Sicherheit: Energiebranche gerät in den Fokus von Cyber-Attentätern
Berlin. Die Energiebranche sieht sich einem sprunghaften Anstieg von Cyberattacken ausgesetzt. „Cyberangriffe auf die Energieinfrastruktur nehmen zu. Sie betreffen Strom- und Gasnetze, Kraftwerke oder auch Windparks“, sagte Max Heinemeyer dem Handelsblatt. Er ist Cybersicherheitsexperte von Darktrace, einem Unternehmen, das sich auf die Abwehr von Cyberattacken spezialisiert hat.
Zugleich würden die Angriffe zielgerichteter und professioneller, so Heinemeyer. Die Folgen sind schwer abschätzbar. Unter anderem weil sich die betroffenen Unternehmen mit Informationen über Ausmaß und Häufigkeit der Angriffe zurückhalten, um keine Angriffsfläche zu bieten.
So heißt es beispielsweise beim Stromübertragungsnetzbetreiber Amprion, als Betreiber kritischer Infrastruktur nehme man den Schutz der Anlagen und Systeme sehr ernst. Dazu habe man ein umfassendes Sicherheitskonzept erarbeitet. „Ein wichtiger Teil dieses Konzepts ist es, dass wir uns zum bestmöglichen Schutz unserer Anlagen und Systeme grundsätzlich nicht zu den von uns ergriffenen Sicherheitsvorkehrungen äußern.“
Beim Stromübertragungsnetzbetreiber 50Hertz klingt es ähnlich: Um Systeme und Infrastrukturen zu schützen, mache man „keine Angaben zu den von uns ergriffenen Sicherheitsvorkehrungen“. Man arbeite eng mit den zuständigen Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen.
Energiebranche hält Zahlen für unplausibel
Ein präzises Bild über die Entwicklung von Angriffen ist deswegen schwer zu gewinnen. Zwar sind Betreiber kritischer Infrastrukturen dazu verpflichtet, dem BSI Angriffe auf ihre IT-Systeme zu melden. Doch werden nicht alle Angriffe gemeldet und erfasst.
Das Bundesinnenministerium antwortete auf eine Frage des Grünen-Bundestagsabgeordneten Alaa Alhamwi zur Entwicklung der Zahl der Cyberangriffe auf Stromübertragungsnetzbetreiber, Verteilnetzbetreiber und Kraftwerke, es habe in den Jahren 2020 bis 2024 keinerlei Angriffe auf Stromübertragungsnetzbetreiber gegeben. Das Ministerium bezieht sich auf Zahlen des BSI.
Insgesamt registrierte das BSI dem Bundesinnenministerium zufolge in den Jahren 2020 bis einschließlich 2024 lediglich vier Cyberattacken auf Kraftwerke sowie 47 Angriffe auf Verteilnetzbetreiber und 21 auf Umspannwerke.
In der Energiebranche heißt es, die Zahlen seien völlig unplausibel. Man registriere täglich gravierende Cyberattacken. Das BSI erklärte auf Nachfrage, aufgeführt seien nur die dem BSI durch registrierte Betreiber kritischer Infrastruktur gemeldeten Fälle. Nicht erfasst seien etwa kleinere Stadtwerke oder andere Unternehmen aus der Energiebranche, die bestimmte Schwellenwerte nicht erreichten. Tatsächlich fänden also „viel mehr Cyberangriffe auf Energieunternehmen statt“.
In der Antwort des Bundesinnenministeriums seien auch Fälle nicht enthalten, die die Betreiber hätten abfangen können, heißt es beim BSI. Nicht erfasst seien zudem Fälle, die nicht meldepflichtig waren, weil „keine zur Erbringung der kritischen Dienstleistung notwendigen Geschäftsbereiche betroffen waren“.
Grünen-Politiker Alhamwi, Mitglied des Bundestagsausschusses für Wirtschaft und Energie, sieht das kritisch. „Spätestens seit dem Angriff Russlands auf die Ukraine diskutieren wir beinahe täglich über stark gestiegene Bedrohungslagen“, sagte er dem Handelsblatt. Umso erschreckender sei es, wie wenig die Bundesregierung über Cyberangriffe auf das Stromsystem wisse.
„Um die Versorgungssicherheit zu stärken, brauchen wir endlich ein Gesamtlagebild und eine Gesamtstrategie, die den Risiken angemessen entgegenwirken und dabei handhabbar sind, insbesondere für Behörden und kleinere Stadtwerke“, forderte der Grünen-Politiker.
