KRITIS-Netzinfrastruktur: Netz 33 stärkt Deutschlands Resilienz

Die KRITIS-Netzinfrastruktur Deutschlands rückt in den Fokus von Politik, Verwaltung und Sabotageakteuren zugleich. Behörden, Kommunen und Betreiber stehen vor einer doppelten Aufgabe: Schutz vor physischen Angriffen und gleichzeitig der Aufbau einer resilienten Glasfaserinfrastruktur, die selbst in Krisen funktioniert. Brandenburgs neue Teststrecke Netz 33 setzt ein Signal für die digitale Resilienz Deutschland-weit. Was Behörden, Kommunen und KRITIS-Betreiber daraus ableiten sollten, zeigt dieser Beitrag.
Ein großer Bagger schaufelt Erde für eine Kabeltrasse. Ein Symbolbild für die Netzinfrastruktur durch Netz-33.
© Enrique del Barrio
Erstellt von Dietmar :ago

Was ist KRITIS-Netzinfrastruktur?

Die KRITIS-Netzinfrastruktur umfasst alle Telekommunikations- und Netzwerksysteme, die für den Betrieb kritischer Anlagen unverzichtbar sind. Stromversorgung, Wasserwirtschaft, Krankenhäuser, Verkehrsleitsysteme und die öffentliche Verwaltung selbst hängen unmittelbar daran. Laut BSI-Lagebericht 2025 verfügen rund 48 Prozent der KRITIS-Betreiber weiterhin über kein wirksames Angriffserkennungssystem – eine Lücke, die ein professionelles Schwachstellenmanagement für KRITIS ausdrücklich schließt.

Eine belastbare kritische Netzinfrastruktur reicht weit über klassische Internetanbindung hinaus und berührt unmittelbar die digitale Souveränität der gesamten Verwaltung sowie den Anspruch auf digitale Souveränität gegenüber globalen Anbietern.

Zur KRITIS-Netzinfrastruktur zählen typischerweise:

  • Glasfaser-Backbone und Anbindungsstrecken
  • redundante Netzknoten und Vermittlungspunkte
  • kontrollierte Verkehrsführung und Routing-Regeln
  • Echtzeit-Monitoring und Anomalieerkennung
  • Notstrom und unterbrechungsfreie Versorgung
  • physisch geschützte Trassen und Schächte
  • dokumentierte Eskalations- und Wiederanlaufprozesse
  • regelmäßige Übungen für den Krisenfall

Bedrohungslage und digitale Resilienz Deutschland

Die digitale Resilienz Deutschlands wird derzeit auf vielen Ebenen herausgefordert. Sabotage, Cyberangriffe und geopolitische Spannungen treffen auf eine Infrastruktur, die historisch auf Verfügbarkeit, weniger auf Schutz ausgelegt wurde. Im November 2024 wurden in der Ostsee Glasfaserkabel zwischen Deutschland, Finnland, Litauen und Schweden durchtrennt – Bundesregierung und Ermittlungsbehörden sprechen von einer gezielten Sabotage Glasfaserkabel auf hoher See. In Berlin folgten 2025 ein Brandanschlag auf Strommasten und im Januar 2026 ein Angriff auf eine Kabelbrücke mit weiträumigen Festnetz- und Mobilfunkausfällen. Cyberresilienz und digitale Souveränität rücken damit von der Strategieebene in den Verwaltungsalltag.

Aktuelle Bedrohungsbilder für die deutsche Netzinfrastruktur reichen weit:

  • durchtrennte See- und Backbone-Kabel
  • politisch motivierte Sabotage an Energie- und Telekomanlagen
  • Ransomware gegen Kommunen und Versorger
  • Lieferkettenangriffe auf aktive Netzkomponenten
  • Spionage über kompromittierte Hardware
  • Drohnenüberflüge an sensiblen Standorten
  • Manipulation von Routing-Pfaden und BGP-Hijacking
  • Zwangsabschaltungen durch Stromnetzstörungen

Die NIS-2-Umsetzung und das kommende KRITIS-Dachgesetz schreiben verbindliche Mindeststandards für Netzbetreiber fest. Wer Netzanbindungen künftig ausschreibt, kommt am EVB-IT-Vertrag, an Anforderungen zur Hochverfügbarkeit und an strukturierter IT-Beratung für Kommunen nicht vorbei. Aktuelle Entwicklungen rund um KRITIS Cybersicherheit, Datenschutz und Künstliche Intelligenz bündelt der TenMedia-Newsletter.

