SecureStay

Analyse

Hybride Bedrohungen im Mittelstand: Wenn online angeworbene Gelegenheitstäter Ihren Betrieb auskundschaften

Hybride Bedrohungen treffen längst nicht nur KRITIS. Wie feindliche Akteure Gelegenheitstäter anwerben und was das für Ihren Betrieb bedeutet.

Porträt von Grygoriy Ogorinskyy
Grygoriy Ogorinskyy
Co-CEO, SecureStay Solutions UG
9 Min. Lesezeit

Ein Geschäftsführer eines mittelständischen Logistikbetriebs rechnet mit vielen Risiken. Cyberangriff, Betriebsausfall, Lieferkettenunterbrechung. Mit dem Szenario, dass jemand über einen Messenger-Dienst einen Gelegenheitstäter bezahlt, um seinen Standort zu fotografieren, rechnet er selten.

Hybride Bedrohungen treffen Unternehmen genau dort: in der Lücke zwischen dem, was man für möglich hält, und dem, was wirklich passiert. Europäische Sicherheitsbehörden beschreiben das Muster seit rund zwei Jahren öffentlich. Es ist keine Geheimdienstfiktion. Es ist ein dokumentiertes Phänomen, das sich von Hochsicherheitszielen auf normale Industrie- und Logistikbetriebe ausgeweitet hat. Und es nutzt Schwachstellen, die in keinem Fragebogen der Welt auftauchen, weil sie niemand aufschreibt, der sie kennt.

Hybride Bedrohungen im Mittelstand: Kein Randphänomen mehr

Der Begriff “hybride Bedrohung” klingt nach Geheimdienst und Staatsaffäre. Die Realität ist unspektakulärer. Und deshalb beunruhigender.

Ein fremder Akteur, staatlich gesteuert oder über Mittelsmänner beauftragt, will Informationen über einen Logistikstandort. Wann kommen Lieferungen? Welche Zufahrten sind nachts unbeaufsichtigt? Wo wird kritische Infrastruktur angeliefert, umgeschlagen, gelagert? Diese Informationen sind nicht geheim. Sie sind aus öffentlichen Quellen teilweise abrufbar, und der Rest ergibt sich aus wenigen Stunden Beobachtung vor Ort.

Dafür braucht kein Aufklärer professionelle Ausbildung. Ein Gelegenheitstäter mit einem Smartphone und einem Auftrag reicht. Der Auftrag kommt über Messenger-Dienste. Die Bezahlung ist klein. Die Aufgabe wirkt harmlos. Genau diese Niedrigschwelligkeit ist das eigentliche Risiko.

Sicherheitsbehörden in Deutschland, Belgien, Großbritannien und weiteren europäischen Ländern haben in den vergangenen Jahren Warnungen herausgegeben, die dieses Muster beschreiben. Es geht nicht mehr nur um KRITIS-Betreiber im klassischen Sinne. Es geht um Logistikzentren, Industriestandorte, Zulieferer und Betriebe, die Teil von Versorgungsketten sind, ohne dass ihre Geschäftsführer das so wahrnehmen.

Wie Anwerbung über Messenger funktioniert

Das Anwerbemodell folgt einem einfachen Prinzip: kleiner Auftrag, kleines Geld, scheinbar keine große Sache.

Jemand erhält eine Nachricht. Die Aufgabe: einmal an einem bestimmten Standort vorbeigehen und ein paar Fotos machen. Oder: herausfinden, wann bestimmte Fahrzeuge das Gelände verlassen. Oder: ein Gespräch führen und fragen, ob eine bestimmte Stelle offene Stellen hat, und dabei auf bestimmte Details achten. Die Bezahlung ist bar oder über digitale Zahlungsdienste. Der Auftraggeber bleibt anonym.

Der Angeworbene denkt nicht an Spionage. Er denkt an einen Nebenverdienst für eine harmlose Aufgabe. Das ist der Punkt, an dem hybride Kriegsführung auf den Mittelstand trifft. Nicht durch spektakuläre Infiltration, sondern durch die banale Bereitschaft, gegen ein paar Euro etwas zu tun, das keiner versteht.

