Halt! Ausweis bitte. Physische Sicherheit für Datacenter gegen neue und alte Bedrohungen

Anbieter zum Thema

VON ZUR MÜHLEN'SCHE GmbH

Data Center Group – Büro Köln

EPS Rechenzentrum Infrastruktur GmbH

Drohnen schwärmen leise vor sich hin, Party-Ballons glitzern – über Rechenzentren, Flughäfen, Industrie-Anlagen und Atomstandorten – und legen die Verwundbarkeiten kritischer Infrastrukturen offen. Sind die Betreiber bereit für den Ernstfall? Das neue KRITIS-Dachgesetz, frisch aus dem Bundestag, soll Klarheit schaffen.

Sicherheitskräfte an der US‑Grenze bei El Paso (Texas) feuerten im Februar 2026 mit einem militärischen Anti‑Drohnen‑Laser auf ein vermeintliches Kartell‑UAV (ein unbemanntes Luftfahrzeug) und trafen tatsächlich ins Schwarze. Bang, boom, erledigt! – Feuer frei, Ziel runter. Alles dicht.

Die Federal Aviation Administration (FAA), die die zivile Luftfahrtbehörde der Vereinigten Staaten, die den zivilen Flugverkehr reguliert und überwacht, Flugzeuge und Pilotinnen sowie Piloten zertifiziert, reagierte mit einer sofortigen Luftraumsperre über El Paso, einem Ballungsraum mit rund einer Million Einwohner, für einen Zeitraum von ursprünglich zehn Tagen.

Dann kam die Panik auf der Titanik: Getroffen haben die Sicherheitskräfte genau genommen ein paar harmlose Party‑Ballons. Die Sperre wurde nach rund zehn Stunden aufgehoben, legte aber bis dahin den zivilen Luftverkehr komplett lahm und zwang sogar MedEvac‑Flüge zu Umwegen. [Anm.d.Red.: MedEvac steht für Medical Evacuation (medizinische Evakuierung). Der Begriff bezeichnet den organisierten Transport von verletzten oder erkrankten Personen aus Gefahren- oder Krisengebieten in medizinische Einrichtungen. Er wird vor allem im militärischen Kontext, bei Katastropheneinsätzen sowie im zivilen Luftrettungsbereich verwendet.]

Das Geschehnis zeigt, wie nervös und dünnhäutig Behörden auf das Stichwort UAV reagieren – nicht ohne guten Grund. Auch in Deutschland kam es im vergangenen Jahr (2025) zu wiederholten Drohnenalarmen, unter anderem am Flughafen München; zeitweise musste auch hier der Airport Start‑ und Landebahnen schließen - bestätigt wurden die Drohnen jedoch nicht.

In Norddeutschland registrierten Sicherheitsbehörden in den vergangenen beiden Jahren eine ganze Serie von Drohnensichtungen über Industrie-Arealen, Häfen, Energie-Anlagen und ehemaligen Atomkraftwerksstandorten wie Brunsbüttel mit Castor‑Zwischenlager. Häufig nachts. Stets unerlaubt.

Juristen sprechen bereits von „wohl orchestrierten Drohnenüberflügen“, die Schwachstellen in Zuständigkeiten und Reaktionsketten offengelegt hätten.

In Belgien meldeten Behörden im November 2025 mehrere Drohnen über dem Kernkraftwerk Doel nahe Antwerpen und parallel über dem Flughafen Antwerpen. Ebenfalls in Belgien wurde die von der NATO genutzte Luftwaffenbasis Kleine‑Brogel mehrfach Ziel unerlaubter Drohnenbesichtigungen. Polizei und Geheimdienste untersuchen die Vorfälle.

Der blinde Fleck physischer Sicherheit

Viele KRITIS‑Standorte, darunter Rechenzentren, haben nach wie vor einen blinden Fleck: die physische Sicherheit, insbesondere im unteren Luftraum. Die Bedrohung durch unbemannte Luftfahrtsysteme (UAS) hat die zweidimensionale Sicherheitsplanung obsolet gemacht.

Doch die ersten Betreiber von Rechenzentren, Energie-Anlagen und anderen KRITIS‑Einrichtungen beginnen, physische Schutzvorrichtungen in die dritte Dimension zu erweitern: in den eigenen Luftraum.

