Verwundbare Versorgung

Die Bedrohungslage für kritische Infrastrukturen in Deutschland spitzt sich weiter zu. Der aktuelle Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) macht deutlich, dass der Energiesektor, das Rückgrat der Gesellschaft, zunehmend ins Fadenkreuz von Cyberangriffen gerät.

Energieversorgung unter Beschuss

Wie die Tagesschau am 25. Mai 2025 berichtet,

"Immer häufiger verzeichnen die Behörden Cyberangriffe auf Betreiber von Stromnetzen, Gasspeichern oder Kraftwerken."

Diese Warnung ist kein Alarmismus, sondern Ausdruck einer dauerhaft angespannten Sicherheitslage. Es geht nicht mehr um vereinzelte Vorfälle, sondern um eine systematische Bedrohungslage – Tag für Tag, rund um die Uhr. Der neue BSI-Bericht zur Cybersicherheit im Energiesektor spricht eine klare Sprache: Betreiber kritischer Infrastrukturen sehen sich einem kontinuierlichen Angriffsdruck ausgesetzt.

Besonders gefährlich sind mehrstufige Angriffe, die verschiedene Vektoren kombinieren:

• Phishing-Kampagnen: Angreifer verschaffen sich über gefälschte E-Mails oder kompromittierte Websites Zugangsdaten von Administratoren oder Mitarbeitenden in Leitstellen.
• Supply-Chain-Angriffe: Angriffe auf Softwarelieferanten, Wartungsfirmen oder Dienstleister ermöglichen es, Schadcode direkt über reguläre Updates oder Wartungsvorgänge einzuschleusen – häufig unbemerkt.
• Ransomware-Attacken: Einmal im System angekommen, können Angreifer Netzwerke verschlüsseln, ganze Steuerzentralen lahmlegen oder Daten exfiltrieren – verbunden mit Millionenforderungen in Kryptowährungen.

Doch es bleibt nicht bei der Theorie. Laut BSI gab es allein im vergangenen Jahr mehrere konkrete Vorfälle, bei denen Energieversorger gezielt attackiert wurden. Manche davon konnten rechtzeitig abgewehrt werden, andere führten zu massiven Einschränkungen im Betrieb.

Besonders brisant: In einem immer stärker digitalisierten Energiesystem reichen kleine Kompromittierungen aus, um große Auswirkungen zu erzeugen. Wenn etwa eine Lastverteilung falsch gesteuert wird oder eine Netzstabilisierung gezielt gestört wird, kann das zu Dominoeffekten führen – mit Blackout-Risiken, Versorgungsengpässen und erheblichen volkswirtschaftlichen Schäden.

Cyberangriffe auf die Energieinfrastruktur sind längst keine Science-Fiction mehr. Sie sind Realität – und zwar eine, der wir mit mehr Ernsthaftigkeit, Ressourcen und politischem Willen begegnen müssen.

Alte Systeme, neue Risiken

Ein zentrales Problem liegt in der technologischen Basis vieler Energieversorger: Jahrzehntealte Steuerungssysteme – insbesondere sogenannte SCADA- (Supervisory Control and Data Acquisition) und ICS-Systeme (Industrial Control Systems) – bilden bis heute das Rückgrat vieler Netzleitstellen, Umspannwerke und Anlagensteuerungen. Diese Systeme wurden zu einer Zeit entwickelt, als Cybersicherheit schlicht kein Thema war. Entsprechend fehlen grundlegende Schutzmechanismen: Authentifizierung, Verschlüsselung oder Integritätsprüfung sucht man oft vergeblich.

In der Praxis zeigt sich, dass viele dieser Altsysteme nicht oder nur mit großem Aufwand aktualisiert werden können. Sicherheitsupdates sind nicht vorgesehen oder bergen das Risiko, den laufenden Betrieb zu stören. Aus Angst vor Ausfällen zögern viele Betreiber daher, dringend notwendige Patches einzuspielen – ein gefährlicher Kompromiss.

Gleichzeitig nimmt die Digitalisierung der Energieinfrastruktur rasant zu. Intelligente Messsysteme (Smart Meter Gateways), automatisierte Lastverteilung, Fernwartung über IP-basierte Netzwerke oder dezentrale Einspeiser wie Photovoltaikanlagen erhöhen die Komplexität und Vernetzung des Gesamtsystems – und damit auch die Angriffsfläche. Jede neue Schnittstelle ist potenziell ein Einfallstor, insbesondere wenn sie schlecht abgesichert oder nicht durchgängig überwacht wird.

Ich selbst habe im Rahmen der SMGW-Zertifizierung für einen deutschen Hersteller tiefen Einblick in die Sicherheitsarchitektur intelligenter Messsysteme erhalten. Dabei habe ich erlebt, wie aufwändig es ist, alle Anforderungen an Datenschutz, Authentifizierung, sichere Kommunikation und Härtung konsequent umzusetzen – und wie viel Fachwissen, Disziplin und Budget es braucht, um ein System wirklich sicher zu machen.

Umso besorgniserregender ist es, wenn ich im Feld auf Hardware und Software stoße, die über 15 oder gar 20 Jahre alt ist, oft ohne klare Update-Strategie und mit offensichtlich verwundbaren Schnittstellen. Man kann es nicht anders sagen: Das macht mich zunehmend nervös. Denn ich weiß, wie dünn das Eis ist, auf dem wir stehen – und wie hoch das Schadenspotenzial ist, wenn eines dieser Systeme kompromittiert wird.

