Über den Autor
Günther Pfeifer
IHK-zertifizierte Fachkraft für Gewaltprävention mit über 25 Jahren Erfahrung in Risiko-Bereichen. Entwickler der Gladiator Mind-Methodik, die stoische Philosophie mit moderner Neurowissenschaft verbindet. Spezialisiert auf Behörden, KRITIS, Jobcenter, Kliniken, Rettungsdienst, ÖPNV, Einzelhandel und Flughäfen.
Ich bin Praktiker, kein Forscher. Meine Aufgabe ist es, wissenschaftliche Erkenntnisse in tragfähige Konzepte für reale Einsatzsituationen zu übersetzen – als Architekt, der die richtigen Fachleute zusammenbringt. Wo mein Wissen endet, beginnt mein Netzwerk.
Meine Arbeit basiert auf der Überzeugung, dass der Mensch im Mittelpunkt jeder wirksamen Gewaltprävention stehen muss. Nur wer seine eigene Stressphysiologie versteht und seinem Bauchgefühl vertraut, kann unter Druck souverän bleiben, deeskalierend auftreten und sich flexibel an die Dynamik der Situation anpassen, wenn Standardroutinen nicht mehr greifen.
KRITIS-Dachgesetz 2026: Physische Resilienz, KI und der Faktor Mensch
Wie organisatorische Maßnahmen, Arbeitsschutzgesetz und physische Resilienz zusammenspielen
Die BSI-KritisV § 10 verpflichtet Betreiber kritischer Infrastrukturen zu „organisatorischen und personellen Maßnahmen zur Vermeidung von Störungen“. In der Praxis wird das meist auf IT-Sicherheit reduziert: Firewall, Verschlüsselung, Notfallpläne bei Cyberangriffen. Doch: Gewaltprävention und Selbstschutz für Mitarbeitende in KRITIS-Einrichtungen – Krankenhäuser, Rathäuser, ÖPNV, Müllabfuhr – sind ebenso kritische organisatorische Maßnahmen. Denn: Wenn Pflegekräfte, Busfahrer oder Verwaltungsmitarbeitende nach Übergriffen ausfallen, ist das eine Störung der Betriebskontinuität. Das KRITIS-Dachgesetz 2026 schließt diese Lücke mit dem Konzept der „physischen Resilienz„ – und das Arbeitsschutzgesetz (§ 5 & § 12 ArbSchG) macht Gefährdungsbeurteilung und Unterweisung in Gewaltprävention und Selbstschutz zur Rechtspflicht.
1. Was regelt BSI-KritisV § 10?
Die BSI-Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) § 10 lautet im Wortlaut:
„Betreiber Kritischer Infrastrukturen haben angemessene organisatorische und personelle Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu ergreifen.“
Was bedeutet das in der Praxis?
In der Umsetzung von BSI-KritisV § 10 fokussiert sich die Branche überwiegend auf IT-Sicherheit:
- Technische Maßnahmen: Firewall, Verschlüsselung, Intrusion Detection Systeme (IDS), Backup-Strategien
- Organisatorische Maßnahmen: Notfallpläne bei Cyberangriffen, Zugriffskontrollen (Least Privilege), Patch-Management
- Personelle Maßnahmen: Schulungen zu IT-Sicherheitsbewusstsein, Phishing-Erkennung, Passwort-Hygiene
Das ist richtig und wichtig – IT-Sicherheit ist ein zentraler Pfeiler der KRITIS-Sicherheit. Doch: „Personelle Maßnahmen“ bedeuten mehr als nur IT-Schulungen. Wenn Mitarbeitende in kritischen Infrastrukturen nach körperlichen Übergriffen ausfallen oder aus Angst kündigen, ist das ebenso eine „Störung der Verfügbarkeit“ – und damit genau das, was § 10 BSI-KritisV verhindern soll.
💡 Warum Gewaltprävention & Selbstschutz unter § 10 BSI-KritisV fallen:
§ 10 BSI-KritisV fordert Maßnahmen „zur Vermeidung von Störungen der Verfügbarkeit„. Eine Störung liegt vor, wenn kritische Funktionen nicht mehr erfüllt werden können. Das umfasst:
- IT-Ausfall: Server down → Krankenhaus-Systeme funktionieren nicht → Patientenversorgung gefährdet
- Personalausfall: Pflegekräfte nach Übergriffen krankgeschrieben → Notaufnahme unterbesetzt → Patientenversorgung gefährdet
Ergebnis: Beide Szenarien führen zur gleichen Störung. Deshalb sind Gewaltprävention und Selbstschutz „personelle Maßnahmen“ im Sinne von § 10 BSI-KritisV – ergänzt durch die Rechtspflichten aus § 5 & § 12 ArbSchG (Gefährdungsbeurteilung, Unterweisung).
