Table of Contents 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

DER SICHERHEITSDIENST

DSDDER SICHERHEITSDIENST 1 | 2026 Fachmagazin für die Sicherheitswirtschaft 78. Jahrgang Postvertriebsstück – DPAG – Entgelt bezahlt | DSA GmbH · Postfach 1201 · 61282 Bad Homburg Bild: # 1886572367 / istockphoto.com IT- UND CYBERSICHERHEIT Bild: # 1364900448 / istockphoto.com

22. – 25. September 2026 www.security-essen.de Die Leitmesse für Sicherheit SECURE YOUR BUSINESS Zum 1. Mal parallel: die EURO DEFENCE EXPO – die neue internationale Fachmesse der Verteidigungsindustrie SEIEN SIE DABEI!

1 DSD 1 | 2026 EDITORIAL Präsident des Bundesverbandes der Sicherheitswirtschaft (BDSW) Werner Landstorfer Cybersecurity in Deutschland Zwischen Anspruch und Wirklichkeit Sehr geehrte Damen und Herren, liebe Leserinnen und Leser, in der heutigen Zeit sind Cyberangriffe längst kein Randphänomen mehr. Sie treffen Kritische Infrastrukturen wie Krankenhäuser, Kommunen, mittelständische Unternehmen sowie Bundesbehörden gleichermaßen. Als eine der größten Volkswirtschaften der Welt ist Deutschland dabei ein attraktives Ziel, welches zugleich jedoch erstaunlich verletzlich ist. Es stellt sich längst nicht mehr die Frage, ob wir angegriffen werden, sondern wie gut wir in jenem Fall vorbereitet sind. Und genau hier klafft eine gefährliche Lücke zwischen Anspruch und Wirklichkeit. In Politik und Wirtschaft ist das Problembewusstsein hierfür gewachsen – Strategiepapiere, Aktionspläne und neue Gesetze zeigen, dass Cybersecurity auf der Agenda steht. In der Praxis wirkt vieles allerdings fragmentiert und reaktiv. Die Zuständigkeiten sind breit verteilt, die Entscheidungswege sind lang und häufig wird erst gehandelt, wenn der Schaden bereits entstanden ist. In einer digitalen Bedrohungslage, die sich täglich weiterentwickelt, stellt dies ein strukturelles Risiko dar. Auch die Situation im Bereich der Kritischen Infrastrukturen ist kritisch zu bewerten. Energieversorgung, Gesundheitswesen, Verkehr und Verwaltung sind durch die fortschreitende Digitalisierung zunehmend von IT-Systemen abhängig. Deren Absicherung wird jedoch vielerorts nicht mit der gleichen Geschwindigkeit modernisiert. Als zuständige Behörde für die Cybersicherheit in Deutschland stärkt das Bundesministerium des Innern und für Heimat (BMI) mit dem NIS-2-Umsetzungsgesetz die IT-Sicherheit in Wirtschaft und Verwaltung und plant ab diesem Jahr den „Cyber Shield“ zur automatisierten Abwehr von Angriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert dabei als zentrales Organ, das als Cybersicherheitsbehörde die IT-Lage beobachtet und verbindliche Standards festlegt. Auch wir als Bundesverband der Sicherheitswirtschaft haben die wachsende Bedeutung hybrider Bedrohungen erkannt. Mit der Gründung unseres Fachausschusses Cybersecurity im vergangenen Jahr haben wir für unsere Mitgliedsunternehmen eine zentrale Informations- und Austauschplattform geschaffen – im engen Dialog mit BMI und BSI und mit direktem Zugang zu aktuellen Entwicklungen. Wir begrüßen den engen Austausch und Kontakt mit der Bundesregierung sehr. Er ermöglicht es uns, die Rolle der privaten Sicherheitswirtschaft im Gesamtkonzept eines sicheren Deutschlands sichtbarer zu machen und zugleich aktiv an tragfähigen Lösungen mitzuwirken. Im neuen Jahr möchten wir als Verband viele Themen, die wir im vergangenen Jahr angestoßen haben, weiter vorantreiben, und ich bedanke mich für all die Unterstützung durch andere Verbände und Mitgliedsunternehmen, die die Veränderungen gemeinsam mit uns weiter angehen und vorantreiben. Nur gemeinsam können wir unsere Themen mit klarer Linie vorantreiben und unserer Branche die Sichtbarkeit verschaffen, die sie für die notwendigen Änderungen braucht. Ich freue mich, unsere Mitgliedsunternehmen sowohl durch unsere Fachausschüsse, unseren Newsletter als auch unser Format „KID“ über die aktuellen Geschehnisse und Entwicklungen unserer Themen auf dem Laufenden halten zu können. Ich wünsche Ihnen viel Erfolg im Bereich Cyber- und Informationssicherheit und viel Spaß beim Lesen! #besserzusammen Ihr Werner Landstorfer

2 DSD 1 | 2026 EDITORIAL • Werner Landstorfer: Cybersecurity in Deutschland 1 IT- und Cybersicherheit 3 • BSI-Jahresbericht: Fortschritte bei Cybersicherheit – doch weiterhin hohe Verwundbarkeit 3 • Dirk H. Bürhaus: NIS2-Richtlinie: Wenn Cybersicherheit zur Führungsaufgabe wird 4 • Wenn die Body-Cam zum Einfallstor wird 6 • Prof. Dr. Raphael Röttinger und Eugen Röttinger: Blackout als Stresstest: wie Sicherheitsdienstleister bei Strom- und IT-Ausfall handlungsfähig bleiben 8 • Sven Hansel: Wer Sicherheit trennt, verliert Resilienz 14 • Stefan Pyper: Zero Trust – denn der Angriff hat begonnen 16 Who is Who der IT- und Cybersicherheit 18 Wirtschaft und Politik 21 • Reinhard Rupprecht: Sicherheitsdienstleistung Brandschutz 21 • Prof. Dr. Stefan Goertz: Spionage, Sabotage, Wirtschaftsschutz – (potenzielle) Innentäter 24 • Sicherheitsmonitor 2025 26 • Report zur Lage der physischen Sicherheit 2026 28 • 11. Bayerischer Sicherheitstag: Sicherheit neu denken 30 Geld und Wert 34 • BDGW begrüßt klar Linie des EU-Rates: Bargeld- annahmepflicht als richtiger und notwendiger Schritt 34 • Zahlungen mit Bargeld und Girocard für Einzelhandel am günstigsten 35 Luftsicherheit 36 • Patrick Orschulko: Optimierung der Lufsicherheit in Deutschland – BDLS legt Positionspapier vor 36 Inhalt Sicherheitstechnik 38 • Richtlinien VdS 3511: Neuauflage„Sicherungsrichtlinien für Museen, Depots und Ausstellungshäuser“ veröffentlicht 38 • Mobile Videoüberwachung: Nicht allein die Technik entscheidet 39 • Kevin Heneka: Abhörschutz im Unternehmensumfeld: Detektionstechnik und spezialisierte Spürhunde 41 Einsatz von Drohnen 43 • Dirk H. Bürhaus: Drohnengefahr 43 Büchermarkt 45 Wirtschaftsschutz 46 • Holger Köster: Zwischen Bedrohung und Schutz: Wirtschaft im Fokus 46 • Andreas Albrecht: Schwachstellen im System 47 • RA Dr. Berthold Stoppelkamp: Analysen und Hilfestellungen zum Wirtschaftsschutz 49 Bericht aus Berlin 50 • RA Dr. Berthold Stoppelkamp: Zwischen Resilienzstärkung und Unsicherheit 50 Europa 54 • Alexander Frank: Drohnen und C-UAS: EU stellt Aktionsplan vor 54 Recht 56 • RAin Cornelia Okpara: Arbeitsrecht in Kürze 56 Vergaberecht 58 • RA Alexander Nette: Interimsvergabe – wann liegen dringende Gründe für ein Verhandlungsverfahren ohne Teilnahmewettbewerb vor? 58 Namen und Nachrichten 60 • Integrierte Sicherheitsdienstleistung: Nachfrage nach ganzheitlichen Modellen steigt 60 Intern 61 Impressum 62 Sicherheit von A bis Z 63 Das Letzte Wort 68 • RAin Cornelia Okpara: Die wirtschaftspolitische Lage der Sicherheitswirtschaft in Deutschland 2026 68 Anmerkung der Redaktion: Zur leichteren Lesbarkeit wurde auf zusätzliche Bezeichnungen in weiblicher Form verzichtet und nur die männliche Form verwendet. Angesprochen sind natürlich alle Geschlechter. 4 8 54

