Wie sichern Sie Ihre kritische Infrastruktur gegen Sabotage und Naturgefahren in der Schweiz?

Für Betreiber kritischer Infrastrukturen in der Schweiz scheint die Welt paradox: Man operiert in einem der stabilsten Länder der Welt, sieht sich aber mit einer wachsenden Zahl an Bedrohungen konfrontiert – von geopolitisch motivierter Sabotage über die zunehmende Instabilität der Stromnetze bis hin zu Extremwetterereignissen. Die gängigen Ratschläge zur Absicherung sind bekannt: eine robuste Stahltür, ein Backup-Generator, eine Alarmanlage. Diese Massnahmen sind notwendig, aber bei Weitem nicht ausreichend. Sie behandeln Sicherheit als eine Checkliste von Einzelteilen, nicht als ein integriertes, lebendiges System.

Der fundamentale Fehler liegt in der Perspektive. Man fokussiert sich auf den Kauf von Sicherheitsprodukten statt auf die Gestaltung von Resilienzprozessen. Doch was, wenn die entscheidende Frage nicht lautet, welche Tür man kauft, sondern wie viele Schichten der Verteidigung davor liegen? Was, wenn die Wahl zwischen einem Diesel-Aggregat und einer Batterie-USV weniger eine technische als eine strategische Entscheidung über die Autonomie Ihres Betriebs ist? Und was, wenn der unscheinbare Wassersensor am Boden Ihres Serverraums nicht nur eine technische Spielerei ist, sondern der wichtigste Baustein Ihres finanziellen Risikomanagements?

Dieser Leitfaden bricht mit oberflächlichen Empfehlungen. Stattdessen liefert er eine risikobasierte Entscheidungsmatrix, die speziell auf die Gegebenheiten in der Schweiz zugeschnitten ist. Wir analysieren nicht nur, was zu tun ist, sondern warum bestimmte, oft kontraintuitive Massnahmen unter Schweizer Bedingungen – von der Topografie über die strenge Regulatorik bis zur Netzarchitektur – den entscheidenden Unterschied zwischen einem beherrschbaren Zwischenfall und einer katastrophalen Betriebsstörung ausmachen. Ziel ist es, Ihnen ein strategisches Rüstzeug an die Hand zu geben, um nicht nur auf Bedrohungen zu reagieren, sondern sie proaktiv zu antizipieren und zu neutralisieren.

Dieser Artikel führt Sie durch die zentralen strategischen Überlegungen zur Absicherung Ihrer kritischen Anlagen. Er bietet eine klare Struktur, um die komplexen Zusammenhänge zwischen baulichen Massnahmen, technischer Ausrüstung und regulatorischen Anforderungen zu verstehen.

Warum Schweizer Bunkeranlagen wieder zur bevorzugten Option für Datenspeicher werden?

In einer Zeit steigender physischer und geopolitischer Risiken erlebt eine einzigartige Schweizer Ressource eine Renaissance: die militärische Bunkeranlage. Was einst dem Schutz der Bevölkerung und Armee im Kalten Krieg diente, wird heute zur ultimativen Festung für das wertvollste Gut des 21. Jahrhunderts – Daten. Der Grund ist einfach: Eine Bunkeranlage realisiert das Konzept der „Standort-DNA“ in seiner reinsten Form. Der Standort selbst ist die erste und massivste Sicherheitsebene. Ein tief im Bergmassiv gelegenes Rechenzentrum ist von Natur aus gegen eine Vielzahl von Bedrohungen wie Flugzeugabstürze, Stürme oder direkte Angriffe geschützt, die bei einem normalen Zweckbau immense Investitionen erfordern würden.

Prominente Beispiele wie Deltalis im Kanton Uri oder Mount10 im „Swiss Fort Knox“ zeigen das Potenzial eindrücklich. Diese Anlagen, verbaut in ehemaligen Militärkomplexen, bieten weit mehr als nur dicke Betonwände. Sie profitieren von einer konstanten, kühlen Umgebungstemperatur tief im Berg, was die Kühlkosten für Server drastisch senkt. Deltalis erreicht beispielsweise durch natürliche Wasserkühlung einen exzellenten PUE-Wert (Power Usage Effectiveness) von 1,2, ein Effizienzwert, der in konventionellen Bauten nur mit erheblichem technischem Aufwand möglich ist. Zudem gewährleisten redundante Glasfaser-Backbones, die durch das Bergmassiv geführt werden, eine extrem sichere und schnelle Anbindung, beispielsweise mit Latenzzeiten von nur 5,3 Millisekunden nach Frankfurt.