Für den Betrieb auf der anderen Seite ist das Ergebnis identisch mit dem einer gezielten Aufklärungsoperation. Jemand weiß, wie der Standort aussieht, wo die Schwachstellen sind, wie die Routinen verlaufen. Ob dahinter ein Geheimdienst oder ein günstig bezahlter Gelegenheitstäter steckt, spielt für die Wirkung keine Rolle.

Warum normale Logistik- und Industriebetriebe im Fadenkreuz sind

Hochsicherheitsziele sind schwer. Militärgelände sind bewacht, bekannte KRITIS-Betreiber sind sensibilisiert, staatliche Einrichtungen haben Protokolle. Ein mittelständischer Logistikbetrieb hat das in der Regel nicht.

Er hat ein Tor, das manchmal offen steht. Er hat Mitarbeiter, die gern helfen und auf Nachfragen bereitwillig Auskunft geben. Er hat Zufahrten, die nachts nicht beobachtet werden. Er hat Routinen, die sich seit Jahren nicht verändert haben und die ein Außenstehender nach wenigen Stunden kennt.

Das macht ihn zur attraktiven Alternative. Nicht weil er das eigentliche Ziel ist, sondern weil er Teil einer Kette ist. Wer die Lieferkette eines größeren Unternehmens stören will, muss nicht das Unternehmen selbst angreifen. Er greift den Zulieferer an. Den Logistikdienstleister. Den Betrieb, der die Komponente liefert, ohne die eine Produktion stillsteht.

Mittelständische Betriebe sind Bindeglied und Schwachstelle zugleich. Genau deshalb sind sie Ziel.

Was eine Begehung sichtbar macht: Die drei Schwachstellen, die Aufklärer zuerst suchen

Hybride Bedrohungen sind kein abstraktes Konzept. Sie nutzen konkrete physische Lücken. In unseren Begehungen sehen wir immer wieder dieselben drei Muster, die einen Standort für Aufklärung und Sabotage zugänglich machen.

Ungesicherte Zufahrten und Sichtachsen

Ein Aufklärer braucht keinen Zutritt zum Gelände. Er braucht Sicht. Eine Zufahrt, von der aus man den Hof einsehen kann, reicht. Ein Parkstreifen in der Nähe, eine Bushaltestelle mit Blick auf das Tor, ein Café auf der gegenüberliegenden Straßenseite.

Ob diese Sichtachsen existieren, sieht man erst, wenn man draußen steht und schaut, wie ein Fremder schauen würde. Die meisten Betriebe haben das nie getan. Sie haben ihre Sicherheit von innen nach außen gedacht. Ein Aufklärer denkt von außen nach innen.

Wir gehen in Begehungen deshalb auch den Außenbereich systematisch ab. Wir schauen, was von welcher Position sichtbar ist. Was man mit einem Smartphone fotografieren kann, ohne das Gelände zu betreten. Welche Informationen der öffentliche Raum rund um den Standort liefert, bevor man je eine Schranke passiert hat. Das ist keine Geheimdienstmethodik. Es ist die Grundfrage, die jeder Betrieb beantworten können sollte.

Auskunftsfreudige Mitarbeiter und fehlendes Lagebewusstsein

Der zweithäufigste Befund betrifft die Menschen im Betrieb.

Mitarbeiter, die freundlich sind und gern helfen, sind eine Stärke. In der Interaktion mit einem gut vorbereiteten Gesprächspartner werden sie zur Schwachstelle. Ein Anruf mit einer plausiblen Geschichte, eine Frage am Empfang, ein Gespräch bei der Warenannahme: In wenigen Minuten lässt sich mehr über einen Betrieb herausfinden, als dessen Geschäftsführer für möglich hält.