Netz 33: Eine neue KRITIS-Netzinfrastruktur entsteht

Mit dem Spatenstich am 27. April 2026 in Niedergersdorf ist Brandenburg zum Schauplatz einer neuen KRITIS-Netzinfrastruktur geworden. Hinter Netz 33 steht die Niedax Group mit einem privatfinanzierten Backbone-Konzept. 130 Kilometer Teststrecke verbinden Jüterbog, Falkenberg an der Elster und Lutherstadt Wittenberge entlang einer Bahntrasse. Geplant ist ein bundesweites Netz von rund 33.000 Kilometern, mit etwa 300 Ringstrukturen und einer Investitionssumme von zehn Milliarden Euro. Das Vorhaben adressiert kritische Infrastrukturen, Cloud- und KI-Plattformen sowie Verwaltung und versteht sich als Antwort auf Sabotage Glasfaserkabel, geopolitische Risiken und steigende Anforderungen aus NIS-2 Umsetzung sowie KRITIS-Dachgesetz.

Warum reicht das bestehende Glasfasernetz nicht aus?

Das vorhandene Glasfasernetz in Deutschland ist enorm – über 750.000 Kilometer Leitungen liegen verlegt, mehr als 42 Prozent der Haushalte verfügen über einen Anschluss. Allerdings ist es historisch auf Versorgung optimiert, nicht auf gezielten Schutz. Viele Strecken laufen ungeschützt durch Wohngebiete, Industriebrachen oder unter Brücken.

Wenige Knotenpunkte bündeln den Verkehr ganzer Regionen, ein Eingriff an einer einzigen Stelle kann hunderte Behörden und Versorger lahmlegen. Hinzu kommt: Aktive Komponenten stammen häufig aus globalen Lieferketten ohne durchgängige Prüfung. Eine resiliente Glasfaserinfrastruktur Deutschland-weit braucht daher zusätzliche Trassen, geprüfte Hardware und durchgängige Vermaschung – genau hier setzt der neue Backbone an.

Resiliente Glasfaserinfrastruktur entlang der Bahntrassen

Die resiliente Glasfaserinfrastruktur entlang der Bahntrassen nutzt einen wichtigen Vorteil: Schienenkorridore sind dauerhaft überwacht, eingezäunt und mit klarer Eigentumsstruktur versehen. Sabotage, Erdarbeiten Dritter oder unautorisierte Zugriffe lassen sich dort deutlich besser unterbinden als auf öffentlichen Wegen.

Netz 33 nutzt rund 460 Kilometer Trassen der DESAG sowie 310 Kilometer der LEAG allein in Brandenburg, weitere Korridore folgen bundesweit mit der Deutschen Bahn. Das Konzept verbindet physischen Schutz mit redundanter Topologie und automatisiertem Monitoring. Für eine resiliente Glasfaserinfrastruktur Deutschland-weit ergeben sich daraus nicht nur kürzere Wiederanlaufzeiten, sondern auch eine andere Risikobewertung in Vergabe, Betrieb und Wartung.

Zertifizierte Netzkomponenten und sichere Lieferketten

Zertifizierte Netzkomponenten KRITIS sind das Rückgrat der neuen Architektur. Netz 33 setzt nach eigener Aussage ausschließlich auf Hardware aus geprüften Herkunftsländern und nachvollziehbaren Lieferketten. Das schließt aktive und passive Komponenten gleichermaßen ein – von Vermittlungsstellen über Repeater bis zur Sensorik in den Verteilern.

Hintergrund ist die Sorge vor versteckten Backdoors, manipulierten Firmware-Updates und kompromittierter Mikroelektronik. Behörden profitieren davon doppelt: einerseits durch Vertrauen in die Substanz der Anbindung, andererseits durch klare Argumente in Vergabeverfahren mit Sicherheitsanforderungen aus NIS-2 Umsetzung und Bundesamt-Vorgaben. Audits und Vergabeprüfungen werden auf diese Weise spürbar planbarer.

Sicherheitsmerkmale einer modernen kritischen Netzinfrastruktur:

👉 24/7 Echtzeitüberwachung mit Anomalieerkennung
👉 physisch geschützte Schienenkorridore
👉 redundante Ringstrukturen statt sternförmiger Topologie
👉 zertifizierte Hardware aus sicheren Herkunftsländern
👉 automatisierte Lastverteilung und Routing
👉 DAS-Sensorik zur Lokalisierung von Eingriffen
👉 klare Eigentumsverhältnisse für Trassen
👉 dokumentierte Wiederanlauf- und Eskalationsprozesse

Ringstrukturen für Redundanz und Ausfallsicherheit

Rund 300 geschlossene Ringe sollen im Vollausbau automatisch um Störungen herum routen. Fällt ein Glasfaserstrang aus, übernimmt der nächste Pfad ohne manuelle Eingriffe. Die Architektur orientiert sich an Konzepten, die in Energienetzen seit Jahrzehnten Standard sind, in der Telekommunikation aber selten konsequent umgesetzt wurden. Ergänzt wird das Ganze durch Distributed Acoustic Sensing: Glasfasern werden selbst zu Sensoren und melden Erschütterungen, Grabungen oder Manipulationsversuche in Echtzeit. Für Behörden, Kommunen und KRITIS-Betreiber bedeutet das eine messbar höhere Cyberresilienz – nicht als Marketingbegriff, sondern als technische Eigenschaft, die sich in SLAs, Recovery-Zielen und Wiederanlaufzeiten eines ausfallsicheren Glasfasernetzes niederschlägt. Die Architektur spiegelt die digitale Resilienz Deutschlands in messbaren Werten wider.

