Behörden und KRITIS (Kritische Infrastrukturen) sind ständigem Druck ausgesetzt. Jede neue Schnittstelle steigert zwar die Effizienz, vergrößert aber auch die Angriffsfläche. Angriffe auf den Verkehrs- und Energiesektor sowie auf Behörden haben gezeigt, dass Cyberresilienz eine Grundvoraussetzung für deren Handlungsfähigkeit ist. Komplexe Infrastrukturen erfordern einen integrierten Ansatz mit KI-gestützter Bedrohungserkennung, Sicherheitsmanagement, Zero-Trust-Prinzip und einer sicheren Cloud-Architektur.
Sabotageakte an kritischer Infrastruktur, gezielte Cyberangriffe auf Verkehrs- und Energieunternehmen sowie koordinierte Kampagnen gegen öffentliche Einrichtungen zeigen: Die Sicherheitslage in Europa hat sich erheblich verschärft. Digitale Systeme geraten vor dem Hintergrund geopolitischer Spannungen zunehmend ins Visier von Angreifern. Angriffe dienen nicht mehr nur dazu, Informationen zu sammeln, sondern auch dazu, gezielt zu destabilisieren.
Jeden Tag sind Millionen von Bürgern auf funktionierende Nah- und Fernverkehrssysteme, eine stabile Energie- und Wasserversorgung, digitale Behördendienste und die medizinische Infrastruktur angewiesen. Wenn diese Systeme ausfallen oder manipuliert werden, hat das nicht nur technische Schäden zur Folge, sondern führt auch zu einem Vertrauensverlust in die Handlungsfähigkeit des Staates.
Gleichzeitig treibt die digitale Transformation den Ausbau vernetzter Infrastrukturen voran. Cloud-Services, lokale Systeme, externe Dienstleister, spezielle Verfahren und industrielle Steuerungssysteme existieren nebeneinander. Der öffentliche Sektor ist in föderalen, historisch gewachsenen Strukturen organisiert, die durch unterschiedliche Zuständigkeiten, Budgets und Reifegrade im Bereich der Sicherheit gekennzeichnet sind.
Mit jeder neuen Schnittstelle wächst die Angriffsfläche. Mit jeder weiteren Integration steigt die Komplexität. Und mit jeder erfolgreichen Attacke verfeinern die Angreifer ihre Methoden. Die entscheidende Frage ist nicht mehr, ob es zu einem Angriff kommen wird, sondern wann und mit welchen Folgen.
Wie wird die Handlungsfähigkeit des Staates gewährleistet, wenn Bedrohungen automatisiert, skalierbar und zunehmend durch künstliche Intelligenz (KI) unterstützt werden?
Viele Sicherheitsarchitekturen im öffentlichen Sektor wurden für eine andere Bedrohungslage konzipiert. Sie sind perimeterorientiert, reaktiv und stark regelbasiert. Einzelne Schutzmechanismen wie Firewalls, Signaturerkennung und gezielte Überprüfungen reichten lange Zeit aus, um bekannte Angriffsmuster abzuwehren.
Heute ist die Bedrohungslage allerdings dynamischer. Angreifer agieren dezentral, automatisiert und oft KI-gestützt. Sie kombinieren die Nutzung technischer Schwachstellen mit Social Engineering, nutzen legitime Zugangsrechte und bewegen sich lateral durch komplexe Systemlandschaften.
Gleichzeitig generieren moderne Infrastrukturen riesige Datenmengen – Logdateien, Netzwerkdaten, Identitätsbewegungen, Cloud-Aktivitäten und vieles mehr. Diese Informationsflut überfordert das manuelle Sicherheitsmanagement. Sicherheitsverantwortliche sehen sich mit einem Übermaß von Warnmeldungen konfrontiert. Dazu kommen ein Mangel an Fachkräften und steigende Kundenerwartungen mit Blick auf das Reaktionstempo.
Die Folge: Nicht jede Bedrohung wird sofort erkannt. Nicht jede Warnmeldung wird priorisiert. Und nicht jede Maßnahme greift in allen Bereichen der Organisationsstruktur. Resilienz erfordert deshalb einen Paradigmenwechsel – weg von isolierten Schutzmechanismen hin zu einer kohärenten, intelligenten Überwachung und integrierten Reaktionsprozessen.
Die europäische Cybersicherheitsagentur ENISA1 berichtet, dass zwischen Juli 2024 und Juni 2025 insgesamt 4.875 Sicherheitsvorfälle gemeldet wurden. Betroffen waren unter anderem öffentliche Verwaltungen, der Verkehrs- und Energiesektor, digitale Infrastrukturen, Finanzdienstleister sowie Industrieunternehmen. Die Auswertung verdeutlicht, wie stark die Angriffsfläche kritischer digitaler Systeme weiter wächst.
