Für ein Stadtwerk mit 50.000 Zählpunkten, das SAP IS-U nutzt und IT-SiG 2.0 erfüllen muss: Welche spezifische Art von Anomalie – abgeleitet aus den Audit-Logs (SM20) oder dem IDoc-Monitoring (WE02/WE05) – muss zwingend als priorisierter Alarmfall in das zentrale SIEM-System integriert werden, um die Pflicht zur kontinuierlichen Angriffserkennung (SAT) effektiv zu erfüllen, und welche CAPEX-Strategie (Buy vs. Build) ist für die Anbindung dieser Applikationsprotokolle im Vergleich zur reinen Leittechnik-Überwachung ökonomisch sinnvoll?

Die zwingend zu überwachende Anomalie ist die 'Massenänderung an Stammdaten' oder die 'kritische IDoc-Fehlerrate' (z.B. >5% fehlerhafte MSCONS-IDocs, die auf eine Störung der Kommunikationskette hindeuten). Wirtschaftlich betrachtet muss das Stadtwerk entscheiden, ob es ein spezialisiertes SAP-Monitoring-Tool (Buy) anschafft, das die SM20-Protokolle vorverarbeitet und an das SIEM weiterleitet, oder ob die Anbindung (Build) über SAP-Standardmechanismen erfolgt. Aufgrund der Komplexität der SAP-Audit-Protokolle ist bei dieser Größe oft eine spezialisierte Buy-Lösung günstiger in der langfristigen OPEX, da die initiale Konfiguration und Wartung der Log-Interpretation entfällt.

Angenommen, ein mittelgroßes Stadtwerk (100.000 Kunden) erleidet einen mehrtägigen Ausfall der Datenkommunikation, der zu lückenhaften Messwertreihen führt: Wie groß ist das wirtschaftliche Risiko (ROI-Verlust oder Rückstellungsbedarf) durch verzögerte oder fehlerhafte Abrechnungen im Vergleich zu den Kosten für die Implementierung einer detaillierten Rollback-Strategie (Massenstornierung über SAP EA15) und wie sollte die Krisen-Strategie zur 'Schätzung von Messwerten' personell organisiert werden, um Haftungsrisiken zu minimieren?

Das wirtschaftliche Risiko fehlerhafter Abrechnungen ist signifikant höher als die Investition in eine funktionierende Rollback-Strategie, da Massenreklamationen, Liquiditätsengpässe und Reputationsschäden entstehen können. Der Schlüssel liegt darin, die Prozesse für die Massenstornierung (EA15) und die Neufakturierung vollständig zu automatisieren und vorab zu testen. Die 'Schätzung von Messwerten' muss im Krisenfall durch ein interdisziplinäres Notfallteam erfolgen, das sowohl IT- als auch Prozessverantwortliche umfasst, um die Freigabe der Schätzungen zu dokumentieren und die Einhaltung der gesetzlichen Schätzmethoden zu gewährleisten. Dies minimiert Haftungsrisiken und beschleunigt die Wiederherstellung des M2C-Prozesses.

Für ein kleineres, regional orientiertes Stadtwerk (20.000 Fernwärme- und 30.000 Stromzählpunkte): Wie muss der IT-Notfallplan die Prozesse definieren, um den automatischen Eingang und die Verarbeitung von EDIFACT/MSCONS-Nachrichten im Krisenfall sofort und sauber zu stoppen oder auf manuelle Prüfung umzulegen, und welche Auswirkungen hat diese Maßnahme auf die Kommunikations-Resilienz mit den Marktpartnern (MaKo) und den Kundenservice während des Wiederaufbaus?

