Für ein mittelgroßes Stadtwerk, das zwar die KRITIS-Schwelle von 500.000 Einwohnern unterschreitet, aber zur Vorbereitung auf die digitale Flexibilisierung (insb. §14a EnWG) proaktiv Systeme zur Angriffserkennung (SzA/NDR) im OT-Bereich einführen möchte: Welche spezifischen personellen und finanziellen (CAPEX/OPEX) Ressourcen sind notwendig, um eine Lösung zu betreiben, die spezifische OT-Protokolle (z.B. IEC 60870-5-104 oder IEC 61850) überwacht, ohne die Verfügbarkeit der Echtzeitsysteme zu gefährden, und wie wird das geforderte Anomalie-Monitoring dauerhaft in die IT- und OT-Betriebsprozesse integriert?

Diese Frage zielt auf die praktische Umsetzung und die Infrastruktur-Kosten (CAPEX/OPEX) der Angriffserkennung sowie die Herausforderung der OT/IT-Integration ab.

Angenommen, ein Verteilnetzbetreiber (VNB) mit 60.000 Zählpunkten nähert sich durch massiven Zuwachs dezentraler Erzeuger und Verbraucher (WP, E-Fahrzeuge) schnell der kritischen Schwelle (500.000 Einwohner): Welche konkreten Prozesse und Dokumentationen müssen *heute* im ISMS (basierend auf ISO 27001) verankert werden, damit bei Überschreiten der Schwelle die gesetzlichen Meldepflichten (§ 8b BSIG) und die Nachweispflichten zur Angriffserkennung (§ 8a (1a) BSIG, ab 1. Mai 2023) ab dem ersten Tag der KRITIS-Zugehörigkeit nachweislich erfüllt sind, um regulatorische Sanktionen zu vermeiden?

Diese Frage behandelt die vorausschauende Einhaltung regulatorischer Anforderungen (IT-Sicherheitsgesetz, EnWG) und das spezifische Risiko der Schwellwertüberschreitung.

Für ein Stadtwerk, das stark in die dezentrale Steuerung von 5.000 E-Ladepunkten und Wärmepumpen (Sektorkopplung) investiert: Wie kann der wirtschaftliche Nutzen (ROI) der strategischen Investition in die Netzresilienz (Cyber-Sicherheit als Qualitätsmerkmal) quantifiziert werden, wenn man bedenkt, dass ein erfolgreicher Angriff auf das Leitsystem die Fernwirktechnik deaktivieren und damit die essenzielle Blindleistungsbereitstellung oder Redispatch-Maßnahmen kompromittieren könnte, was nicht nur finanzielle Ausfälle, sondern auch einen massiven Reputationsschaden beim Kunden nach sich zöge?

Diese Frage fokussiert auf die wirtschaftlichen Auswirkungen und die strategische Risikobewertung (ROI, Reputationsschaden) im Kontext der Versorgungssicherheit.

KRITIS-Pflicht: Wie Stadtwerke die digitale Energiewende resilient absichern

Von Emma Energie, Nachhaltigkeits-Strategin

Die Schlagzeilen sind eindeutig: Ob es der lokale Stromausfall in Berlin durch menschliches Versagen war oder die weitreichenden Cyberangriffe auf kritische Dienstleister – die Resilienz unserer Infrastrukturen steht mehr denn je auf dem Prüfstand. Für uns in der Energiewirtschaft, insbesondere in der Netzplanung und -steuerung, ist Cybersicherheit jedoch nicht nur eine IT-Aufgabe, sondern die unverzichtbare Basis für die erfolgreiche Umsetzung der Energiewende.

Ich sehe die Energiewende als die größte systemische Transformation seit der Elektrifizierung. Wir gehen weg von zentralen, leicht zu überwachenden Großkraftwerken hin zu einer hochkomplexen, dezentralen Landschaft aus Millionen von PV-Anlagen, Speichern, Wärmepumpen und E-Fahrzeugen. Diese Dezentralisierung erfordert zwingend eine massive Digitalisierung unserer Netzleitsysteme, der Kommunikation und der Marktprozesse. Und genau hier liegt die strategische Herausforderung: Jeder digitale Schritt erhöht die Angriffsfläche.