Drohnen entwickeln sich zunehmend zu Werkzeugen hybrider Bedrohungsszenarien: Sie reichen vom unauffälligen Späher bis zum fliegenden Waffen- oder Cyberträger.

Drohnen lassen sich für hochauflösende Spionageflüge etwa vor Bürofenstern einsetzen, um Bildschirminhalte, Zugangsdaten oder vertrauliche Unterlagen zu erfassen. Ebenso denkbar sind gezielte Sabotageakte, bei denen Kleinstlasten auf exponierte Kühlanlagen, Energieverteiler oder andere verwundbare Komponenten kritischer Infrastruktur abgeworfen werden.

WLAN‑ oder Mobilfunk‑basierte Steuerungsverbindungen eröffnen ein zusätzliches Einfallstor: Aus der Luft können Angreifer Funknetze ausspähen, schwach gesicherte WLANs kompromittieren oder als Relaisstation für weiterführende Cyber-Angriffe dienen.

Schließlich taugen Drohnen als Trägerplattformen für Sprengsätze, improvisierte Schüttelemitter oder GPS‑ und Funkstörsender und verschmelzen damit klassische physische Angriffe mit Cyber‑ und Informationsoperationen. Doch während sich die Detektion von Drohnen & Co. im DACH-Raum weitgehend unproblematisch gestaltet, unterliegt die aktive Abwehr derzeit strengsten gesetzlichen Hürden.

In Deutschland muss die Nutzung von Störsendern wie dem „Dedrone Defender 2“ von der Bundesnetzagentur genehmigt werden und ist in der Regel Behörden und dem Militär vorbehalten. Private Betreiber konzentrieren sich stattdessen auf "passive" Maßnahmen: Bei Drohnenalarm werden Jalousien geschlossen, Außentüren gesperrt und Sicherheitspersonal alarmiert. Das könnte sich bald ändern.

Das KRITIS DACH-Gesetz

Politisch reagiert Deutschland mit dem KRITIS-DACH-Gesetz zur Umsetzung der EU‑Richtlinie 2022/2557 (CER), das vom Bundestag am 29.01.2026 verabschiedet wurde. Es definiert bundeseinheitliche Mindeststandards für physischen Schutz und Resilienz (Notfallteams, Objektschutz, Notstrom, Ausfallsicherheit), Risiko-Analyse‑Pflichten, Meldepflichten und Verantwortlichkeiten der Unternehmensleitung.

Es ergänzt die bereits bestehenden IT‑Sicherheitsvorgaben (IT‑SiG/NIS2-Umsetzung). Formell folgen noch die Befassung des Bundesrats in der „Schlussrunde“ und Verkündung im Bundesgesetzblatt, teils mit gestaffelten Übergangsfristen.

Parallel soll das novellierte Luftsicherheitsgesetz („Zweites Gesetz zur Änderung des Luftsicherheitsgesetzes“) die Bundeswehr und die Bundespolizei explizit befähigen, illegale Drohnen über kritischen Infrastrukturen auch mit Waffengewalt oder elektronischen Mitteln abzuwehren. Über den Entwurf der Bundesregierung wird bereits im Bundestag beraten.

Bundesrat‑Schlussrunde und Verkündung stehen noch an. Die darin erwähnten gestaffelten Übergangs- und Inkrafttretensfristen sind im Gesetz angelegt (stufenweises Inkrafttreten bis spätestens 2029), Details werden teils über Verordnungen konkretisiert.

Luftschutz und Cyber-Abwehr

Daneben laufen weitere Anpassungen im Luftverkehrsrecht, etwa an LuftVG‑Regelungen zu Bauwerken und militärischen Luftverteidigungsradaranlagen, die seit Februar 2026 in neuer Fassung gelten und den Schutz dieser Anlagen – auch im Kontext Kritischer Infrastrukturen – stärken.

Am 20. Januar 2026 hat die EU‑Kommission zudem auch ein Cybersecurity‑Paket mit einem Vorschlag für einen „Cybersecurity Act 2“ (Neufassung der VO 2019/881) und gezielten Änderungen der NIS‑2‑Richtlinie veröffentlicht.

Unter Dach und Fach

Ob ein konkretes Rechenzentrum unter das neue KRITIS‑Dachgesetz fällt, hängt wie bisher von Schwellenwerten (Versorgung von großen Nutzerzahlen, zentrale Rolle für Netze/Cloud/Dienste) und ähnlichen Kriterien ab; die Detailkonkretisierung erfolgt weiterhin über KRITIS‑Verordnung und künftige sektorspezifische Verordnungen zum Dachgesetz.

