Energieversorgung

Eine Branche im Umbruch

Die Energieversorgung gehört zu den am stärksten vernetzten und zugleich verletzlichsten Infrastrukturen unserer Gesellschaft. Netzleitstellen, Umspannwerke, Erzeugungsanlagen und Speicher arbeiten heute eng mit digitaler Steuerungs- und Automatisierungstechnik zusammen — der Betriebstechnik (Operational Technology, OT) mit ihren SCADA-Systemen, speicher­programmierbaren Steuerungen und der Fernwirktechnik. Die Energiewende beschleunigt das. Jede neue Wind- und Solaranlage, jeder Speicher und jede steuerbare Last bringt zusätzliche digitale Schnittstellen und vergrößert die Angriffsfläche. Was früher als geschlossene, physisch getrennte (air-gapped) Betriebstechnik galt, ist heute ein verteiltes, fernsteuerbares System. Das ist die IT-/OT-Konvergenz: Büro-IT und Anlagensteuerung wachsen zusammen. Und damit verschwimmt die Grenze zwischen einem IT-Vorfall und einer echten Versorgungsstörung.

Die Bedrohungslage

Dass Angriffe auf Energienetze physische Folgen haben, ist mittlerweile belegt. Im Dezember 2015 übernahmen Angreifer über kompromittierte Fernzugänge die Leitsysteme dreier ukrainischer Verteilnetzbetreiber, öffneten Schalter an rund 30 Umspannwerken und ließen über 200.000 Menschen ohne Strom — der erste öffentlich bestätigte Stromausfall durch einen Cyberangriff (Akteur Sandworm, Schadsoftware BlackEnergy). Ein Jahr später, im Dezember 2016, legte mit Industroyer erstmals eine eigens für Stromnetze gebaute Schadsoftware ein Umspannwerk in Kyiv für über eine Stunde lahm — Malware, die industrielle Protokolle wie IEC 60870-5-104 direkt ansprechen konnte. Diese Werkzeuge sind nicht verschwunden. Im April 2022 versuchten dieselben Akteure mit Industroyer2, ukrainische Hochspannungs-Umspannwerke abzuschalten; der Angriff wurde rechtzeitig gestoppt. Im Oktober 2022 gelang derselben Gruppe dann ein kurzer Blackout, indem sie die Leittechnik eines Umspannwerks manipulierte (Analyse durch Mandiant).

Auch Deutschland ist betroffen, auf zwei Wegen. Erstens als Kollateralschaden vernetzter Systeme: Im Februar 2022, am Tag des russischen Einmarschs in die Ukraine, traf ein Angriff auf das Satellitennetz Viasat KA-SAT zugleich die Fernüberwachung tausender Windräder in Deutschland. Nach Angaben der dena verloren mindestens rund 3.000 Anlagen die Fernsteuerung. Ein Lehrstück über Lieferketten- und Drittparteienrisiko: Ein einziger kompromittierter Dienstleister trifft tausende Anlagen auf einmal. Zweitens durch direkte Angriffe auf Versorger und Stadtwerke. Der kommunale Versorger TWL in Ludwigshafen verlor im April 2021 bei einem Ransomware-Angriff (Clop) rund 500 GB Daten — per Double Extortion, also Verschlüsselung plus Datendiebstahl. Enercity Hannover wurde im Oktober 2022 angegriffen, die Stadtwerke Karlsruhe im Februar 2023, die Deutsche Energie-Agentur (dena) im November 2023 (LockBit). Bei den Stadtwerken Burg lähmte ein Angriff im August 2024 zentrale digitale Dienste für über drei Monate. Beim Ökostromanbieter Tibber wurden im November 2024 Daten von rund 50.000 deutschen Kunden entwendet.

In den meisten dieser Fälle blieb die Stromversorgung selbst stabil — dank konsequenter Netzwerksegmentierung zwischen IT und OT. Getroffen wurden Abrechnung, Kommunikation und Kundenservice. Das ist die eigentliche Lehre: Das wahrscheinlichste Risiko ist heute nicht der spektakuläre Blackout, sondern der schleichende Verlust von Steuerbarkeit, Übersicht und Handlungsfähigkeit.