IT- UND CYBERSICHERHEIT 3 DSD 1 | 2026 BSI-Jahresbericht: Fortschritte bei Cybersicherheit – doch weiterhin hohe Verwundbarkeit Deutschland hat im Bereich der Cybersicherheit Fortschritte erzielt: Immer mehr Betreiber Kritischer Infrastrukturen erfüllen die Mindestanforderungen, und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung. Dennoch bleibt die Lage angespannt, da die mangelnde Umsetzung von Schutzmaßnahmen dazu führt, dass digitale Systeme angreifbar sind. Zu diesem Ergebnis kommt der aktuelle Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Widerstandsfähigkeit Kritischer Infrastrukturen wächst zwar, Deutschland ist im digitalen Raum allerdings immer noch verwundbar. Das machten Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner bei der Vorstellung des BSI-Jahreslageberichts zur Cybersicherheit deutlich. Das bedeutet: Viele digitale Systeme, Server und Online-Dienste sind weiterhin unzureichend geschützt und ermöglichen Angreifern, in Netzwerke einzudringen oder Daten zu stehlen. Webanwendungen sind besonders häufig schlecht geschützt, auch Server sind oft falsch konfiguriert oder ungeschützt, und bekannte Sicherheitslücken werden oft zu spät oder gar nicht behoben. Zwischen Juli 2024 und Juni 2025 ist die Zahl der täglich neu entdeckten Schwachstellen um 24 Prozent gestiegen. Ein Grund: Mit der fortschreitenden Digitalisierung entstehen neue, internetbasierte Anwendungen und Systeme. Werden diese nicht oder nicht gut genug geschützt, entstehen potenzielle Einstiegspunkte für Cyberangriffe. Bundesinnenminister Alexander Dobrindt: „Digitale Sicherheit ist eine Kernfrage staatlicher Souveränität. Deshalb geben wir unseren Sicherheitsbehörden die Befugnisse, die sie brauchen, um das Land wirksam zu schützen. Mit dem Cyberdome schaffen wir ein starkes Schild gegen Angriffe aus dem Netz. Der Schutz Deutschlands bleibt eine gemeinsame Aufgabe – von Staat, Wirtschaft und Gesellschaft.“ BSI-Präsidentin Claudia Plattner: „Wir müssen die Cybernation Deutschland weiterbauen und uns klarmachen: Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht, Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen. Ganz banal gesagt bedeutet das: Die Letzten beißen die Hunde! Wir haben festgestellt, dass Cyberkriminelle überall dort eindringen, wo es ihnen möglich ist, und erst danach eruieren, welchen Schaden sie anrichten können. Nur wer sich aktiv schützt, erhöht die Chancen, Gefährdungen zu entgehen oder Schadwirkungen zu minimieren.“ Finanziell motivierte Cyberangriffe (Cybercrime) gingen im Vergleich zum Vorjahr um neun Prozent zurück. Dies ist unter anderem auf erfolgreiche internationale Ermittlungen unter Beteiligung von BKA und BSI zurückzuführen. Trotzdem bleiben professionell organisierte Erpressergruppen, die mit Schadsoftware (Ransomware) arbeiten, die größte Bedrohung. Auch staatlich gesteuerte Akteure, die mit komplexen und langfristigen Attacken politische oder wirtschaftliche Ziele verfolgen, sind zunehmend aktiv. Angesichts globaler Konflikte treten weitere Risiken in den Vordergrund. Besonders im Cloud-Bereich, in der Energieversorgung und in der Fahrzeugindustrie besteht die Gefahr, dass Hersteller oder Anbieter dauerhaft und unkontrolliert Zugriff auf Systeme und Daten behalten. Zur weiteren Verbesserung der Widerstandsfähigkeit im Cyberbereich wird das BMI den Cyberdome aufbauen, ein teilautomatisiertes System zur Detektion und Analyse von sowie der Reaktion auf Angriffe. Außerdem werden die Cyberabwehrbefugnisse der Sicherheitsbehörden gestärkt, damit schwerwiegende Angriffe aktiv verhindert, abgemildert oder gestoppt werden können. www.bmi.bund.de Den Bericht zur Lage der IT-Sicherheit in Deutschland 2025 finden Sie hier: DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2025

IT- UND CYBERSICHERHEIT 4 DSD 1 | 2026 NIS2-Richtlinie: Wenn Cybersicherheit zur Führungsaufgabe wird Von Dirk H. Bürhaus Die Digitalisierung von Geschäfts- und Produktionsprozessen macht Unternehmen abhängig von stabilen und sicheren IT- und Informationssystemen. Parallel dazu nimmt die Zahl gezielter Cyberangriffe stetig zu. Auch mittelständische Unternehmen geraten verstärkt in den Fokus von Angreifern. Mit der NIS2-Richtlinie reagiert die Europäische Union auf diese Entwicklung und hebt das Sicherheitsniveau für Netz- und Informationssysteme deutlich an. In Deutschland ist die Richtlinie mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 in Kraft. Damit sind die neuen Anforderungen verbindlicher Rechtsrahmen und nicht länger eine reine Zukunftsankündigung. Gegenüber der bisherigen NIS1-Richtlinie wurde der Anwendungsbereich erheblich ausgeweitet. Deutlich mehr Unternehmen sind nun verpflichtet, ein strukturiertes und nachweisbares Cyber-Sicherheitsniveau umzusetzen. Ziel ist ein europaweit einheitlicher Schutzstandard, der nicht nur einzelne IT-Systeme absichert, sondern die Resilienz von Organisationen insgesamt stärkt. Cybersicherheit rückt damit aus der rein technischen Perspektive heraus und wird zu einer organisationsweiten Aufgabe, die Prozesse, Verantwortlichkeiten und Managemententscheidungen einschließt. Komplexität und Silodenken als zentrale Herausforderung In der Praxis stehen viele Unternehmen zunächst vor der Frage, ob und in welchem Umfang sie von der NIS2-Richtlinie betroffen sind. Die Einstufung als„wesentliche“ oder„wichtige“ Einrichtung, die Zuordnung zu den betroffenen Sektoren sowie Schwellenwerte bei Beschäftigtenzahl oder Umsatz führen häufig zu Unsicherheiten. Gleichzeitig unterschätzen insbesondere mittelständische Unternehmen den organisatorischen, technischen und dokumentarischen Aufwand, den die neuen Vorgaben mit sich bringen. Hinzu kommt ein strukturelles Problem, das in vielen Organisationen anzutreffen ist: Cybersicherheit wird weiterhin in getrennten Zuständigkeiten gedacht. IT, Compliance, Risikomanagement und operative Einheiten agieren nebeneinander, anstatt gemeinsam an einem integrierten Sicherheitskonzept zu arbeiten. Dieses Silodenken führt zu Lücken in Prozessen, unklaren Verantwortlichkeiten und verzögerten Reaktionen auf Sicherheitsvorfälle. NIS2 macht deutlich, dass ein solcher Ansatz nicht mehr ausreicht. Gefordert ist ein strategisches Sicherheitsverständnis, das Cyberrisiken ganzheitlich betrachtet und systematisch steuert. Was NIS2 konkret fordert Die NIS2-Richtlinie verpflichtet betroffene Unternehmen dazu, Risiken für ihre Netz- und Informationssysteme strukturiert zu identifizieren, zu bewerten und zu behandeln. Im Mittelpunkt steht ein nachweisbares Risikomanagement, das technische, organisatorische und prozessuale Maßnahmen umfasst. Unternehmen müssen zeigen können, dass sie Cyberbedrohungen frühzeitig erkennen, Sicherheitsvorfälle wirksam bewältigen und die Kontinuität kritischer Geschäftsprozesse sicherstellen. Dazu gehören u. a. klar definierte Prozesse für Incident Response und Meldewesen, technische Schutzmaßnahmen wie Zugriffskontrollen, Verschlüsselung oder Patch-Management sowie Vorkehrungen zur Absicherung von Lieferketten und Dienstleistern. Ergänzt werden diese Anforderungen durch Schulungs- und Awareness-Maßnahmen, regelmäßige Wirksamkeitsprüfungen sowie eine klare Verantwortung der Unternehmensleitung für Steuerung, Kontrolle und Dokumentation der Sicherheitsmaßnahmen. Deutlich wird: NIS2 ist keine punktuelle Checkliste, sondern ein umfassender organisatorischer Transformationsprozess. Der Weg zu einer integrierten Sicherheitsarchitektur Um die Anforderungen der NIS2-Richtlinie wirksam umzusetzen, empfiehlt sich ein strukturiertes, schrittweises Vorgehen. Ausgangspunkt ist eine fundierte Analyse, die klärt, ob und in welchem Umfang ein Unternehmen unter die Richtlinie fällt seit vielen Jahren Geschäftsführender Direktor in der KÖTTER Security Gruppe und zudem Geschäftsführer des Cybersecurity-Spezialisten G.I.P., an dem das Familienunternehmen eine Mehrheitsbeteiligung hält. Darüber hinaus ist er u. a. im Vorstand des BDSW engagiert, langjähriges Mitglied der ASIS International (der weltweit größten Organisation für Fragen der Sicherheit in der privaten Wirtschaft) und wirkt in verschiedenen Arbeitskreisen im europäischen Dachverband des Bewachungsgewerbes CoESS mit. Dirk H. Bürhaus