2. Die unterschätzte Lücke: Gewaltprävention & Selbstschutz als personelle Maßnahmen
IT-Sicherheit vs. Personelle Sicherheit – ein Vergleich
Die meisten KRITIS-Betreiber haben IT-Sicherheit professionell im Griff. Doch beim Thema Gewaltprävention und Selbstschutz für Mitarbeitende klafft oft eine Lücke. Der folgende Vergleich zeigt, warum beides zusammengehört:
| IT-Sicherheit (etabliert) | Personelle Sicherheit (Lücke!) |
|---|---|
| Firewall schützt IT-Systeme vor Angriffen | Gewaltprävention schützt Mitarbeitende vor Übergriffen |
| Notfallplan bei Cyberangriff (wer macht was?) | Notfallplan bei körperlichem Angriff (wer alarmiert wen?) |
| Schulung: Phishing-Mails erkennen | Schulung: Eskalationssignale erkennen, Deeskalation, Selbstschutz |
| Dokumentation: Penetrationstests, Sicherheitsaudits | Dokumentation: Gefährdungsbeurteilung § 5 ArbSchG, Schulungsnachweise |
| Störung: Server-Ausfall, Datenverlust | Störung: Mitarbeitende fallen aus (Krankheit, Kündigung nach Übergriff) |
| Investition: 2-5% des IT-Budgets | Investition: 0,3-0,8% der Personalkosten (ca. 150-300€/MA/Jahr) |
| Ziel: IT-Systeme verfügbar halten | Ziel: Personal verfügbar und handlungsfähig halten |
⚠️ Die Realität in KRITIS-Einrichtungen:
- Krankenhäuser: 66% der Pflegekräfte und Ärzte berichten von steigenden Übergriffen (Quelle: Deutsche Krankenhausgesellschaft)
- Öffentliche Verwaltung: Jede/r vierte Beschäftigte erlebt Gewalt – häufig an Bürgerämtern, Sozialämtern, Jobcentern (Quelle: DGUV)
- ÖPNV: Busfahrer, Kontrolleure, Bahnpersonal – tägliche Beleidigungen, Bedrohungen, körperliche Angriffe
- Müllabfuhr: 95% verbale Übergriffe, 40% Bedrohungen, 15% körperliche Gewalt (Quelle: DGUV Information 207-019)
- International: US-Gesundheitswesen meldet 75% Anstieg von Übergriffen auf medizinisches Personal seit 2020 (Quelle: OSHA Healthcare Violence Prevention)
Konsequenz: Wenn Mitarbeitende nach Übergriffen ausfallen oder kündigen, ist das eine ebenso kritische Störung wie ein Cyberangriff – nur dass sie nicht in der klassischen Interpretation von § 10 BSI-KritisV steht. Das KRITIS-Dachgesetz 2026 schließt diese Lücke mit dem Konzept der „physischen Resilienz“.
3. Arbeitsschutz als Rechtspflicht: § 5 & § 12 ArbSchG
Während § 10 BSI-KritisV die KRITIS-spezifische Pflicht regelt, liefert das Arbeitsschutzgesetz (ArbSchG) die allgemeine Rechtsgrundlage für Gewaltprävention und Selbstschutz – und zwar für ALLE Arbeitgeber, nicht nur KRITIS-Betreiber.
§ 5 ArbSchG: Gefährdungsbeurteilung
„Der Arbeitgeber hat durch eine Beurteilung der für die Beschäftigten mit ihrer Arbeit verbundenen Gefährdung zu ermitteln, welche Maßnahmen des Arbeitsschutzes erforderlich sind.“
Konkret bedeutet das für KRITIS-Betreiber:
- ✅ Analyse: Welche Mitarbeitenden sind Gewaltrisiken ausgesetzt? (Notaufnahme, Bürgeramt, ÖPNV-Kontrolleure, Müllabfuhr, Flughafen-Check-in)
- ✅ Bewertung: Wie hoch ist das Risiko? (Häufigkeit dokumentierter Vorfälle, Schwere der Übergriffe)
- ✅ Maßnahmen: Welche Schutzkonzepte greifen? (Deeskalationstraining, Selbstschutz-Grundlagen, technische Absicherung wie Panikbutton, Dashcams)
- ✅ Dokumentation: Schriftlich festhalten (Betriebsanweisung, Schulungsnachweise, Vorfallsberichte)
Mehr Details: Arbeitsschutz & Gewaltprävention: Rechtliche Grundlagen
§ 12 ArbSchG: Unterweisung
„Der Arbeitgeber hat die Beschäftigten über Sicherheit und Gesundheitsschutz bei der Arbeit […] ausreichend und angemessen zu unterweisen. Die Unterweisung muss […] bei Bedarf wiederholt werden, mindestens jedoch einmal jährlich erfolgen.“
Konkret bedeutet das für Gewaltprävention & Selbstschutz in KRITIS:
- ✅ Jährliche Schulung: Deeskalationstechniken (verbale Strategien, Körpersprache, Distanzmanagement), Selbstschutz-Grundlagen (stressresistente Bewegungsmuster), Notfallpläne (wer alarmiert wen?)
