TÜV: Verbindliche Standards für sicherheitskritische Systeme
In einem aktuellen Positionspapier fordert der TÜV-Verband, die Resilienz ziviler, technischer und wirtschaftlicher Infrastrukturen in Deutschland zu verbessern. Unter anderem sollten Mindestanforderungen für Notbetrieb, Redundanz und Ersatzversorgung kritischer Systeme festgelegt und deren Einhaltung unabhängig überprüft werden.
„Im Krisenfall müssen sicherheitskritische Bereiche wie die Energieversorgung, wichtige Gesundheitseinrichtungen, Verkehrswege und digitale Infrastrukturen wie Rechenzentren und Datennetze funktionsfähig bleiben“, sagt Juliane Petrich, Referentin für Politik und Nachhaltigkeit beim TÜV-Verband. „Resilienz entscheidet darüber, ob die Bevölkerung im Ernstfall sicher ist, Unternehmen weiter funktionieren und staatliche Institutionen handlungsfähig bleiben.“
Sie umfasse die Fähigkeit, Risiken frühzeitig zu erkennen, den Betrieb unter Krisenbedingungen aufrechtzuerhalten und Systeme nach Ausfällen geordnet wiederherzustellen. Der TÜV-Verband fordert deshalb verbindliche Standards für kritische Funktionen, regelmäßige Belastungs- und Krisentests sowie die systematische Einbindung unabhängiger Prüfungen in die Sicherheitsvorsorge.
Neben dem akuten Stromausfall in Berlin am Jahresanfang zeigen aktuelle Daten den Handlungsdruck. Das Bundeskriminalamt registrierte im Jahr 2025 in Deutschland 321 Sabotageverdachtsfälle auf Kritische Infrastrukturen und fast 1.300 verdächtige Drohnenüberflüge. Laut „TÜV-Baurechtsreport 2026“ weist gut jede dritte Brandschutzanlage in Sonderbauten wie Kliniken, Hochhäusern oder Einkaufszentren erhebliche Mängel auf.
In der TÜV Cybersecurity-Studie geben 15 Prozent der Unternehmen an, im Jahr vor der Befragung Opfer eines Cyberangriffs geworden zu sein. Diese gehen zunehmend von staatlichen Akteuren aus. Aus Sicht des TÜV-Verbands stellt vor allem das Zusammenwachsen von physischen und digitalen Systemen eine besondere Herausforderung für die Sicherheit dar.
„Gebäudetechnik, Energienetze, industrielle Anlagen oder medizinische Geräte sind gleichzeitig physische und digitale Systeme“, sagt Marc Fliehe, Cybersecurity-Experte beim TÜV-Verband. „Besondere Risiken entstehen an den Schnittstellen zwischen analogen und digitalen Komponenten.“ Der Schutz vor Cyberangriffen müsse daher über die digitale Welt hinaus verstärkt werden.
Die Empfehlungen des TÜV-Verbands im Überblick:
- Rahmenbedingungen schaffen: Deutschland braucht einen sektorübergreifenden Ordnungsrahmen mit klaren Anforderungen an Notbetrieb, Wiederanlauf, Redundanzen, Ersatzversorgung und Wiederherstellung kritischer Funktionen. Zuständigkeiten, Prioritäten und Eskalationswege sollen eindeutig geregelt werden.
- Unabhängige Prüfungen integrieren: Unabhängige Prüfungen sind ein zentrales Instrument zur Früherkennung von Risiken und Schwachstellen. Prüfergebnisse sollten systematisch für Risikobewertung, Aufsicht und Mängelbeseitigung genutzt werden. Mängel müssen verbindlich und fristgerecht behoben werden.
- Physische und digitale Sicherheit verbinden: Physische und digitale Sicherheit müssen künftig gemeinsam betrachtet werden. Neben „Security-by-Design“ müssen künftig auch „Resilience-by-Design“ gelten, damit Systeme auch bei Angriffen oder Ausfällen unter erschwerten Bedingungen funktionsfähig bleiben.
- Qualifizierung und Personalverfügbarkeit ausbauen: Resilienz hängt wesentlich von qualifiziertem Personal und eingeübten Prozessen ab. Regelmäßige Lasttests, Planspiele, Wiederanlaufübungen und sektorübergreifende Krisenszenarien sollen verpflichtender Bestandteil von Resilienz-Strategien werden.
Das Positionspapier „Resilienz stärken. Sicherheit gewährleisten. Beitrag unabhängiger Prüfungen zu kritischen Funktionen und Gesamtverteidigung“ steht auf der Website des TÜV-Verbands zum Download bereit.