IT- UND CYBERSICHERHEIT 5 DSD 1 | 2026 sowie welche Elemente eines betrieblichen Risiko-, Sicherheits- und Business Continuity Managements ein Unternehmen im Zusammenhang mit der geforderten ganzheitlichen Betrachtung ein Unternehmen bereits eingeführt hat. Darauf aufbauend wird der Reifegrad bestehender technischer und organisatorischer Sicherheitsmaßnahmen durch entsprechende Experten bewertet, um Lücken, Risiken und Prioritäten transparent zu machen und notwendige Nachführungen und Optimierungen festzulegen. Auf dieser Basis lassen sich Maßnahmen gezielt planen und umsetzen. Dabei geht es nicht allein um technische Lösungen, sondern ebenso um Governance-Strukturen, Meldewege, Notfall- und Krisenprozesse sowie die klare Verankerung von Verantwortlichkeiten. In der Umsetzungsphase werden diese Maßnahmen implementiert, dokumentiert und in den laufenden Betrieb überführt. Kontinuierliches Monitoring, regelmäßige Schulungen und Wirksamkeitskontrollen stellen sicher, dass das Sicherheitsniveau dauerhaft erhalten bleibt und an neue Bedrohungslagen angepasst werden kann. Mehr als Compliance: der strategische Nutzen von NIS2 Unternehmen, die NIS2 nicht nur formal, sondern als Unternehmensziel ganzheitlich umsetzen, profitieren deutlich über die reine Erfüllung gesetzlicher Vorgaben hinaus. Eine integrierte Sicherheitsarchitektur erhöht nicht nur die Widerstandsfähigkeit gegenüber Cyberangriffen, sondern reduziert Ausfall- und Schadensrisiken und stärkt die Stabilität geschäftskritischer Prozesse: Sie fördert und sichert die langfristige Überlebensfähigkeit und Resilienz eines Unternehmens. Gleichzeitig führt die Umsetzung zu einer Professionalisierung der internen Organisation: Zuständigkeiten werden klarer, Entscheidungswege transparenter und Sicherheitsprozesse messbar. Sicherheit entwickelt sich damit zu einem Teil der DNA und Kultur eines Unternehmens und wird ein Qualitätsmerkmal, das Vertrauen schafft – bei Kunden, Partnern und Behörden. Darüber hinaus kann ein hohes Sicherheitsniveau genauso zum Wettbewerbsfaktor werden, wie es wahrscheinlich auch eine grundsätzliche Anforderung der Kunden, etwa bei Ausschreibungen oder in regulierten Lieferketten, werden wird. NIS2-Compliance steht damit nicht nur für Regelkonformität, sondern zunehmend für Verlässlichkeit sowie Zukunftsfähigkeit und dient als Grundlage für eine zukünftige Zusammenarbeit. Fazit und Ausblick: Sicherheit als Führungsaufgabe NIS2 markiert einen strategischen Wendepunkt: Cybersicherheit wird zur Führungsaufgabe und zum festen Bestandteil unternehmerischer Steuerung und unternehmerischen Handelns. Die Verantwortung lässt sich nicht delegieren, sondern erfordert aktives, dokumentiertes Handeln auf Leitungsebene. In den kommenden Jahren wird integrierte Sicherheit zur Grundvoraussetzung für Stabilität und Wettbewerbsfähigkeit. Unternehmen, die diesen Wandel frühzeitig gestalten und ihre Sicherheitsarchitektur kontinuierlich weiterentwickeln, schaffen klare Verantwortlichkeiten, erhöhen ihre Handlungsfähigkeit und stärken langfristig ihre Resilienz. NIS2 ist damit weit mehr als eine regulatorische Pflicht – es ist ein zentraler Treiber für professionelle, zukunftsfähige Unternehmensführung. Anzeige

IT- UND CYBERSICHERHEIT 6 DSD 1 | 2026 Wenn die Body-Cam zum Einfallstor wird Warum IT-Sicherheit bei Körperkameras kein Randthema mehr ist – und worauf Sicherheitsunternehmen jetzt achten müssen Im September 2025 machte eine Meldung die Runde, die Sicherheitsverantwortliche aufhorchen ließ: Günstige Body-Cams, wie sie auch in Europa im Einsatz sind, übertrugen sensible Daten unbemerkt an Server in China.1 Ein Weckruf – nicht nur für Polizeibehörden, sondern für die gesamte Sicherheitsbranche. Body-Cams sind längst keine simplen Aufnahmegeräte mehr. Sie sind vernetzte Systeme, die Videodaten komprimieren, verschlüsseln, übertragen und speichern. Sie kommunizieren mit Apps, Cloud-Diensten und Verwaltungssoftware. Und genau hier liegt das Problem: Jede Verbindung nach außen ist ein potenzielles Einfallstor für Angreifer. Bei der Analyse fanden Sicherheitsforscher heraus, dass bestimmte Body-Cam Apps Daten über ungewöhnliche Wege an Server übermitteln, deren Standort nach China zurückverfolgbar war.1 Für Sicherheitsunternehmen, die solche Systeme einsetzen, ist das ein ernstes Problem. Doch auch bei US-amerikanischen CloudDiensten wie Amazon Web Services (AWS) bestehen Risiken: Der US CLOUD Act verpflichtet amerikanische Anbieter, Daten auf Anfrage von US-Behörden herauszugeben – selbst wenn diese auf Servern in der EU gespeichert sind.2 Typische Schwachstellen bei Body-Cam Systemen Die Risiken bei Body-Cams sind vielfältig. Viele Hersteller – insbesondere aus dem Niedrigpreissegment – setzen auf Cloud-Dienste außerhalb Europas, ohne dass Anwender dies auf den ersten Blick erkennen. Die Begleit-Apps übertragen häufig mehr Daten als nötig: Gerätekennungen, Nutzerinformationen und Verbindungen zu Kartendiensten.3 Hinzu kommt: Bei günstigen Geräten werden Software-Aktualisierungen häufig vernachlässigt – bekannte Sicherheitslücken können so über Monate offen bleiben. Ein weiteres Problem ist die Zugriffskontrolle. Wer darf welche Aufnahmen sehen? Bei vielen Systemen fehlen klare Berechtigungskonzepte – unbefugter Zugriff durch Mitarbeiter oder Dritte ist dann nur eine Frage der Zeit. Auch die Übertragung zwischen Kamera und Speicher ist nicht immer ausreichend geschützt: Ohne starke Verschlüsselung können Daten auf dem Weg abgefangen werden. DSGVO-Konformität: Mehr als ein Häkchen In Deutschland und der EU kommt ein weiterer Aspekt hinzu: die Datenschutz-Grundverordnung. Die deutschen Datenschutzbehörden haben in einer gemeinsamen Orientierungshilfe klare Leitlinien für den Body-Cam Einsatz formuliert.4 Aufnahmen müssen so gespeichert werden, dass Unbefugte keinen Zugriff haben – mit Passwortschutz, Verschlüsselung und streng ge1 Cyber Press: Police Body Camera Apps Transmitting Data to Chinese Cloud Servers, September 2025, cyberpress.org 2 U.S. Congress: Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 2018 3 Brown Fine Security: Intercepting Traffic from Police Bodycam App Sending Data to China, September 2025, brownfinesecurity.com 4 Datenschutzkonferenz: Orientierungshilfe zum Einsatz von Bodycams durch private Sicherheitsunternehmen, datenschutzkonferenz-online.de