Zentrale Pflichten für DataCenter‑Betreiber von KRITIS-Facilities umfassen neben der Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und der Erstellung eines Resilienzplans die Umsetzung konkreter physischer Schutzmaßnahmen und nicht zuletzt regelmäßige Risiko-Analysen und ‑bewertungen. Verstöße können zu hohen Bußgeldern und im Extremfall zu Betriebsuntersagungen führen.

Für ein typisches deutsches 5‑MW‑Rechenzentrum im KRITIS‑Umfeld ließen sich die erforderlichen Schutzmaßnahmen in einer Checkliste grob zum Beispiel wie folgt strukturieren:

• Perimeter und Zugang: Zwei Sicherheitszonen (Außenbereich, Hochsicherheitszone Gebäude/Serverflächen), voll eingehegter Perimeter mit Zaun, Toren, Video-Überwachung, Beleuchtung, gegebenenfalls Zaunsensorik und Intrusion-Detection; mehrstufige Zutrittskontrolle: Vereinzelungsanlagen, Ausweise, Biometrie in Kernbereichen, Besucher-Management mit Voranmeldung und Begleitung.

• Gebäude und Technikflächen: Bauliche Härtung der Hülle und Technikräume (massive Außenwände, gesicherte Türen, keine ungesicherten Fenster in Technikbereichen); räumliche Trennung von kritischen Versorgungssträngen (Strom, Kälte und Brandlasten), redundante Trassen und Brandabschnitte; automatische Brandfrüherkennung und geeignete Löschtechnik (Inertgas, Nebel) mit abgestimmten Notfallprozeduren.

• Energie, Kälte, Redundanz: N+1 oder besser für USV, Generatoren, Kühlung; getrennte Einspeisungen und Strompfade zu den Racks; Diesel‑/Treibstoffvorräte für definierte Mindestlaufzeit, zum Beispiel 48–72 Stunden, plus Nachlieferkonzept mit priorisierten Lieferanten; Überwachung kritischer Parameter wieTemperatur, Feuchte, Last, Füllstände, Brennstoff) mit Alarmierung und 24/7‑Leitwarte.

• Organisation, Personal, Dienstleister: Resilienz‑/Sicherheitskonzept nach All‑Gefahren‑Ansatz mit regelmäßiger Risiko-Analyse und Management‑Freigabe; Sicherheitsorganisation MIT definierten Rollen (KRITIS‑Beauftragter, Krisenstab), Schulungen und mindestens jährlichen Übungen (Blackout, Brand, Zutrittsvorfall, Bombendrohung); geregelt eingebundene Dienstleister (Security, Technik, Reinigung) mit Zutrittsregelungen, NDAs und Sicherheitsunterweisungen.

• Detektion, Meldung, Dokumentation: Lückenlose Video-Überwachung in relevanten Zonen, Ereignisaufzeichnung, Protokollierung von Zutritten und sicherheitsrelevanten Vorgängen; Meldewege zu Polizei und Feuerwehr und zu zuständigen Behörden, zum Beispiel BSI und BBK, und Kunden, mit klaren Schwellwerten für Vorfall‑Meldungen; vollständige Dokumentation aller Schutzmaßnahmen in einem Resilienzplan inklusive Wartungs‑ und Testnachweisen, Audit‑Trails und kontinuierlicher Verbesserungsprozesse.

Das Zwiebelschalen-Prinzip

Das fundamentale Gestaltungsmuster für die physische Sicherheit in Rechenzentren ist das Zwiebelschalen-Prinzip (Defense in Depth). Es basiert auf der Annahme, dass jede einzelne Sicherheitsmaßnahme im Endeffekt überwunden werden kann. Sicherheit entsteht erst durch die Kaskadierung unabhängiger Barrieren, die Eindringlinge verlangsamt und den natürlichen Arbeitsfluss so wenig wie möglich stört.

Die erste Schicht beginnt an der Grundstücksgrenze. Hier werden Zäune, Mauern, Poller und Zufahrtssperren errichtet.

