Sicherheit für Energie- & Wasserversorgung

KRITIS-Anforderungen für Energieversorger

Unternehmen der Energie- und Wasserversorgung gehören zu den Betreibern kritischer Infrastrukturen (KRITIS) und unterliegen damit den strengsten IT-Sicherheitsanforderungen in Deutschland. Das BSI-Gesetz (BSIG) verpflichtet KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme zu treffen — und dies regelmäßig nachzuweisen.

Schwellenwerte und Geltungsbereich

Die KRITIS-Verordnung (KritisV) definiert konkrete Schwellenwerte für den Energiesektor. Betreiber von Stromerzeugungsanlagen ab 36 MW installierter Leistung, Gasversorgungsunternehmen ab 5.190 GWh/Jahr und Wasserversorger ab 500.000 versorgte Personen fallen automatisch unter die KRITIS-Regelungen. Doch auch kleinere Versorger können betroffen sein, wenn sie Teil einer kritischen Versorgungskette sind oder wenn landesrechtliche Regelungen niedrigere Schwellenwerte vorsehen.

Pflichten nach § 8a BSIG

KRITIS-Betreiber müssen dem BSI gegenüber alle zwei Jahre nachweisen, dass ihre IT-Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Dies geschieht durch Audits, Prüfungen oder Zertifizierungen, die von anerkannten Prüfstellen durchgeführt werden. Zudem müssen sie eine Kontaktstelle für das BSI einrichten und IT-Sicherheitsvorfälle unverzüglich melden. Bei Verstößen drohen Bußgelder von bis zu 2 Millionen Euro.

Branchenspezifische Sicherheitsstandards (B3S)

Für den Energiesektor hat der BDEW (Bundesverband der Energie- und Wasserwirtschaft) in Zusammenarbeit mit dem BSI einen branchenspezifischen Sicherheitsstandard entwickelt — das „BDEW Whitepaper“ und den IT-Sicherheitskatalog der Bundesnetzagentur. Diese Standards definieren konkrete Maßnahmen und Mindestanforderungen, die auf die besonderen Gegebenheiten der Energieversorgung zugeschnitten sind. Wer die B3S-Anforderungen erfüllt, kann davon ausgehen, auch die allgemeinen KRITIS-Pflichten zu erfüllen.

IT-Sicherheitsgesetz 2.0 und NIS-2

Die regulatorischen Anforderungen an die IT-Sicherheit von Energieversorgern werden durch das IT-Sicherheitsgesetz 2.0 und die europäische NIS-2-Richtlinie erheblich erweitert und verschärft.

Wesentliche Änderungen durch das IT-Sicherheitsgesetz 2.0

Das 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 bringt für Energieversorger wesentliche Neuerungen:

• Systeme zur Angriffserkennung: KRITIS-Betreiber müssen seit Mai 2023 verpflichtend Systeme zur Erkennung von Cyberangriffen (SzA/IDS) einsetzen und dem BSI gegenüber nachweisen.
• Erweiterte Meldepflichten: Neben erheblichen Störungen müssen nun auch Beinahe-Vorfälle und der Einsatz kritischer Komponenten gemeldet werden.
• Erweiterte BSI-Befugnisse: Das BSI kann nun aktiv nach Sicherheitslücken in KRITIS-Systemen suchen und Mindeststandards verbindlich festlegen.
• Erhöhte Bußgelder: Die maximalen Bußgelder wurden auf bis zu 2 Millionen Euro angehoben.
• Unternehmen im besonderen öffentlichen Interesse (UBI): Auch Unternehmen unterhalb der KRITIS-Schwellenwerte können regulatorischen Pflichten unterliegen.

NIS-2-Richtlinie und ihre Auswirkungen

Die europäische NIS-2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt wird, erweitert den Kreis der regulierten Unternehmen im Energiesektor drastisch. Neben den klassischen KRITIS-Betreibern sind nun auch mittlere Energiedienstleister, Stadtwerke und Fernwärmeanbieter betroffen. Die Richtlinie fordert unter anderem:

• Risikomanagement für IT- und OT-Systeme
• Incident-Response-Pläne und -Prozesse
• Supply-Chain-Sicherheit entlang der gesamten Lieferkette
• Regelmäßige Sicherheitsüberprüfungen und Audits
• Persönliche Haftung der Geschäftsleitung für Cybersicherheitsmaßnahmen
• Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes

Für viele Stadtwerke und kleinere Energieversorger bedeutet die NIS-2-Umsetzung einen erheblichen Handlungsbedarf. Die Einrichtung eines ISMS, die Benennung eines Informationssicherheitsbeauftragten und die Implementierung technischer Sicherheitsmaßnahmen müssen zeitnah angegangen werden.

