Cybersicherheit ist die neue Versorgungssicherheit

Ein Fachbericht von Dirk Roebers, Freier Journalist, Düren

Die Energieversorgung, früher ein isoliertes und rein physisch geschütztes System, ist im Zeitalter der „doppelten Transition”, Energiewende und Digitalisierung, zum vernetzten und intelligenten Nervensystem der modernen Gesellschaft geworden. Doch diese Entwicklung birgt eine Kehrseite: eine massiv vergrößerte Angriffsfläche für Cyber-Bedrohungen. Jeder smarte Zähler, jedes vernetzte Umspannwerk, jede Fernwartungsschnittstelle kann ein potenzielles Einfallstor sein. 

Die Antwort des Gesetzgebers in Brüssel ist die neue Direktive zur „Netzwerk- und Informationssicherheit“ NIS2, die darauf abzielt, das allgemeine Niveau der Cybersicherheit in der gesamten Europäischen Union zu harmonisieren und zu erhöhen. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Direktive von 2015 und verschärft die Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS).

Wenn Welten kollidieren – Die Verschmelzung von IT und OT

Die strikte Trennung zwischen Information Technology (IT) und der Operational Technology (OT) gehört der Vergangenheit an. Die fortschreitende Digitalisierung und Vernetzung hat diese Welten untrennbar miteinander verschmolzen. Fernwartungssysteme ermöglichen den Zugriff auf OT-Anlagen von unterschiedlichen Standorten aus. Die umfassende Datenerfassung zur Effizienzanalyse erfordert die Integration von OT-Daten in IT-Systeme. Die zentrale Steuerung dezentraler Erzeuger im Rahmen eines Smart Grids verlangt eine nahtlose Kommunikation zwischen beiden Bereichen. Diese Konvergenz, so vorteilhaft sie für Effizienz und Innovationen auch ist, hat jedoch eine kritische Angriffsfläche geschaffen, die Brücke zwischen IT und OT.

Diese Schnittstelle ist heute der gefährlichste Angriffspfad für Cyberkriminelle und staatlich unterstützte Akteure. Ein kompromittiertes Büronetzwerk, das über einen Phishing-Angriff oder eine Malware-Infektion infiltriert wurde, kann zum Einfallstor für Angriffe auf die Steuerung physischer Anlagen werden. Die potenziellen Folgen sind möglicherweise verheerend: Ein Cyberangriff auf die OT kann zu massiven Störungen der Energieversorgung führen, mit weitreichenden volkswirtschaftlichen Schäden. Der Stromausfall auf der iberischen Halbinsel im April 2025 dient als mahnendes Beispiel dafür, wie schnell eine Schwachstelle zu einer Krise oder gar zu einer Katastrophe eskalieren kann. Dies unterstreicht die dringende Notwendigkeit, Cybersicherheit nicht länger als rein IT-bezogenes Thema zu betrachten, sondern als integrale Komponente der nationalen Sicherheit und Versorgungssicherheit. Die Absicherung der OT-Systeme muss mit der gleichen Priorität behandelt werden wie die der IT, um die Resilienz kritischer Infrastrukturen zu gewährleisten.

Der Regulator schlägt Alarm: Was NIS2 für Energieversorger wirklich bedeutet

Angesichts der kontinuierlich zunehmenden Cyberbedrohungen und der potenziellen Auswirkungen auf kritische Infrastrukturen stellt die EU-Richtlinie NIS2 nicht bloß eine Empfehlung dar, sondern eine rechtsverbindliche Vorgabe. Ihre europaweite Umsetzung in nationales Recht unterstreicht deren Dringlichkeit und Bedeutung. Bei Nichteinhaltung drohen empfindliche Strafen, die von hohen Bußgeldern bis zu persönlichen Konsequenzen für die Geschäftsleitung reichen können, was die Ernsthaftigkeit der Richtlinie unterstreicht.

NIS2 basiert auf drei fundamentalen Säulen, die jeder KRITIS-Betreiber nicht nur beachten, sondern auch aktiv und umfassend erfüllen muss, um die operationale Resilienz und Cybersicherheit zu gewährleisten:

1. Ein umfassendes Risikomanagement: Dies erfordert die Implementierung robuster Prozesse zur Identifizierung, Bewertung und Minderung von Cybersicherheitsrisiken. Es umfasst nicht nur technische Aspekte wie Firewalls und Intrusion Detection Systeme zur Überwachung des Datenverkehrs und der Systemaktivitäten, sondern auch organisatorische Maßnahmen wie regelmäßige Audits, Schwachstellenanalysen, Penetrationstests und die Entwicklung von Notfallplänen. Das Risikomanagement muss dynamisch ausgelegt sein und sich an die sich ständig weiterentwickelnde Bedrohungslandschaft anpassen. Dies beinhaltet ebenfalls die Berücksichtigung von Risiken in der Lieferkette, da Angriffe auch über weniger geschützte Drittanbieter erfolgen können.
   