IT- UND CYBERSICHERHEIT 7 DSD 1 | 2026 regelten Zugriffsrechten. Vor der Inbetriebnahme ist eine Datenschutzfolgenabschätzung Pflicht. Ein Dauerbetrieb der Kameras ist unzulässig. Doch ein europäischer Serverstandort allein reicht nicht: Wird die Software von außerhalb der EU betrieben oder gewartet, bleibt ein Risiko.5 Echte Datensouveränität erfordert die Kontrolle über die gesamte Softwarekette. Praxisbeispiel: Wie die Deutsche Bahn es macht Dass es auch anders geht, zeigt die DB Sicherheit. Als einer der größten Sicherheitsdienstleister Deutschlands setzt das Unternehmen seit Jahren auf Body-Cams – und hat dabei von Anfang an auf eine durchdachte IT-Struktur geachtet. Die Anforderungen waren klar: DSGVO-Konformität, sichere Datenübertragung, transparente Speicherung und die Möglichkeit, Aufnahmen gerichtsfest zu dokumentieren. Die Aufnahmen werden verschlüsselt gespeichert, nur die Bundespolizei hat Zugriff auf das Material und nach 24 Stunden werden die Daten automatisch gelöscht. Auch andere große Verkehrsbetriebe wie die Hamburger Hochbahn, die Berliner Verkehrsbetriebe oder die Kölner Verkehrsbetriebe setzen mittlerweile auf ähnlich strenge Standards.6 Body-Cam Aufnahmen sind nicht nur datenschutzrelevant – sie sind Beweismittel. Ein Video, das vor Gericht nicht anerkannt wird, weil die Lückenlosigkeit der Dokumentation nicht nachgewiesen werden kann, hat seinen Zweck verfehlt. Digitale Prüfsummen, die jede nachträgliche Änderung am Video sichtbar und Manipulation nachweisbar machen, Zeitstempel und Zugriffsprotokolle – all das muss stimmen, damit die Aufnahme ihren Wert behält. Worauf Sicherheitsunternehmen achten sollten Wer sich für einen Body-Cam Anbieter entscheidet, sollte genau hinschauen. Seriöse Hersteller wie etwa die NetCo Professional Services GmbH aus Blankenburg im Harz setzen auf Serverstandorte in Deutschland, starke Verschlüsselung nach AES256-Standard und ein ausgefeiltes Berechtigungssystem, das regelt, wer auf welche Aufnahmen zugreifen darf. Produkte und Software werden vollständig in Deutschland entwickelt und produziert – ein echtes„Engineered in Germany“, das Unabhängigkeit von ausländischen Cloud-Diensten gewährleistet. Für 2026 ist zudem eine ISO 27001-Zertifizierung der Cloud-Lösung geplant – ein international anerkannter Standard für Informationssicherheit. Darüber hinaus engagiert sich NetCo für den branchenweiten Austausch zu Fragen rund um Datenschutz und Praxiserfahrungen. Die jährliche Body-Cam Konferenz – am 27. Mai 2026 zum fünften Mal und erneut in Frankfurt – bringt Fachleute aus Polizei, ÖPNV, Sicherheitsdiensten und kommunalen Ordnungsämtern zusammen. Ergänzend dazu startet 2026 eine regionale Veranstaltungsreihe: Der Body-Cam Fachdialog macht in Kassel, Mainz, Leipzig und Berlin Station und bietet in kleinerem Rahmen Raum für praxisnahen Erfahrungsaustausch. Für Sicherheitsunternehmen lohnt sich ein genauer Blick auf die IT-Struktur hinter der Body-Cam. Denn sie ist ein unverzichtbares Werkzeug für Transparenz und Mitarbeiterschutz – aber nur, wenn die IT-Sicherheit von Anfang an mitgedacht wird. Wer heute auf günstige Hardware mit fragwürdiger Herkunft setzt, zahlt morgen möglicherweise einen hohen Preis: in verlorenen Daten, kompromittierten Systemen und beschädigtem Vertrauen. Weiterführende Informationen • 5. Body-Cam Konferenz: 27. Mai 2026 in Frankfurt www.netco.de/body-cam/konferenz • Body-Cam Fachdialog 2026: Regionale Veranstaltungsreihe in Kassel, Mainz, Leipzig und Berlin www.netco.de/body-cam/fachdialog • DSGVO-Leitfaden: kostenloser Praxisleitfaden zum datenschutzkonformen Body-Cam-Einsatz www.netco.de/body-cam/dsgvo 5 ZEPCAM: Digitale Souveränität und Datenschutz – Do’s and Don’ts für BodycamSysteme, Februar 2025, zepcam.com 6 Globe Newswire: NetCo Body-Cam Launches Pilot Project in Hamburg’s Public Transport System, August 2025, globenewswire.com Anzeige

