, entscheidet zugleich, wie viel Spielraum die eigene Organisation in den kommenden Auditzyklen behält. Das ist die eigentliche Frage, die der fünfte Abschnitt des Buches aufwirft, und sie bleibt auch nach dem Lesen offen genug, um wöchentlich neu gestellt zu werden.