OT-Sicherheit: Besonderheiten in der Energiebranche

Die größte Herausforderung für die IT-Sicherheit in der Energieversorgung liegt in der Konvergenz von IT (Information Technology) und OT (Operational Technology). Während die IT-Sicherheit in Büroumgebungen auf bewährte Standards zurückgreifen kann, gelten in der Betriebstechnik (OT) völlig andere Rahmenbedingungen.

Was ist OT-Sicherheit?

Operational Technology umfasst alle Systeme, die physische Prozesse überwachen und steuern — in der Energieversorgung sind das Leitsysteme (SCADA), speicherprogrammierbare Steuerungen (SPS), Remote Terminal Units (RTU) und intelligente Messsysteme (Smart Meter). Diese Systeme sind historisch für isolierte Umgebungen entwickelt worden und verfügen oft über keine oder nur rudimentäre Sicherheitsfunktionen. Die zunehmende Vernetzung dieser Systeme — Stichwort Industrie 4.0 und Smart Grid — schafft neue Angriffsvektoren.

Unterschiede zwischen IT- und OT-Sicherheit

Die fundamentalen Unterschiede zwischen IT- und OT-Sicherheit führen regelmäßig zu Konflikten bei der Umsetzung von Sicherheitsmaßnahmen:

• Verfügbarkeit vs. Vertraulichkeit: In der IT steht oft die Vertraulichkeit an erster Stelle. In der OT hat die Verfügbarkeit absolute Priorität — ein Stromausfall kann Menschenleben gefährden.
• Patch-Management: In der IT werden Sicherheitsupdates zeitnah eingespielt. In der OT können Updates nur in geplanten Wartungsfenstern installiert werden, da ein Neustart des Systems die Versorgung unterbrechen würde.
• Lebensdauer: IT-Systeme haben einen Lebenszyklus von 3 bis 5 Jahren. OT-Systeme laufen 15 bis 25 Jahre — oft mit Betriebssystemen, die längst keine Sicherheitsupdates mehr erhalten.
• Echtzeitanforderungen: OT-Systeme müssen in Echtzeit reagieren. Sicherheitsmaßnahmen wie Deep Packet Inspection können inakzeptable Latenzen verursachen.

Maßnahmen für die OT-Sicherheit

Trotz dieser Herausforderungen gibt es bewährte Ansätze für die OT-Sicherheit in der Energieversorgung:

• Netzwerksegmentierung: Strikte Trennung von IT- und OT-Netzwerken durch demilitarisierte Zonen (DMZ) und industrielle Firewalls.
• Asset-Inventarisierung: Vollständige Erfassung aller OT-Komponenten als Grundlage für Sicherheitsmaßnahmen.
• OT-spezifisches Monitoring: Einsatz von Intrusion Detection Systemen, die industrielle Protokolle (Modbus, IEC 61850, DNP3) verstehen und Anomalien erkennen.
• Härtung: Deaktivierung nicht benötigter Dienste und Ports, Einschränkung der Kommunikationsbeziehungen auf das Minimum.
• Incident-Response für OT: Spezifische Notfallpläne, die die besonderen Anforderungen der Betriebstechnik berücksichtigen.

Notfallmanagement und Krisenvorsorge für Energieversorger

Ein vollständiges Notfallmanagement ist für Energieversorger von existenzieller Bedeutung. Anders als in den meisten Branchen können IT-Sicherheitsvorfälle in der Energieversorgung unmittelbare Auswirkungen auf die öffentliche Daseinsvorsorge haben. Die Vorbereitung auf den Ernstfall ist daher keine Option, sondern eine Pflicht.

Business Continuity Management (BCM)

Ein BCM-System stellt sicher, dass kritische Versorgungsprozesse auch bei schwerwiegenden IT-Ausfällen aufrechterhalten werden können. Dazu gehören die Identifikation geschäftskritischer Prozesse und IT-Systeme, die Definition von Wiederanlaufzeiten (RTO) und maximalen Datenverlusttoleranzen (RPO), redundante Kommunikationswege für Krisensituationen, regelmäßige Notfallübungen unter realistischen Bedingungen und die Abstimmung mit Behörden, Netzbetreibern und anderen KRITIS-Betreibern in der Region. Energieversorger sollten zudem Rückfallebenen für den manuellen Betrieb vorhalten — auch wenn die vollständige Versorgung ohne IT-Unterstützung in modernen Netzen kaum möglich ist, können Notbetriebsverfahren die Zeit bis zur Wiederherstellung der IT-Systeme überbrücken.