- ✅ Anlassbezogen: Nach kritischen Vorfällen (Nachschulung, Vorfallsanalyse, Teamgespräch)
- ✅ Praxisnah: Nicht „Theorie-Vortrag“, sondern realitätsnahe Szenarien (Rollenspiele, Stress-Simulationen, branchenspezifische Eskalationssituationen)
- ✅ Dokumentiert: Teilnahmenachweis mit Unterschrift, Schulungsinhalte, Datum, Dauer (für Aufsichtsbehörden wie Gewerbeaufsicht, Berufsgenossenschaften)
💡 Praxis-Tipp für KRITIS-Betreiber:
Dokumentieren Sie Gewaltpräventionsmaßnahmen (Gefährdungsbeurteilung § 5 ArbSchG, Schulungen § 12 ArbSchG) gemeinsam mit Ihren IT-Sicherheitsmaßnahmen (§ 10 BSI-KritisV). Erstellen Sie ein „Integriertes Sicherheitskonzept“ mit zwei Säulen: (1) Technische/IT-Sicherheit, (2) Personelle Sicherheit (Gewaltprävention & Selbstschutz). So zeigen Sie Aufsichtsbehörden, dass Sie ganzheitlich denken – und erfüllen sowohl BSI-KritisV als auch ArbSchG.
Zusammenspiel: BSI-KritisV § 10 + ArbSchG § 5 & § 12
| Gesetzesgrundlage | Was sie regelt | Konsequenz für KRITIS |
|---|---|---|
| BSI-KritisV § 10 | Organisatorische & personelle Maßnahmen zur Störungsvermeidung in IT-Systemen | Gewaltprävention & Selbstschutz = organisatorische Maßnahme (Personal = System) |
| ArbSchG § 5 | Gefährdungsbeurteilung für alle Arbeitsrisiken (auch psychosoziale Belastungen) | Gewalt durch betriebsfremde Personen muss bewertet und dokumentiert werden |
| ArbSchG § 12 | Jährliche Unterweisung in Arbeitsschutz | Selbstschutz-Schulung (Deeskalation, Notwehr, Resilienz) ist Pflicht |
4. KRITIS-Dachgesetz 2026: Physische Resilienz wird Pflicht
Das KRITIS-Dachgesetz 2026 erweitert § 10 BSI-KritisV um die physische Dimension: Nicht nur IT-Systeme müssen geschützt werden, sondern auch die Menschen, die diese Systeme betreiben.
Was ist physische Resilienz?
Physische Resilienz bedeutet: Mitarbeitende in KRITIS-Einrichtungen bleiben auch unter Druck handlungsfähig. Das umfasst vier Säulen:
- Gewaltprävention (präventiv): Deeskalationstechniken, Risikoerkennung, Distanzmanagement, Kommunikationsstrategien
- Selbstschutz (reaktiv): Stressresistente Bewegungsmuster, Fluchtfenster öffnen, Notwehr § 32 StGB, Körpermechanik statt Muskelkraft
- Resilienz (nachsorgend): Vorfallsverarbeitung, Stress-Loops durchbrechen, Teamgespräche, psychologische Erstbetreuung
- Arbeitsschutz (rechtlich): Gefährdungsbeurteilung § 5 ArbSchG, Unterweisung § 12 ArbSchG, Dokumentation, Haftungsvermeidung
Genau hier schließt sich der Kreis: BSI-KritisV § 10 (organisatorische Maßnahmen) + KRITIS-Dachgesetz 2026 (physische Resilienz) + ArbSchG § 5 & § 12 (Rechtspflicht) = Gewaltprävention und Selbstschutz werden zur Pflicht in KRITIS.