Konsequenzen für Behörden und Kommunen

Aus den Netz-33-Plänen ergeben sich konkrete Folgen für Beschaffung, Vergabe und Betrieb in der Verwaltung. Die digitale Resilienz öffentliche Verwaltung wird zunehmend an der Frage gemessen, wie schnell sich nach einem Vorfall wieder gearbeitet werden kann. Bestehende Verträge mit klassischen Carriern, einfache Standortanbindungen und kommunale Glasfaserprojekte greifen oft zu kurz.

Wer heute eine neue Anbindung ausschreibt, sollte Resilienzkriterien und Schutzklassen explizit fordern – sonst werden günstige Angebote zu teuren Schwachstellen. Die Botschaft des Spatenstichs in Brandenburg ist deshalb keine reine Investitionsmeldung, sondern eine Zäsur für die digitale Souveränität ganzer Versorgungsregionen. Die digitale Resilienz Deutschlands wird damit zur Steuerungsfrage – und nicht mehr nur zur IT-Aufgabe einzelner Häuser.

Was die KRITIS-Netzinfrastruktur künftig leisten muss

Eine moderne KRITIS-Netzinfrastruktur muss heute weit mehr leisten als reinen Datentransport. Behörden brauchen klar definierte Wiederanlaufzeiten, dokumentierte Eskalationswege und Strecken, die selbst bei Strom- oder Verkehrsausfällen weiterarbeiten. Verfügbarkeit allein genügt nicht mehr – gefordert sind Beweisbarkeit, Auditfähigkeit und Schutz vor Kabelsabotage Behörden-übergreifend. Dazu gehört der Nachweis von Komponenten-Herkunft, durchgängiges Monitoring und nachvollziehbare Reaktionsketten zwischen Betreiber, Aufsicht und Verwaltung. Wer heute neue Netzanbindungen plant, denkt nicht in Bandbreiten, sondern in Risikoklassen kritischer Kommunikationsnetze. Damit erhalten KRITIS-Netzinfrastruktur Anforderungen eine neue Verbindlichkeit – sie werden zum Prüfgegenstand in Aufsichten, Audits und in der politischen Diskussion über die Cyberresilienz Deutschlands.

Welche Anforderungen stellt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zu einem ganzheitlichen Schutzkonzept – physisch und digital. Es ergänzt die NIS-2 Umsetzung und schließt Lücken bei der Resilienz von Versorgungsanlagen. Die digitale Resilienz Deutschland-weit hängt damit unmittelbar an der konsequenten Umsetzung dieser Pflichten. Erstmals werden bauliche Sicherung, Personalkontrolle, Notfallpläne und Lieferkettenrisiken zusammen geregelt. Telekommunikations- und Glasfaserstrecken fallen ausdrücklich darunter, sobald sie für die Versorgung kritischer Anlagen genutzt werden. Behörden, Kommunen und Versorger müssen daher Anbindungen, aktive Komponenten und externe Dienstleister gemeinsam betrachten – nicht isoliert nach Vergabelos. Ohne diese Verzahnung bleibt jeder Audit nur eine Momentaufnahme.

Zentrale Anforderungen aus KRITIS-Dachgesetz und NIS-2 Umsetzung im Überblick:

  • Risiko- und Schutzbedarfsanalyse
  • Notfall- und Wiederanlaufpläne
  • physische Sicherung von Anlagen und Trassen
  • Personal- und Zugangskontrollen
  • nachweisbares Lieferkettenmanagement
  • Meldewege für Sicherheitsvorfälle
  • regelmäßige Audits und Übungen
  • Dokumentation aller Schutzmaßnahmen

Resiliente Glasfaserinfrastruktur in Vergabe und Wartung

Eine resiliente Glasfaserinfrastruktur lässt sich nicht erst im Betrieb herstellen – sie beginnt im Vertrag. Vergabeunterlagen sollten Trassenwahl, Komponenten-Herkunft, Monitoring-Pflichten und Reaktionszeiten konkret vorgeben. Die Wartung bestehender Strecken erfordert ein eigenes Reifegradmodell, das physische und digitale Schutzmaßnahmen verbindet. Mustertexte aus dem EVB-IT-Umfeld helfen, Resilienz, Verfügbarkeit und Lieferketten-Pflichten sauber zu trennen. Für Kommunen und Behörden lohnt sich der Blick auf Konzepte wie Netz 33 als Referenzbild eines krisensicheren Glasfasernetzes, ohne sich an einen einzelnen Anbieter zu binden. So entsteht aus dem Brandenburger Pilotprojekt ein praktischer Maßstab für Schutz vor Kabelsabotage Behörden-übergreifend und für die digitale Resilienz öffentliche Verwaltung.

Gefällt dir, was du siehst? Teile es!