Die Entscheidung für einen Bunkerstandort ist somit keine rein physische, sondern eine tiefgreifende strategische Weichenstellung. Sie verlagert den Fokus von der Nachrüstung schwacher Strukturen hin zur Nutzung inhärenter Stärke. Für Unternehmen, deren Geschäftsmodell auf der maximalen Verfügbarkeit und Sicherheit von Daten beruht, stellt dies die konsequenteste Form des Risikomanagements dar.

Wie rüsten Sie einen Bestandsbau zum Hochsicherheits-Serverraum nach RC3-Standard um?

Nicht jede kritische Infrastruktur kann in einem Bunker untergebracht werden. Für Bestandsbauten stellt sich daher die Frage: Wie kann ein maximales Sicherheitsniveau erreicht werden? Die Antwort liegt in einer systematischen Härtung, die über eine einfache Stahltür weit hinausgeht. Der Fokus muss auf der Schaffung einer zertifizierten, einbruchhemmenden Gesamtlösung liegen, bei der die Widerstandsklasse (RC, Resistance Class) der entscheidende Massstab ist. Für Serverräume gilt die RC3-Norm als sinnvoller Mindeststandard. Eine RC3-zertifizierte Tür widersteht einem erfahrenen Täter mit Werkzeugen wie einem grossen Schraubendreher und einem Kuhfuss für mindestens fünf Minuten – ein kritisches Zeitfenster für das Eintreffen von Sicherheitskräften.

Die Notwendigkeit einer solchen physischen Absicherung wird durch die digitale Bedrohungslage unterstrichen. Laut dem Bundesamt für Cybersicherheit (BACS) wurden in der Schweiz seit April 2024 insgesamt 164 Cyberangriffe auf kritische Infrastrukturen gemeldet – das entspricht rund einem Angriff pro Tag. Viele dieser Angriffe könnten durch einen unbefugten physischen Zugang erheblich erleichtert werden. Eine RC3-Tür ist dabei nur ein Baustein. Das Gesamtsystem muss Wände, Fenster, Schlösser, Bänder und die Verankerung im Mauerwerk umfassen. Ein schwaches Glied in dieser Kette macht die stärkste Tür nutzlos. Moderne Lösungen integrieren zudem mehrstufige Zugangskontrollen, oft eine Kombination aus Badges, PIN-Codes und biometrischen Scannern, um eine lückenlose Protokollierung und Autorisierung sicherzustellen.

Die Nachrüstung auf RC3-Standard ist eine Investition in die Betriebskontinuität. Sie schützt nicht nur vor dem physischen Diebstahl von Hardware, sondern verhindert auch Sabotage und unautorisierte Manipulationen, die zu weitaus grösseren, betriebslähmenden Schäden führen können. Die Zertifizierung gibt zudem eine objektive, nachweisbare Sicherheit, die gegenüber Versicherungen und Auditoren von entscheidender Bedeutung ist.

Diesel-Aggregat oder Batterie-USV: Was überbrückt Schweizer Stromausfälle zuverlässiger?

Die stabile Stromversorgung ist das Herzstück jeder kritischen Infrastruktur. In der Schweiz, wo die Netzstabilität hoch, aber nicht absolut ist, ist eine Notstromversorgung unerlässlich. Die strategische Entscheidung fällt meist zwischen zwei Technologien: dem klassischen Diesel-Aggregat und der modernen, batteriegestützten unterbrechungsfreien Stromversorgung (USV). Die Wahl ist keine Frage von „besser“ oder „schlechter“, sondern eine Abwägung im Rahmen einer Risikomatrix, die Überbrückungsdauer, Reaktionszeit, Kosten und regulatorische Auflagen berücksichtigt.

Eine Batterie-USV reagiert sofort. Ihre Umschaltzeit beträgt 0 Millisekunden, was sie zur idealen Lösung macht, um kurzzeitige Spannungsschwankungen und Mikrounterbrüche abzufangen, die für empfindliche IT-Systeme verheerend sein können. Ihre Kapazität ist jedoch auf Minuten bis wenige Stunden begrenzt. Ein Diesel-Aggregat hingegen benötigt eine Anlaufzeit von 15 bis 30 Sekunden, kann aber – abhängig vom Tankvolumen – den Betrieb über Tage oder sogar Wochen aufrechterhalten. Es ist die strategische Antwort auf langanhaltende, grossflächige Stromausfälle (Blackouts).

