Industriekunden lesen die Bitkom-Studie Wirtschaftsschutz 2025 anders als die Öffentlichkeit. Vier physische Zahlen verändern, wie sie ab 2026 ihren Werkschutz einkaufen.
Während die Medien die 289,2 Milliarden Euro Schaden aus der Bitkom-Studie als Cyber-Thema diskutierten, ziehen Werkleiter und KRITIS-Beauftragte andere Daten heraus: 22 Prozent physische Sabotage von Produktionsanlagen, 41 Prozent Diebstahl physischer Dokumente und Bauteile, 32 Prozent Abhören von Besprechungen vor Ort, 54 Prozent Diebstahl von IT- und Telekom-Geräten.
Der Auslöser für die Marktbewegung ist das Zusammentreffen der Studie mit dem KRITIS-Dachgesetz, das Betreiber kritischer Infrastrukturen zwingt, ihren physischen Schutz auditierbar zu dokumentieren. Werkleiter haben damit für den Vorstand sowohl die Begründung (die Bitkom-Zahlen) als auch die Pflicht (KRITIS-DG), den eingekauften Werkschutz auf eine neue Dokumentationsstufe zu heben.
Kurz zusammengefasst: Die Bitkom-Studie 2025 belegt, dass physische Angriffe vor allem Produktions- und Industriebetriebe treffen. Diese Betriebe müssen 2026 ihren physischen Schutz KRITIS-konform dokumentieren. Werkschutz-Dienstleister, die das nicht auditierbar liefern können, riskieren bei der nächsten Vergabe den Anschluss.
Die Bitkom-Studie Wirtschaftsschutz 2025 zeigt vier physische Angriffsvektoren mit klarer Industrie-Konzentration: 22 Prozent der befragten Unternehmen meldeten physische Sabotage von Produktionsanlagen, 41 Prozent Diebstahl physischer Dokumente und Bauteile, 32 Prozent Abhören vor Ort, 54 Prozent Diebstahl von IT- und Telekom-Geräten. Für reine Bürobetriebe sind diese Werte deutlich niedriger; sie treffen Werks- und Produktionsstandorte.
Die Methodik: 1.002 Unternehmen mit mindestens 10 Mitarbeitern und 1 Million Euro Jahresumsatz, telefonisch zwischen April und Juni 2025 befragt. 87 Prozent meldeten Betroffenheit, im Vorjahr waren es 81 Prozent. Die physischen Vektoren im Detail:
Zum Vergleich: 73 Prozent meldeten digitale Sabotage, 34 Prozent waren von Ransomware betroffen. Die Cyber-Zahlen sind höher, aber sie verdecken einen wichtigen Punkt: Cyber-Angriffe treffen jedes vernetzte Unternehmen gleich. Physische Angriffe konzentrieren sich auf Industriestandorte mit Produktion, Forschung und kritischer Infrastruktur. Also auf die Betriebe, die unter das verschärfte KRITIS-Regime fallen.
Das KRITIS-Dachgesetz wurde am 29. Januar 2026 vom Bundestag verabschiedet und reguliert erstmals bundeseinheitlich den physischen Schutz kritischer Anlagen. Rund 30.000 Unternehmen fallen unter die erweiterte Regulierung. Für Werkschutz-Dienstleister ist das operativ relevant, weil die Dokumentationspflichten der Betreiber vertraglich nach unten weitergereicht werden.
Die für Werkschutz relevanten KRITIS-Pflichten:
Werkschutz-Dienstleister sind keine KRITIS-Betreiber. Sie werden vom BSI nicht direkt geprüft. Der vertragliche Mechanismus ist trotzdem hart: KRITIS-Betreiber müssen die Dokumentation ihres physischen Schutzes vorlegen können. Diese Dokumentation entsteht beim Sicherheitsdienstleister, nicht beim Betreiber. Wer als Werkschutz-Anbieter keinen auditierbaren Nachweis liefert, wird durch einen Anbieter ersetzt, der ihn liefert. Die Bitkom-Studie 2025 liefert KRITIS-Beauftragten die Datenbasis, mit der sie diese Investition gegenüber dem Vorstand begründen.
Ausschreibungen und Verlängerungen für Werkschutz-Mandate werden 2026 Anforderungen enthalten, die heute oft optional oder gar nicht formuliert sind. Die wichtigsten neuen Klauseln:
Diese Klauseln sind keine Spekulation. Sie ergeben sich direkt aus §10 KRITIS-DG (technische, organisatorische und personelle Resilienzmaßnahmen) und werden in der Vertragspraxis nach unten durchgereicht: Wer als KRITIS-Betreiber im BSI-Audit den physischen Schutz nicht belegen kann, hat ein Compliance-Problem, das er nicht intern lösen kann. Er löst es über den Sicherheitsdienstleister, der die Dokumentation tatsächlich erzeugt.