IT- UND CYBERSICHERHEIT 8 DSD 1 | 2026 Blackout als Stresstest: wie Sicherheitsdienstleister bei Strom- und IT-Ausfall handlungsfähig bleiben Von Prof. Dr. Raphael Röttinger und Eugen Röttinger Ein Stromausfall wirkt im ersten Moment simpel. Licht aus‚ Notbeleuchtung an‚ fertig. In der Sicherheitswelt zeigt sich jedoch schnell‚ dass der eigentliche Schaden nicht aus der Dunkelheit entsteht‚ sondern aus dem Verlust von Ordnung: Daten fehlen‚ Verbindungen brechen ab‚ Zuständigkeiten werden unscharf. Und das Tempo‚ mit dem Außenstehende reagieren‚ ist höher als die Geschwindigkeit‚ mit der verlässliche Lagebilder entstehen. Ein Blackout ist daher weniger ein technisches Einzelproblem als ein Belastungstest für Prozesse‚ Führung und Resilienz. Für Sicherheitsdienstleister ist das besonders relevant. Sie stehen an der Schnittstelle zwischen Betreiber‚ Mitarbeitenden‚ Technikdienstleistern‚ Behörden und oft auch der Öffentlichkeit. In vielen Objekten sind sie die erste Organisation‚ die vor Ort sichtbar handelt. Das ist Chance und Risiko. Wer vorbereitet ist‚ stabilisiert Abläufe und Vertrauen. Wer improvisiert‚ erzeugt Folgeschäden‚ die lange nach dem Ereignis wirken. Dieser Beitrag verbindet Lessons Learned aus der Praxis mit konkreten Maßnahmen. Im Fokus stehen typische Bruchstellen‚ die in Blackout-­ Szenarien immer wieder auftreten. Dazu gehören Notstrom und Energieversorgung‚ Netze und Provider‚ Cloud und Leitstellen-IT‚ Zutritts- und Videosysteme. Darauf aufbauend werden praxistaugliche Fallback-Prozesse beschrieben. Zum Schluss findet sich eine kompakte Checkliste für Betreiber und Sicherheitsdienstleister. Ein kurzer Abschnitt beleuchtet Kommunikation und Pressearbeit‚ weil jeder größere Ausfall Reichweite erzeugt und damit Öffentlichkeitswirkung. Warum Stromausfall selten nur Stromausfall ist Wer Blackout sagt‚ meint oft ein flächendeckendes‚ langes Ereignis. In der Realität gibt es viele Abstufungen. Lokale Ausfälle durch Baustellen oder Defekte‚ kurze Unterbrechungen mit wiederkehrenden Einbrüchen‚ Spannungsprobleme‚ die Systeme instabil machen. Ebenso gibt es teilweise Ausfälle‚ bei denen Energie da ist‚ aber Netzverbindungen fehlen. Für die Sicherheitslage ist diese Unschärfe besonders tückisch. Sie verhindert klare Routinen. Man ist nicht im normalen Betrieb‚ aber auch nicht im klaren Krisenmodus (Geier & Lauwe‚ 2023). Sicherheitsfunktionen sind heute eng gekoppelt: Kameras laufen über IP‚ Zutrittskontrollen passieren elektronisch‚ Alarmierungen werden zentral verarbeitet. Auch die Dienstplanung und Lagekommunikation hängen von mobilen Daten ab. Sobald Strom oder Netz wegfallen‚ brechen in kurzer Zeit mehrere Kontroll- und Komfortschichten weg (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe‚ 2019). Ein wiederkehrendes Muster ist die gefährliche Zwischenphase. Viele Systeme laufen nach dem Ausfall noch weiter: USV-Anlagen puffern‚ Akkus erlauben den Weiterbetrieb‚ Mobilfunkmasten haben Reserven. Diese Phase wirkt beruhigend‚ sie kann aber trügerisch sein. Wer dann nicht priorisiert und umstellt‚ verliert später die Kontrolle‚ wenn Reserven auslaufen (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe‚ 2019). Notstrom und Energieversorgung Die Versorgung mit Notstrom ist ein Klassiker‚ dennoch ist er in vielen Objekten nicht konsequent zu Ende gedacht. Häufig gibt es ein Aggregat‚ aber keine saubere Lastplanung. Oder der Generator speist zwar bestimmte Kreise‚ doch ausgerechnet Netzwerkkomponenten‚ Türcontroller oder Leitstellenarbeitsplätze hängen am falschen Strang. In anderen Fällen ist das Aggregat dimensioniert‚ aber die Treibstofflogistik ist ungeklärt (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe‚ 2024). Geschäftsführer der Röttinger Unternehmensgruppe Er ist Professor mit besonderer Expertise in den Bereichen Terror/Amoklagen und der Bewältigung von Chaosphasen und verfü gt ü ber mehrere internationale Lehraufträge, unter anderem in der operativen Terrorismusabwehr. Seine Schwerpunkte umfassen zudem das Krisen- und Notfallmanagement sowie die interorganisatorische Fü hrungslehre fü r besondere Einsatzlagen. Geschäftsführer der Röttinger Unternehmensgruppe Er ist ehemaliger Journalist in leitender Funktion und war Mitglied der Chefredaktion einer großen deutschen Tageszeitung. Er absolvierte ein Masterstudium Krisen- und Notfallmanagement. Ebenfalls diverse Aus- und Weiterbildungen im Bereich der zivilen Sicherheit und Veranstaltungsbranche. Ein Schwerpunkt seiner Arbeit betrifft den Bereich Krisenkommunikation. Prof. Dr. Raphael Röttinger Eugen Röttinger

IT- UND CYBERSICHERHEIT 9 DSD 1 | 2026 Ein zweiter Punkt ist das Thema Wartung. Probeläufe im Leerlauf sind besser als nichts‚ sie sind aber kein Beweis für Funktionsfähigkeit unter Last. Unter Last können andere Fehler auftreten: Umschaltzeiten sind relevant‚ Lastspitzen beim Anlauf sind relevant und auch die Kühlung ist im Dauerbetrieb relevant (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe‚ 2024). Bewährte Maßnahmen sind pragmatisch und oft schnell umsetzbar. • Lastplan für den Notbetrieb‚ schriftlich und im Objekt verfügbar • Probeläufe unter realer Last‚ fest im Wartungsplan verankert • Mindestfüllstand für Treibstoff‚ mit klarer Verantwortlichkeit und Kontrolle • Regelung‚ wer bedient und wer entscheiden darf‚ inklusive Stellvertretung • Prüfung‚ ob Router‚ Switches‚ Powerover-Ethernet-Geräte‚ Rekorder‚ Türcontroller‚ Funkladegeräte und Leitstellenplätze im Ernstfall mit Notstrom versorgt sind • Schutz kritischer Technikräume vor Überhitzung‚ auch mit einfachen Mitteln wie Lüftungsstrategien und Temperaturmonitoring Ein Detail‚ das oft vergessen wird‚ ist das Umfeld. Tankstellen funktionieren im Ausfall nicht verlässlich‚ Lieferketten sind gestört‚ Aufzüge funktionieren nicht‚ Tore und Schranken verhalten sich anders. Notstrom ist daher kein rein technisches Thema‚ sondern Teil der Betriebsfähigkeit. Netze und Provider Sicherheitsorganisationen arbeiten heute stark netzbasiert. Alarmübertragung‚ Videozugriff‚ Kommunikation oder Dokumentation erfolgen häufig netzbasiert. Ein Blackout trifft Netze auf mehreren Ebenen: Lokale Router fallen aus‚ Providerknoten können gestört sein und Mobilfunkzellen sind überlastet oder abgeschaltet. Das führt nicht nur zu Totalausfällen‚ sondern häufig zu instabilen Verbindungen (Reuter‚ 2014). Genau diese Instabilität ist schwer zu managen‚ weil sie Mitarbeitende in die Hoffnung lockt‚ dass es „gleich wieder geht“. In der Zwischenzeit verliert man wertvolle Zeit. Für Sicherheitsdienstleister ist die zentrale Frage‚ wie Kommunikation auch bei Netzproblemen stabil bleibt. Ein Mehrwege-Konzept ist hier wesentlich: • Diensthandys mit zwei unabhängigen Mobilfunknetzen • Funkgeräte als primärer Krisenkanal • Fest definierte Sprechgruppen und klare Funkdisziplin • Ersatzakkus‚ Ladegeräte‚ Lademöglichkeiten über Notstrom • Gedruckte Kontaktlisten‚ inklusive Technikdienstleister‚ Betreiber‚ Schlüsselträger und Behördenkontakte • Vorab definierte Meldeintervalle‚ damit Lageberichte nicht zufällig entstehen Ein häufiger Fehler ist die unkontrollierte Nutzung privater Messenger-Gruppen. Das ist schnell‚ aber unstrukturiert. Inhalte vermischen sich und Zuständigkeiten drohen unklar zu werden. Datenschutz und Informationssicherheit können dabei zum Risiko werden (Wagner‚ Tran‚ Pieper‚ Vonderau & Balaban‚ 2021). Besser ist eine klare Kanalstrategie: ein Kanal für operative Steuerung‚ ein Kanal für Lageinformationen‚ ein Kanal für Anzeige C M Y CM MY CY CMY K Actuate_AD_German.pdf 1 2/5/26 9:03 AM