Die Zahlen stützen das. Das BSI zählte in seinem Lagebericht 2024 für den Zeitraum Mitte 2023 bis Mitte 2024 insgesamt 726 Angriffe auf kritische Infrastrukturen — 236 mehr als in der Vorperiode. Dazu kommt eine hybride Komponente: Sabotage an Strom- und Gasinfrastruktur und physische Anschläge auf kritische Anlagen haben in Europa eine neue Qualität erreicht. Cyber-physische Bedrohungen, also die gezielte Verbindung digitaler und physischer Angriffswege, sind keine theoretische Kategorie mehr.

Was die Branche regulatorisch treibt

Der Gesetzgeber hat an mehreren Stellen gleichzeitig reagiert. Das NIS2-Umsetzungsgesetz, in Kraft seit Dezember 2025 und umgesetzt im BSI-Gesetz, schreibt verbindliche Pflichten zu Cybersicherheit, Risikomanagement und Vorfallmeldung vor. Der Kreis der betroffenen Einrichtungen ist von rund 4.500 auf etwa 30.000 gewachsen und erfasst nun auch viele kleinere und mittlere Versorger und Stadtwerke — bei Bußgeldern bis zu 10 Mio. Euro oder 2 % des Konzernumsatzes. Das KRITIS-Dachgesetz, in Kraft seit März 2026 und Umsetzung der europäischen CER-Richtlinie (EU 2022/2557), macht die physische Resilienz kritischer Anlagen erstmals zur eigenständigen Pflicht: mit Risikoanalyse, Resilienzplan und einer Geschäftsführungshaftung nach § 20, die auf die nachweisbare Wirksamkeit der Maßnahmen zielt. Für Netzbetreiber gilt zusätzlich der IT-Sicherheitskatalog der Bundesnetzagentur nach § 11 EnWG, der ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) verlangt.

Die Logik dahinter ist entscheidend. Geschützt wird nicht mehr das einzelne System, sondern die Versorgungsleistung selbst — Resilienz statt reiner Prävention, also handlungs- und wiederanlauffähig bleiben, auch wenn ein Angriff durchkommt. Und mit der Geschäftsführungshaftung wird die lückenlose Nachweisbarkeit von Risikoanalyse, Resilienzplan und Wirksamkeitskontrolle zur direkten Verantwortung der Unternehmensleitung.

Wo die kritischen Risiken liegen

Die schwierigsten Risiken stecken selten in einer einzelnen Domäne. Sie entstehen an den Schnittstellen — dort, wo klassische IT, Betriebstechnik, physische Sicherheit und Lieferketten aufeinandertreffen und in der Praxis oft in getrennten Verantwortungssilos geführt werden. Der Geschäftsführer der Stadtwerke Neumünster hat es nach dem Angriff auf sein Haus treffend beschrieben: Man habe an einen guten Sicherheitszaun ums Haus gedacht, aber nicht daran, dass jemand in die Wohnung des Hausmeisters einbricht und dort die Schlüssel mitnimmt. Genau diese seitlichen Wege über legitime Verbindungen und vergessene Zugänge nutzen Angreifer aus (Lateral Movement).

OT-Umgebungen lassen sich nicht mit den Mitteln klassischer IT-Sicherheit absichern. In der IT steht die Vertraulichkeit vorn; in der OT kehrt sich das um — hier zählen Verfügbarkeit und Integrität zuerst. Patch-Zyklen sind lang, und ein direkter Pfad vom Büro-Client zur Anlagen­steuerung darf gar nicht erst existieren. Hier greift Defense in Depth: gestaffelte, voneinander unabhängige Schutzschichten nach dem Zwiebelschalenprinzip, ergänzt um Zonen- und Conduit-Modelle nach IEC 62443 und das Leitbild Zero Trust — kein automatischer Vertrauensvorschuss, weder für Nutzer noch für Verbindungen. Gleichzeitig vergrößern Cloud-Plattformen, Fernwartungszugänge und externe Dienstleister die Angriffsfläche über die eigene Organisation hinaus. Der Viasat-Fall hat gezeigt, wie ein Angriff auf einen Dienstleister tausende Anlagen gleichzeitig trifft. Standards wie ISO/IEC 27001, die energiespezifische ISO/IEC 27019 und IEC 62443 setzen den fachlichen Rahmen. Sie konkretisieren, was die Regulatorik fordert — ersetzen aber nicht die Architektur, die alles zusammenhält.