Das ist kein Vorwurf an die Mitarbeiter. Es ist ein Hinweis darauf, dass Lagebewusstsein nicht selbstverständlich ist. Wer nicht weiß, dass Fragen nach Lieferzeiten, Personalstärken oder Standortroutinen interessant für Dritte sein könnten, gibt die Antwort aus gutem Willen heraus. Deshalb ist Sensibilisierung keine Schikane. Sie ist die Grundlage dafür, dass Mitarbeiter erkennen, wann eine Frage mehr ist als eine Frage.

Fehlende Meldewege und kein gemeinsames Lagebild

Der dritte Befund ist der folgenreichste. Er ist auch der unsichtbarste.

In vielen Betrieben gibt es keine klare Antwort auf die Frage: Was passiert, wenn ein Mitarbeiter etwas Ungewöhnliches bemerkt? Wenn jemand zweimal an der Zufahrt vorbeigeht und fotografiert. Wenn ein Anruf kommt, der merkwürdig viele Details abfragt. Wenn eine Bestellung mit ungewöhnlichem Timing und seltsam präzisen Fragen eingeht.

In der Mehrheit der Betriebe, die wir sehen, lautet die Antwort: nichts Geregeltes. Der Mitarbeiter denkt nach, zuckt vielleicht mit den Schultern und vergisst es wieder. Nicht weil er gleichgültig wäre, sondern weil er keinen Weg kennt, es weiterzugeben. Und weil niemand je erklärt hat, dass es etwas wert ist, es weiterzugeben.

Fehlende Meldewege zerstören das Lagebild eines Betriebs. Einzelne Beobachtungen, die jeweils harmlos wirken, ergeben zusammen ein Muster. Aber nur dann, wenn sie zusammengeführt werden. Was im Kopf eines einzelnen Mitarbeiters verschwindet, fehlt im Gesamtbild. Ein Betrieb ohne Gesamtbild ist blind, auch wenn seine Kameras laufen.

Lagebewusstsein: Die Maßnahme, die vor allen anderen greift

Lagebewusstsein ist der Fachbegriff für das, was eigentlich eine Grundfähigkeit sein sollte: wissen, was um einen herum passiert, und einschätzen können, ob es normal ist.

In Betrieben, die wir als gut aufgestellt erleben, reden Mitarbeiter miteinander. Nicht über alles. Aber über das, was nicht passt. Der Fahrer, der zweimal nachfragt, was er sonst nie fragt. Der Lieferant, der einen neuen Ansprechpartner mitbringt, der sich merkwürdig verhält. Die Anfrage, die am Freitagabend kommt und nach Informationen sucht, die sonst niemand fragt.

Das klingt nach Paranoia. Es ist das Gegenteil. Wer ein stabiles Lagebild hat, also weiß, was normal ist, erkennt das Abnormale schneller. Die Fähigkeit, Abweichungen zu bemerken, wächst mit der Klarheit über das, was nicht abweicht.

Lagebewusstsein entsteht nicht durch eine einmalige Schulung. Es entsteht durch Kultur. Durch Führung, die vorlebt, dass Melden erwünscht ist. Durch Meldewege, die so kurz sind, dass niemand dreimal nachdenkt, ob er etwas sagen soll. Durch sichtbare Reaktion auf das, was gemeldet wird. Das kostet kein Budget. Es kostet Konsequenz.

Hybride Bedrohungen und die S3-Methode: Was wir konkret prüfen

Eine Begehung nach der S3-Methode nimmt hybride Bedrohungsszenarien explizit in den Blick. Wir arbeiten mit einem festen Kategorienraster, das physische Sicherheit, Informationssicherheit und das Verhalten im Betrieb zusammenführt.

Für hybride Bedrohungen bedeutet das konkret vier Prüfschritte.

Wir prüfen die Außenperspektive. Wie sieht der Standort von außen aus? Welche Informationen sind aus dem öffentlichen Raum zugänglich? Was lässt sich über öffentlich verfügbare Quellen über den Betrieb herausfinden, bevor man ihn je betreten hat?