Der IT-Notfallplan muss eine klare Checkliste für das Notfallteam enthalten, die die technischen Transaktionen (z.B. in SAP IS-U die Steuerung des IDoc-Eingangs oder des Job-Schedulings für die Importschnittstellen) zur Unterbindung der automatischen Verarbeitung von MSCONS-Nachrichten festlegt. Der Stopp verhindert eine Systemüberlastung oder Datenmanipulation durch fehlerhafte Massendaten. Die Folge ist jedoch eine temporäre Unterbrechung der Marktkommunikations-Resilienz. Dies muss sofort den betroffenen Marktpartnern kommuniziert werden, und der Kundenservice muss geschult werden, dass keine Rechnungen basierend auf neuen, aber unvalidierten Zählerständen erstellt werden, sondern auf Schätzungen oder Alt-Daten basiert. Alternativ muss die Infrastruktur für redundante oder manuelle Kommunikationskanäle (E-Mail, gesicherte Web-Portale) vorbereitet werden.

KRITIS-Resilienz im Maschinenraum: So sichern Sie Abrechnung und Stammdaten

Martin Macher: Die Realität der Resilienz

Die Schlagzeilen über den gezielten Anschlag auf die Stromversorgung in Berlin sind alarmierend. 45.000 Haushalte ohne Saft – das ist die physische Katastrophe. Aber für uns, die Praktiker in den Stadtwerken, beginnt die eigentliche Arbeit, sobald das Licht wieder angeht. Denn ein physischer Angriff auf die Netzinfrastruktur hat sofort massive Rückwirkungen auf unsere informationstechnischen Systeme.

Die Kernfrage, die sich jeder IT- oder Prozessverantwortliche stellen muss, lautet nicht: „Haben wir ein Notstromaggregat?“ Sie lautet: „Wie schnell kriegen wir die Meter-to-Cash (M2C) Kette wieder sauber, wenn uns tagelang die Messwerte fehlen, Stammdaten manipuliert wurden oder die MaKo-Prozesse kollabieren?“

Wir sind die kritische Schnittstelle. Die Stromversorgung mag in Deutschland im internationalen Vergleich hervorragend sein (durchschnittlich 10-15 Minuten Ausfall pro Jahr), aber die Komplexität der Energiewende – dezentrale Erzeugung, Smart Meter, neue Marktrollen – macht uns anfälliger.

Warum Sie als IT-Verantwortlicher handeln müssen

Das Thema Verwundbarkeit ist nicht nur eine Strategie- oder Leittechnik-Frage. Es ist eine Compliance- und Architektur-Frage für das gesamte Backend.

1. Die regulatorische Peitsche: IT-SiG 2.0

Als Betreiber Kritischer Infrastrukturen (KRITIS) sind Sie gesetzlich verpflichtet, angemessene Maßnahmen zur IT-Sicherheit zu treffen. Das IT-Sicherheitsgesetz 2.0 und die darauf aufbauenden Verordnungen verlangen spätestens seit 2023 (abhängig von der Größe) den Einsatz von Systemen zur Angriffserkennung (SAT). Das ist kein nice-to-have, sondern Pflicht.

Praxis-Checkliste SAT-Implementierung (Auswahl):

Ziel: Kontinuierliche und automatische Erfassung und Auswertung geeigneter Parameter.
Tooling: Ein SIEM (Security Information and Event Management) ist in den meisten Fällen die notwendige Basis. Es muss Logs und Metriken nicht nur von der Firewall und der Leittechnik, sondern auch von den kritischen Applikationsservern (SAP, Schleupen, EDM) aggregieren.
Fokus: Die Überwachung von Massenänderungen an Stammdaten erfolgt typischerweise über das Auswerten von Audit-Logs (z.B. SAP-Transaktion SM20) oder durch spezialisierte Monitoring-Lösungen, die an ein Security Information and Event Management (SIEM) System angebunden sind. Solche Anomalien deuten auf Kompromittierung hin, lange bevor die Abrechnung fehlschlägt.

2. Die Daten-Katastrophe managen

Wenn die Netze stehen, erhalten Ihre Kernsysteme (SAP IS-U oder Schleupen CS) keine aktuellen Messwerte mehr. Die MaKo-Prozesse geraten ins Stocken, da die Zeitreihen lückenhaft werden. Im Falle eines Blackouts müssen Sie sofort in den Notfallmodus schalten, um die Datenintegrität zu sichern.