Die gängige Einbruchnorm EN 1627 gilt formal nicht für freistehende Zäune. In der Hochsicherheitsplanung wird daher zunehmend der Standard LPS 1175 herangezogen, der verschiedene Werkzeugsätze und Widerstandszeiten kombiniert. Ein Zaun der Klasse SR3 nach LPS 1175 bietet beispielsweise einen definierten Widerstand gegen mechanische Angriffe für mindestens fünf Minuten, was der Interventionszeit eines Sicherheitsdienstes entsprechen muss.

Ergänzt wird der Perimeter durch Video-Überwachung mit intelligenter Analytik (CCTV). Moderne Systeme nutzen KI, um zwischen harmlosen Ereignissen und echten Bedrohungen zu unterscheiden. Radarsensoren oder Laser-Scanner (LIDAR) können zudem Bewegungen im Vorfeld detektieren, noch bevor eine Person den Zaun berührt.

Die zweite Schicht

Die zweite Schicht ist die physische Hülle des Rechenzentrums. Die DIN EN 50600-2-1 stellt hier detaillierte Anforderungen an die bauliche Substanz.

Hochverfügbare Rechenzentren der Klassen 3 und 4 setzen oft auf massiven Stahlbeton und verzichten weitgehend auf Fenster im Erdgeschoss. Alle Öffnungen (Lüftungsschlitze, Kabeldurchführungen) müssen gegen das Eindringen von Gegenständen und Personen gesichert sein, wobei die Staubdichtigkeit (IP-Klasse nach EN 60529) ebenfalls eine Rolle spielt, um die empfindliche IT vor Kontamination zu schützen.

Innerhalb des Gebäudes wird die Fläche in verschiedene Sicherheitszonen unterteilt. Der Zugang zu den 'White Spaces', den eigentlichen Serverräumen, erfolgt über Personenvereinzelungsanlagen (Mantraps). Diese Schleusen stellen sicher, dass tatsächlich nur eine einzige autorisierte Person den Bereich betritt. Technische Hilfsmittel wie Gewichtssensoren oder 3D-Kameras in der Decke der Schleuse verhindern das so genannte Piggybacking oder Tailgating.

Die innere Schutzschicht

Die innerste Schicht schützt unmittelbar die Hardware. In Co-Location-Rechenzentren sind Cages (Gitterkäfige) der Standard. Diese bieten einen zusätzlichen mechanischen Schutz und ermöglichen eine kundenspezifische Zutrittskontrolle.

An den Racks selbst werden zunehmend elektronische Schlösser eingesetzt, die per RFID oder Biometrie geöffnet werden und jede Türöffnung zentral protokollieren. Intelligente Rack-Schlösser schlagen auch Alarm, wenn Türen zu lange offen stehen oder Erschütterungen detektiert werden.

Die Roboter kommen

Mit „Physical AI“ entsteht gerade ein neues Spielfeld, in dem Künstliche Intelligenz unmittelbar in der physischen Welt handelt. Besonders sichtbar wird das bei autonomen Robotern.

KI-gesteuerte Sicherheitsplattformen patrouillieren Facilities rund um die Uhr, ausgerüstet mit Wärmebildkameras, chemischen Detektoren und Verfahren zur akustischen Anomalie-Erkennung. Damit erfassen sie Signale, die menschliche Sinne weder dauerhaft noch in dieser Bandbreite abdecken können.

Am sichtbarsten ist das bei Novva Datacenters in den USA. Dort wird Spot von Boston Dynamics in einer angepassten Variante namens „WIRE“ für Kontrollgänge und Inspektionsaufgaben genutzt, etwa um Anlagenbereiche abzulaufen und Messwerte wie Temperaturen zu prüfen. Novva hat zudem kommuniziert, dass auch ein Standortprojekt in Nevada im Tahoe-Reno Industrial Center mit einem solchen Robotik-Konzept arbeiten soll.

Einen eher experimentellen, aber aufschlussreichen Blick liefert Oracle: Im Oracle Industry Lab bzw. Oracle Labs in Chicago wurde Spot in einem Rechenzentrums-Umfeld erprobt – als Teil eines Testlaufs, wie sich Robotik in Betrieb und Wartung integrieren lässt, ohne den laufenden Betrieb zu stören.

Mittlerweile kommen auch humanoide Roboter als potenzielle Kandidaten für den Sicherheitsbetrieb ins Gespräch. Der „Unitree G1“ des chinesischen Anbieters Unitree Robotics (Preis: ab ungefähr 25.000 Euro) wird bereits in einigen Rechenzentren für Zugangskontrolle, Inspektionen und Sicherheitsüberwachung getestet.

