Kontakt aufnehmen
Cybersecurity

KRITIS-Hack: Wenn das Stromnetz ausfällt und niemand bereit ist

  • Lesezeit: 6 min

Am Morgen des 3. Januar 2026 saßen 45.000 Berliner Haushalte plötzlich im Dunkeln. Vier Tage lang, bei Minusgraden. Pflegeheime, Krankenhäuser, 205 Arztpraxen, 2.200 Betriebe — alles aus. Es war kein Hackerangriff, sondern ein Brandanschlag auf eine Kabelbrücke. Das ist eine analoge Variante von einem Kritis-Hack.

Die digitale Variante ist längst da. Sie ist schneller, leiser, wiederholbar — und sie kann von jedem Punkt der Welt aus ausgelöst werden. Wenn Sie ein Unternehmen führen, das Strom liefert, Wasser bereitstellt, Patienten versorgt oder Lebensmittel produziert, ist die Frage nicht mehr, ob Sie ins Visier geraten. Die Frage ist wann Sie angegriffen werden und ob Sie es schnell genug merken.

Inhalt

Auf einen Blick

  • Cyberangriffe auf KRITIS sind Realität, nicht Theorie: Düsseldorf 2020 mit Todesfolge, Krankenhausangriffe +74 % zwischen 2020 und 2024, Stadtwerke unter Dauerbeschuss.
  • Seit dem 6. Dezember 2025 gilt das NIS-2-Umsetzungsgesetz — rund 30.000 deutsche Unternehmen sind verpflichtet, Bußgelder bis 10 Mio. €, persönliche Haftung der Geschäftsführung mit Privatvermögen.
  • Die Realität laut BSI-Lagebericht 2025: Nur 48 % der KRITIS-Betreiber haben eine funktionierende Angriffserkennung. Mehr als die Hälfte merkt einen laufenden Angriff also nicht zuverlässig.

Warum das jetzt Ihr Problem ist (auch wenn Sie sich nicht zu KRITIS zählen)

Ein häufiger Irrtum auf Geschäftsführer-Ebene: „Wir sind kein Energieversorger, wir sind kein Krankenhaus — KRITIS betrifft uns nicht.“ Das war bis 2025 oft richtig. Seit dem NIS-2-Umsetzungsgesetz ist es falsch.

Der Kreis der regulierten Unternehmen ist von rund 4.500 auf etwa 30.000 deutsche Unternehmen in 18 Sektoren angewachsen. Maschinenbau, Lebensmittelproduktion, Pharma, Logistik, digitale Dienste, Post, Abfallwirtschaft — wer mehr als 50 Mitarbeiter oder 10 Mio. € Jahresumsatz hat und in einem dieser Sektoren tätig ist, fällt automatisch unter die Pflichten. Selbst wenn Sie es selbst nicht tun: Ihre Kunden tun es. Und sie werden Ihre Sicherheitsstandards künftig vertraglich abprüfen, weil sie für Lieferketten-Sicherheit haften.

Wenn Sie also jetzt denken „das mache ich nächstes Quartal“ — die Registrierungsfrist beim BSI ist am 6. März 2026 bereits abgelaufen. Wer nicht registriert ist, begeht eine eigenständige Compliance-Verletzung.

Was passiert, wenn der Angriff trifft

Im September 2020 verstarb in Düsseldorf eine 78-jährige Notfallpatientin, weil das Universitätsklinikum nach einem Ransomware-Angriff keine Patienten mehr aufnehmen konnte. Der Rettungswagen musste sie nach Wuppertal umleiten — etwa eine Stunde Verzögerung. Es ist der erste bekannte Fall, in dem ein Cyberangriff direkt mit einem Todesfall in Verbindung gebracht wurde. Die Staatsanwaltschaft ermittelte wegen fahrlässiger Tötung.

Stellen Sie sich kurz vor, das wäre Ihr Klinikum. Ihr Telefon klingelt um 4 Uhr morgens. Ihre IT-Abteilung sagt, sämtliche Systeme sind verschlüsselt. Die Notaufnahme ist nicht mehr betriebsfähig. Was sagen Sie der Familie der Patientin? Was sagen Sie dem Staatsanwalt, wenn er fragt, warum Ihre Angriffserkennung nicht ansprang?

