Rechenzentren & Telekommunikation

Eine Branche im Umbruch

Deutschland ist der größte Rechenzentrumsstandort Europas. Rund 2.000 Rechenzentren mit mehr als 50 kW Leistung stehen im Land, dazu zehntausende kleinerer IT-Installationen in Unternehmen.[1] Der Markt wächst getrieben von Cloud und künstlicher Intelligenz — die installierte IT-Anschlussleistung stieg 2025 auf knapp 3.000 MW, der Stromverbrauch auf über 21 Milliarden Kilowattstunden.[2] Diese Infrastruktur ist das Fundament für nahezu alles andere: Bezahlsysteme, Behördenportale, Klinik-IT, die Steuerung von Energie- und Wassernetzen laufen am Ende über dieselben Server, Netze und Knotenpunkte.

Auffällig ist die Konzentration. Mehr als ein Drittel der deutschen Rechenzentrumskapazität liegt allein im Raum Frankfurt/Rhein-Main, mit dem DE-CIX einer der größten Internetknoten der Welt.[3] Was wirtschaftlich sinnvoll ist — kurze Wege, dichte Vernetzung, gemeinsame Anbindung — ist sicherheitstechnisch ein Klumpenrisiko: Wo viel an einem Ort zusammenläuft, hat eine einzelne Störung großen Hebel. Hinzu kommt die Telekommunikation als zweite Säule. Festnetz, Mobilfunk, Glasfaser und die internationalen Seekabel bilden zusammen das Nervensystem, über das diese Rechenzentren überhaupt erreichbar sind. Fällt die Verbindung aus, nützt die beste Rechenleistung nichts.

Die Bedrohungslage

Die Vorfälle der vergangenen Jahre zeigen drei sehr unterschiedliche Angriffsflächen — und sie treffen die Branche an genau den Stellen, an denen Verfügbarkeit am wichtigsten ist. Die erste ist die klassische Cyberebene. Im November 2016 brachte eine Variante des Mirai-Botnets über eine Schwachstelle im Fernwartungsprotokoll TR-069 rund 900.000 Router der Deutschen Telekom zum Absturz; Hunderttausende Kunden verloren Internet, Telefon und Fernsehen.[4] Im September 2020 traf die NetWalker-Ransomware den weltgrößten Colocation-Betreiber Equinix und verschlüsselte interne Systeme; der Betrieb der Kundenflächen blieb stabil, die Angreifer forderten 4,5 Millionen US-Dollar.[5] Im Januar 2024 legte die Akira-Ransomware ein schwedisches Rechenzentrum des Anbieters Tietoevry lahm und riss damit zahlreiche Kunden vom Einzelhändler bis zur Universität mit in den Ausfall.[6]

Die zweite Angriffsfläche ist physisch — und sie wird oft unterschätzt. Im Oktober 2022 durchtrennten Unbekannte an zwei zueinander redundanten Stellen, bei Herne und in Berlin-Karow, die Glasfaserkabel des Bahn-Funksystems GSM-R. Weil beide Leitungen gleichzeitig getroffen wurden, fiel der Zugverkehr in Norddeutschland für knapp drei Stunden komplett aus.[7] Der Fall ist lehrreich, weil der Angriff Insiderwissen über die Redundanzstruktur des Netzes voraussetzte — Redundanz schützt nur, wenn die zweite Leitung nicht denselben Schwachpunkt teilt. Noch eine Ebene tiefer liegen die Seekabel. Im November 2024 wurden binnen 24 Stunden zwei Ostsee-Datenkabel beschädigt, darunter C-Lion1 zwischen Finnland und Deutschland; im Februar 2025 traf es C-Lion1 erneut.[8] Bundesminister sprachen offen von Sabotage und hybrider Kriegsführung. Damit ist die deutsche Anbindung an das internationale Netz unmittelbar betroffen.

Die dritte Angriffsfläche ist die Lieferkette. Im Mai 2023 verschafften sich Angreifer über die Zugangsdaten eines Mitarbeiters Zugriff auf das Münchner Rechenzentrum Bitmarck, einen zentralen IT-Dienstleister vieler gesetzlicher Krankenkassen — über ihn waren mittelbar Millionen Versicherte betroffen.[9] Im Juli 2024 zeigte ein fehlerhaftes Update der Sicherheitssoftware CrowdStrike, wie weit ein einziger Fehler reicht: Weltweit fielen Windows-Systeme aus, in Deutschland traf es unter anderem den Flughafen BER und das Universitätsklinikum Schleswig-Holstein, das alle nicht dringenden Operationen absagte.[10] Es war kein Angriff, sondern ein Softwarefehler — und genau das macht den Fall so eindrücklich: Die Abhängigkeit von wenigen globalen Anbietern bei Cloud und Sicherheitssoftware ist selbst ein systemisches Risiko.

