Wenn die Technik hält, aber niemand es sagt: Krisenkommunikation als Lücke im Infrastrukturschutz
Deutschland rüstet seine kritische Infrastruktur mit NIS2 und KRITIS-Dachgesetz auf. Ein Baustein bleibt dabei oft unterbelichtet: die Frage, wer im Ernstfall verlässlich informiert. Eine Einordnung.
Deutschland hat in kurzer Zeit ein dichtes Regelwerk für den Schutz seiner lebenswichtigen Systeme geschaffen. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz, das die Zahl der zur Cybersicherheit verpflichteten Einrichtungen von rund 4.500 auf etwa 30.000 anhebt. Wenige Monate später, am 17. März 2026, trat das KRITIS-Dachgesetz in Kraft, das erstmals bundeseinheitliche Pflichten für die physische Widerstandsfähigkeit gegen Sabotage, Naturgefahren und hybride Bedrohungen festschreibt. Milliarden fließen in Firewalls, Notstrom und bauliche Härtung. Ein Element bleibt in dieser Aufrüstung jedoch auffällig unterbelichtet: die Frage, wie im Ernstfall eigentlich kommuniziert wird.
Der unterschätzte Teil der Resilienz
Kritische Infrastruktur meint Strom, Wasser, Verkehr, Gesundheit, Telekommunikation – Systeme, deren Ausfall unmittelbar Menschen trifft. Fällt ein solches System aus, entscheidet nicht allein die technische Wiederherstellung über den Schaden, sondern auch, ob Betroffene, Behörden und Einsatzkräfte rechtzeitig verlässliche Informationen erhalten. Genau hier verorten Fachleute aus dem Bereich Sicherheitskommunikation eine Schwachstelle: Notfallpläne beschreiben oft minutiös, wer welche Leitung wieder hochfährt, aber nur vage, wer wann was an wen meldet. Laut Einschätzung entsprechender Dienstleister ist die Krisenkommunikation in vielen Organisationen ein nachgeordneter Anhang statt ein geübter Prozess – eine Behauptung, die im Interesse der Anbieter liegt, sich mit den Erfahrungen vergangener Großstörungen aber durchaus deckt.
Warum ausgerechnet die Kommunikation kippt
Das Tückische am Ernstfall ist, dass er die Kommunikationswege selbst beschädigt. Bei einem Stromausfall versagen Telefonanlagen, bei einem Cyberangriff sind womöglich gerade die E-Mail-Server kompromittiert, über die sonst Warnungen liefen. Wer sich darauf verlässt, im entscheidenden Moment eine Nachricht tippen zu können, hat die Lage bereits verloren. Belastbare Krisenkommunikation braucht deshalb Redundanz: alternative Kanäle, vorbereitete Textbausteine, klar benannte Sprecher und definierte Entscheidungswege, die auch dann greifen, wenn die üblichen Systeme dunkel sind. Hinzu kommt die menschliche Seite. In einer unübersichtlichen Lage entsteht ein Vakuum, das sich mit Gerüchten füllt, wenn offizielle Stellen schweigen. Frühe, ehrliche Information – auch das Eingeständnis, etwas noch nicht zu wissen – gilt in der Fachliteratur als wirksamer als das Warten auf die perfekte Lagemeldung.
Regulierung ohne Betriebsanleitung
Die neuen Gesetze verlangen von Betreibern, Vorfälle zu melden und Risiken zu managen, schreiben aber keine fertige Kommunikationsstrategie vor. Das ist nachvollziehbar, weil sich ein Wasserwerk anders aufstellen muss als ein Rechenzentrum. Es verschiebt die eigentliche Arbeit jedoch in die Verantwortung der einzelnen Organisation – und damit dorthin, wo Budgets für IT-Technik meist leichter zu bekommen sind als für Kommunikationsübungen. Der Effekt: Formal erfüllte Meldepflichten können über eine praktisch ungeübte Krisenkommunikation hinwegtäuschen.
Was sich daraus ziehen lässt
Für Betreiber, Kommunen und Behörden liegt der Schluss weniger in neuer Technik als in geübter Routine. Krisenkommunikation lässt sich planen, dokumentieren und im Trockenlauf testen, lange bevor der Ernstfall sie erzwingt. Wer Zuständigkeiten vorab klärt, Kanäle absichert und den Umgang mit unfertigen Informationen einübt, verwandelt einen Reflex in einen Prozess. Dass ein regulatorischer Rahmen allein diese Reife nicht erzeugt, ist keine Schwäche der Gesetze, sondern eine Aufgabe, die bei den Organisationen selbst bleibt. Der teuerste Notfallplan nützt wenig, wenn im entscheidenden Moment niemand weiß, wer das Wort ergreift.
Dieser Beitrag ist eine redaktionelle Einordnung eines aktuellen Themas und keine Rechtsberatung. Angaben zu Gesetzeslagen und Fristen können sich ändern; Aussagen einzelner Dienstleister wurden als Einschätzung gekennzeichnet und nicht unabhängig überprüft.
- Der blinde Fleck der Krisenvorsorge: Warum Kommunikation im Ernstfall über die Resilienz entscheidet
- KI sortiert die Bewerber vor – und 2026 schaut der Gesetzgeber genauer hin
- Notfallplan auf dem Papier, Lücken in der Praxis: Warum DORA die Banken-IT unter Druck setzt
- Prüfbericht statt Screenshot: Ein Jahr BFSG – und die Abmahnungen werden professioneller
- Schrems III in Sichtweite? Was das US-Urteil zur FTC für Europas Datentransfers bedeutet
- Löten statt entsorgen: Repair-Cafés boomen – und Ende Juli greift das Recht auf Reparatur