Der folgende Vergleich zeigt die wichtigsten Entscheidungskriterien für Schweizer Betreiber, basierend auf einer Analyse des Schweizer Rechenzentrum-Marktes:

In der Praxis wird oft eine hybride Lösung angestrebt: Die USV sichert die unterbrechungsfreie Versorgung in den ersten Sekunden, während das Dieselaggregat hochfährt, um die langfristige Autonomie zu gewährleisten. Wie die Green Datacenter AG im Handelskammerjournal hervorhebt, ist dies der Goldstandard für maximale Resilienz:

In modernen Rechenzentren versorgen im unwahrscheinlichen Fall eines vollständigen Stromunterbruches mehrere Dieselgeneratoren mit jeweils dreitausend PS die Server der Kunden konstant mit Energie.

– Green Datacenter AG, Handelskammerjournal

Der Standortfehler in Überschwemmungsgebieten, der Ihre Versicherungspolice ungültig macht

Einer der gravierendsten und zugleich am häufigsten unterschätzten Fehler bei der Sicherung kritischer Infrastrukturen ist die Missachtung der hydrogeologischen Risiken des Standorts. Der Bau oder Betrieb einer Anlage in einem ausgewiesenen Überschwemmungs- oder Hochwassergefahrengebiet ohne adäquate, dokumentierte Schutzmassnahmen ist nicht nur fahrlässig, sondern kann im Schadensfall zur Anfechtung oder sogar zur Ungültigkeit der Versicherungspolice führen. Versicherer argumentieren zunehmend mit „grober Fahrlässigkeit“, wenn grundlegende Präventivmassnahmen an einem bekanntermassen riskanten Standort ignoriert wurden.

Die „Standort-DNA“ ist hier ein entscheidender Faktor. Eine Anlage in der Nähe eines Flusses, in einer Senke oder in einem Gebiet mit hohem Grundwasserspiegel hat ein fundamental anderes Risikoprofil als eine auf einer Anhöhe. Das Problem ist nicht das Wasser allein, sondern seine Fähigkeit, kaskadierende Ausfälle zu verursachen: Kurzschlüsse in der Stromversorgung, Zerstörung von Server-Hardware, Kontamination durch Schlamm und die langfristige Korrosion von Anlagen. Ein Schaden, der mit einem einfachen Wassersensor hätte begrenzt werden können, eskaliert schnell zu einem Totalausfall.

Proaktive Massnahmen sind daher kein „Nice-to-have“, sondern eine Voraussetzung für die Versicherbarkeit und die Betriebssicherheit. Dazu gehört nicht nur die bauliche Härtung, sondern auch eine durchdachte interne Organisation der Infrastruktur. Die Platzierung kritischer Systeme wie Server, Steuerungen und Notstromversorgungen auf Sockeln oder in höheren Stockwerken ist eine einfache, aber extrem wirksame Massnahme. Regelmässige Inspektion und Reinigung von Dachrinnen und Abflüssen können einen Rückstau bei Starkregen verhindern. Für Standorte in extremen Gefahrenzonen sind mobile Barrieren und gut abgedichtete Kellerfenster und Türen unerlässlich.

Wie senken Sie die Kühlkosten im Serverraum ohne Risiko einer Überhitzung?

Die Kühlung ist einer der grössten operativen Kostenfaktoren in jedem Rechenzentrum oder Serverraum. Der Versuch, hier Kosten zu senken, birgt jedoch ein erhebliches Risiko: eine Überhitzung der empfindlichen IT-Komponenten, die zu Leistungseinbussen, Systemabstürzen und einer verkürzten Lebensdauer der Hardware führt. Der Schlüssel zur Effizienzsteigerung liegt nicht darin, die Klimaanlage einfach kälter zu stellen, sondern in der intelligenten Steuerung der Luftströme. Das wirksamste Prinzip hierfür ist die Kalt- und Warmgang-Einhausung.

Das Grundprinzip ist bestechend einfach: Anstatt den gesamten Raum zu kühlen, wird die kalte Zuluft gezielt an die Vorderseite der Server-Racks geführt (Kaltgang), während die heisse Abluft an der Rückseite abgesaugt wird (Warmgang). Durch eine physische Trennung dieser beiden Gänge – meist durch Türen und Dach- oder Wandelemente – wird verhindert, dass sich kalte und heisse Luft vermischen. Dieser „Kurzschluss“ der Luftströme ist die grösste Quelle der Ineffizienz in ungeplanten Serverräumen. Die Einhausung stellt sicher, dass die Klimaanlage ausschliesslich die heisse Abluft kühlen muss, anstatt bereits gekühlte Luft erneut zu kühlen.

