Die Ära der ausgedehnten "Friedensdividenden" in Europa ist so gut wie vorbei. Deutschland, einst ein Frontstaat während des Kalten Krieges, hat einen Plan initiiert, um seine Verteidigungshaltung für das 21. Jahrhundert neu zu erfinden. Im Mittelpunkt dieser Veränderung steht der Operationsplan für Deutschland (OPLAN) , ein 1.200-seitiges strategisches Dokument, das darauf abzielt, die Bundesrepublik in die logistische "Drehscheibe" der NATO zu verwandeln.

Für Betreiber der kritischen Infrastrukturen (KRITIS) ist dies nicht nur ein hochrangiges Militärdokument. Vielmehr gibt es einen klaren und unmissverständlichen Auftrag für eine radikale Überarbeitung der Cybersicherheit und physikalischen Resilienz. Das Dokument und der dahinterstehende Denkprozess erkennen die wachsenden Bedrohungen für KRITIS durch alle Akteure an und die Notwendigkeit, eine gut ausgearbeitete Strategie zur Bewältigung dieser Bedrohungen zu entwickeln.

Im heutigen Blog-Beitrag, dem letzten für das Jahr 2025, werfen wir einen Blick auf die Cyber-Dimensionen des OPLAN DEU oder kurz OPLAN. Wie immer, bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog-Beitrag über den Ransomware-Angriff auf das Oltenia Energy Complex hier zu überprüfen.

Die strategische Kehrtwende: Deutschland als NATO-Drehkreuz

Der Operationsplan für Deutschland (OPLAN) markiert in vielerlei Hinsicht einen grundlegenden Wandel. In einem potenziellen Konflikt mit einem in der Nähe liegenden Staat wäre Deutschland nicht das primäre Schlachtfeld, sondern der zentrale Logistikmotor. Der Plan beschreibt, wie bis zu 800.000 NATO-Truppen und 200.000 Fahrzeuge durch deutsches Territorium zur östlichen Flanke transitieren würden. Dies definiert eine klare Rolle für Deutschland (und seine Verantwortlichkeiten) in diesem Konflikt.

Zusätzlich zu dem 1.200-seitigen Dokument wurde auch ein 24-seitiges Dokument namens „Light Version“ des Plans erstellt. Dieses komprimierte Dokument soll während eines Konflikts helfen, zivile und militärische Akteure zu koordinieren und Deutschlands Funktion als zentraler Logistikknotenpunkt für Verbündete zu definieren.

Es gibt jedoch einen Haken. Falls sich der Konflikt zuspitzt oder der Gegner Cyberangriffe im deutschen Cyberspace einleitet, könnten schwerwiegende Konsequenzen folgen (und der Gegner hat bereits verstanden und ist sich der zerstörerischen Folgen hybrider Kriegsführung bewusst). Dadurch werden deutsche Stromnetze, Eisenbahnnetze und Kommunikationslinien zu den lukrativsten Zielen für "Vor-Kriegs"-Sabotage. Während im Prä-Cyber-Zeitalter Spione eingesetzt wurden, um kritische Infrastrukturen physisch zu sabotieren, könnte sich der Feind heute bereits in unserem Cyberspace mit einer zerstörerischen Nutzlast befinden, die darauf wartet, ausgeführt zu werden, noch bevor der erste Schuss fällt. 

Der OPLAN identifiziert ausdrücklich, dass die erste Phase jedes Konflikts nicht kinetisch (Panzer und Raketen) sein wird, sondern hybrid. Dies weist auf eine Mischung aus Cyberangriffen, Desinformation und gezielter Sabotage der zivilen Infrastruktur hin.

Was KRITIS-Betreiber beachten sollten

Die "Grauzone" der hybriden Kriegsführung ist bereits aktiv. Laut deutschen Militärstrategen müssen Betreiber besonders aufmerksam auf drei spezifische Bedrohungsvektoren achten:

• "Blind Spot"-Sabotage: Die moderne Verteidigung ist auf die nahtlose Bewegung schwerer Panzer angewiesen. Die Sabotage unüberwachter Weichen, Signalsysteme oder digitaler Zwillinge von Autobahnnetzen könnte Truppenbewegungen bereits vor dem Erreichen der EU-Grenze in Polen oder den baltischen Ländern lähmen.

• Duale Nutzungsstörungen: Militärische Logistik ist stark auf zivile Anbieter angewiesen. Ein Angriff auf einen "zivilen" Energieversorger in einer Hafenstadt wie Bremerhaven oder Hamburg wird in den Augen des OPLAN DEU als Angriff auf die Einsatzfähigkeit der NATO gesehen. Steigende Angriffe auf Fluggesellschaften, Kohlekomplexe und Öl- und Gasanlagen deuten darauf hin, dass solche Angriffe bereits im Gange sind, was bedeutet, dass die Cyber-Front bereits aktiviert wurde und der Gegner die erweiterte Bedrohungsfläche, die in der Infrastruktur ziviler Anbieter besteht, ausnutzt.