Papier-Wachbücher und Excel-Listen scheitern in industriellen Werkschutz-Umgebungen an drei Stellen, die der BSI-Auditor systematisch prüft: Manipulierbarkeit der Zeitstempel, fehlende Abdeckung realer Flächen-Geometrien, und der fehlende Audit-Trail-Zusammenhang zwischen Rundgang, Vorfall und Schichtübergabe. Jede der drei Schwächen ist im Werks- oder Industrieumfeld stärker ausgeprägt als in einer reinen Bürobewachung.
Zeitstempel ohne Nachweiswert. Im Papier-Wachbuch trägt der Mitarbeiter den Zeitpunkt selbst ein. Im BSI-Audit gilt das als Behauptung, nicht als Nachweis. Auf einem Werksgelände mit mehreren Pforten, Lagerbereichen und Produktionshallen entstehen pro Schicht 30 bis 50 Eintragungen. Auch bei sauberer Schrift lässt sich nicht widerlegen, dass eine Stunde später nachgetragen wurde.
Flächen sind keine Zeile. Schichtpläne und Aufenthaltsnachweise in Excel kennen nur Punkte oder Zeiträume. Industrielle Wirklichkeit ist zweidimensional: eine L-förmige Lagerhalle, eine Verladezone mit klarer Kante, ein Reinraum mit definiertem Sicherheitsabstand, ein Trafo-Bereich mit Sperrzone. Die Aufenthaltsdauer in diesen Flächen lässt sich mit Spalten und Zeilen nicht abbilden, ohne dass der Datenpunkt nachträglich änderbar bleibt.
Fünf Ordner sind kein Audit-Trail. Wenn das Wachbuch im einen Tool liegt, der Dienstplan im anderen, die GPS-Daten irgendwo separat und die Schlüsselübergaben auf Papier, sieht der Prüfer fünf isolierte Datenquellen. Ein Audit-Trail braucht eine einzige Quelle, in der jeder physische Vorgang im Zusammenhang steht. Beim KRITIS-Audit wird genau dieser Zusammenhang abgefragt.
Die BSI-Reifegradsystematik ist hier unbarmherzig. „Wir machen das schon, es hat bisher funktioniert" entspricht dem untersten Reifegrad. KRITIS-Betreiber brauchen einen definierten, dokumentierten Prozess mit nachweisbarer Umsetzung. Das ist nicht durch bessere operative Arbeit zu erreichen, sondern nur durch ein integriertes Dokumentationssystem.
COREDINATE OWKS bildet die fünf Vertragsanforderungen oben zusammen ab: Kontrollpunktscans per NFC für klassische Kontrollpunkte und polygonale Geofences mit GPS-Verifikation für Werksgelände-Geometrien, ein digitales Wachbuch, das sich automatisch aus Scans, Ereignissen und Schichtdaten zusammenschreibt, Ereigniserfassung mit Foto, Standort und Diktierfunktion direkt vor Ort, sowie Auswertungen als PDF auf Knopfdruck, gefiltert nach Objekt, Zeitraum, Mitarbeiter oder Vorfallstyp.
Die polygonale Geofence-Funktion ist für industrielle Layouts entscheidend: Eine L-förmige Lagerhalle, ein Werksgelände mit drei Anbauten, eine abgegrenzte Verladezone werden Punkt für Punkt als Zone gezeichnet. Beim Betreten und Verlassen entsteht ein automatischer Wachbuch-Eintrag mit GPS-Position. Aufenthaltsdauer in sensiblen Bereichen wie Gefahrstofflager oder Konstruktion läuft parallel zur Schichtzeit als Bereichszeit-Erfassung mit. Genau das, was Spalten und Zeilen in Excel nicht leisten.
Drei weitere Eigenschaften sind für das BSI-Audit relevant: unveränderbare Daten nach Upload für die geforderte Manipulationssicherheit, Server-Standort Deutschland ohne Datenübertragung ins Ausland, DSGVO-konform und Made in Germany, sowie geo-redundante Ausfallsicherheit, die KRITIS-Betreiber in ihren Resilienzplänen explizit nachweisen müssen. Für Industriekunden, die mehrere Sicherheitsdienstleister koordinieren, kommt das optionale Auftraggeber-Portal hinzu: KRITIS-Beauftragte sehen die Werkschutz-Dokumentation direkt, ohne E-Mail-Eskalation für Routinedaten.
COREDINATE OWKS ist ein Beispiel für ein Online-Wächterkontrollsystem, das diese Anforderungen bündelt. Der Punkt ist nicht das spezifische Produkt. Entscheidend ist, dass ein einziger Audit-Trail existiert, in dem jeder physische Vorgang im Zusammenhang dokumentiert ist.
„Ich habe eine sichere Dokumentation, und durch den Einsatz von GPS weiß ich, wo sich der Kollege befindet. Mit der Totmannschaltung fühlt sich auch der Kollege sicher, da ich nicht nur seinen Standort, sondern im Unfallfall seinen Zustand kenne."