Neue KRITIS-Sektoren seit 2026 (Siedlungsabfallentsorgung)
Das KRITIS-Dachgesetz 2026 hat auch die Siedlungsabfallentsorgung (Müllabfuhr, Wertstoffhöfe, Recyclinghöfe) als kritische Infrastruktur eingestuft. Damit gelten für kommunale und private Entsorgungsbetriebe dieselben Pflichten: § 10 BSI-KritisV (organisatorische Maßnahmen), § 5 & § 12 ArbSchG (Gefährdungsbeurteilung, Unterweisung), und das KRITIS-Dachgesetz (physische Resilienz). Mehr dazu: Gewaltprävention für Müllabfuhr & Wertstoffhof.
5. Praxisbeispiele: BSI-KritisV + Arbeitsschutz in KRITIS
Wie sieht die Umsetzung von BSI-KritisV § 10 + ArbSchG § 5/§12 in der Praxis aus? Drei Beispiele aus unterschiedlichen KRITIS-Sektoren:
Beispiel 1: Krankenhaus – Notaufnahme
Ausgangslage: Universitätsklinikum, 120 Pflegekräfte in der Notaufnahme (ZNA), 22 dokumentierte Übergriffe in 2025 (Schubsen, Spucken, Schläge), hohe Fluktuation.
Maßnahmen (BSI-KritisV § 10 + ArbSchG):
- Gefährdungsbeurteilung § 5 ArbSchG: Hotspot-Analyse (Wartebereich, Triage, Schockraum)
- Schulung § 12 ArbSchG: Deeskalation + Selbstschutz, jährliche Auffrischung
- Technische Absicherung: Panikbutton, Sicherheitsdienst zu Stoßzeiten, Videoüberwachung
- Dokumentation: Vorfallsberichte, Schulungsnachweise, Betriebsanweisung „Umgang mit Aggression“
Ergebnis nach 1 Jahr: Die Zahl der Vorfälle blieb ähnlich hoch das soziale Umfeld lässt sich nicht ändern. Aber: Pflegekräfte berichten, dass sie sich deutlich handlungsfähiger fühlen, und die Zahl der Krankmeldungen wegen psychischer Belastung sowie die Fluktuation gingen spürbar zurück. Mehr zum Krankenhaus.
Beispiel 2: Öffentliche Verwaltung – Rathaus
Ausgangslage: Mittelgroße Stadt, 45 Mitarbeitende im Bürgerservice (Bürgeramt, Sozialamt, Ordnungsamt), mit regelmäßig dokumentierten Vorfällen von Beschimpfungen, Drohungen und vereinzelten Übergriffen. Vorfällen.
Maßnahmen (BSI-KritisV § 10 + ArbSchG):
- Gefährdungsbeurteilung § 5 ArbSchG: Schalter-Analyse (Wartezone, 1:1-Gespräche, Ablehnungsbescheide)
- Schulung § 12 ArbSchG: Basistraining Gewaltprävention, Führungskräfte-Workshop
- Organisatorische Maßnahmen: Doppelbesetzung bei „schwierigen Fällen“, Notfallknopf unter Schreibtisch
- Dokumentation: Integration in bestehende Arbeitsschutz-Dokumentation (gemeinsam mit IT-Sicherheit)
Ergebnis nach 6 Monaten: Vorfälle reduzierten sich (verbal deeskaliert), Mitarbeitende berichteten: „Wir wissen jetzt, was zu tun ist – das gibt mehr Sicherheit.“ Mehr zum Rathaus.
Beispiel 3: ÖPNV – Busfahrer & Kontrolleure
Ausgangslage: Städtischer Verkehrsbetrieb, 200 Busfahrer, 30 Kontrolleure, 40 dokumentierte Vorfälle in 2025 (Beleidigungen, Bedrohungen, 3x Körperverletzung).
Maßnahmen (BSI-KritisV § 10 + ArbSchG):
- Gefährdungsbeurteilung § 5 ArbSchG: Fahrscheinkontrolle, Nachtlinien, Alkohol/Drogen-Szene
- Schulung § 12 ArbSchG: Deeskalation + Selbstschutz, jährliche Auffrischung
- Technische Absicherung: Dashcams in Bussen, Panikbutton, GPS-Tracking, Direktkontakt zu Leitstelle
- Nachsorge: Psychologische Erstbetreuung nach Übergriffen, Teamgespräche
Ergebnis nach 1 Jahr: Wirkung eines solchen Maßnahmenpakets: weniger eskalierende Situationen, deutlich weniger körperliche Angriffe, spürbar sinkende Ausfallzeiten durch psychische Belastung.. Mehr zum ÖPNV.