Laut demselben ENISA-Bericht entfallen 77 Prozent der gemeldeten Sicherheitsvorfälle auf DDoS-Angriffe (Distributed Denial of Service). Dabei werden öffentliche Dienste und kritische Infrastrukturen durch gezielte Überlastung zeitweise lahmgelegt. Ransomware-Angriffe treten zwar seltener auf, verursachen jedoch häufig deutlich höhere wirtschaftliche Schäden und operative Beeinträchtigungen.
Der Lagebericht 20252 des Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt: In Deutschland werden durchschnittlich 119 neue IT-Sicherheitslücken pro Tag bekannt. Das verdeutlicht, wie schnell die Angriffsflächen digitaler Systeme wachsen – und wie rasch traditionelle Sicherheitskonzepte an ihre Grenzen stoßen können.
Neben den technischen Sicherheitsvorfällen warnt der EU Threat Landscape Report 2025 vor einer zunehmend komplexen Bedrohungslage: Geopolitische Spannungen und vielschichtige Angriffsmuster prägen das aktuelle Cyberumfeld. Staatlich unterstützte Akteure und Cyberkriminelle setzen dabei verstärkt auf automatisierte und KI-gestützte Methoden. Für öffentliche Einrichtungen und Betreiber Kritischer Infrastrukturen (KRITIS) erhöht dies die Herausforderungen bei Prävention, Erkennung und Abwehr von Cyberangriffen erheblich.
KI allein macht ein System nicht widerstandsfähig. Sie entfaltet ihr Potenzial erst, wenn sie in eine integrierte Sicherheitsarchitektur eingebettet ist. Das liegt daran, dass KI datengesteuert ist und Daten heutzutage in verteilten, hybriden Infrastrukturen generiert werden.
Behörden und Betreiber kritischer Infrastrukturen arbeiten zunehmend mit Cloud-Diensten, verteilten Rechenzentren, branchenspezifischen Anwendungen und externen Dienstleistern zusammen. Sicherheitsrelevante Informationen werden gleichzeitig in Netzwerken, Identitätsmanagementsystemen, Endgeräten, OT-Umgebungen (Operational Technology) und Cloud-Plattformen generiert.
Damit KI Bedrohungen zuverlässig erkennen kann, müssen diese Datenquellen konsolidiert, strukturiert und in Echtzeit auswertbar sein. Sichere Cloud-Architekturen ermöglichen Skalierbarkeit, indem sie Sicherheitsdaten bündeln, Richtlinien standardisieren und eine einheitliche Transparenz über betriebliche Grenzen hinweg schaffen.
Nur eine solche Kombination aus Cloud-Infrastruktur, kontinuierlicher Überwachung, verwalteter Erkennung und Reaktion sowie KI-gestützter Analyse schafft ein Sicherheitsmodell, das mit der Geschwindigkeit moderner Angriffe Schritt halten kann.
Resilienz bedeutet daher nicht nur, Angriffe zu erkennen, sondern auch, Sicherheitsprozesse so zu integrieren, dass Prävention, Erkennung und Reaktion nahtlos ineinandergreifen.
KI gilt in vielen Fällen als Schlüsseltechnologie für moderne Sicherheitsarchitekturen. Aber KI allein funktioniert nicht. Sie ist nur so stark wie die Strukturen, in die sie eingebettet ist.
Wenn Datenquellen fragmentiert, Schnittstellen uneinheitlich und Zuständigkeiten unklar sind, sind selbst die fortschrittlichsten Analysesysteme blind für Zusammenhänge. KI kann Anomalien nur erkennen, wenn sie Zugriff auf konsolidierte, hochwertige und stets verfügbare Daten hat.
Das gilt besonders für den öffentlichen Sektor und Betreiber kritischer Infrastrukturen (KRITIS): Sicherheitsprozesse müssen standardisiert, Identitäten klar verwaltet, Netzwerkdaten zentral überwacht und Cloud-Umgebungen nahtlos integriert werden.
Eine robuste Sicherheitsarchitektur muss Folgendes kombinieren:
Nur unter diesen Voraussetzungen kann KI Muster erkennen, Bedrohungen priorisieren und umsetzbare Empfehlungen ableiten.
Resilienz entsteht also nicht durch ein einzelnes Werkzeug, sondern durch das Zusammenspiel zwischen Architektur, Automatisierung und menschlichem Fachwissen.
Das T-Systems Cyber Defense Center zeigt, wie ein integrierter Resilienzansatz im öffentlichen Sektor aussehen kann. Hier werden täglich mehr als eine Milliarde sicherheitsrelevanter Ereignisse aus über 3.000 Datenquellen analysiert – von Behördennetzwerken und KRITIS-Umgebungen bis hin zu Cloud-Infrastrukturen und vernetzten Systemlandschaften.