Dass die Branche auch ohne Angreifer ausfallen kann, belegt die Statistik. Nach dem Uptime Institute berichteten 55 Prozent aller Unternehmen in den vergangenen drei Jahren mindestens einen Rechenzentrumsausfall; rund 54 Prozent der schwerwiegenden Ausfälle 2024 gingen auf Störungen in der Stromverteilung zurück.[11] Der Brand im Straßburger Rechenzentrum SBG2 von OVHcloud im März 2021 führte das drastisch vor Augen: Rund 14.000 Server wurden zerstört, etwa 3,6 Millionen Websites gingen offline — und Kunden, die ihre Backups im selben Rechenzentrum gespeichert hatten, verloren auch diese.[12]

Was die Branche regulatorisch treibt

Drei Regelwerke greifen hier ineinander. Das NIS2-Umsetzungsgesetz, vom Bundestag im November 2025 verabschiedet und im BSI-Gesetz verankert, ordnet die Digitale Infrastruktur ausdrücklich den regulierten Sektoren zu und erweitert den Kreis der erfassten Unternehmen bundesweit von wenigen tausend auf rund 29.500. Rechenzentrums- und Cloud-Betreiber zählen je nach Größe zu den wichtigen oder besonders wichtigen Einrichtungen, mit Pflichten zu Risikomanagement, Angriffserkennung und Vorfallmeldung. Erhebliche Vorfälle sind binnen 24 Stunden zu melden, mit Folgemeldung nach 72 Stunden; bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.[13]

Für die Telekommunikation gilt zusätzlich eine eigene Schiene. Die §§ 165 ff. des Telekommunikationsgesetzes verpflichten Netz- und Dienstebetreiber zu technischen Schutzvorkehrungen und zur Vorlage eines Sicherheitskonzepts bei der Bundesnetzagentur; der Sicherheitskatalog der Behörde konkretisiert die Maßnahmen und wird seit Ende 2025 enger an NIS2 angebunden, unter anderem mit einer Pflicht zu Systemen der Angriffserkennung.[14] Die dritte Schiene ist die physische. Das KRITIS-Dachgesetz, in Kraft seit März 2026 und Umsetzung der europäischen CER-Richtlinie (EU 2022/2557), macht die physische Resilienz kritischer Anlagen erstmals zur eigenständigen Pflicht — mit Risikoanalyse, Resilienzplan, Meldepflicht für physische Störungen und einer persönlichen Verantwortung der Geschäftsleitung. Digitale Infrastruktur ist hier ausdrücklich als Sektor erfasst.[15]

Daneben wirkt eine Regulierung, die nicht primär auf Sicherheit zielt, aber den Betrieb prägt: Das Energieeffizienzgesetz (EnEfG) verlangt von Rechenzentren ab 300 kW Anschlussleistung unter anderem Mindestwerte für die Energieeffizienz (PUE), Strom aus erneuerbaren Energien und Abwärmenutzung.[16] Den fachlichen Rahmen für Verfügbarkeit und Sicherheit setzen die Normen. Die europäische EN 50600 und ihre internationale Nachfolge ISO/IEC 22237 definieren Verfügbarkeitsklassen von einfacher Auslegung bis zur fehlertoleranten Vollredundanz; im US-geprägten TIA-942-Modell entspricht das den bekannten Tier-Stufen I bis IV.[17] Für die Informationssicherheit liefert ISO/IEC 27001 den Managementrahmen, auf den die Regulatorik immer wieder verweist.

Wo die kritischen Risiken liegen

Die schwierigsten Risiken stecken selten in einer einzelnen Domäne. Sie entstehen an den Schnittstellen — dort, wo Cybersicherheit, physische Sicherheit, Stromversorgung und externe Dienstleister aufeinandertreffen und in der Praxis oft in getrennten Verantwortungssilos geführt werden. Im Rechenzentrum zeigt sich das besonders deutlich an der Stromverteilung: Sie ist laut Statistik die häufigste Ausfallursache, und der Brand bei OVHcloud sowie wiederholte Stromausfälle an einzelnen Standorten belegen, dass selbst Notstrom- und Redundanzkonzepte versagen können, wenn sie nicht konsequent voneinander unabhängig ausgelegt sind. Ein Backup im selben Brandabschnitt ist kein Backup.