• "Schläfer"-Angriffe auf die Lieferkette: Planer sind zunehmend besorgt über kompromittierte Hardware oder Software innerhalb der 80 % der kritischen Infrastruktur, die sich in privater Hand befindet. Diese könnten in der Mobilisierungsphase als "Killswitches" aktiviert werden. Die Vergiftung der Lieferkette wird 2026 eine große Herausforderung sein.

Analyse: Die "gesamtgesellschaftliche" Verpflichtung

Der aufschlussreichste Aspekt des neuen Verteidigungsplans ist die Verwischung der Grenze zwischen ziviler und militärischer Verantwortung. Unter OPLAN DEU wird die Verteidigung nicht mehr an die Bundeswehr "ausgelagert".

Der Plan geht davon aus, dass das Militär im Krisenfall Kommando und Schutz bietet, aber der Privatsektor die tatsächliche (Unterstützungs-)Muskelkraft zur Verfügung stellt, die Logistik, Bauwesen und medizinische Dienste umfasst. Dies erfordert ein Maß an Datenaustausch zwischen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) und privaten Betreibern, das historisch durch deutsche Datenschutzgesetze und Bürokratie behindert wurde.

Fahrplan: Abstimmung mit dem Cyberabwehrplan

Für Betreiber, die sich mit dieser neuen Realität und den daraus resultierenden Verpflichtungen abstimmen möchten, präsentieren wir hiermit einen Fahrplan, der auf drei Säulen basiert: Compliance, Konnektivität und Kompetenz.

Schritt 1: Juristische Compliance (NIS-2 & KRITIS-DachG)

Der rechtliche Rahmen holt die militärische Realität ein. Bis Ende 2025 müssen Betreiber die vollständige Einhaltung sicherstellen:

• NIS-2-Richtlinie: Obligatorische Implementierung modernster Angriffserkennungssysteme.

• KRITIS-Dachgesetz: Ein neues "Dachgesetz", das physische Sicherheitsmaßnahmen neben digitalen vorschreibt.

Schritt 2: Ressourcenbewertung

Unternehmen müssen „wichtige Mitarbeiter“ und Reservisten in ihren Reihen identifizieren. Der OPLAN schlägt vor, dass Unternehmen genau wissen müssen, wie viele ihrer Mitarbeiter Teil der Militärreserve sind, um einen plötzlichen Verlust an Fachwissen während der Mobilisierung zu vermeiden.

Schritt 3: Integration der „Angriffserkennung“

In der Friedenszeit geht es bei der Cybersicherheit oft um Datenschutz; in der Kriegszeit geht es um die Gewährleistung der Verfügbarkeit. Betreiber müssen ihren Fokus auf Systeme verlagern, die in der Lage sind, Anomalien in Echtzeit zu erkennen und sicherzustellen, dass lebenswichtige Dienste auch bei einem anhaltenden Distributed Denial of Service (DDoS) oder Wiper-Malware-Angriff betriebsbereit bleiben.

Schritt 4: Sektorspezifische Übungen

Treten Sie UP KRITIS (der öffentlich-privaten Partnerschaft für Infrastruktur-Schutz) bei. Die Teilnahme an sektorenübergreifenden Übungen wie „Red Storm Bravo“ ist für große Akteure nicht mehr optional. Es ist der einzige Weg, die "Drehscheibe" zu testen, bevor sie im Krisenfall wirklich benötigt wird.

Ab dem 6. Dezember 2025 ist das deutsche NIS-2-Umsetzungsgesetz offiziell in Kraft, und das KRITIS-Dachgesetz befindet sich in der abschließenden Umsetzungsphase. Für Betreiber kritischer Infrastrukturen ist Compliance kein zukünftiges Projekt mehr – es ist eine aktuelle gesetzliche Anforderung mit erheblichen persönlichen Haftungsrisiken für das Management.

Diese umfassende Checkliste stimmt Ihre Operationen sowohl mit den regulatorischen Anforderungen als auch mit den strategischen Bedürfnissen des Operationsplans für Deutschland (OPLAN) ab.

Säule 1: Governance und persönliche Haftung

Nach dem neuen Paragraphen 38 des BSIG (BSI-Gesetz) ist Cybersicherheit jetzt eine nicht-delegierbare Vorstandsverantwortung.

