Das Jahr 2025 hat die Verwundbarkeit kritischer Infrastrukturen in Deutschland erneut schonungslos offengelegt. Cyberangriffe legten Krankenhäuser lahm, Drohnen störten den Flugverkehr und brachten internationale Airports zeitweise zum Stillstand. Fachleute schlagen Alarm: Die bestehenden IT-Sicherheitsstandards reichen nicht aus, gesetzliche Vorgaben müssten deutlich verschärft werden – und zwar entlang der gesamten Liefer- und Dienstleistungskette.
Besonders sensibel ist die Lage im Gesundheitswesen. In Krankenhäusern werden täglich hochvertrauliche Daten verarbeitet: Diagnosen, Medikamentenpläne, Laborbefunde, Röntgenbilder und Operationsberichte. Andreas Scholtz, ehemaliger Datenschutzbeauftragter der Uniklinik Leipzig, kennt die Risiken aus jahrelanger Praxis. Krankenhäuser seien hochkomplexe Organisationen mit ebenso komplexen IT-Strukturen. Genau das mache sie zu attraktiven Zielen für Cyberkriminelle.
Ein erfolgreicher Angriff könne weit mehr als nur Daten kompromittieren. „Wenn Systeme ausfallen oder manipuliert werden, ist der gesamte Betrieb betroffen – im schlimmsten Fall geraten Menschenleben in Gefahr“, warnt Scholtz. Die permanente Verfügbarkeit medizinischer Systeme erschwere notwendige Wartungen zusätzlich. Hinzu komme ein eklatanter Mangel an IT-Fachpersonal, der Sicherheitslücken weiter vergrößere.
Ein strukturelles Problem sieht Ferdinand Gehringer von der Konrad-Adenauer-Stiftung vor allem bei kleineren Betreibern und Dienstleistern. Kritische Infrastrukturen seien vielfach privatisiert und auf Effizienz getrimmt. IT-Sicherheit werde häufig erst dann ernst genommen, wenn es bereits zu einem Vorfall gekommen sei. Gleichzeitig schreite die Digitalisierung rasant voran: Fernwartung, Cloud-Lösungen und ausgelagerte IT-Dienste seien längst Standard – und vergrößerten die Angriffsfläche erheblich.
Diese Risiken beschränken sich nicht auf Krankenhäuser. Auch Flughäfen sind zunehmend abhängig von externen IT-Dienstleistern. Gehringer fordert deshalb verbindlich höhere Sicherheitsstandards für diese Unternehmen. Nur wenn Dienstleister stärker in Cyberschutz investieren, lasse sich der sichere Betrieb kritischer Einrichtungen gewährleisten.
Unterstützung erhält diese Forderung von Manuel Atug, Sprecher der unabhängigen Arbeitsgruppe Kritische Infrastrukturen. Er verweist auf den Cyberangriff auf den Dienstleister Collins Aerospace im September, durch den die Passagierabfertigung an Flughäfen in Berlin, Brüssel, Dublin und London zeitweise zum Erliegen kam. Solche Unternehmen seien bislang oft nur indirekt als kritische Infrastruktur eingestuft, obwohl sie zentrale Funktionen übernehmen. Besonders problematisch seien Quasi-Monopole, bei denen Betreiber kaum Ausweichmöglichkeiten hätten. Atug fordert daher eine kontinuierliche Weiterentwicklung von Sicherheitsmaßnahmen, Gesetzgebung und Forschung.
Neben digitalen Angriffen wächst auch die Bedrohung aus der Luft. Die Bundespolizei registrierte 2025 Drohnenvorfälle im niedrigen dreistelligen Bereich. Mehrfach musste der Flugbetrieb unterbrochen werden – mit direkten Folgen für tausende Reisende. Doch die Auswirkungen reichten weiter, sagt Atug: Drohnenüberflüge könnten gezielt Unsicherheit und Angst in der Bevölkerung erzeugen.
Als Reaktion kündigten die Innenminister von Bund und Ländern Mitte Dezember ein gemeinsames Drohnenabwehrzentrum in Berlin an. Dort sollen Vorfälle analysiert, Abwehrtechniken weiterentwickelt und technische Standards definiert werden. Eine aktive Abwehr finde dort jedoch nicht statt. Ziel sei zunächst ein bundesweites Lagebild – etwas, das bislang fehle. Details zu Aufgaben und Arbeitsweise bleiben unklar, da der entsprechende Beschluss nicht öffentlich ist.
Für Experten ist klar: Die Bedrohungslage hat sich verändert. Kritische Infrastrukturen sind heute stärker vernetzt, abhängiger von IT und damit angreifbarer als je zuvor. Ohne höhere Standards, strengere Gesetze und eine konsequente Einbindung aller Dienstleister drohen weitere Ausfälle – mit potenziell gravierenden Folgen für Sicherheit und Versorgung.