6. Checkliste: Gewaltprävention & Selbstschutz sicher umsetzen
Für KRITIS-Betreiber, die BSI-KritisV § 10 + ArbSchG § 5/§12 ganzheitlich umsetzen möchten:
| Schritt | Was konkret zu tun ist | Rechtsgrundlage |
|---|---|---|
| 1. Gefährdungsbeurteilung | • Welche Mitarbeitenden haben Kundenkontakt? • Wo gibt es dokumentierte Vorfälle? • Wie hoch ist das Risiko? (Häufigkeit, Schwere) |
§ 5 ArbSchG |
| 2. Maßnahmen definieren | • Deeskalationstraining • Selbstschutz-Grundlagen • Technische Absicherung (Panikbutton, Dashcam) • Notfallpläne (Rollenlogik: Wer macht was?) |
§ 10 BSI-KritisV |
| 3. Unterweisung durchführen | • Jährliche Schulung (6-8 Std.) • Praxisnah (Rollenspiele, Szenarien) • Anlassbezogen (nach Vorfällen) |
§ 12 ArbSchG |
| 4. Dokumentieren | • Gefährdungsbeurteilung (schriftlich) • Schulungsnachweise (Teilnehmer, Datum, Inhalt) • Vorfallsberichte (BG-Meldung, Strafanzeige) • Betriebsanweisung |
§ 5 & § 12 ArbSchG |
| 5. Auffrischen & Anpassen | • Jährliche Auffrischung • Nach Vorfällen: Schutzkonzept nachschärfen • Neue Mitarbeitende: Einweisung |
§ 12 ArbSchG |
7. Unser Schulungskonzept: ArbSchG-konforme Unterweisung
Unsere Trainings für KRITIS-Betreiber erfüllen die Anforderungen von § 10 BSI-KritisV + § 12 ArbSchG:
Modul 1: Basisschulung Gewaltprävention ( § 12 ArbSchG)
- Gewalt verstehen: Affektiv vs. prädatorisch – Täterdiagnose als Entscheidungswerkzeug
- Deeskalation: Verbale Techniken, Körpersprache, Distanzmanagement
- Rollenlogik: Wer spricht? Wer sichert? Wer alarmiert?
- Praxisszenarien: Branchenspezifisch (Krankenhaus, Rathaus, ÖPNV, Müllabfuhr)
- Dokumentation: Teilnahmezertifikat für § 12 ArbSchG
Modul 2: Selbstschutz
- Mentaler Gangwechsel: Von Deeskalation zu Selbstschutz – wann ist die Schwelle erreicht?
- Körpermechanik: Stressresistente Bewegungsmuster (kein Kampfsport!)
- Rechtssicherheit: Notwehr § 32 StGB – verhältnismäßig, dokumentiert
Modul 3: Resilienz & Nachsorge
- Stress-Physiologie: Fight-Flight-Freeze verstehen
- Mentale Techniken: Stress-Loops durchbrechen
- Nachsorge: Vorfallsdokumentation, psychologische Erstbetreuung
Modul 4: Führungskräfte-Workshop
- BSI-KritisV § 10: Organisatorische Maßnahmen, Nachweisführung
- ArbSchG § 5 & § 12: Gefährdungsbeurteilung, Unterweisung, Haftung
- KRITIS-Dachgesetz 2026: Physische Resilienz als Pflicht
8. Häufige Fragen zu BSI-KritisV, Arbeitsschutz & Gewaltprävention
Gilt BSI-KritisV § 10 auch für personelle Sicherheit oder nur IT-Sicherheit?
§ 10 BSI-KritisV fordert explizit „organisatorische und personelle Maßnahmen„. In der Praxis wird das meist auf IT-Sicherheit reduziert, aber: Gewaltprävention und Selbstschutz sind ebenso personelle Maßnahmen – denn wenn Mitarbeitende nach Übergriffen ausfallen, ist das eine „Störung der Verfügbarkeit“. Das KRITIS-Dachgesetz 2026 macht das mit dem Konzept der „physischen Resilienz“ nun explizit.
Reicht es, Gewaltprävention nur nach ArbSchG umzusetzen, oder muss ich auch BSI-KritisV beachten?
Beides ist Pflicht – aber ergänzt sich: ArbSchG (§ 5 & § 12) gilt für ALLE Arbeitgeber (auch Nicht-KRITIS) und fordert Gefährdungsbeurteilung + jährliche Unterweisung. BSI-KritisV § 10 gilt NUR für KRITIS-Betreiber und fordert „organisatorische und personelle Maßnahmen zur Störungsvermeidung“. In der Praxis dokumentieren Sie einmal (Gefährdungsbeurteilung, Schulungen, Notfallpläne) – und erfüllen damit sowohl ArbSchG als auch BSI-KritisV.