Wir prüfen die Zutrittssituation. Nicht nur, ob Türen geschlossen sind, sondern ob der Zugang für unbefugte Personen unter realen Bedingungen tatsächlich schwerer ist als gedacht. Wir gehen als Außenstehende durch die Anlage und registrieren, ob uns jemand anspricht.

Wir prüfen die Informationshygiene. Welche Informationen geben Mitarbeiter routinemäßig weiter, ohne darüber nachzudenken? Wie sind Telefongespräche mit unbekannten Anrufern geregelt? Gibt es eine klare Antwort auf die Frage: Was darf ich wie wem sagen?

Wir prüfen die Meldewege. Wer wird angesprochen, wenn etwas nicht stimmt? Gibt es einen geregelten Weg von der Beobachtung zur Reaktion, der nicht davon abhängt, dass der Richtige zufällig gerade erreichbar ist?

Am Ende steht ein priorisierter Maßnahmenplan. Was dringend ist, kommt zuerst. Was günstig umsetzbar ist, kommt früh. Was strukturelle Änderungen erfordert, wird eingeordnet. Keine Liste von Empfehlungen, die niemand umsetzt. Ein Plan, dem jemand folgen kann.

Was Werkschutz mit hybriden Bedrohungen zu tun hat

Werkschutz ist kein veraltetes Konzept. Er ist die organisatorische Antwort auf die Frage, wer im Betrieb die Verantwortung für physische Sicherheit trägt.

In vielen mittelständischen Betrieben gibt es keinen Werkschutz im klassischen Sinne. Es gibt vielleicht eine Zutrittsregelung, einen Empfang, eine Schlüsselverwaltung. Aber keine klare Verantwortlichkeit, die physische Sicherheit, Informationssicherheit und Lagebewusstsein zusammenhält.

Hybride Bedrohungen nutzen genau diese Lücke. Sie operieren im Grenzbereich zwischen physischer und informationeller Sicherheit. Wer nur eine Seite im Blick hat, sieht das Muster nicht. Die Kamera filmt den Eingang. Niemand wertet aus, wer außerhalb des Zauns steht und fotografiert.

Wir empfehlen keine Mannschaft und keine Bewachung. Wir zeigen, wo die Verantwortlichkeiten fehlen und wie sie strukturell verankert werden können, damit Beobachtungen ankommen, Reaktionen ausgelöst werden und das Lagebild nicht im Kopf einer einzigen Person verschwindet, die morgen in Urlaub fährt.

Sicherheitskultur als Frühwarnsystem

Es gibt eine Eigenschaft, die gut aufgestellte Betriebe von schlecht aufgestellten unterscheidet. Nicht die Technik. Nicht die Investitionshöhe. Die Bereitschaft der Menschen im Betrieb, das Ungewöhnliche zu benennen.

Ein Betrieb, in dem ein Mitarbeiter eine fremde Person mit Kamera am Zaun meldet, ist sicherer als ein Betrieb mit besserer Kameratechnik und Schweigen. Nicht ein bisschen sicherer. Grundlegend sicherer. Denn Aufklärung und Sabotage kündigen sich fast immer an. Es gibt fast immer jemanden, der vorher etwas bemerkt hat. Die Frage ist nur, ob dieser Jemand es weitergesagt hat.

Sicherheitskultur ist kein Softthema. Sie ist das Frühwarnsystem, das vor jeder Technik greift. Und sie entsteht nicht durch Poster und Pflichtschulungen. Sie entsteht, wenn Führung vorlebt, dass Melden sinnvoll ist. Wenn Meldungen sichtbare Folgen haben. Wenn derjenige, der etwas sagt, nicht schlechter dasteht als derjenige, der schweigt.

Das ist keine aufwendige Maßnahme. Es ist eine Haltungsfrage. Und Haltungsfragen entscheiden sich nicht im Budget. Sie entscheiden sich in der Führung.