IT- UND CYBERSICHERHEIT 10 DSD 1 | 2026 Eskalation. Das kann digital sein‚ es kann auch analog sein. Wichtig ist die Trennung der einzelnen Ebenen. Cloud und Leitstellen-IT Viele Betreiber und Sicherheitsdienstleister nutzen zentrale Plattformen für unterschiedliche Dienste: Zutrittsverwaltung‚ Video‚ Alarmmanagement‚ Ticketing‚ Einsatzsteuerung. Der Nutzen ist hoch‚ jedoch sind diese Systeme verwundbar. Wenn die Außenanbindung gestört ist‚ kann ein Objekt digital unsichtbar werden. Es gibt etwa keine Livebilder oder Statusmeldungen mehr (Bundesnetzagentur‚ 2022). Noch kritischer wird es‚ wenn die Leitstelle selbst stark digitalisiert ist. Virtuelle Arbeitsplätze‚ zentrale Authentifizierung‚ Mehrfaktor-Verfahren‚ Cloud-Telefonie zeigen, wie sehr die Leitstelle selbst auf eine funktionierende IT angewiesen ist. Das ist im Normalbetrieb sinnvoll‚ im Falle eines Blackouts kann es dazu führen‚ dass ausgerechnet die Sicherheitsmechanismen den Zugang blockieren‚ weil die Infrastruktur‚ die sie benötigt‚ nicht erreichbar ist (Bundesamt für Sicherheit in der Informationstechnik‚ 2023). Resilienz beginnt hier mit einer einfachen Frage: Welche Mindestfunktionen müssen lokal autark funktionieren‚ auch wenn die Verbindung nach außen ausfällt? Lokale Videoaufzeichnung im Objekt‚ unabhängig vom Fernzugriff Lokale Alarmweiterleitung in Minimalform‚ zum Beispiel über redundante Übertragungswege Offline-Verfügbarkeit von Plänen‚ Sonderanweisungen‚ Ansprechpartnern‚ Schlüsselkonzepten Regelmäßige Tests‚ bei denen die Datenverbindung bewusst getrennt wird Leitstellen-Notbetrieb‚ bei dem Telefon‚ Funk‚ Einsatzliste und Lagebild auch ohne Plattform möglich sind Ein häufiger Irrtum ist‚ dass man Autarkie mit Rückschritt verwechselt. Autarkie heißt nicht‚ dass man die Digitalisierung mit ihren Vorteilen aufgibt. Es heißt‚ dass man eine Minimalfähigkeit schafft‚ die den Betrieb stabilisiert‚ bis Systeme wieder verfügbar sind. Zutrittskontrolle Die Zutrittskontrolle ist im Blackout oft das erste sichtbare Problem. Türen‚ Schranken‚ Drehkreuze‚ Vereinzelungsanlagen sind entweder ohne Stromversorgung oder können mangels Netzwerkverbindung keine Zutrittsberechtigungen mehr kontrollieren. Für Sicherheitsdienstleister ist entscheidend‚ das reale Verhalten des Objekts zu kennen. Was passiert bei Stromausfall? Was passiert bei einem Ausfall? Gibt es mechanische Zylinder? Wo liegen Schlüssel? Wer darf sie nutzen? Wie wird dokumentiert‚ wer welche Tür manuell geöffnet hat? (Bundesamt für Sicherheit in der Informationstechnik‚ 2023) Praktische Maßnahmen‚ die sich bewährt haben, sind unter anderem: Mechanische Überbrückungen für definierte Türen‚ mit geregelter Schlüsselverwaltung Notzugänge für Einsatzkräfte und Haustechnik‚ klar markiert und bekannt Papierbasierte Besucher- und Lieferantensteuerung mit Identitätsprüfung Temporäre Sperrkonzepte für Bereiche‚ die nicht mehr zuverlässig kontrolliert werden können Abstimmung mit Brandschutz- und Fluchtwegkonzepten‚ damit Sicherheitsmaßnahmen keine Gefahr erzeugen Manuelle Zutrittssteuerung reduziert die digitale Nachvollziehbarkeit‚ darum ist die Protokollierung wichtig. Dies sollte nicht als zusätzliche Bürokratie verstanden werden‚ sondern als Schutz für Betreiber‚ Sicherheitsdienstleistende und Mitarbeitende. Videoüberwachung Videoüberwachung wirkt erst einmal wie ein robustes Werkzeug‚ ist aber abhängig von vielen kleinen Komponenten. Die Kameras benötigen einen Netzwerkzugang – selbst wenn sie darüber mit Strom versorgt werden oder einen Akkubetrieb ermöglichen. Die Speicherung der Daten ist ebenfalls abhängig von einem Stromanschluss und kann bei falscher Temperatur zu einem Problem werden (British Security Industry‚ 2021). Bei einem Ausfall kann sich zeigen‚ dass niemand vor Ort sicher am Rekorder arbeiten kann‚ weil man es nie trainiert hat. Ein anderes Problem kann sein‚ dass Passwörter nur digital gespeichert sind oder dass die lokale Bedienoberfläche bei den Mitarbeitenden nicht bekannt ist (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe‚ 2024). Resilienzmaßnahmen sind hier überraschend simpel: Kritische Kameras müssen definiert werden‚ nicht jede Kamera ist gleich wichtig. Notstrom und USV sind nicht nur für Rekorder relevant‚ sondern auch für alle anderen involvierten technischen Geräte (z. B. Switches). Zugriffsdaten müssen offline gesichert sein‚ im Notfallumschlag oder in einer gesicherten Notfallmappe. Mitarbeitende müssen die lokale Bedienbarkeit üben‚ nicht nur den Fernzugriff. Planung‚ wie Rundgänge angepasst werden‚ wenn die Videoüberwachung eingeschränkt ist Die Videoüberwachung kann im Blackout den Menschen noch weniger ersetzen. Sie Bild: Nhan Hoang / unsplash.com

IT- UND CYBERSICHERHEIT 11 DSD 1 | 2026 kann unterstützen‚ aber bei funktionalen Einschränkungen muss der operative Schutz durch Präsenz‚ Kontrollen und klare Prioritätensetzung getragen werden. Fallback-Prozesse für die erste Stunde im Blackout Resilienz scheitert selten an fehlenden Konzepten. Sie scheitert an fehlender Einfachheit. Fallback-Prozesse sollten daher kurz sein‚ objektbezogen und trainiert. Die erste Stunde entscheidet‚ ob ein Ereignis geordnet verläuft oder chaotisch wird. Ein sinnvoller Ablauf umfasst sechs Schritte: 1. Personensicherheit und Anwesenheitslage klären: Wer ist im Objekt? Gibt es eingeschlossene Personen‚ zum Beispiel in Aufzügen? Gibt es medizinische Risiken? Welche Bereiche sind kritisch‚ etwa Serverräume oder Labore? 2. Kommunikationsfähigkeit herstellen: Funk aktivieren. Leitstelle informieren. Betreiber erreichen‚ einen festen Meldekanal definieren‚ Kontaktlisten nutzen. 3. Minimalzustand der Objektabsicherung festlegen: Welche Zugänge werden sofort manuell kontrolliert? Welche Bereiche werden priorisiert? Welche Tätigkeiten werden gestoppt‚ weil sie im Ausfall zu riskant sind? 4. Techniklage erfassen: Dazu gehören Notstromstatus‚ Laufzeit‚ Umschaltverhalten‚ Netzstatus‚ der Status von Zutrittssteuerungs-‚ Video- und Alarmanlagen sowie die Temperatur in kritischen Räumen. 5. Einsatzplan umstellen: Rundgänge dichter oder gezielter durchführen‚ Posten verstärken‚ wo notwendig. Bei Bedarf: Reservekräfte abrufen. 6. Dokumentation starten: Darunter fallen ein Ereignisprotokoll‚ Zutrittsprotokolle‚ Entscheidungsdokumentationen mit Zeiten und Namen. Diese Schritte sollten nicht als starre Checkliste verstanden werden‚ sondern als Orientierung. In manchen Objekten ist Personensicherheit der dominante Faktor‚ in anderen ist es der Schutz von Anlagen oder der Erhalt des Betriebs. Betrieb über mehrere Stunden/Tage Wenn ein Strom- oder IT-Ausfall nicht nach Minuten‚ sondern erst nach mehreren Stunden endet‚ verschiebt sich der Charakter der Lage deutlich. Mit zunehmender Dauer treten betriebliche und menschliche Faktoren in den Vordergrund. Handlungsfähigkeit wird dann weniger durch einzelne technische Maßnahmen bestimmt‚ sondern durch Durchhaltefähigkeit im operativen Sinn. Dazu gehören Verpflegung‚ Ruhezeiten‚ Transportmöglich- keiten‚ psychische Belastung sowie eine belastbare Schicht- und Reserveplanung. Der Sicherheitsbetrieb bleibt in solchen Szenarien nicht einfach „verlängert“‚ sondern verändert sich qualitativ. Entscheidungszyklen werden enger‚ AbhängigkeiAnzeige