Die Emma-Perspektive: Warum KRITIS der Enabler ist

Als Stadtwerke und kommunale Netzbetreiber (VNB) stellen wir uns oft die Frage: Betrifft uns die KRITIS-Regulierung wirklich, oder fallen wir nicht unter die Schwellenwerte? Unabhängig von der regulatorischen Pflicht (dazu gleich mehr), ist die Bedrohung real und die Notwendigkeit, unser Netz zu schützen, existenziell.

Die Energiewende ist ohne Flexibilität nicht denkbar. Wir sprechen über §14a EnWG, über die Steuerung von Verbrauchseinrichtungen, über bidirektionales Laden und die Notwendigkeit, Spannungsschwankungen durch volatile Erneuerbare Energien (EE) in Echtzeit auszugleichen. All diese Mechanismen basieren auf einer zuverlässigen, sicheren Kommunikation zwischen den Marktteilnehmern, den Messstellenbetreibern (MSB) und dem Netzleitsystem (SCADA).

Wenn die Schnittstelle zwischen Markt und Netz kompromittiert wird, bricht die Steuerung zusammen.

Stellen Sie sich vor, ein erfolgreicher Angriff auf Ihr Leitsystem würde die Fernwirktechnik deaktivieren, die für die Redispatch-Maßnahmen oder die Blindleistungsbereitstellung essentiell ist. Das Ergebnis wäre nicht nur ein lokaler Ausfall, sondern im schlimmsten Fall eine Kaskade von Netzinstabilitäten. KRITIS ist daher nicht nur eine Pflicht zur Abwehr von Hackern, sondern eine strategische Investition in die Netzresilienz, die wir für die hohen EE-Anteile 2030 benötigen.

Die regulatorische Pflicht: Was das EnWG konkret verlangt

Das IT-Sicherheitsgesetz (ITSG 2.0) in Verbindung mit dem Energiewirtschaftsgesetz (EnWG) und den spezifischen Katalogen der Bundesnetzagentur (BNetzA) legt klare Anforderungen fest. Für Stromnetzbetreiber, die die Schwellenwerte der KRITIS-Verordnung überschreiten, sind die Pflichten besonders relevant [1, 4]:

Implementierung eines ISMS: Die Einrichtung eines Informationssicherheits-Managementsystems (ISMS), oft basierend auf ISO 27001 oder dem BSI IT-Grundschutz, ist zwingend erforderlich. Es geht darum, Risiken systematisch zu identifizieren, zu bewerten und zu behandeln.
Meldepflichten: IT-Sicherheitsvorfälle müssen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, wie in § 8b Abs. 4 BSIG festgelegt [2].
Die Pflicht zur Angriffserkennung (NEU): Dies ist der kritische Punkt. Ab dem 1. Mai 2023 müssen KRITIS-Betreiber Systeme zur Angriffserkennung einsetzen und deren Erfüllung alle zwei Jahre gegenüber dem BSI nachweisen [3, 5].

Die Pflicht zur Angriffserkennung geht weit über klassische präventive Maßnahmen (Firewalls, Virenscanner) hinaus. Sie erfordert aktive Monitoring-Systeme, die Anomalien im Netzverkehr – insbesondere im Bereich der Operational Technology (OT), also den Steuerungsanlagen – erkennen können. Dies ist essenziell, da Angreifer oft wochen- oder monatelang unbemerkt im System verweilen, bevor sie einen Schaden anrichten.

OT vs. IT: Warum die Unterscheidung zählt

Im Stadtwerk laufen IT und OT oft eng verzahnt. Während die IT (Billing, ERP, E-Mail) für die Geschäftsprozesse kritisch ist, ist die OT (SCADA, Fernsteuerung, Schutztechnik) direkt für die Systemsicherheit und Versorgungssicherheit verantwortlich. Die KRITIS-Anforderungen zielen primär auf die OT ab, da ein Ausfall hier unmittelbare physische Auswirkungen auf das Netz hat [6].