Wo Sie anfangen können

Hybride Bedrohungen löst man nicht mit Awareness-Postern. Sie sind ein strukturelles Thema, das strukturelle Antworten braucht: klare Zutrittssituationen, sensibilisierte Mitarbeiter, funktionierende Meldewege, ein Lagebild, das nicht von einer Einzelperson abhängt.

Das alles ist erreichbar. Es braucht keinen Hochsicherheitsapparat. Es braucht einen klaren Blick auf das, was tatsächlich fehlt. Und dieser Blick setzt voraus, dass jemand den Betrieb von außen nach innen betrachtet, nicht von innen nach außen.

Der schnellste Weg dorthin ist ein strukturierter Quick-Check, der Ihren Standort aus beiden Perspektiven prüft und die Befunde in fünf Werktagen in einen priorisierten Maßnahmenplan übersetzt. Zum Festpreis, ohne Fragebogen-Chaos, ohne Beratersprech.

Wenn Ihr Betrieb Logistik, Transport oder Infrastruktur verantwortet und Sie verstehen wollen, wo Ihr tatsächliches Risiko liegt, ist der KRITIS-Logistik-Quick-Check der richtige Einstieg. Er zeigt Ihnen, welche Ihrer Schwachstellen ein Aufklärer zuerst findet. Und was Sie dagegen tun können, bevor er es tut.

Häufige Fragen

Was Sie noch wissen wollen

Sind hybride Bedrohungen wirklich ein Thema für normale Mittelstandsbetriebe?

Ja. Europäische Sicherheitsbehörden berichten, dass die Ziele feindlicher Aufklärung und Sabotage längst nicht mehr auf Militär oder klassische KRITIS beschränkt sind. Logistik-, Industrie- und Infrastrukturbetriebe sind zunehmend im Fokus, weil sie Lieferketten tragen und weniger gut gesichert sind als explizite Hochsicherheitsziele.

Wie werden Gelegenheitstäter konkret angeworben?

Über Messenger-Dienste wie Telegram oder ähnliche Plattformen werden Personen mit einfachen Aufgaben angesprochen: Fotografieren eines Standorts, Beobachten von Routinen, Weitergeben von Informationen über Abläufe. Die Aufgaben wirken harmlos, die Bezahlung ist klein. Genau das macht das Muster schwer zu erkennen.

Wie erkenne ich, ob mein Betrieb ausgespäht wird?

Oft gibt es Vorzeichen: Fremde, die wiederholt in der Nähe von Zufahrten fotografieren, ungewöhnliche Anfragen nach Informationen über Abläufe oder Lieferzeiten, Anrufe mit unplausiblem Hintergrund. Lagebewusstsein im Team und klare Meldekanäle sind der erste und wirksamste Schutz.

Was bringt eine Sicherheitsbegehung bei hybriden Bedrohungen?

Eine Begehung deckt die Schwachstellen auf, die ein Aufklärer zuerst sucht: ungesicherte Zufahrten, fehlende Zutrittskontrollen, auskunftsfreudige Mitarbeiter, fehlendes Lagebild. Wer diese Lücken kennt und schließt, erhöht den Aufwand für jeden Angreifer erheblich, ob staatlich gesteuert oder opportunistisch bezahlt.

Porträt von Grygoriy Ogorinskyy

Über den Autor

Grygoriy Ogorinskyy

Co-CEO, SecureStay Solutions UG

Studium Risikomanagement. Kopf hinter dem Prototyp und über mehrere Jahre Architekt des Frameworks von S3:Check und S3:Analytics. Schwerpunkte: Szenario-Trainings, Table-Top-Übungen, OSINT und Recherche.

LinkedIn-Profil →

Newsletter

Sicherheits-Analysen, die weiterhelfen.

KRITIS, NIS2, Compliance. Konkret aufbereitet, ohne Marketing-Lärm. Jederzeit abbestellbar.

Double-Opt-In · DSGVO-konform · Abmeldung jederzeit. Mehr unter Datenschutz.