Betriebsstillstand in kritischen Infrastrukturen: Was Leitstellen-Betreiber wissen müssen
Wenn der Server einer Feuerwehrleitstelle ausfällt, werden keine Einsatzkräfte mehr disponiert. Wenn die IT eines Energieversorgers stillsteht, wird kein Netzfehler mehr erkannt. Wenn die Kommunikation einer Rettungsleitstelle abbricht, kommen Notrufe nicht mehr durch.
Betriebsstillstand in kritischen Infrastrukturen ist kein wirtschaftliches Problem — es ist ein Sicherheitsproblem. Dieser Artikel beleuchtet die Ursachen, zeigt ein konkretes Referenzprojekt und liefert eine Checkliste für KRITIS-Betreiber.
Die sechs häufigsten Ausfallursachen
Die digitale Transformation bringt für Leitstellen enorme Vorteile: bessere Vernetzung, schnellere Reaktionszeiten, effizientere Disposition. Aber sie bringt auch neue Abhängigkeiten. Jedes System, das digital arbeitet, kann digital ausfallen.
| Ursache | Häufigkeit | Beschreibung |
|---|---|---|
| Hardware-Defekte | Häufigste Ursache | Festplatten, Netzteile, Mainboards — mechanische Komponenten mit begrenzter Lebensdauer |
| Software-Fehler | Häufig | Betriebssystem-Updates, Treiber-Konflikte, Speicherlecks in Dauerbetrieb-Anwendungen |
| Cyberangriffe | Zunehmend | Ransomware, DDoS, gezielte Angriffe auf KRITIS-Betreiber |
| Netzwerkausfälle | Häufig | ISP-Störungen, Kabelschäden, Router-Ausfälle |
| Menschliche Fehler | Unterschätzt | Fehlkonfiguration, versehentliches Löschen, fehlerhafte Updates |
| Standortrisiken | Selten, aber gravierend | Brand, Hochwasser, Stromausfall, Bauarbeiten |
Kategorisierung basierend auf Diventus-Projekterfahrung. Keine repräsentative Statistik.
Praxis: Feuerwehrleitstelle mit Zwei-Standorte-Redundanz
Für eine Feuerwehrleitstelle hat Diventus eine Infrastruktur realisiert, die auf zwei geographisch getrennten Standorten basiert. Beide Standorte sind vollständig ausgestattet und arbeiten im Normalbetrieb parallel. Bei Ausfall eines Standorts übernimmt der andere automatisch die gesamte Last — ohne Unterbrechung des Leitstellenbetriebs.
Technische Umsetzung
- •Stratus everRun mit SplitSite für synchrone Server-Replikation
- •Redundante Netzwerkanbindung über zwei unabhängige Provider
- •Diventus DCM für 24/7-Monitoring beider Standorte
- •Automatischer Failover: Umschaltzeit 0 Sekunden (Lock-Step)
- •Geplante Wartung ohne Betriebsunterbrechung möglich
Das Ergebnis: Der Leitstellenbetrieb ist gegen Hardware-Ausfälle, Netzwerk-Störungen und Standortrisiken abgesichert. Selbst bei Totalausfall eines Standorts läuft die Einsatzdisposition unterbrechungsfrei weiter. Die technischen Details zur Norm, die dieser Architektur zugrunde liegt, beschreiben wir im Artikel Leitstellen und die Norm EN 50518 →
Was bei KRITIS anders ist
Betriebsstillstand in einem normalen Unternehmen kostet Geld. Betriebsstillstand in einer kritischen Infrastruktur kann Menschenleben kosten. Dieser Unterschied verändert die Anforderungen grundlegend:
- •RTO (Recovery Time Objective) nahe Null: Nicht Stunden, nicht Minuten — Sekunden. In einer Leitstelle darf die Einsatzdisposition nicht unterbrochen werden.
- •RPO (Recovery Point Objective) bei Null: Kein Datenverlust akzeptabel. Ein verlorener Notruf kann nicht wiederholt werden.
- •24/7/365 Betrieb: Keine Wartungsfenster. Leitstellen kennen keinen Feierabend.
- •Regulatorischer Druck: EN 50518, NIS2, KRITIS-Verordnung — die Anforderungen sind nicht optional, sondern gesetzliche Pflicht.
Standard-HA-Cluster mit Failover-Zeiten von 30 Sekunden bis mehreren Minuten reichen für diese Anforderungen nicht aus. KRITIS-Betreiber benötigen fehlertolerante Systeme, die bei Hardwareausfall unterbrechungsfrei weiterarbeiten. Technischer Vergleich FT vs. HA →
Checkliste: Ausfallsicherheit für KRITIS-Betreiber
Die folgende Checkliste fasst die wesentlichen Maßnahmen zusammen, die KRITIS-Betreiber — insbesondere Leitstellen — umsetzen sollten. Sie basiert auf den Anforderungen der EN 50518, NIS2 und unserer Projekterfahrung.
Redundanz auf Server-Ebene
Geschäftskritische Systeme auf fehlertoleranter oder hochverfügbarer Hardware betreiben. Einzelne Server ohne Redundanz sind in KRITIS-Umgebungen nicht akzeptabel.
Redundante Internetanbindung
Mindestens zwei unabhängige Provider mit automatischer Umschaltung. Ein einzelner ISP ist ein Single Point of Failure.
24/7-Monitoring mit Alarmierung
Proaktive Überwachung aller kritischen Komponenten. Degradierungen erkennen, bevor sie zum Ausfall werden. Alarmierung per SMS/E-Mail/Ticket.
Disaster-Recovery-Plan
Dokumentierter Plan für Totalausfall eines Standorts. Definierte RTO (Recovery Time Objective) und RPO (Recovery Point Objective). Verantwortlichkeiten zugewiesen.
NIS2-Compliance dokumentiert
Risikoanalyse, Incident-Response-Plan, Business-Continuity-Konzept — seit Dezember 2025 gesetzliche Pflicht. BSI-Registrierung bis März 2026.
Regelmäßige Failover-Tests
Redundanz, die nicht getestet wird, ist keine Redundanz. Mindestens halbjährlich: geplanter Failover-Test mit dokumentiertem Ergebnis.
Dokumentation und Schulung
Aktuelle Netzwerkpläne, Wiederanlaufverfahren, Kontaktlisten. Personal geschult in Notfallprozeduren — nicht nur IT, auch Leitstellenpersonal.
NIS2: Die rechtliche Dimension
Seit Dezember 2025 verschärft NIS2 die Anforderungen an KRITIS-Betreiber. [Quelle: BSI Pressemitteilung 05.12.2025] Wer die Verfügbarkeit seiner Systeme nicht nachweisen kann, riskiert Bußgelder bis 10 Mio. EUR und persönliche Haftung der Geschäftsführung. [Quelle: OpenKRITIS]
Für Leitstellen-Betreiber ist NIS2 keine abstrakte Regulierung, sondern eine Bestätigung dessen, was technisch ohnehin erforderlich ist: Redundanz, Monitoring, dokumentierte Prozesse, getestete Wiederanlaufpläne.
Der Unterschied: Was vorher Best Practice war, ist jetzt gesetzliche Pflicht mit Bußgeldandrohung. Vollständiger NIS2-Artikel mit Checkliste und Fristen →
KRITIS-Beratung anfragen
Wie gut ist Ihre kritische Infrastruktur gegen Betriebsstillstand abgesichert? In einer kostenlosen Analyse bewerten wir Redundanz, Monitoring und Compliance — und zeigen konkrete Handlungsempfehlungen.
+49 30 802020990