Anlagenbetrieb „im Blindflug“
Auch in der Energiebranche wird kritisiert, die Meldewege und Zuständigkeiten im Fall von Cyberattacken seien kompliziert und uneinheitlich. Es sei daher schwierig, ein Bild von der Bedrohungslage zu skizzieren.
Max Heinemeyer von Darktrace warnt davor, den Kampf gegen Cyberattacken zu vernachlässigen: „Angriffe auf kritische Infrastrukturen stellen eine Erweiterung der klassischen Kriegsmodells dar. Wenn solche Angriffe gelingen, können sie wirtschaftliche Auswirkungen haben und zugleich das Vertrauen der Gesellschaft in den Staat erheblich erschüttern.“
Er kritisierte, operative Technologie (OT) zur Steuerung und Überwachung von Kraftwerken, Netzen oder auch Windparks werde „oft im Blindflug“ betrieben. Die Betreiber hätten zwar dicke Burgmauern hochgezogen, aber das Gefährdungspotenzial sei trotzdem hoch. Das lasse sich mit der technischen Entwicklung erklären: „Die Betreiber wollen das Arbeiten aus der Ferne ermöglichen, sie erheben mehr Daten, setzen auf KI-Steuerung oder cloudbasierte Lösungen. So erhöht sich die Angriffsfläche.“
Die Vorstellung, die Leitwarte eines Stromnetzbetreibers sei hermetisch abgeriegelt, hält Heinemeyer für „völlig illusorisch“. OT-Systeme seien heute eher stärker mit IT-Systemen vernetzt als früher. „Angreifer müssen aber auch gar nicht ins Herz des Netzes vordringen, um Schaden anrichten zu können“, warnt er.
Kritis-Dachgesetz ist lange überfällig
Innerhalb der Koalition von Union und SPD wird eingeräumt, Deutschland sei im Kampf gegen Cyberattacken unzureichend gerüstet. Der CDU-Sicherheitspolitiker Roderich Kiesewetter bemängelte zuletzt Lücken beim Schutz kritischer und sicherheitsrelevanter Infrastruktur und Einrichtungen. Sie sollten eigentlich durch strengere Vorschriften behoben werden, die während der Regierungszeit der Ampelkoalition ausgearbeitet wurden. Doch durch den vorzeitigen Regierungswechsel konnten sie nicht beschlossen werden.
Dazu zählt etwa das „Kritis-Dachgesetz“. Mit ihm sollten künftig für Einrichtungen der kritischen Infrastruktur verpflichtende Vorgaben gelten, sich besser vor Sabotage, Terroranschlägen und den Folgen von Naturkatastrophen zu schützen.
Zudem hatte die Ampelregierung schon im Sommer strengere Cyberregeln für kritische Anlagen und wichtige Unternehmen beschlossen, um damit eine EU-weite Regelung umzusetzen, das sogenannte NIS-2-Gesetz. Es formuliert Vorgaben für verschärfte Sicherheitsanforderungen für rund 30.000 Unternehmen aus den Sektoren Energie, Transport, Gesundheitswesen, Finanzsektor, digitale Infrastruktur und der öffentlichen Verwaltung. Zur Umsetzung im Parlament kam es aber wegen der vorgezogenen Bundestagswahl im Februar 2025 nicht. In der letzten Kabinettssitzung vor der Sommerpause wurde schließlich der entsprechende Gesetzentwurf von Innenminister Alexander Dobrindt (CSU) beschlossen.
Auch bei der sogenannten CER-Richtlinie lieferte die Regierung bislang nicht. Sie verpflichtet die EU-Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschlägen oder Sabotage zu stärken. Bis heute wurden keine Maßnahmen dafür nach Brüssel übermittelt. Die Frist für die Umsetzung endete wie bei NIS-2 am 17. Oktober 2024.
Da deshalb bereits Vertragsverletzungsverfahren gegen Deutschland laufen, besteht eigentlich großer Handlungsdruck. Doch das Bundesinnenministerium lässt sich nicht treiben. CDU-Innenstaatssekretär Christoph de Vries erklärte Anfang Juli zu den noch ausstehenden Cyberschutzmaßnahmen lediglich, für die Bundesregierung seien die Vorhaben „dringlich“. Einen konkreten Zeitplan für die Umsetzung nannte er nicht.