Technisch fundiert: Bei der OT gelten andere Prioritäten als in der IT. Verfügbarkeit (kein Ausfall des Leitsystems) steht oft über der Vertraulichkeit. Security-Lösungen müssen daher die Echtzeitanforderungen und die spezifischen Protokolle der Steuerungstechnik (z.B. IEC 60870-5-104 oder IEC 61850) verstehen, ohne die Stabilität zu gefährden [7].

Strategische Handlungsempfehlungen für Stadtwerke

Auch wenn Ihr Versorgungsnetz die KRITIS-Schwellenwerte (derzeit 500.000 versorgte Einwohner) nicht erreicht [8], ist die Bedrohungslage dieselbe. Eine proaktive Haltung ist strategisch klüger als reaktives Handeln nach einem Vorfall.

1. Risikobewertung und Fokus auf OT

Beginnen Sie mit einer detaillierten Risikobewertung, die sich auf die Prozesse konzentriert, deren Ausfall die Versorgungssicherheit direkt gefährdet. Identifizieren Sie die kritischen Komponenten in Ihrem Leitsystem und in der Kommunikation zu den Unterstationen. Die Sektorkopplung (E-Mobilität, WP) bringt neue digitale Komponenten ins Netz – diese müssen sofort in die Sicherheitsbetrachtung aufgenommen werden.

2. Implementierung von Angriffserkennung

Die Pflicht zur Angriffserkennung ist der Game Changer. Stadtwerke sollten jetzt prüfen, welche Lösungen für Network Detection and Response (NDR) im OT-Bereich verfügbar sind. Es geht darum, eine Baseline des 'normalen' Netzverhaltens zu etablieren, um Abweichungen schnell zu erkennen und zu isolieren.

3. Vernetzung und Kooperation

Die Bedrohung ist systemisch. Kein Stadtwerk kann die Cyberabwehr allein stemmen. Nutzen Sie Kooperationsmöglichkeiten, etwa über regionale Verbände oder spezialisierte Dienstleister. Der Austausch über aktuelle Bedrohungsvektoren und Best Practices ist Gold wert. Vernetzen Sie sich mit anderen VNBs und MSBs, um zu verstehen, wie die End-to-End-Sicherheit der Smart-Meter-Infrastruktur gewährleistet wird.

4. KRITIS als Qualitätsmerkmal

Betrachten Sie die Investition in KRITIS nicht als reinen Kostenfaktor, sondern als strategisches Qualitätsmerkmal. Ein resilientes, sicheres Netz ist die Voraussetzung dafür, dass Sie 2030 die hohen Integrationsanforderungen der Erneuerbaren meistern können. Die Kunden erwarten zu Recht eine unterbrechungsfreie Versorgung – und in einer digitalisierten Welt bedeutet das: Cyber-Sicherheit ist Versorgungssicherheit.

Ausblick: Die resiliente Energiezukunft

Die Energiewende fordert uns heraus, unsere Netze intelligenter und flexibler zu machen. Diese Intelligenz beruht auf Daten und Kommunikation. Daher muss die Cybersicherheit von Anfang an integraler Bestandteil jeder neuen Netzplanungs- oder Sektorkopplungsstrategie sein. Was heute noch als KRITIS-Pflicht empfunden wird, wird 2030 der Standard für eine sichere, dezentrale Netzsteuerung sein. Wir haben die Chance, die Energiewende nicht nur grün, sondern auch systemisch robust zu gestalten. Fangen wir heute damit an, die Basis dafür zu sichern.

Quellenverzeichnis

[1] Energiewirtschaftsgesetz (EnWG), § 11 Anforderungen an den sicheren Betrieb von Energieanlagen.
[2] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), § 8b Kritische Infrastrukturen.
[3] BSI-Gesetz (BSIG), § 8a (1a) Besondere Pflichten der Betreiber Kritischer Infrastrukturen zur IT-Sicherheit.
[4] Bundesnetzagentur (BNetzA), IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG.
[5] BSI, Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA), Version 1.0, 2020.
[6] BSI, Schutz Kritischer Infrastrukturen: Branchenstandard für die Energiewirtschaft, B3S Energie.
[7] BSI, ICS-Security Kompendium, Band 3: Sicherheit von Protokollen in ICS-Umgebungen, 2018.
[8] Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), Anhang 1, Sektor Energie.