Für ein mittelgroßes Stadtwerk mit 80.000 Stromzählpunkten, das historisch gewachsene SCADA-Systeme (Leitsysteme) in der OT betreibt: Welche konkreten technischen Herausforderungen ergeben sich bei der fristgerechten Implementierung (Stichtag 1. Mai 2023) der § 8a BSIG geforderten Systeme zur Angriffserkennung (SzA)? Wie kann die Lücke zwischen reiner IT-Netzwerküberwachung und der tiefgreifenden Überwachung der Prozessdaten und Fernwirkprotokolle geschlossen werden, um die „Angemessenheit“ der SzA nachzuweisen, ohne die Stabilität der Leitsysteme zu gefährden?

Die Herausforderung liegt primär in der Konvergenz von IT und OT. OT-Netzwerke nutzen oft proprietäre oder veraltete Protokolle, für die Standard-IT-Sicherheitslösungen nicht geeignet sind. Die „Angemessenheit“ erfordert spezialisierte SzA, die tief in die Protokolle (z. B. IEC 61850 oder DNP3) schauen, Anomalien in der Steuerung erkennen und gleichzeitig passiv (ohne aktive Abfragen, die Legacy-Systeme stören könnten) arbeiten. Der Nachweis der Angemessenheit erfordert zudem eine klare Dokumentation der Überwachungsparameter und der Abläufe zur Meldung von Auffälligkeiten an die verantwortlichen Stellen (BSI).

Angenommen, ein Stadtwerk mit 45.000 Kundenanschlüssen liegt derzeit knapp unterhalb der Schwellenwerte der BSI-KritisV, rechnet aber damit, durch die Ausweitung der Betreiberpflichten unter der zukünftigen NIS2-Richtlinie als „wichtige Einrichtung“ eingestuft zu werden: Welche strategischen Compliance-Schritte sollten *jetzt* unternommen werden, um die Lücke zu den Anforderungen des BSIG (§ 8a SzA) proaktiv zu schließen, und wie lassen sich die Mehrkosten dieser vorausschauenden Compliance (CAPEX/OPEX) betriebswirtschaftlich rechtfertigen, bevor die Pflicht offiziell greift?

Strategisch sollte das Stadtwerk die NIS2-Anforderungen als Mindeststandard für die zukünftige Risikomanagementstrategie annehmen. Proaktive Schritte umfassen die Inventarisierung und Segmentierung der OT-Systeme, die Vorbereitung der Kommunikationswege für spätere SzA-Implementierungen und die Schulung des Personals für Meldepflichten. Die Rechtfertigung der Mehrkosten erfolgt über die Minimierung regulatorischer Risiken (Bußgelder, Auflagen), die Steigerung der betrieblichen Resilienz (§ 13 EnWG) und die Vermeidung von Reputationsschäden durch präventive Investitionen. Dies wandelt Compliance von einer reinen Pflicht in einen Wettbewerbsvorteil der Versorgungssicherheit.

Für ein Stadtwerk, das in einer dicht besiedelten städtischen Umgebung über 100 dezentrale PV-Anlagen in sein Verteilnetz integriert und Konzepte für Wiederaufbaupfade und Inselnetzfähigkeit entwickelt: Wie beeinflusst die Pflicht zur Implementierung von SzA (§ 8a BSIG) die Planung und die Investitionsentscheidungen für die manipulationssichere Kommunikation dieser dezentralen Komponenten? Und wie kann der resultierende Anstieg der Betriebssicherheit gegenüber Aufsichtsräten als notwendige Investition in die Systemverantwortung im Zuge der Energiewende kommuniziert werden?

Die SzA-Pflicht zwingt dazu, die Kommunikationswege zu jeder dezentralen Erzeugungsanlage als potenzielle kritische Schnittstelle zu betrachten. Investitionsentscheidungen müssen nun neben der reinen Funktionalität (Netzführung) auch die Cyber-Sicherheit berücksichtigen, insbesondere die Integrität der Daten, die für Wiederaufbaupfade oder den Inselnetzbetrieb essenziell sind. Gegenüber dem Aufsichtsrat wird die Investition als Schutz der Systemverantwortung und der Gewährleistung der sicheren und zuverlässigen Energieversorgung (§ 13 EnWG) kommuniziert. SzA sind dabei die notwendige technische Komponente, um die erhöhte Komplexität der dezentralen Netzinfrastruktur gegen kaskadierende Effekte durch Cyberangriffe abzusichern.