2. Erweiterte Meldepflichten: NIS2 schreibt vor, dass KRITIS-Betreiber signifikante Cybersicherheitsvorfälle zeitnah den zuständigen nationalen Behörden, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), melden müssen. Diese Meldepflicht dient nicht nur der Transparenz, sondern ermöglicht es den Behörden auch, ein umfassendes Lagebild der Bedrohungslandschaft zu erhalten und Warnungen auszusprechen, um andere potenzielle Opfer zu schützen. Die Meldungen müssen detailliert sein und Informationen über die Art des Vorfalls, die potenziellen Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten. Die Fristen für die Meldungen sind in der Regel sehr kurz, was eine schnelle Erkennung und Reaktion erfordert. Hierzu zählen die Erstmeldung (Frühwarnung) innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und ein Abschlussbericht binnen eines Monats.
   
3. Die persönliche Verantwortung der Geschäftsleitung: Eine der wesentlichen Neuerungen von NIS2 ist die explizite Betonung der Verantwortung der obersten Führungsebene für die Cybersicherheit. Dies bedeutet, dass Cybersicherheit nicht mehr als reine IT-Aufgabe verstanden wird, sondern als strategisches Unternehmensrisiko, das auf Vorstandsebene adressiert werden muss. Die Geschäftsleitung muss sicherstellen, dass entsprechende Ressourcen bereitgestellt werden, die notwendigen Prozesse etabliert und überwacht werden und das Bewusstsein für Cybersicherheit im gesamten Unternehmen geschärft wird. Im Falle von Verstößen oder schwerwiegenden Vorfällen können die Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden.

NIS2 stellt somit eine signifikante Weiterentwicklung im Bereich der Regulierung der Cybersicherheit dar, mit dem Ziel, die Widerstandsfähigkeit kritischer Sektoren in der gesamten EU zu stärken. Die konsequente Umsetzung dieser Richtlinie versteht der Gesetzgeber als unerlässlich, um Versorgungssicherheit und digitale Souveränität in Europa zu gewährleisten und gleichzeitig die Unternehmen vor den weitreichenden Folgen von Cyberangriffen zu schützen.

Achillesferse der Branche – Herausforderung OT-Sicherheit

Besondere Aufmerksamkeit gilt den OT-Anlagen, die aufgrund ihrer langen Lebenszyklen und der im Vergleich zur IT oft schwierigeren Implementierung von Sicherheitspatches eine erhöhte Anfälligkeit aufweisen. Ausfallzeiten, die durch Updates verursacht werden, können in der Energieversorgung erhebliche wirtschaftliche Nachteile oder sogar Gefahren für die öffentliche Sicherheit nach sich ziehen. Ein erfolgreicher Cyberangriff auf die OT hat primär physische Auswirkungen: von Stromausfällen über Anlagenschäden bis hin zu direkten Gefahren für Menschenleben.

Ein weiteres Problem ist die oft fehlende Standardisierung in OT-Umgebungen. Viele Anlagen nutzen spezielle Protokolle und proprietäre Software, für die es keine Standard-Sicherheitslösungen gibt. Dies erschwert die Integration üblicher IT-Sicherheitstools. Verstärkt wird dieses Problem dadurch, dass Betreiber häufig keinen vollständigen Überblick über sämtliche Geräte in ihrem OT-Netzwerk haben – die sogenannte „Schatten-OT“. Diese unbekannten und unkontrollierten Geräte stellen ein erhebliches Sicherheitsrisiko dar, da sie potenzielle Einfallstore für Angreifer bieten können.

Vom Risikobewusstsein zur digitalen Resilienz: Konkrete Handlungsfelder

Aus dieser grundlegenden Erkenntnis leitet sich das weitere Vorgehen ab, dessen entscheidender erster Schritt lautet: umfassende Sichtbarkeit schaffen. Denn es kann nur das effektiv geschützt werden, was man auch wirklich kennt und versteht. Folglich ist es unerlässlich, Systeme zur Inventarisierung und kontinuierlichen Überwachung des gesamten OT-Netzwerks zu implementieren. Dies beinhaltet weit mehr als nur die bloße Erfassung aller im Netzwerk befindlichen Geräte – von Sensoren und Aktoren über Steuerungen bis hin zu spezialisierten IT-Systemen, die in die OT-Umgebung eingebunden sind – sowie der darauf laufenden Anwendungen. Vielmehr muss ein lückenloses Monitoring des gesamten Datenverkehrs erfolgen, um Muster, Abhängigkeiten und potenzielle Anomalien in Echtzeit erkennen zu können. Dazu zählen die Analyse von Kommunikationsprotokollen, die Überwachung von Zugriffsrechten und -versuchen sowie die detaillierte Protokollierung aller relevanten Ereignisse.

Nur durch eine solche tiefgehende und kontinuierliche Transparenz lassen sich Schwachstellen im System proaktiv identifizieren, Fehlkonfigurationen aufdecken und mögliche Angriffe, sei es durch externe Bedrohungen oder interne Unregelmäßigkeiten, frühzeitig erkennen. Dies ermöglicht eine schnelle Reaktion und die Einleitung geeigneter Gegenmaßnahmen, bevor es zu kritischen Beeinträchtigungen der Betriebsabläufe oder gar Ausfällen kommt.