IT- UND CYBERSICHERHEIT 12 DSD 1 | 2026 ten werden sichtbarer und Fehlerfolgen können sich kumulieren. Empfehlenswerte Maßnahmen für den längeren Verlauf schließen ein: • Reservepool an Personal mit klaren Abrufregeln • Möglichkeit zu Ruhepausen im Objekt‚ wenn zulässig • Verpflegung und Trinkwasser • Transportkonzept‚ wenn der öffentliche Verkehr ausfällt • Regelmäßige Lagebesprechungen in kurzen Takten‚ mit klarer Führung • Abstimmung mit Betreiber‚ ob Betriebsaktivitäten reduziert werden‚ um Risiken zu senken Ein Punkt‚ der oft unterschätzt wird‚ ist die Informationslage. In längeren Ausfällen können Gerüchte oder Fehlinformationen kursieren. Personen teilen Bilder in den sozialen Medien‚ Kunden stellen Fragen und unter Umständen erwarten auch die Medien Antworten auf Fragen. Die operative Führung muss daher Lagekommunikation aktiv steuern. Kommunikation und Pressearbeit bei Strom- und IT-Ausfall Ein Blackout ist nicht ausschließlich als operatives Störereignis zu verstehen‚ sondern auch als öffentlich wahrnehmbares Krisenereignis mit potenziell relevanten Reputationswirkungen. Die Auswirkungen sind im räumlichen Umfeld unmittelbar sichtbar‚ beispielsweise durch ausfallende Beleuchtung‚ stillstehende Zugangsanlagen oder improvisierte Sicherungsmaßnahmen im Eingangsbereich. Parallel dazu führt die heutige Medien- und Kommunikationslogik dazu‚ dass Beobachtungen in Echtzeit dokumentiert und verbreitet werden können‚ etwa durch Videoaufnahmen‚ Beiträge in sozialen Netzwerken oder informelle interne Kommunikation (Cox‚ 2021). In der Folge steigt der Informations- und Erwartungsdruck seitens Medien und Kunden‚ die zeitnahe Auskünfte zur Lage‚ zu Schutzmaßnahmen und zur Sicherung kritischer Werte nachfragen. Fehlt hierfür ein vorbereitetes Kommunikations- und Stakeholder-Management‚ kann es zu Vertrauensverlusten kommen‚ selbst wenn der operative Umgang mit der Situation insgesamt adäquat ist. In der Regel kommuniziert der Betreiber nach außen. Der Sicherheitsdienstleister liefert Fakten und unterstützt. Es gibt aber Situationen‚ in denen der Sicherheitsdienstleister selbst angesprochen wird. Dann braucht es eine abgestimmte Sprachregelung. Drei einfache Kommunikationsprinzipien helfen: 1. Bestätigen‚ was sicher ist 2. Benennen‚ was unklar ist 3. Handlungsfähigkeit zeigen Die öffentliche Wahrnehmung ist heute als integraler Bestandteil der Sicherheitsleistung zu betrachten. Dies folgt nicht primär aus einem Kommunikations- oder Imageinteresse im Sinne klassischer Öffentlichkeitsarbeit‚ sondern aus der betriebswirtschaftlich relevanten Funktion von Vertrauen. Vertrauen wirkt als immaterielle Ressource‚ die die Akzeptanz von Schutzmaßnahmen‚ die Kooperationsbereitschaft von Stakeholdern sowie die Stabilität von Kundenbeziehungen und Vertragsverhältnissen maßgeblich beeinflusst. Entsprechend kann die Fähigkeit‚ in Stör- und Krisenlagen nachvollziehbar‚ konsistent und faktenbasiert zu kommunizieren‚ als Teil der Leistungsqualität verstanden werden‚ weil sie Erwartungssicherheit herstellt und reputationsbedingte Folgerisiken reduziert. Resilienzmaßnahmen‚ um vorbereitet zu sein Es gilt, ein Optimum zwischen dem Aufwand für zusätzliche Resilienz und einer angemessenen Vorbereitung auf einen Blackout zu finden. Ein zentraler Baustein ist eine objektspezifische Notfallmappe. Sie ist bewusst schlank gehalten und enthält ausschließlich Informationen‚ die im Ereignisfall unmittelbar handlungsrelevant sind. Im Gegensatz zu umfangreichen Handbüchern‚ die häufig im Intranet abgelegt sind und in Störlagen nur eingeschränkt erreichbar sind‚ stellt die Notfallmappe eine niedrigschwellige Offline-Referenz dar. Ihr Nutzen liegt in der schnellen Verfügbarkeit von Lageinformationen‚ Zuständigkeiten und Standardverfahren. Dazu gehören Objektpläne mit Sperrkreisen‚ Fluchtwegen und der Lage kritischer Technikräume. Ebenfalls essenziell sind eine Schlüsselübersicht mit Notzugängen und Zuständigkeiten‚ eine aktuelle Liste der Ansprechpartner auf Betreiber- und Dienstleisterseite sowie Sonderanweisungen für besonders schutzwürdige oder betriebsrelevante Bereiche. Ergänzt wird dies durch Vordrucke für Ereignis- und Zutrittsprotokolle sowie eine Übersicht zur Mindestbesetzung und zu Eskalationsstufen. Zu einer praktikablen Vorsorge gehört ferner eine Basisausstattung‚ die eine operative „Grundfähigkeit“ unabhängig von Infrastruktur sicherstellt. Dazu zählen Taschenlampen‚ Stirnlampen und Batterien‚ Absperrmaterial‚ mobile Warnleuchten‚ Schreibmaterial sowie Funkgeräte. Diese Mittel sind technisch unspektakulär. Ihre Wirkung liegt jedoch darin‚ dass sie Suchzeiten reduzieren‚ Ausfallfolgen abfedern und die Fähigkeit zur Lageführung und Zutrittssteuerung im Notbetrieb aufrechterhalten. Resilienz entsteht nicht allein durch Material und Dokumente‚ sondern durch eingeübte Routinen. Übungen sollten daher nicht als formaler Pflichttermin verstanden werden‚ sondern als gezieltes Lernelement‚ das konkrete Schwachstellen sichtbar macht. So sind zum Beispiel das gezielte Trennen der Datenverbindung zum Objekt für 60 Minuten‚ der Verzicht auf die elektronische Zutrittsplattform für einen definierten Zeitraum oder der Leitstellenbetrieb für eine Stunde mit Papierlagekarte und Funk Möglichkeiten‚ den Blackout-Fall zu trainieren. Entscheidend ist die systematische Nachbereitung. Eine kurze Auswertung identifiziert fehlende Ressourcen‚ unklare Rollen und schwierige Entscheidungspunkte. Neben Technik‚ Organisation und Training ist vertragliche Klarheit ein weiterer Resilienzfaktor. In Blackout- oder IT-Ausfalllagen können Konflikte zutage treten‚ die im Normalbetrieb unsichtbar bleiben‚ etwa hinsichtlich Entscheidungsbefugnissen‚ Kostentragung‚ Autorisierung von Zusatzkräften‚ externer Kommunikation oder der Bedienberechtigung technischer Anlagen. Ein Vertrag muss nicht jedes Szenario antizipieren. Er sollte je-