Autonome Inspektionsroboter können eine zusätzliche physische Security‑Ebene schaffen, etwa durch Rundgänge außerhalb der Dienstzeiten, Temperatur‑Checks oder das Erkennen unbefugter Anwesenheit in Gängen. Dadurch werden sie zur Schnittstelle zwischen physischer und logischer Sicherheit - und damit zu einem beliebten Angriffsziel für Cyber-Attacken.

Inspektionsrobotik als Angriffsvektor

Roboter hängen in der Regel direkt am Rechenzentrumsnetz, kommunizieren mit Monitoring‑Plattformen und teilweise mit Cloud‑Control‑Planes. Gerade weil sie sich frei in Hochsicherheitsbereichen bewegen, müssen diese Systeme aber strikt in das übergreifende Sicherheitskonzept eingebunden werden. Auch hier gelten Anforderungen an klare Zonenkonzepte, getrennte Netze, gehärtete Ladestationen, kontrollierte Wartungsprozesse.

Roboter können nämlich schnell vom Sicherheitsinstrument zum eigenständigen Cyber-Angriffs‑Vektor oder einem Spionage-Assistenten mutieren. Diese Gefahr trifft besonders Rechenzentren, die als Kritische Infrastruktur gelten und damit strengen BSI‑ und IT‑SiG‑2.0‑Vorgaben unterliegen.

Für Rechenzentren ist Supply‑Chain‑Security rund um Robotik besonders heikel, weil Robotersysteme meist aus Komponenten unterschiedlicher Hersteller bestehen, von der Basisplattform über Sensorik bis zur Cloud‑Anbindung. Jede dieser Ebenen: Firmware, Bibliotheken, Update‑Server und Remote‑Support, kann Angriffsfläche für Supply‑Chain‑Attacken bieten, die im Worst Case direkt in ein Hochsicherheits‑Datacenter führen.

Für den Fall, dass der Roboter selbst zum Einfallstor wird, muss natürlich auch ein Incident‑Response‑Plan her.

Hallo da drüben!

Die Identifikation von Personen ist das Herzstück der physischen Sicherheit. Die NIS2-Richtlinie fordert hierfür angemessene Maßnahmen, was in Hochsicherheitsumgebungen fast immer auf eine Multi-Faktor-Authentifizierung (MFA) hinausläuft.

Mitarbeiter, die sich permanent überwacht fühlen oder deren Arbeitswege durch umständliche Kontrollen massiv behindert werden, entwickeln eine Sicherheitsermüdung. Ein Techniker, der zehnmal am Tag eine biometrische Schleuse passieren muss, die jeweils 60 Sekunden in Anspruch nimmt, erlebt es als eine Belastung.

Darum setzen moderne Systeme auf 'Single Sign-on für die physische Welt', etwa durch weiträumige Gesichtserkennung oder Seamless Access, bei dem die Identität bereits auf dem Weg zur Tür geprüft wird.

In eigener Sache

Rechenzentren sind oft fensterlose bunkerartige Betonbauten. Das Fehlen von Tageslicht, monotone Innenräume, synthetische Oberflächen und hohe Geräuschpegel schaffen ein Umfeld, das Stress fördert und damit auch die kognitive Leistungsfähigkeit des Fach- Sicherheitspersonals schwächt. Die Anwendung biophiler Designprinzipien kann Abhilfe schaffen.

Studien zeigen, dass Naturlicht oder tageslichtähnliche Beleuchtung, visuelle Naturbezüge und Naturmaterialien Stressreaktionen senken, Kreativität und Arbeitsgedächtnis verbessern und die subjektive Arbeitszufriedenheit erhöhen – gerade in virtuellen oder stark technisierten Arbeitsumgebungen.

Für hochsichere Datacenter-Standorte bedeutet das konkret: Dynamische Lichtführung, Holz und andere Naturmaterialien, begrünte Wände sowie akustisches Management schaffen eine ruhigere, kognitiv leistungsfördernde Arbeitsatmosphäre, in der Überwachung, Incident-Response und physische Sicherheit von einer höheren Reaktionsfähigkeit profitieren können.

Übrigens: Regelmäßige Awareness-Trainings verwandeln Mitarbeiter in aktive Verteidiger der Infrastruktur.

(ID:50774511)