Konkrete Schritte in SAP IS-U/EDM:

EDIFACT-Stopp: Definieren Sie Prozesse, um den automatischen Eingang und die Verarbeitung von EDIFACT-Nachrichten (insbesondere MSCONS) im Krisenfall zu stoppen oder auf manuelle Prüfung umzulegen. Wenn Sie Schleupen CS nutzen, gilt das Gleiche für die Import-Schnittstellen.
IDoc-Monitoring: Zur manuellen Analyse eines plötzlichen Mangels oder einer Überflutung von Messwert-IDocs können die SAP-Standardtransaktionen WE02/WE05 (IDoc-Liste) genutzt werden. Die automatische Alarmierung hierfür muss separat, z.B. über die Monitoring-Architektur (RZ20), konfiguriert werden. Ein Angreifer, der die Datenübertragung stört, wird entweder gar keine Daten senden oder fehlerhafte Massendaten einspeisen, um die Systeme zu überlasten.
Screenshot-Anleitung (simuliert): Screenshot 1 zeigt die Konfiguration eines Alerts in der SAP Transaktion RZ20 (Monitoring-Architektur), der bei einer Überschreitung einer unternehmensspezifisch definierten, kritischen IDoc-Fehlerrate auslöst (ein Schwellenwert von beispielsweise 5% muss im Einzelfall validiert werden) und sofort eine Meldung an das IT-Bereitschaftsteam schickt. Dies ist der erste Indikator für einen erfolgreichen Angriff auf die Kommunikationskette.

Resilienz ist mehr als Backup: Der Wiederaufbau-Plan

Experten wie Dominik Möst von der TU Dresden betonen, dass Präventivmaßnahmen und Notfallteams entscheidend sind. Das gilt auch für die IT. Der Wiederaufbau des Netzes (Stichwort: Inselnetzbetrieb, wie er in der Forschung des Fraunhofer IEE diskutiert wird) muss Hand in Hand mit dem Wiederaufbau der Datenkommunikation gehen.

Ihr IT-Notfallplan muss detailliert festlegen, wie der M2C-Prozess nach einem mehrstündigen oder mehrtägigen Ausfall wiederhergestellt wird. Das ist die Stunde der Wahrheit für Ihr EDM-System und die Abrechnung:

Datenlücken schließen: Wie werden die fehlenden Messwerte geschätzt und in das System (z.B. über die Schätzungstransaktionen in SAP IS-U) eingespielt? Wer darf diese Schätzungen freigeben?
Rollback-Strategie: Haben Sie eine klare Strategie, um fehlerhafte Abrechnungen, die während des Chaos erstellt wurden, massenhaft zu stornieren und neu zu fakturieren, sobald valide Messwerte vorliegen? Fehlerhafte Abrechnungen können massenhaft über die SAP-Transaktion EA15 (Massenstornierung Fakturabelege) storniert werden. Die anschließende Neufakturierung erfolgt in einem separaten Massenlauf.
Kommunikations-Resilienz: Können Sie die Marktkommunikation (MaKo) manuell oder über redundante Kanäle aufrechterhalten, selbst wenn Teile der primären Netzinfrastruktur ausfallen?

Fazit für den Praktiker: Die Verwundbarkeit kritischer Infrastrukturen ist real. Aber wir können sie nicht nur durch Zäune und Kameras mindern. Wir müssen die IT-Systeme so robust gestalten, dass sie sowohl den Angriff erkennen (SAT-Pflicht) als auch die operativen Folgen eines Ausfalls überstehen (M2C-Wiederherstellung). Investieren Sie jetzt in redundante Datenpfade und detaillierte Krisen-Prozesse. Die schönste Strategie nützt nichts, wenn die Abrechnung nach dem Blackout nicht mehr funktioniert.

Martin Macher: Die Realität der Resilienz

Warum Sie als IT-Verantwortlicher handeln müssen

1. Die regulatorische Peitsche: IT-SiG 2.0

2. Die Daten-Katastrophe managen

Resilienz ist mehr als Backup: Der Wiederaufbau-Plan

Praxis-Fragen für Ihr Stadtwerk