IT- UND CYBERSICHERHEIT DSD 1 | 2026 13 doch Grundregeln enthalten‚ die die operative Steuerungsfähigkeit absichern. Fazit Strom- und IT-Ausfälle sind keine exotischen Ausnahmen. Sie sind ein realistisches Szenario‚ das moderne Sicherheitsarchitekturen herausfordert‚ weil diese Architekturen auf Verfügbarkeit‚ Vernetzung und Komfort optimiert sind. Ein Blackout zeigt‚ welche Teile davon robust sind und welche Teile nur funktionieren‚ solange alles normal läuft. Sicherheitsdienstleister können in solchen Lagen eine zentrale Rolle spielen. Nicht nur als Wachpersonal‚ sondern als Stabilitätsfaktor für Prozesse und Kommunikation. Voraussetzung ist Vorbereitung‚ die nicht theoretisch bleibt. Klare Prioritäten‚ einfache Fallback-Prozesse‚ geübte Routinen‚ redundante Kommunikation‚ saubere Notstromplanung und eine kleine‚ aber belastbare analoge Fähigkeit. Wer das hat‚ bleibt handlungsfähig. Auch dann‚ wenn Bildschirme dunkel bleiben und die Lage unübersichtlich ist. Literaturverzeichnis • British Security Industry. (2021). Graded requirements under BS EN 62676 standards for Video Surveillance Systems: a technical guide for installers‚ specifiers and manufacturers. Zugriff am 30.1.2026. Verfügbar unter: https://www.bsia.co.uk/zappfiles/bsiafront/pdf/218vssen62676gradinginstallersspecifiersmanufacturers.pdf • Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. (2019). Stromausfall: Vorsorge und Selbsthilfe. Zugriff am 30.1.2026. Verfügbar unter: https://www.bbk. bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/Buergerinforma tionen/stromausfall-vorsorge-selbsthilfe.pdf • Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. (2024). Notstromversorgung in Unternehmen und Behörden. Praxis im Bevölerungsschutz Nr. 13. Zugriff am 30.1.2026. Verfügbar unter: https://www.bbk.bund.de/SharedDocs/ Downloads/DE/Mediathek/Publikationen/PiB/PiB-13-notstromversorgung-unter nehmen-behoerden.pdf?__blob=publicationFile&v=8&utm_source=chatgpt.com • Bundesamt für Sicherheit in der Informationstechnik (Hrsg.). (2023). IT-Grundschutz-Kompendium (6. Auflage). Köln: Reguvis • Bundesnetzagentur. (2022). Strategy paper: Resilience of telecommunications networks. Zugriff am 30.1.2026. Verfügbar unter: https://www.bundesnetzagentur. de/DE/Fachthemen/Telekommunikation/Resilienz/Strategiepapier_Resilienz_ eng.pdf • Cox‚ E. (2021). Resilience of the Future Energy System: Impacts of Energy Disruptions on Society. UK Energy Research Centre. Zugriff am 30.1.2026. Verfügbar unter: https://ukerc.rl.ac.uk/publications/working_paper/UKERC_WP_ResilienceEnergy-System_Impacts-of-Disruptions-on-Society.pdf • Geier‚ W. & Lauwe‚ P. (30. Dezember 2023). Blackout und Bevölkerungsschutz | Blackout. Bundeszentrale für Politische Bildung. Zugriff am 30.1.2026. Verfügbar unter: https://www.bpb.de/shop/zeitschriften/apuz/blackout-2024/543958/ blackout-und-bevoelkerungsschutz/ • Reuter‚ C. (2014). Communication between Power Blackout and Mobile Network Overload: International Journal of Information Systems for Crisis Response and Management‚ 6 (2): 38–53. https://doi.org/10.4018/ijiscram.2014040103 • Wagner‚ M.‚ Tran‚ H.‚ Pieper‚ M.‚ Vonderau‚ D. & Balaban‚ S. (2021). Daten- und Geheimnisschutz bei der Kommunikation im Unternehmenskontext: Eine Studie zur Rechtslage mit Fokus auf Messengerdienstlösungen. Karlsruhe: FZI Forschungszentrum Informatik. Zugriff am 30.1.2026. Verfügbar unter: https://www.fzi.de/wp-content/ uploads/2021/11/doku-studie-messengerdienste.pdf Ihr Security-Provider. Zukunft sichern. Alarmprovider VdS 3138 Clearingstelle für Konzessionäre Störungsannahme für EVU‘s Anzeige

IT- UND CYBERSICHERHEIT 14 DSD 1 | 2026 Wer Sicherheit trennt, verliert Resilienz Von Sven Hansel Warum physische- und Cybersicherheit zusammenwachsen müssen: Getrennte Sicherheitsdomänen sind das größte Risiko moderner Organisationen. Die Kernaussagen der neuen LünendonkStudie „Sicherheitsdienstleistungen in Deutschland“ sind eindeutig: Technologische Entwicklungen beschleunigen die Transformation zu integrierten Sicherheitskonzepten. „Digitale Zutrittskontrollen, vernetzte Leitstellen, mobile Einsatz- und Dokumentationssysteme sowie intelligente Videoanalyse verändern die Planung, Leistungserbringung und Nachweisführung“, benennen die Analysten zudem als Nachweise, dass physische Sicherheit und Cybersecurity zusammenwachsen. So weit, so klar. Sehr diffus wird es jedoch an einer anderen Stelle der Untersuchung: Das Begriffs- und Konzeptverständnis des ganzheitlichen Angebots ist in der Branche uneinheitlich ausgeprägt.„Viele Anbieter verstehen unter integrierten Sicherheitsdienstleistungen vor allem die Kombination klassischer Sicherheitsdienstleistungen mit Sicherheitstechnik“, weisen die Lünendonk-Analysten zu Recht auf einen Trugschluss hin. „Ganzheitlich orientierte Modelle umfassen daneben auch Beratung sowie Koordinations-, Steuerungs- und Qualitätsverantwortung.“ Stimmt – teilweise. Denn auch diese Aussage greift grundsätzlich zu kurz, sie erfasst lediglich Teilaspekte einer integrierten Konzeption. Dazu einige Fakten. Physische Sicherheit ist heute bereits IT-Sicherheit. Ob Zutrittskontrollsysteme, Videoüberwachung, Gebäudeleittechnik oder OTAnlagen – all dies ist IP-basiert, softwaregesteuert und vernetzt. Jede Kamera, jeder Zutrittskartenleser und jedes PLC sind ein angreifbares IT-Asset. Umgekehrt haben Cyberangriffe zunehmend physische Auswirkungen, etwa in Form von Produktionsausfällen, Sabotage oder konkreter Gefährdung von Menschen. Kurzum: Physische Sicherheit ohne Cybersecurity ist damit unvollständig. Regulatorik zwingt zu Konvergenz Darüber hinaus sind insbesondere KRITIS-nahe Unternehmen regulatorisch verpflichtet, diese Bereiche zusammenzuführen. Normen und Rahmenwerke wie ISO/IEC 27001 und 27002, das NIST Cybersecurity Framework, IEC 62443 oder NIS2/­ ENISA verankern diese Verzahnung zunehmend verbindlich. Wer das als betroffenes Unternehmen negiert, arbeitet schlichtweg gegen Normen. Hinzu kommt eine Bedrohungslage durch Cyberkriminelle, die immer stärker auf hybride Angriffsszenarien setzen. Der physische Zutritt ermöglicht die Kompromittierung von Arbeitsplätzen, laterale Bewegung im Netzwerk und den Cyberpivot ins Unternehmensnetz. Social Engineering verbindet Mensch und Technik, und vielfach entsteht erst durch einen physischen Zugriff die digitale Eskalation. Der Initialzugriff erfolgt dabei häufig physisch – Cyber- und physische Angriffe bilden ein Kill-Chain-Kontinuum. Sicherheitsdomänen gelten nicht mehr Für verantwortungsvoll agierende Unternehmen bedeutet das: Sie denken nicht mehr in Sicherheitsdomänen, sondern in Betriebsunterbrechung, Haftung und Compliance, Reputationsschäden, Personengefährdung und letztlich auch in Herausforderungen bei Versicherungen und Prämien. All diesen Entwicklungen kann der Markt aber nur dann begegnen, wenn er seinen Kunden ein adäquates Verteidigungsszenario anbieten kann: • Physical-Security-Anbieter müssen über nachgewiesenes Cyber-Know-how verfügen. Geschäftsführer der AwareTec® GmbH, ein Tochterunternehmen der RAD Sicherheit, Köln Sven Hansel

RkJQdWJsaXNoZXIy Mjc4MQ==