§ 8a BSIG: Der neue Maßstab für die Cyber-Sicherheit von Stadtwerken

Deutschland rühmt sich zu Recht seiner hohen Versorgungssicherheit. Mit durchschnittlich nur 10 bis 15 Minuten Versorgungsunterbrechung pro Jahr liegt der SAIDI-Wert im internationalen Vergleich auf Spitzenniveau. Doch die jüngsten Ereignisse, wie etwa gezielte Anschläge auf die Stromversorgung, führen uns die inhärente Verwundbarkeit dieser Systeme drastisch vor Augen.

Für Stadtwerke und Netzbetreiber ist die Auseinandersetzung mit der Sicherheit kritischer Infrastrukturen (Kritis) nicht nur eine Frage der Risikominderung, sondern eine zwingende regulatorische Pflicht. Regina Recht analysiert, welche rechtlichen Grundlagen hier greifen und warum die Komplexität der Energiewende die Anforderungen an die Resilienz massiv erhöht.

1. Die regulatorische Pflicht: Warum die Stromversorgung im Fokus steht

Die Stromversorgung ist die Mutter aller kritischen Infrastrukturen. Ein Ausfall zieht unweigerlich kaskadierende Effekte nach sich, die von der Kommunikation über den Verkehr bis hin zur Gesundheitsversorgung reichen. Diese Abhängigkeitsstruktur macht den Sektor Energie zu einem primären Ziel von Angriffen – ob physischer Natur oder im Cyberraum.

Die gesetzliche Grundlage für die Absicherung digitaler Systeme ist primär das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG), ergänzt durch die BSI-Kritisverordnung (BSI-KritisV). Letztere definiert anhand von Schwellenwerten, welche Anlagen, Einrichtungen oder Teile davon als Kritis gelten und somit den strengen Anforderungen des BSIG unterliegen.

Warum diese Unterscheidung wichtig ist: Als Betreiber einer Kritischen Infrastruktur sind Sie nicht nur dem Energiewirtschaftsgesetz (EnWG) verpflichtet (insbesondere § 13 EnWG zur Gewährleistung der sicheren und zuverlässigen Energieversorgung), sondern auch den spezifischen IT-Sicherheitsanforderungen des BSIG.

2. Die konkrete Umsetzung: Systeme zur Angriffserkennung (§ 8a BSIG)

Der Gesetzgeber hat die Pflichten für Kritis-Betreiber in den letzten Jahren signifikant verschärft. Eine zentrale und für Netzbetreiber sofort relevante Neuerung ist die Pflicht zur Implementierung von Systemen zur Angriffserkennung (SzA).

Diese Vorgabe wurde mit dem IT-Sicherheitsgesetz 2.0 in § 8a Absatz 1a BSIG verankert und trat spätestens zum 1. Mai 2023 für alle betroffenen Kritis-Betreiber in Kraft.

Der regulatorische Auftrag ist klar: Betreiber müssen in ihren maßgeblichen informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der Energieversorgungsnetze oder -anlagen entscheidend sind, angemessene Systeme zur Angriffserkennung einsetzen.

Was bedeutet „angemessen“?

Die SzA müssen:

Kontinuierlich und automatisch geeignete Parameter und Merkmale aus dem laufenden Betrieb erfassen und auswerten.
Auffälligkeiten identifizieren, die auf eine konkrete Gefährdung oder eine bereits erfolgte Kompromittierung hindeuten.
Meldungen an die verantwortlichen Stellen generieren.

Diese Pflicht geht weit über ein reines Virenschutzprogramm hinaus. Sie fordert eine tiefgreifende Überwachung der Operational Technology (OT) und der Schnittstellen zur Information Technology (IT), um Anomalien in den SCADA-Systemen, Fernwirktechnik oder Leitsystemen frühzeitig zu erkennen. Hier treffen die Welten der IT-Sicherheit und der Netzbetriebsführung direkt aufeinander.