In der Telekommunikation verlagert sich das Risiko nach außen, in die Fläche und unter Wasser. Glasfaserstrecken, Kabelschächte und Seekabel sind über große Distanzen kaum lückenlos zu schützen; der entscheidende Hebel liegt deshalb in echter, geografisch und physisch getrennter Redundanz und in der Frage, wie schnell eine Strecke überhaupt als beschädigt erkannt und umgangen werden kann. Über allem steht die Konzentration: Wenige große Cloud-Anbieter, wenige Sicherheitssoftware-Hersteller, wenige Knotenpunkte und Rechenzentrumsregionen tragen einen Großteil der digitalen Last. Diese Bündelung schafft Effizienz und gleichzeitig systemische Abhängigkeit — fällt ein zentrales Element aus, sind viele zugleich betroffen. Technisch greift dagegen Defense in Depth: gestaffelte, voneinander unabhängige Schutzschichten nach dem Zwiebelschalenprinzip, konsequente Segmentierung der Netze, Zonen- und Conduit-Modelle und das Leitbild Zero Trust — kein automatischer Vertrauensvorschuss, weder für Nutzer noch für Verbindungen oder Dienstleister. Standards wie ISO/IEC 27001 und die EN-50600-Familie setzen den fachlichen Rahmen; sie konkretisieren, was die Regulatorik fordert — ersetzen aber nicht die Architektur, die Cyber, physische Sicherheit und Betrieb zusammenhält.

Quellen

[1] ~2.000 RZ > 50 kW, zehntausende kleinere IT-Installationen (Nov. 2025) — Bitkom · BMWK RZ-Standort

[2] IT-Anschlussleistung 2025 ~2.980 MW, Stromverbrauch 21,3 Mrd. kWh — Bitkom

[3] Frankfurt/Rhein-Main >1/3 der deutschen RZ-Kapazität, DE-CIX einer der größten Internetknoten — Borderstep Institut · DE-CIX Annual Report 2024

[4] Telekom Mirai-Botnet (Nov. 2016): ~900.000 Router offline, Schwachstelle TR-069 — Süddeutsche Zeitung · Sophos News

[5] Equinix NetWalker-Ransomware (Sept. 2020): interne Systeme verschlüsselt, 4,5 Mio. USD gefordert, Betrieb stabil — SecurityWeek · Equinix SEC 8-K

[6] Tietoevry Akira-Ransomware (Jan. 2024): schwedisches RZ lahmgelegt, zahlreiche Kunden betroffen — Borns IT-Blog

[7] Bahn GSM-R Glasfaser-Sabotage (Okt. 2022): zwei redundante Leitungen durchtrennt, ~3 Std. Stillstand, Insiderwissen — Wikipedia (DE) · Golem.de

[8] Ostsee-Seekabel: C-Lion1 (FIN–DEU) + BCS East-West Interlink (Nov. 2024), C-Lion1 erneut (Feb. 2025) — Wikipedia (EN) · BAKS

[9] Bitmarck (Mai 2023): Krankenkassen-IT-Dienstleister über gestohlene Zugangsdaten kompromittiert, Millionen Versicherte mittelbar betroffen — smart-datacenter.de

[10] CrowdStrike-Fehlupdate (Juli 2024): weltweiter Windows-Ausfall, in DE u.a. Flughafen BER und UKSH, kein Cyberangriff — Heise Online · Wikipedia

[11] Uptime Institute Global Data Center Survey 2024: 55 % mind. ein Ausfall in 3 Jahren, 54 % durch Stromverteilung — Uptime Institute 2024 (PDF) · Computer Weekly DE

[12] OVHcloud Strasbourg Brand (März 2021): SBG2 zerstört, ~14.000 Server, ~3,6 Mio. Websites offline, Backups verloren — Golem.de · DataCenter Dynamics

[13] NIS2-Umsetzungsgesetz (Bundestag Nov. 2025): Digitale Infrastruktur erfasst, ~29.500 Unternehmen, 24h/72h, Bußgeld bis 10 Mio. € / 2 % — BSI Pressemitteilung · openkritis.de

[14] TKG §§ 165 ff., Sicherheitskonzept bei BNetzA, Sicherheitskatalog mit Angriffserkennung, engere NIS2-Anbindung — BNetzA Sicherheitsanforderungen · openkritis.de

[15] KRITIS-Dachgesetz (in Kraft März 2026), CER-Richtlinie (EU) 2022/2557, Digitale Infrastruktur erfasst, Geschäftsleitungshaftung — GÖRG Rechtsanwälte · openkritis.de

[16] Energieeffizienzgesetz (EnEfG, ab Nov. 2023): RZ ab 300 kW, PUE-Grenzwerte, Erneuerbare, Abwärmenutzung — TÜV Rheinland Consulting · Germandatacenters.com

[17] Verfügbarkeitsklassen EN 50600 / ISO/IEC 22237 und TIA-942 (Tier I–IV) — DataCenter-Insider · KI365 (TIA-942)