Zusammenarbeit mit dem BSI und Behörden

Im Ernstfall ist die schnelle Zusammenarbeit mit dem BSI und den zuständigen Landesbehörden wichtig. Energieversorger sollten bereits im Vorfeld klare Kommunikationswege und Ansprechpartner definiert haben. Das BSI bietet KRITIS-Betreibern Unterstützung bei der Bewältigung von Cybervorfällen durch das Computer Emergency Response Team des Bundes (CERT-Bund). Auch die Zusammenarbeit mit spezialisierten Incident-Response-Dienstleistern sollte vertraglich vorbereitet sein, um im Krisenfall keine wertvolle Zeit zu verlieren.

Häufig gestellte Fragen zur IT-Sicherheit in der Energieversorgung

Wer ist für die IT-Sicherheit bei Stadtwerken verantwortlich?

Die Verantwortung für die IT-Sicherheit liegt bei der Geschäftsleitung. Das IT-Sicherheitsgesetz 2.0 und die NIS-2-Richtlinie sehen eine persönliche Haftung der Geschäftsführung vor. Operativ wird die IT-Sicherheit in der Regel durch einen Informationssicherheitsbeauftragten (ISB) gesteuert, der direkt an die Geschäftsleitung berichtet. Bei kleineren Stadtwerken ist ein externer ISB häufig die wirtschaftlich sinnvollste Lösung, da die Anforderungen an Fachwissen und Erfahrung hoch sind.

Welche Zertifizierung benötigt ein Energieversorger?

Die Bundesnetzagentur fordert von Energieversorgern die Einführung eines ISMS nach ISO 27001 (oder ISO 27019 für den Energiesektor). KRITIS-Betreiber können alternativ den Nachweis nach § 8a BSIG durch Audits nach branchenspezifischen Standards (B3S) erbringen. Eine ISO-27001-Zertifizierung bietet den Vorteil, dass sie international anerkannt ist und gleichzeitig die regulatorischen Anforderungen erfüllt. Der Zertifizierungsprozess dauert in der Regel 12 bis 18 Monate.

Wie können kleine Stadtwerke die KRITIS-Anforderungen erfüllen?

Kleine Stadtwerke, die unter die KRITIS-Schwellenwerte fallen, aber durch NIS-2 reguliert werden, können die Anforderungen schrittweise umsetzen. Ein pragmatischer Ansatz beginnt mit einer Bestandsaufnahme und Risikoanalyse, gefolgt von der Implementierung grundsätzlicher Sicherheitsmaßnahmen (Netzwerksegmentierung, Backup, Patch-Management). Ein erfahrener externer Informationssicherheitsbeauftragter kann diesen Prozess effizient begleiten und sicherstellen, dass die regulatorischen Fristen eingehalten werden. Die DATUREX GmbH unterstützt Stadtwerke und Versorger in Sachsen bei der Erfüllung ihrer Informationssicherheitspflichten.

→ Jetzt Beratung zur KRITIS-Compliance für Ihre Versorgungseinrichtung anfragen

SCADA- und OT-Sicherheit: Kritische Infrastruktur in Sachsen schützen

Die Absicherung von SCADA-Systemen (Supervisory Control and Data Acquisition) und operativer Technologie (OT) stellt sächsische Energie- und Wasserversorger vor besondere Herausforderungen. Anders als klassische IT-Systeme laufen SCADA-Anlagen oft über Jahrzehnte und wurden ursprünglich nicht für eine vernetzte Welt konzipiert. Die zunehmende Konvergenz von IT und OT — etwa durch die Integration von Smart-Grid-Technologien bei sächsischen Energieversorgern — schafft neue Angriffsvektoren, die gezielt adressiert werden müssen.

Die BSI-Orientierungshilfe für Betreiber kritischer Infrastrukturen empfiehlt eine strikte Netzwerksegmentierung zwischen IT- und OT-Bereichen, die Implementierung von Anomalie-Erkennung in Steuerungsnetzen und regelmäßige Sicherheitsüberprüfungen der Leittechnik. Für sächsische Stadtwerke und Wasserversorger, die unter die KRITIS-Verordnung oder das IT-Sicherheitsgesetz 2.0 fallen, sind diese Maßnahmen verpflichtend.

Die KRITIS-Verordnung definiert in ihrem Anhang klare Schwellenwerte: Energieversorger ab 500.000 versorgten Personen und Wasserversorger ab 500.000 versorgten Personen gelten als KRITIS-Betreiber. Doch auch kleinere Versorger in Sachsen sind durch das NIS-2-Umsetzungsgesetz betroffen und müssen grundsätzliche Informationssicherheitsmaßnahmen nachweisen. Die DATUREX GmbH unterstützt sächsische Versorger bei der Implementierung von OT-Sicherheitskonzepten nach IT-Grundschutz und bei der Vorbereitung auf die ISO 27001-Zertifizierung mit sektorspezifischen Erweiterungen nach ISO 27019.