Wie dokumentiere ich Gewaltprävention rechtssicher nach § 5 ArbSchG?
Die Gefährdungsbeurteilung nach § 5 ArbSchG muss schriftlich sein und enthalten: (1) Gefährdung: Welche Mitarbeitenden sind Gewaltrisiken ausgesetzt? (2) Bewertung: Wie hoch ist das Risiko? (Häufigkeit, Schwere – z.B. „15 Vorfälle 2025, davon 3 körperlich“) (3) Maßnahmen: Was wird getan? (Deeskalationstraining, Panikbutton, Doppelbesetzung) (4) Wirksamkeit: Hat es funktioniert? (Vorfälle reduziert? Mitarbeitende fühlen sich sicherer?) (5) Aktualisierung: Nach Vorfällen oder jährlich überprüfen. Tipp: Integrieren Sie das in bestehende Arbeitsschutz-Dokumentation.
Wie oft muss die Unterweisung nach § 12 ArbSchG aufgefrischt werden?
§ 12 ArbSchG fordert: „mindestens einmal jährlich„. Für Gewaltprävention empfehlen wir: Grundschulung (1 Tag) mit Deeskalation, Selbstschutz, Notfallplänen; Jährliche Auffrischung (2-4 Stunden) zur Reaktivierung motorischer Muster; Anlassbezogen nach kritischen Vorfällen (Nachschulung, Vorfallsanalyse). Warum jährlich? Deeskalationstechniken und Selbstschutz-Bewegungsmuster müssen unter Stress abrufbar bleiben – einmaliges Training reicht nicht.
Ist Selbstschutz-Training rechtlich erlaubt (Notwehr § 32 StGB)?
Ja, Selbstschutz im Rahmen von Notwehr (§ 32 StGB) ist erlaubt und sogar Teil der Fürsorgepflicht von Arbeitgebern. Entscheidend: (1) Verhältnismäßig: Ziel ist Flucht, nicht Vergeltung (2) Erforderlich: Nur wenn Ausweichen nicht möglich ist (3) Dokumentiert: Vorfallsbericht für BG, Strafanzeige. Unser Selbstschutz-Training vermittelt genau diese Prinzipien: Sekunden gewinnen, Fluchtfenster öffnen, Hilfe holen – keine „Kampftechniken“.
9. Der Faktor Mensch: Warum IT-Sicherheit allein nicht reicht
Die BSI-Definition kritischer Infrastrukturen fokussiert primär auf IT-Sicherheit: Netzsteuerung, Datenschutz, Systemverfügbarkeit. Doch ein entscheidender Layer wird oft übersehen: der Mensch, der das System betreibt.
⚠️ Das Paradox der IT-Sicherheit:
Stellen Sie sich vor, Ihre SCADA-Systeme sind perfekt abgesichert, Ihre Firewall ist auf dem neuesten Stand, Ihre Backup-Strategie ist lückenlos – aber Ihr Techniker wird auf dem Weg zur kritischen Störung verbal bedroht, gerät in Panik und kann den Schlüssel nicht mehr sicher im Schloss drehen. Die gesamte IT-Sicherheitsarchitektur nützt nichts, wenn der Faktor Mensch versagt.
Personelle Resilienz als „Sicherheits-Layer 4″
In der IT-Sicherheit arbeiten wir mit Schichtenmodellen (OSI-Modell, Defense in Depth). Wir etablieren Physische Resilienz als den entscheidenden Layer unterhalb der Technik:
| Security Layer | Was geschützt wird | Was passiert bei Ausfall? |
|---|---|---|
| Layer 1: Netzwerk | Firewall, Intrusion Detection, Verschlüsselung | Cyberangriff → Systemausfall |
| Layer 2: Anwendung | Zugriffskontrollen, Authentifizierung | Unbefugter Zugriff → Datenverlust |
| Layer 3: Prozess | Notfallpläne, Incident Response | Keine Reaktion → Systemkollaps |
| Layer 4: Mensch (NEU) | Gewaltprävention, Selbstschutz, Resilienz | Personalausfall → Gesamtsystem offline |
Die Erkenntnis: Wenn Layer 4 (der Mensch) ausfällt, brechen alle darüberliegenden Layer zusammen – egal wie gut sie technisch abgesichert sind.