Die Vorteile sind erheblich. Durch die konsequente Trennung kann die Solltemperatur der Klimaanlage oft um mehrere Grad erhöht werden, ohne die Temperatur im Kaltgang zu gefährden. Jedes Grad Celsius höher spart signifikant Energie. Gleichzeitig wird die Bildung von „Hot Spots“ – lokalen Überhitzungszonen – durch eine gleichmässige Verteilung der Kaltluft effektiv verhindert. Die Investition in eine Einhausung amortisiert sich daher oft schon innerhalb weniger Jahre allein durch die Einsparungen bei den Energiekosten. Zudem leistet sie einen wichtigen Beitrag zur Nachhaltigkeit und zur Verbesserung des PUE-Wertes, einer wichtigen Kennzahl für die Energieeffizienz von Rechenzentren.

Warum eine einzige Stahltür nicht reicht: Das Konzept der gestaffelten Sicherheitsringe

Ein weit verbreiteter Trugschluss in der physischen Sicherheit ist der Glaube an die „uneinnehmbare Festung“, symbolisiert durch eine einzige, massive Stahltür. In der Realität ist jede einzelne Verteidigungslinie überwindbar – die Frage ist nur, mit welchem Aufwand und in welcher Zeit. Eine moderne und weitaus resilientere Sicherheitsphilosophie basiert daher auf dem Konzept der gestaffelten Sicherheitsringe oder „Defense-in-Depth“. Anstatt sich auf einen einzigen, perfekten Schutzpunkt zu verlassen, werden mehrere, aufeinanderfolgende Barrieren geschaffen, die ein Angreifer nacheinander überwinden muss.

Dieses Prinzip ist auch Kern der nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI) in der Schweiz. Das Bundesamt für Bevölkerungsschutz (BABS) zielt darauf ab, die Resilienz zu verbessern, damit gravierende Ausfälle verhindert werden können. Wie die offizielle SKI-Strategie erläutert, umfassen Massnahmen die Härtung von Systemen, aber auch organisatorische Vorkehrungen, die Zeit gewinnen und Reaktionen ermöglichen. Jeder Sicherheitsring erfüllt dabei eine spezifische Funktion:

• Äusserer Ring (Grundstücksgrenze): Zäune, Tore, Perimeterschutz und Videoüberwachung dienen der Abschreckung und der frühzeitigen Erkennung.
• Mittlerer Ring (Gebäudehülle): Einbruchhemmende Fenster (z.B. RC2) und Türen sowie die Kontrolle von Zugangspunkten verlangsamen einen Eindringling.
• Innerer Ring (sensibler Bereich): Hochsicherheitstüren (z.B. RC3/RC4), biometrische Zugangskontrollen und separate Alarmsysteme schützen den eigentlichen Kernbereich, wie den Serverraum.
• Kern (Rack-Ebene): Abschliessbare Server-Schränke bieten die letzte Verteidigungslinie gegen unbefugten Zugriff, selbst wenn ein Angreifer bereits im Raum ist.

Jede überwundene Barriere löst einen Alarm aus, protokolliert den Vorfall und verschafft dem Sicherheitspersonal wertvolle Zeit zum Reagieren. Das Ziel ist nicht die absolute Unüberwindbarkeit, sondern die garantierte Detektion und eine ausreichende Verzögerung, um eine Intervention zu ermöglichen.

Warum ein Wassersensor für 50 CHF einen Schaden von 500’000 CHF verhindern kann?

Das Verhältnis zwischen den Kosten einer Präventivmassnahme und der potenziellen Höhe eines verhinderten Schadens ist die Essenz des Resilienz-Kalküls. Nirgendwo wird dieses Prinzip deutlicher als beim Schutz vor Wasserschäden in einem Serverraum. Ein einfacher, an der tiefsten Stelle des Raumes installierter Wassersensor kostet oft weniger als 50 CHF. Ein schwerer Wasserschaden – verursacht durch einen Rohrbruch, eine defekte Klimaanlage oder eindringendes Löschwasser – kann hingegen schnell einen Schaden von mehreren hunderttausend Franken verursachen, wenn man Hardware-Verlust, Betriebsunterbrechung und Wiederherstellungskosten zusammenrechnet.

Der Sensor selbst ist jedoch nur der Auslöser. Seine wahre Wirksamkeit entfaltet er erst als Teil einer automatisierten und redundanten Alarmierungskette. Ein Leck, das am Freitagabend um 23:00 Uhr auftritt, nützt niemandem etwas, wenn der Alarm nur eine E-Mail an einen Mitarbeiter sendet, der im Wochenende ist. Eine effektive Kette ist mehrstufig und stellt sicher, dass eine Reaktion zu jeder Tages- und Nachtzeit erfolgt.