Volker Frisse, Protection One GmbHDrei konkrete Maßnahmen folgen aus dieser Marktlage, umsetzbar in den nächsten beiden Quartalen.
1. Streifenrouten und Tageszeiten variieren und dokumentieren. Physische Sabotage und Diebstahl finden statistisch in Lücken statt, in denen Rundgänge planbar werden. Tägliche Rundgänge mit gleichem Weg und gleicher Uhrzeit sind ein Lehrplan für Angreifer. Variation ist eine operative Schutzmaßnahme, aber nur dann, wenn sie dokumentiert wird. Sonst lässt sie sich gegenüber dem Auftraggeber nicht belegen.
2. Besucher-, Lieferanten- und Subunternehmer-Erfassung digitalisieren. Die Unterscheidung zwischen einem echten Wartungstechniker und einem Vorwand am Werktor braucht mindestens vollständige Identitätsdokumentation, Begleitung in sensible Bereiche, Zeitprotokoll des Aufenthalts und Eskorten-Nachweis. Diese Daten gehören in dasselbe System wie die Rundgangsnachweise, nicht in separate Listen.
3. Audit-Trail-System aufbauen, bevor der erste KRITIS-Auftraggeber danach fragt. Wenn ein Industriekunde in der nächsten Vertragsverlängerung fragt, wie die Dokumentation der letzten 12 Monate auditierbar vorliegt, ist die Antwort entweder „auf Knopfdruck" oder „wir müssen wechseln". Die Umstellung von Papier auf ein integriertes Online-Wächterkontrollsystem braucht typischerweise mehrere Wochen Vorlauf für Hardware-Verteilung, Mitarbeiter-Schulung und Objekt-Konfiguration. Wer erst nach der Anfrage startet, verliert die Frist.
Laut Bitkom-Studie Wirtschaftsschutz 2025 erlebten 22 Prozent der befragten Unternehmen physische Sabotage ihrer Produktionsanlagen. Befragt wurden 1.002 Unternehmen mit mindestens 10 Mitarbeitern und 1 Million Euro Jahresumsatz, telefonisch zwischen April und Juni 2025. Die Sabotage trifft vor allem Industrie- und Produktionsstandorte, weniger reine Büroflächen.
Die Studie belegt, dass die physischen Angriffsvektoren (Sabotage 22%, Dokumentendiebstahl 41%, Abhören 32%, IT-Geräte-Diebstahl 54%) auf Produktions- und Industriebetriebe konzentriert sind. Genau diese Betriebe fallen unter das KRITIS-Dachgesetz und müssen ihren physischen Schutz auditierbar dokumentieren. Die Studie liefert KRITIS-Beauftragten die Datenbasis, mit der sie gegenüber dem Vorstand Investitionen in Werkschutz und Dokumentation begründen.
Werkschutz-Dienstleister sind selbst keine KRITIS-Betreiber und werden vom BSI nicht direkt geprüft. Aber: KRITIS-Betreiber müssen den physischen Schutz auditierbar dokumentieren, und diese Dokumentation entsteht beim Sicherheitsdienstleister. Erwartet werden zeitgestempelte Rundgangsnachweise, lückenlose Besucher-Protokollierung, 24-Stunden-Vorfallsmeldungen, Übergabe-Audit-Trails und 12-Monats-Verfügbarkeit der Dokumentation. Dienstleister, die das mit Papier oder Excel nicht liefern können, riskieren Vertragsverluste.
Das KRITIS-Dachgesetz wurde am 29. Januar 2026 vom Bundestag verabschiedet. Die Identifizierungsphase beim BBK beginnt am 17. Juli 2026. Identifizierte KRITIS-Betreiber müssen sich innerhalb von 3 Monaten nach Identifizierung registrieren. Danach folgen gestaffelte Fristen für Risikoanalyse und Resilienzplan. Das BSI-Audit für den physischen Schutz findet alle drei Jahre statt.
Eine KRITIS-konforme Werkschutz-Dokumentation braucht ein integriertes Online-Wächterkontrollsystem (OWKS), das Rundgänge, Vorfälle, Schichtdaten und Schlüsselübergaben in einem Audit-Trail zusammenführt. Wichtige Anforderungen: NFC- oder GPS-verifizierte Zeitstempel, polygonale Geofences für reale Flächen-Geometrien, manipulationssichere Datenspeicherung, automatisches digitales Wachbuch, 24-Stunden-fähige Ereigniserfassung mit Foto und Standort, sowie Server-Standort in Deutschland. COREDINATE OWKS bildet diese Anforderungen vollständig ab und wird in Deutschland entwickelt.
Eine weiterführende Lektüre zu den operativen Aufgaben des Werkschutzes und den rechtlichen Grundlagen bietet der Überblick Werkschutz: Aufgaben, Pflichten und Kosten.
Bereit für KRITIS-konforme Werkschutz-Dokumentation? Sprechen Sie mit unserem Vertrieb oder bestellen Sie das 14-Tage-Testset mit echtem Equipment.