Warum IT-Sicherheit allein hier nicht reicht: Sektoren-Analyse
Jeder KRITIS-Sektor hat spezifische Schwachstellen, bei denen der Faktor Mensch entscheidend ist. Das BSI-Incident-Management deckt IT-Vorfälle ab – aber wer kümmert sich um Vorfälle gegen Mitarbeitende?
| KRITIS-Sektor | Kern-IT-Fokus (BSI) | Hebel: Faktor Mensch (Gewaltprävention) |
|---|---|---|
| Energie | Netzsteuerung, Smart Grid | Handlungssicherheit: Techniker müssen bei Störungen unter physischem/verbalem Druck (Anwohner) sicher arbeiten |
| IT & Telko | Rechenzentren, Datenfluss | Prävention: Schutz des Personals vor Ort gegen Social Engineering durch physische Präsenz |
| Transport | Logistik-IT, Leitsysteme | Deeskalation: Konfliktmanagement in Knotenpunkten (Bahnhöfe, Flughäfen) |
| Gesundheit | Patientendaten, Medizintechnik | Gewaltprävention: Schutz des Personals in Notaufnahmen sichert stationäre Versorgung |
| Wasser | SCADA-Systeme, Fernwirken | Selbstschutz: Schutz von Alleinarbeitern an abgelegenen Infrastruktur-Objekten |
| Ernährung | Lieferketten, Warenwirtschaft | Resilienz: Ruhe bewahren bei Versorgungsengpässen und aggressiven Abnehmern |
| Finanz/Versicherung | Transaktionssicherheit | Verantwortung: Professionelles Verhalten bei Raub/Bedrohung zur Minimierung von Personalschäden |
| Siedlungsabfall | Logistik-Steuerung | Robustheit (§ 10): Sicherung der Handlungsfähigkeit an Entsorgungs-Hotspots |
| Staat/Verwaltung | E-Government, Register | Schutz: Erhalt staatlicher Handlungsfähigkeit durch Schutz vor Aggression |
| Medien/Kultur | Sendeabwicklung, Redaktion | Mentale Resilienz: Umgang mit Drohungen zur Aufrechterhaltung der Pressefreiheit |
💡 Das zentrale Argument: Kein technisches System kann funktionieren, wenn die Menschen, die es betreiben, nicht handlungsfähig bleiben. IT-Sicherheit ist das Schloss an der Tür, aber Physische Resilienz ist die Fähigkeit des Personals, den Schlüssel auch im Sturm sicher im Schloss zu drehen.
Im internationalen Kontext spricht man oft von Security Human Factors. In KRITIS-Strukturen bedeutet das: Wir müssen die psychologischen und physischen Belastungsgrenzen der Mitarbeitenden als Teil der Gesamtsicherheit verstehen. Mein Ansatz der physischen Resilienz übersetzt diese theoretischen „Human Factors“ in die operative Praxis der BSI-KritisV.
Mehr dazu in unserem Handlungskreislauf bei Gewalt gegen Mitarbeitende – analog zum BSI IT-Sicherheitsvorfall-Management.
10. Fazit und Handlungsempfehlung
BSI-KritisV § 10 fordert „organisatorische und personelle Maßnahmen zur Störungsvermeidung“ – das umfasst nicht nur IT-Sicherheit, sondern auch Gewaltprävention und Selbstschutz. Das KRITIS-Dachgesetz 2026 macht das mit dem Konzept der „physischen Resilienz“ nun explizit. Und das Arbeitsschutzgesetz (§ 5 & § 12 ArbSchG) liefert die Rechtsgrundlage: Gefährdungsbeurteilung und jährliche Unterweisung sind Pflicht.
Konkrete nächste Schritte für KRITIS-Betreiber:
- Gefährdungsbeurteilung aktualisieren (§ 5 ArbSchG): Gewalt durch betriebsfremde Personen aufnehmen
- Integriertes Sicherheitskonzept erstellen: IT-Sicherheit (§ 10 BSI-KritisV) + Personelle Sicherheit (Gewaltprävention, Selbstschutz)
- Mitarbeitende schulen (§ 12 ArbSchG): Jährliche Unterweisung in Deeskalation, Selbstschutz, Resilienz
- Dokumentieren: Schulungsnachweise, Vorfallsberichte, Betriebsanweisungen – lückenlos
- Auffrischen: Jährlich Schulungen auffrischen (Muster bleiben nur durch Wiederholung abrufbar)
BSI-KritisV § 10 + ArbSchG – Sicher umsetzen: Erstgespräch vereinbaren
IT-Sicherheit ist das Schloss an der Tür – aber physische Resilienz ist die Fähigkeit Ihres Personals, den Schlüssel auch im Sturm sicher im Schloss zu drehen.