• [ ] Vorstandsschulung: Stellen Sie sicher, dass alle Geschäftsführer und Vorstandsmitglieder die obligatorische Cybersicherheitsschulung abgeschlossen haben (erforderlich alle 3 Jahre).

• [ ] Implementierungsüberwachung: Formulieren Sie einen Prozess, bei dem der Vorstand alle Maßnahmen zur Cybersicherheitsrisikominderung "billigt und überwacht". Nachweis aktiver Aufsicht ist erforderlich, um persönliche Haftung zu mindern.

• [ ] Haftungsprüfung: Aktualisieren Sie die D&O (Directors and Officers) Versicherung, um die spezifischen persönlichen Haftungsrisiken, die durch NIS-2 für Pflichtverletzungen eingeführt werden, widerzuspiegeln.

• [ ] Budgetzuweisung: Überprüfen Sie, dass die Budgets für Cybersicherheit und physische Resilienz "verhältnismäßig" zum Risiko sind – Unterfinanzierung ist jetzt ein Compliance-Warnzeichen.

Säule 2: Risikomanagement der Cybersicherheit (NIS-2)

Diese Maßnahmen konzentrieren sich auf die digitalen „Drehkreuz“-Funktionen, die im nationalen Verteidigungsplan identifiziert wurden.

• [ ] Bestandsverzeichnis von Vermögenswerten und Lieferketten: Dokumentieren Sie alle "kritischen Komponenten". Sie müssen jetzt Risiken nicht nur für Ihr Unternehmen, sondern für Ihr gesamtes Tier-1-Lieferantennetzwerk managen.

• [ ] Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA oder kontinuierliche Authentifizierung über alle administrativen und Remote-Zugangspunkte hinweg.

• [ ] Kryptographie-Richtlinie: Setzen Sie auf erstklassige Verschlüsselung für ruhende Daten und während der Übertragung, insbesondere für Kommunikation bezüglich Logistik und Energieverteilung.

• [ ] Angriffserkennungssysteme: Stellen Sie sicher, dass eine aktive "Einbruchserkennung" rund um die Uhr in Betrieb ist. Protokolle in Friedenszeiten sind unzureichend; Sie benötigen eine Echtzeit-Anomalieerkennung.

• [ ] Kontinuität des Geschäftsbetriebs (BCM): Testen Sie Ihren "Offline-Modus". Kann Ihre Infrastruktur funktionieren, wenn das öffentliche Internet oder spezifische Cloud-Dienstanbieter ausfallen?

Säule 3: Physische und operative Resilienz (KRITIS-DachG)

Während NIS-2 die "Bits" behandelt, kümmert sich das KRITIS-Dachgesetz um die "Steine".

• [ ] Einrichtungsregistrierung: Registrieren Sie alle "kritischen Einrichtungen" innerhalb von 3 Monaten nach Erreichen des Geltungsbereichs beim BBK (Bundesamt für Bevölkerungsschutz).

• [ ] Physische Risikoanalyse: Führen Sie eine umfassende Bewertung aller „Gefahren“ durch, einschließlich Klimarisiken (Überschwemmungen/Stürme) und durch Menschen verursachte Bedrohungen (Sabotage/Terrorismus).

• [ ] Zugangskontrolle: Überprüfen Sie physische Perimeter. Für OPLAN DEU-Logistikknotenpunkte umfasst dies Drohnenabwehr und verstärkte Zugangspunkte für empfindliche Signale oder Schaltanlagen.

• [ ] Personalscreening: Führen Sie erweiterte Hintergrundüberprüfungen für Mitarbeiter durch, die Zugang zu kritischen Leitsystemen (OT) haben.

Säule 4: Berichts- und Compliance-Zeitpläne

Deutschland hat ein strenges, mehrstufiges Berichtsschema angenommen.

 Abschreckung durch Resilienz

Das ultimative Ziel des OPLAN DEU ist die Abschreckung. Durch die Härtung kritischer Infrastrukturen signalisiert Deutschland seinen Gegnern, dass ein hybrider Angriff nicht die gewünschte Lähmung oder Störung bewirken wird. Für den KRITIS-Betreiber ist Cybersicherheit nicht mehr nur ein Kostenfaktor, sondern ein zentraler Bestandteil der nationalen Souveränität.

Mehr über unsere NIS2-Compliance-Dienstleistungen.

Erfahren Sie ein wenig mehr über die Incident-Response-Dienstleistungen von Shieldworkz

Sprechen Sie mit einem Urlaubssicherheitsexperten (ja, wir haben einen dedizierten Sicherheitsprofi, der mehr darüber weiß, Ihre Sicherheitsmaßnahmen in mageren Zeiten abzustimmen).

Testen Sie unsere OT-Sicherheitsplattform hier.