Die Daten stammen aus Firewalls, Identitätssystemen, Endgeräten, Netzwerksegmenten, Cloud-Plattformen und industriellen Steuerungsumgebungen. Im Zusammenspiel ergibt sich daraus ein zusammenhängendes, organisationsübergreifendes Gesamtbild, was Voraussetzung dafür ist, komplexe Angriffsmuster frühzeitig zu erkennen.
In einem solchen Maßstab ist eine manuelle Auswertung nicht mehr machbar. KI-gestützte Analysemechanismen übernehmen die Vorstrukturierung: Sie setzen Ereignisse in Zusammenhang, erkennen Abweichungen vom normalen Verhalten und priorisieren potenziell kritische Vorgänge.
Beispielsweise können mehrere unscheinbare Anmeldeversuche aus verschiedenen Regionen in Verbindung mit ungewöhnlichen Datenabfragen und parallelen Netzwerkaktivitäten isoliert betrachtet harmlos erscheinen. Betrachtet man jedoch das Gesamtbild, zeichnet sich ein Muster ab – ein sich anbahnender lateraler Angriff oder gezielte Vorbereitungen für die Datenexfiltration.
Genau hier kommt die KI-gestützte Mustererkennung ins Spiel. Sie reduziert Fehlalarme, bündelt Informationen und bietet eine zuverlässige Grundlage für Entscheidungen in Echtzeit.
Ein weiterer Bestandteil ist die kontinuierliche Überwachung öffentlicher Netzwerke zum Schutz der äußeren Verteidigungslinie, vergleichbar mit einem digitalen „Rauchmelder“. Verdächtige Downloads, bekannte Signaturen von Schadcode oder ungewöhnliche Kommunikationsmuster werden frühzeitig erkannt. Automatisierte Prozesse können betroffene Segmente isolieren oder den Zugriff vorübergehend einschränken, um eine Ausbreitung zu vermeiden.
Gleichzeitig bleibt der Mensch ein wesentlicher Bestandteil des Prozesses. Sicherheitsexperten im Security Operations Center (SOC) werten KI-gestützte Analysen aus, priorisieren Vorfälle und leiten koordinierte Gegenmaßnahmen ein.
Das Ergebnis ist kein isoliertes Verteidigungssystem, sondern eine durchgängige Sicherheitsarchitektur mit folgenden Vorteilen:
Das ist der Stoff, aus dem operationelle Widerstandsfähigkeit gemacht ist – keine Einzelmaßnahmen, sondern ein sich ständig weiterentwickelndes Sicherheitsökosystem.
Technologie allein ist nicht genug. Das Zusammenspiel zwischen klaren Zuständigkeiten, standardisierten Prozessen und einer Sicherheitskultur, die Resilienz als eine fortlaufende Aufgabe betrachtet, ist sehr wichtig.
In diesem Zusammenhang bedeutet digitale Souveränität mehr als nur Datensouveränität. Sie beschreibt die Fähigkeit, die eigene Infrastruktur kontrolliert zu betreiben, Sicherheitsentscheidungen eigenständig zu treffen und kritische Systeme auch unter Stress am Laufen zu halten.
Für Behörden, Länder, Kommunen und KRITIS-Betreiber wird Resilienz somit zu einem strategischen Managementwerkzeug. Sie schafft Vertrauen bei den Bürgern, stärkt die wirtschaftliche Stabilität und erhöht die Widerstandsfähigkeit gegenüber geopolitischen Spannungen.
Die zentrale Frage für die kommenden Jahre lautet daher nicht: „Wie reagieren wir auf Angriffe?“, sondern vielmehr: „Wie gestalten wir Sicherheitsarchitekturen so, dass sie mit dem Tempo der digitalen Transformation Schritt halten können?“
Resilienz ist kein Endzustand. Es ist ein fortlaufender Prozess, gestützt auf Technologie, Know-how und das klare Bekenntnis zu einem verantwortungsbewussten Betrieb digitaler Infrastrukturen.
Wirksame Cyberresilienz ist im öffentlichen Sektor nicht durch isolierte Maßnahmen möglich, sondern nur durch integrierte Sicherheitsarchitekturen. T-Systems verbindet technologische Plattformen mit umfassendem Know-how im Bereich der operationellen Sicherheit.
Zero Trust und Identitätsmanagement: Durchgängige Identitätsprüfung, rollenbasierte Zugriffskonzepte und eine konsequente Segmentierung sensibler Verwaltungs- und KRITIS-Systeme.
Cyber Defense Center und integrierte SOC-Services: Zentrale Lageerfassung, Analyse von Milliarden sicherheitsrelevanter Ereignisse pro Tag und koordinierte Reaktionsprozesse für Behörden und KRITIS-Betreiber.
1 ENISA Threat Landscape 2025, ENISA, 2025, ENISA
2 The state of IT security in Germany in 2025, BSI, 2025, BSI