BSI-KritisV § 10 + ArbSchG – sicher umsetzen
Wir analysieren Ihre aktuelle Sicherheitsarchitektur auf der menschlichen Seite (Arbeitsschutz, KRITIS-Anforderungen, Faktor Mensch) und zeigen konkrete Umsetzungsschritte für ein integriertes Sicherheitskonzept in enger Abstimmung mit Ihrer bestehenden IT-Sicherheit. Der Faktor Mensch entscheidet, ob Ihre kritische Infrastruktur auch bei Übergriffen, Druck oder Krisen handlungsfähig bleibt.
✓ Compliance-Check
Analyse Ihrer Gefährdungsbeurteilung (§ 5 ArbSchG), Einschätzung BSI-KritisV-Konformität, Identifikation von Haftungsrisiken durch Organisationsverschulden.
✓ Handlungskreislauf Personal
Entwicklung eines Handlungskreislaufs analog zum BSI IT-Sicherheitsvorfall-Management – für Gewalt gegen Mitarbeitende.
✓ Faktor Mensch als Security-Layer
Personelle Resilienz wird zum entscheidenden Sicherheits-Layer unterhalb der Technik: Wenn der Mensch ausfällt, bricht die gesamte Kette egal wie gut Ihre IT gesichert ist.
Zugeschnitten auf Ihre KRITIS-Einrichtung: Energie, Wasser, Gesundheit, Transport, IT, Finanzwesen, Ernährung, Siedlungsabfallentsorgung, Staat & Verwaltung, Medien & Kultur.
Weitere Informationen zu KRITIS:
BSI – Kritische Infrastrukturen (Übersicht) |
BSI – IT-Sicherheitsvorfall Management
📚
Klicken Sie hier für vertiefende Artikel zu Gewaltprävention & KRITIS
Grundlagen & Konzepte:
- Gewalt verstehen: Grundlagen der Prävention
- Selbstschutz im Berufsalltag: Wenn Deeskalation nicht reicht
- Handlungskreislauf bei Gewalt gegen Mitarbeitende
- Stress-Loops & Glaubenssätze durchbrechen
- Der Mensch im Mittelpunkt der Gewaltprävention
Rechtliche Grundlagen:
- KRITIS-Dachgesetz 2026: Physische Resilienz als Pflicht
- Arbeitsschutz & Gewaltprävention: Rechtliche Grundlagen
- Organisationsverschulden: Haftungsrisiken vermeiden
Mentale Strategien:
- Gladiator Mind: Stoische Prinzipien für Hochstress-Situationen
- Arbeitsplatz-Angst stoppen: Mentale Gewaltprävention
- Resilienz in der Gewaltprävention: Praxis für Behörden
Weitere branchenspezifische Leitfäden:
Externe Quellen & Gesetzestexte:
- BSI-KritisV § 10: Organisatorische und personelle Maßnahmen (Volltext)
- Arbeitsschutzgesetz (ArbSchG) § 5: Beurteilung der Arbeitsbedingungen
- Arbeitsschutzgesetz (ArbSchG) § 12: Unterweisung
- BSI: Kritische Infrastrukturen (KRITIS) – Übersicht
- BSI: IT-Sicherheitsvorfall-Management für Unternehmen
- DGUV: Gewalt vermeiden – Branchenübergreifende Prävention
- DGUV Information 207-019: Gewaltprävention in der Abfallwirtschaft (PDF)
- BMAS: Arbeitsschutz & Gefährdungsbeurteilung
- OSHA: Healthcare Workplace Violence Prevention (USA)
Rechtlicher Hinweis
Dieser Beitrag dient der Information über den Stand der öffentlichen Diskussion und Quellenlage (Stand: 15.02.2026). Er stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu BSI-KritisV, KRITIS-Dachgesetz, Arbeitsschutz und Haftungsfragen wenden Sie sich bitte an einen Fachanwalt für IT-Recht, Verwaltungsrecht oder Arbeitsrecht bzw. an die zuständige Aufsichtsbehörde (z.B. BSI, Gewerbeaufsicht, Berufsgenossenschaften).
Die Inhalte wurden nach bestem Wissen und unter Verwendung öffentlich zugänglicher Quellen erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Informationen wird keine Haftung übernommen. Gesetzesänderungen nach dem Stand Februar 2026 sind nicht berücksichtigt.
Foto von Lesya Soboleva auf Unsplash