3. Die Herausforderung der Resilienz im Zuge der Energiewende

Die Notwendigkeit strenger Sicherheitsvorgaben wird durch die Transformation des Energiesystems verstärkt. Die Energiewende bringt neue Herausforderungen mit sich, die die Versorgungssicherheit komplexer machen:

A. Dezentralisierung und Vernetzung

Der Wegfall dargebotsunabhängiger Großkraftwerke und die gleichzeitige Integration tausender dezentraler Erzeugungsanlagen (PV, Wind) im Verteilnetz erhöhen die Komplexität der Netzführung exponentiell. Jede neue Erzeugungsanlage, jeder Smart Meter und jede Ladestation stellt einen potenziellen neuen Angriffspunkt dar. Die Netzbetreiber müssen nicht nur die Robustheit der Netze gegenüber Versorgungsunterbrechungen steigern, sondern auch die Cyber-Sicherheit dieser neuen, hochgradig vernetzten Komponenten gewährleisten.

B. Aufbaupfade und Inselnetzfähigkeit

Die BNetzA fokussiert sich in ihren Monitoringberichten auf die sichere Versorgung. Ein entscheidender Punkt ist die Fähigkeit, das Netz nach einem Blackout sicher und schnell wieder aufzubauen (Wiederaufbaupfade). Durch die dezentrale Erzeugung, insbesondere in städtischen Verteilnetzen, entsteht die Möglichkeit, zumindest Teile des Netzes als Inselnetz weiterzubetreiben (Quelle: vgl. Forschungsprojekt „LINDA“, Fraunhofer IEE). Die regulatorische Aufgabe besteht darin, diese neuen technischen Möglichkeiten in die Sicherheitskonzepte zu integrieren und gleichzeitig sicherzustellen, dass die dafür notwendigen Kommunikationswege manipulationssicher sind.

C. Die NIS2-Richtlinie: Ausweitung der Betreiberpflichten

Obwohl das BSIG aktuell die Grundlage bildet, müssen Stadtwerke bereits die kommende NIS2-Richtlinie (Richtlinie (EU) 2022/2555) im Blick behalten. NIS2 wird den Kreis der verpflichteten Unternehmen voraussichtlich erheblich ausweiten. Während die BSI-KritisV bisher spezifische Schwellenwerte definierte, könnten künftig auch Unternehmen, die bisher knapp unterhalb dieser Schwellen lagen, in den Anwendungsbereich fallen – insbesondere wenn sie als „wichtige Einrichtungen“ (anstelle der bisherigen „wesentlichen Einrichtungen“) eingestuft werden. Dies bedeutet für viele Stadtwerke, die bisher nicht als Kritis-Betreiber galten, eine massive Steigerung der Compliance-Anforderungen in Bezug auf Risikomanagement und Meldepflichten.

4. Fazit: Warum Sie als Stadtwerk jetzt handeln müssen

Die Kernfrage für jeden Verantwortlichen in einem Stadtwerk ist: „Warum sollte ich mich über die reine IT-Compliance hinaus mit der Verwundbarkeit kritischer Infrastrukturen beschäftigen?“

Die Antwort ist dreifach:

Regulatorische Konsequenz: Die Nichteinhaltung der Pflichten aus § 8a BSIG oder den Anforderungen der BSI-KritisV kann zu Bußgeldern und Auflagen durch das BSI führen. Compliance ist somit direkter Bestandteil der Risikominimierung.
Betriebliche Resilienz: Die Investition in SzA und robuste Sicherheitskonzepte dient nicht nur der Abwehr von Cyberangriffen, sondern erhöht die allgemeine Betriebssicherheit. Ein gut geschütztes System ist weniger anfällig für Fehler, die durch fehlerhafte Kommunikation oder unautorisierte Zugriffe entstehen. Dies ist essenziell für die Erfüllung des § 13 EnWG.
Systemverantwortung: Als Betreiber einer Kritischen Infrastruktur tragen Sie eine gesamtgesellschaftliche Verantwortung, die weit über das eigene Versorgungsgebiet hinausgeht. Die Verhinderung eines lokalen Ausfalls kann die Kaskadierung auf andere Sektoren verhindern. Die von Ihnen geforderte Sorgfalt entspricht dem Schutzgut der öffentlichen Sicherheit.

Die Verwundbarkeit von Kritis ist real. Die regulatorische Antwort darauf ist Präzision, Dokumentation und die Implementierung technischer Systeme, die den Betrieb kontinuierlich überwachen. Für Stadtwerke bedeutet dies, die regulatorischen Vorgaben nicht als lästige Pflicht, sondern als essenziellen Bestandteil der strategischen Netzführung zu verstehen.

Kritische Infrastruktur: Warum § 8a BSIG die Resilienz Ihres Stadtwerks neu definiert