Eine robuste Alarmkette sollte folgende Elemente umfassen:

• Sofortige Benachrichtigung: Eine SMS- oder Push-Nachricht an den 24/7-Pikettdienst oder einen definierten Notfallkontakt.
• Automatisierte Eskalation: Wenn die erste Meldung nicht innerhalb von wenigen Minuten quittiert wird, erfolgt eine automatische Benachrichtigung an die nächste Stufe (z.B. Leiter Facility Management, Geschäftsleitung).
• Automatische Gegenmassnahme: Die fortschrittlichste Stufe ist die Kopplung des Sensors an ein Magnetventil in der Hauptwasserleitung. Bei Alarmauslösung wird die Wasserzufuhr zum betroffenen Bereich sofort automatisch unterbrochen.
• Lückenlose Protokollierung: Alle Alarme und Reaktionen müssen in Logfiles gespeichert werden. Diese sind für die Analyse nach einem Vorfall und als Nachweis für die Versicherung von unschätzbarem Wert.

Die Investition in eine solche durchdachte Sensorik und Alarmierung ist eine der rentabelsten Sicherheitsmassnahmen überhaupt. Sie wandelt ein unkalkulierbares katastrophales Risiko in einen beherrschbaren, schnell zu behebenden Zwischenfall um.

Wie setzen Sie die aktuellen VKF-Brandschutzrichtlinien kosteneffizient um?

Für Betreiber kritischer Infrastrukturen in der Schweiz sind die Brandschutzvorschriften der Vereinigung Kantonaler Feuerversicherungen (VKF) nicht verhandelbar. Sie bilden den rechtlichen und sicherheitstechnischen Rahmen, dessen Einhaltung für die Betriebsbewilligung und den Versicherungsschutz zwingend ist. Die Herausforderung liegt nicht in der Akzeptanz dieser Regeln, sondern in ihrer kosteneffizienten Umsetzung, insbesondere im Hinblick auf anstehende Änderungen. Aktuell befindet sich die Totalrevision der Schweizerischen Brandschutzvorschriften in der Vernehmlassung. Laut dem Schweizerischen Schreiner- und Schreinermeisterverband endet die technische Vernehmlassung zur Totalrevision der Brandschutzvorschriften 2026 am 11. Januar 2026. Dies bedeutet, dass Betreiber ihre aktuellen und geplanten Massnahmen auf Kompatibilität mit den zukünftigen, potenziell strengeren Anforderungen prüfen müssen.

Kosteneffizienz im Brandschutz bedeutet, Massnahmen zu wählen, die den grössten Sicherheitsgewinn pro investiertem Franken bringen. Dies kann bedeuten, in eine höherwertige Brandabschnittstür (z.B. EI60 statt EI30) zu investieren, um teurere Sprinkleranlagen in weniger kritischen Zonen zu vermeiden. Es kann auch bedeuten, auf eine Inertgas-Löschanlage zu setzen, die zwar in der Anschaffung teuer ist, aber im Brandfall die wertvolle IT-Ausrüstung nicht durch Wasser oder Löschpulver zerstört und somit einen weitaus grösseren Folgeschaden verhindert. Eine frühzeitige Zusammenarbeit mit einem zertifizierten Brandschutzexperten ist hier entscheidend. Dieser kann helfen, eine risikobasierte Strategie zu entwickeln, die über die reinen Mindestanforderungen hinausgeht und eine optimale Balance zwischen Investition, Betriebskosten und Schutzwirkung findet.

Die Bedeutung dieser Vorschriften geht weit über die blosse Einhaltung von Gesetzen hinaus. Sie sind ein zentrales Instrument zur Rettung von Menschenleben und zur Sicherung von Sachwerten, wie Experten betonen. Prof. Dr. med. Clemens Schiestl vom Universitäts-Kinderspital Zürich unterstreicht den Erfolg dieser Massnahmen:

Die Brandschutzvorschriften haben signifikant zur Reduktion von brandbedingten Todesfällen in der Schweiz beigetragen.

– Prof. Dr. med. Clemens Schiestl, Universitäts-Kinderspital Zürich

Eine proaktive, vorausschauende Auseinandersetzung mit den VKF-Richtlinien ist somit nicht nur eine regulatorische Pflicht, sondern ein fundamentaler Baustein einer verantwortungsvollen und nachhaltigen Betriebsstrategie.

Der Schutz Ihrer kritischen Infrastruktur ist ein kontinuierlicher Prozess der Analyse, Anpassung und Verbesserung. Beginnen Sie noch heute mit einer systematischen Neubewertung Ihrer Risikostrategie auf Basis dieser Prinzipien, um die Resilienz und Zukunftsfähigkeit Ihres Betriebs nachhaltig zu sichern.