Das ist kein Worst Case. Das ist die Wirklichkeit, die nach BSI-Daten 74 Prozent häufiger geworden ist — Cyberangriffe auf Krankenhäuser haben sich zwischen 2020 und 2024 fast verdoppelt. Das Gesundheitswesen ist der am stärksten betroffene KRITIS-Sektor. Und Energieversorger ziehen nach: Im November 2025 traf es die Vereinigte Stadtwerke GmbH — Daten flossen ab, der Versorgungsbetrieb blieb nur deshalb stabil, weil die KRITIS-Systeme strikt von der Office-IT getrennt waren. Eine Architekturentscheidung, die nicht jeder Betreiber getroffen hat.

Warum „niemand bereit ist" — und warum das auch für Sie gilt

Der BSI-Lagebericht 2025 liest sich wie ein Mahnruf. 80 % der KRITIS-Betreiber haben mittlerweile ein Informationssicherheitsmanagementsystem auf Reifegrad 3 — klingt gut, ist aber nur die Mindestanforderung. Beim Business Continuity Management sind es nur noch rund zwei Drittel. Bei der Angriffserkennung sind es 48 Prozent.

Übersetzt: Mehr als jeder zweite KRITIS-Betreiber in Deutschland würde einen aktiven Angriff nicht zuverlässig bemerken. Das ist die statistische Wahrheit hinter „niemand ist bereit“. Dazu kommen 119 neue Schwachstellen pro Tag (+24 % gegenüber Vorjahr) und rund 30.000 verwundbare Microsoft-Exchange-Server, die laut BSI in Krankenhäusern, Schulen und kritischen Einrichtungen weiterhin im Netz hängen.

Wenn Sie Geschäftsführer eines betroffenen Unternehmens sind, ist das nicht bloß eine traurige Statistik. Es ist Ihre persönliche Risikoposition. Denn das NIS-2-Umsetzungsgesetz hat einen Punkt eingeführt, den frühere KRITIS-Regelungen so nicht kannten: Sie haften mit Ihrem Privatvermögen.

Was NIS-2 von Ihnen persönlich verlangt

Konkret bedeutet das:

  • 24-Stunden-Frühwarnung, 72-Stunden-Bericht, 1-Monats-Abschlussmeldung an das BSI bei jedem erheblichen Sicherheitsvorfall — keine Übergangsfrist.
  • Zehn verpflichtende Risikomanagement-Bereiche, darunter Risikoanalyse, Backup-Management, Multi-Faktor-Authentifizierung, Lieferkettensicherheit, Schulungen, Kryptografie.
  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
  • Persönliche Haftung der Geschäftsleitung. Sie können sich nicht mehr hinter „die IT hat das verbockt“ verstecken. Wenn Sie als Geschäftsführer Ihre Sorgfaltspflichten verletzen, haftet Ihr Privatvermögen.

Für die physische Seite — Brandanschläge, Sabotage, Naturereignisse — gibt es seit März 2026 das KRITIS-Dachgesetz. Das ist eine andere Baustelle. Die digitale Seite, also Ihr Tagesgeschäft, regelt NIS-2.

Was Sie jetzt konkret tun sollten

Vier Dinge gehören diese Woche auf Ihren Schreibtisch:

  1. NIS-2-Betroffenheitsprüfung. Wenn Sie nicht zweifelsfrei wissen, ob Sie betroffen sind, sind Sie es vermutlich. Nutzen Sie den Betroffenheits-Check des BSI.
  2. Realistische Standortbestimmung Ihrer Angriffserkennung. Nicht „haben wir eine Firewall?“, sondern: Wie lange würde es dauern, bis ein Angreifer in Ihrem Netz auffällt? Wenn die Antwort „weiß ich nicht“ ist, ist sie zu lang.
  3. IT/OT-Segmentierung prüfen. Was die Vereinigte Stadtwerke vor dem Versorgungsausfall gerettet hat, war eine harte Trennung zwischen Büro-IT und Steuerungssystemen. Haben Sie die?
  4. Geschäftsführungs-Haftungsschutz dokumentieren. Was haben Sie wann entschieden, was haben Sie eskaliert, was haben Sie unterschrieben? Im Fall der Fälle ist das Ihre Versicherung.

Sind Sie sicher, dass Sie unter NIS-2 fallen oder dass Sie es nicht tun?

Beide Antworten haben Konsequenzen. In einem 30-minütigen Erstgespräch klären wir Ihre Betroffenheit, identifizieren die größten Lücken in Ihrer Angriffserkennung und priorisieren die Maßnahmen, die wirklich Schutz bringen.

Kontakt aufnehmen und abklären