Die nächste Maßnahme, die sorgfältige Segmentierung der Netzwerke, ist ein entscheidender Schritt zur Erhöhung der Cybersicherheit. Dadurch erfolgt eine strikte Trennung von IT- und OT-Netzen. Dedizierte Firewalls, die speziell für Industrieumgebungen konzipiert werden, bieten etwa erweiterte Funktionen zur Paketinspektion und Protokollfilterung. Die Einführung von Demilitarisierten Zonen (DMZ) sorgt als Pufferzone zwischen IT und OT dafür, dass der direkte Zugriff zwischen den Netzen unterbunden und ein Übergreifen von Angriffen auf kritische OT-Systeme verhindert wird. Diese Segmentierung kann dann im gesamten Netzwerk granular fortgesetzt werden, etwa in Form einer Segmentierung nach Prozessen oder Anlagentypen. Dies reduziert die Angriffsfläche und verhindert, dass eine Kompromittierung in einem Bereich auf andere Bereiche oder gar das komplette Netzwerk übergreift. Eine klar definierte Segmentierung trägt somit maßgeblich zur Eindämmung von Angriffen ein. Zusätzliche Ergebnisse sind eine erhöhte Resilienz, eine verbesserte Überwachung und Reaktion und last but not least die Vereinfachung der Compliance.

Sind diese Maßnahmen erfolgt, sollte im nächsten Schritt das Thema Notfallplan auf der Agenda stehen. Hier sind regelmäßige Übungen, die an die aktuellen technologischen Entwicklungen angepasst sind, sowie die ständige Simulation von Notfallplänen unerlässlich. Es muss klar definiert sein, was passiert, wenn ein Cyberangriff erfolgreich ist. Wer informiert wen, intern im Unternehmen, extern betroffene Partner und Kunden oder die zuständigen Behörden? Eine vorbereitete Krisenkommunikation ist im Worst Case Gold wert. Sie stellt sicher, dass im Ernstfall alle Mitarbeiter und Abteilungen auf ihre spezifischen Aufgaben vorbereitet sind und ein koordiniertes Vorgehen gewährleistet ist.

Selbst die technisch ausgefeiltesten Schutzmechanismen können durch menschliches Fehlverhalten oder mangelndes Bewusstsein untergraben werden. Gleichzeitig sind geschulte und sensibilisierte Mitarbeiter die erste und oftmals effektivste Verteidigungslinie gegen Cybergefahren. Sie können verdächtige Aktivitäten erkennen, Phishing-Versuche entlarven und die internen Sicherheitsprozesse aktiv unterstützen. Dies erfordert jedoch mehr als nur einmalige Schulungen. Kontinuierliche Weiterbildung, regelmäßige Awareness-Kampagnen und eine offene Fehlerkultur, die es Mitarbeitern ermöglicht, Bedenken oder potenzielle Sicherheitsvorfälle ohne Angst vor negativen Konsequenzen zu melden, sind entscheidend.

Eine ganzheitliche Cybersicherheitsstrategie versteht daher den Menschen nicht nur als potenzielles Risiko, sondern vor allem als entscheidenden Erfolgsfaktor. Investitionen in Technologie allein genügen nicht, um die komplexen Bedrohungen der digitalen Welt abzuwehren. Umfassende Sensibilisierung, fundierte Schulung und die Integration des Faktors Mensch in alle Aspekte der Cybersicherheit sind erforderlich, um die Versorgungssicherheit in einer zunehmend digitalen Welt langfristig zu gewährleisten. Dies beinhaltet auch die Implementierung von Prozessen, die es ermöglichen, aus Fehlern zu lernen und die Sicherheitsstrategie kontinuierlich anzupassen und zu verbessern. Nur so kann ein System geschaffen werden, das sowohl technologischen als auch menschlichen Herausforderungen standhält.

Fazit

Cybersicherheit ist in der Energiebranche zu einer zentralen strategischen Unternehmensaufgabe geworden. Die IT-OT-Konvergenz birgt reale Bedrohungen, und NIS2 schafft dringenden Handlungsdruck. Besonders die OT-Sicherheit stellt eine große Herausforderung dar. Durch die Verschmelzung von IT und OT sowie die strengen  gesetzlichen Vorgaben von NIS2 trägt die Geschäftsführung direkte Verantwortung. EVU müssen von reaktiver Sicherheit zu proaktiver Cyber-Resilienz übergehen. Es geht nicht mehr nur darum, ob man angegriffen werden kann, sondern wie schnell ein möglicher Angriff bemerkt, eingedämmt und der Normalbetrieb wieder hergestellt werden kann. In der digitalisierten Energiewelt ist die Stabilität der Stromnetze untrennbar mit der Robustheit digitaler Verteidigungslinien verbunden. Versorgungssicherheit beginnt heute im Rechenzentrum und an der Firewall.

Weitere Beiträge von Dirk Roebers:

• Leistungsfähige Echtzeitkommunikation mit der Funktechnologie DECT NR+