Was fehlt, ist eine konsequente Bestandsaufnahme, ein klarer Modernisierungsfahrplan und ein Sicherheitsbewusstsein, das nicht nur auf dem Papier existiert. Nur so lässt sich verhindern, dass aus einem veralteten Leitsystem eines Tages ein Einfallstor für den Blackout wird.

IT-Sicherheit ist kein Luxus

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert es in seinem Positionspapier zur Cybersicherheit im Energiesektor unmissverständlich: IT-Sicherheit ist keine Kür, sondern Pflicht – und zwar für alle Betreiber kritischer Infrastrukturen.

Dabei ist die Gleichung eigentlich simpel:

• Ein einziger erfolgreicher Angriff kann Schäden in Millionenhöhe verursachen.
• Betriebsunterbrechungen in Strom-, Gas- oder Fernwärmenetzen können Menschenleben gefährden – insbesondere in Krankenhäusern, Pflegeeinrichtungen oder bei Wetterextremen.
• Das Vertrauen in die Energieversorgung ist ein Pfeiler gesellschaftlicher Stabilität – wird es erschüttert, entstehen politische und wirtschaftliche Folgeschäden.

Trotzdem wird IT-Sicherheit vielerorts noch immer als lästige Pflicht behandelt – als Kostenfaktor, der sich schwer vermitteln lässt. Dabei ist sie in Wahrheit eine Versicherung gegen Kontrollverlust.

Was gebraucht wird, ist:

• der Aufbau sicherer IT-Architekturen, die Resilienz und Trennung sensibler Bereiche gewährleisten,
• die kontinuierliche Schulung von technischem Personal, das Angriffsvektoren erkennen und adäquat reagieren kann,
• professionelle Incident-Response-Strategien, die im Notfall schnell greifen, anstatt in der Hektik des Angriffs improvisieren zu müssen.

Ich selbst habe mich in den letzten Jahren intensiv mit der Absicherung kritischer Energiesysteme beschäftigt – unter anderem als externer Experte bei der Zertifizierung von Smart Meter Gateways (SMGW) eines deutschen Herstellers. Dabei habe ich nicht nur tiefen Einblick in die technischen Schwächen vieler Altanlagen gewonnen, sondern auch in die organisatorischen Defizite, die echte Sicherheit oft verhindern.

Und ganz offen gesagt: Ja, ich bin käuflich – im besten Sinne. Wer Unterstützung beim Aufbau robuster IT-Sicherheitsstrukturen sucht, darf sich gerne melden. Denn die Frage ist nicht mehr, ob Angriffe stattfinden, sondern wie gut man darauf vorbereitet ist.

Politischer Handlungsbedarf

Zwar existieren in Deutschland längst gesetzliche Grundlagen wie das IT-Sicherheitsgesetz 2.0 oder branchenspezifische Sicherheitsstandards (B3S), doch die Realität zeigt: Viele Betreiber kritischer Infrastrukturen – insbesondere kleine und mittlere Stadtwerke, Verteilnetzbetreiber oder Betreiber von lokalen Erzeugungsanlagen – sind personell und finanziell überfordert, die geforderten Schutzmaßnahmen vollständig umzusetzen.

Die Gründe sind vielfältig:

• Die technische Komplexität nimmt zu – nicht nur durch zunehmende Digitalisierung, sondern auch durch Kopplung von Strom, Wärme und Mobilität.
• Fachkräfte im Bereich IT-Sicherheit sind extrem rar – und können von kommunalen Betrieben kaum gehalten werden.
• Die aktuellen Förderprogramme sind oft bürokratisch, zu eng gefasst oder schlicht nicht auf die Bedürfnisse kleiner Betreiber zugeschnitten.

Hier ist die Politik in der Pflicht:

• durch praxisnahe Förderprogramme, die auch kleinere Unternehmen erreichen,
• durch verbindliche, aber umsetzbare Mindeststandards, die regelmäßig überprüft und angepasst werden,
• durch den Aufbau regionaler Kompetenzzentren, die Beratung, Schulung und Auditierung aus einer Hand anbieten.

Denn wenn nur die großen Player resilient sind, entsteht eine gefährliche Asymmetrie – denn Angreifer suchen sich gezielt die Schwachstellen im System. Und die liegen oft in der Peripherie.

Fazit

Die Energieversorgung ist das zentrale Nervensystem unserer Gesellschaft: Ohne Strom stehen Krankenhäuser still, ohne Gas erfrieren Menschen, ohne Digitalisierung funktioniert kein Netzbetrieb mehr.

Gleichzeitig ist dieser Bereich zunehmend exponiert – durch den technologischen Wandel, geopolitische Spannungen und die Professionalisierung von Angreifern. Die Vorstellung, IT-Sicherheit sei lediglich ein technisches Randthema, ist deshalb fahrlässig und gefährlich.

Der aktuelle BSI-Bericht zur Cybersicherheit im Energiesektor ist kein Routinepapier, sondern ein dringlicher Appell:

• an Betreiber, IT-Sicherheit als strategisches Thema zu behandeln,
• an die Politik, den Schutz kritischer Infrastrukturen endlich zur Chefsache zu machen,
• und an die Gesellschaft, zu verstehen: Cybersicherheit ist längst Teil der Daseinsvorsorge.

Als jemand, der seit Jahren an der Schnittstelle zwischen Energietechnik und IT-Sicherheit arbeitet, kann ich nur sagen: Der Weckruf ist überfällig – und es ist höchste Zeit, ihn ernst zu nehmen.

Quellen:

• Tagesschau.de: "Cyberangriffe auf Energieversorger"
• Positionspapier des BSI zur Cybersicherheit im Energiesektor (Mai 2025)