Alarmstufe Cybersicherheit

Die Sicherheit kritischer Infrastrukturen war das zentrale Thema der diesjährigen E&M-Energiemanagerkonferenz am 25. September in Berlin. Energieversorger, Netzbetreiber und Industrievertreter diskutierten über die Verwundbarkeit ihrer Systeme − und wie sich Unternehmen im Spannungsfeld zwischen Digitalisierung, geopolitischen Risiken und neuen gesetzlichen Anforderungen behaupten können. 

Den Auftakt machte Claudia Rathfux, Geschäftsführerin der NBB Netzgesellschaft Berlin-Brandenburg, die den Ernst der Lage verdeutlichte. Nur wenige Tage zuvor hatte ein Brandanschlag auf ein Umspannwerk 50.000 Berlinerinnen und Berliner vorübergehend vom Stromnetz getrennt. „Absolute Sicherheit ist unmöglich“, sagte Rathfux. Selbst ein Tor an einer Anlage ihres Unternehmens sei kürzlich gestohlen worden − ein Vorfall, der banal klinge, aber Schwachstellen offenbare.

Sicherheit fängt bei den Menschen an

Videoüberwachung könne helfen, aber keine lückenlose Kontrolle gewährleisten, erklärte Rathfux. Deshalb setze die NBB auf Mitarbeiterschulungen und Sensibilisierung für verdächtige Vorgänge − sowohl rund um technische Anlagen als auch im digitalen Raum. „Jede Mail kann ein Einfallstor sein“, warnte sie. Zudem seien Zugangsbeschränkungen und strengere Prüfprozesse in den Netzwerken eingeführt worden.
 
Neu sei, dass die NBB auch auf vermeintlich harmlose Besucher verzichte. „Wir müssen uns schützen, auch vor Schulklassen“, sagte Rathfux mit Blick auf abgesagte Besichtigungen. Der Schritt sei unpopulär, aber notwendig.
Besorgniserregend sei die Zahl der Angriffe auf IT-Systeme: rund 3.000 allein im vergangenen Jahr, so Rathfux. Phishing-Versuche seien darin nicht einmal enthalten. Mit dem Einzug von künstlicher Intelligenz rechnet sie mit einer weiteren Zunahme. KI könne die Angriffe raffinierter und schwerer erkennbar machen.

Auch der Umgang mit sensiblen Daten sei ein Sicherheitsfaktor. An ihre Kollegen im Publikum gewandt, appellierte sie, auch sorgsam mit Informationen über das Unternehmen im Internet umzugehen. Ein Beispiel: Nach monatelangem Druck habe die NBB den Berliner Senat dazu bewegt, alte Ausschreibungsunterlagen mit technischen Details zum Gasnetz von den Webseiten zu nehmen. „Was einmal im Netz ist, bleibt dort“, betonte Rathfux.

Schwerte: Angriff, Wiederaufbau, Lehren

Wie ein Cyberangriff in der Praxis abläuft, schilderte Sebastian Kirchmann, Geschäftsführer der Stadtwerke Schwerte in Nordrhein-Westfalen. Am 4. März legte ein Ransomware-Angriff das gesamte IT-System lahm. Strom-, Gas- und Glasfaserversorgung blieben zwar stabil – die Systeme waren strikt voneinander getrennt −, doch die Datenverarbeitung in 14 Teilunternehmen kam zum Erliegen.

Kirchmann lobte die Zusammenarbeit mit der „Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen“ (ZAC NRW): Innerhalb von sechs Wochen seien die Systeme ohne Lösegeldzahlung wiederhergestellt worden. Trotzdem mussten die Stadtwerke mit der Veröffentlichung sensibler Daten umgehen. Transparente Kommunikation in sozialen Netzwerken habe geholfen, das Vertrauen der Kunden zu erhalten. „Ehrlichkeit schafft Akzeptanz − auch in der Krise“, so Kirchmann.

Neben technischen Abwehrmaßnahmen rücken auch juristische Anforderungen in den Vordergrund. Thomas Schmeding, Partner bei Becker Büttner Held (BBH), erläuterte die Novelle des KRITIS-Dachgesetzes für kritische Infrastrukturen. Sie betrifft künftig alle Unternehmen mit mehr als 50 Beschäftigten. „Nicht nur Netzbetreiber, auch Vertrieb und Verwaltung müssen Sicherheitskonzepte, Meldewege und Handlungsanweisungen entwickeln“, sagte Schmeding. Innerhalb von 24 Stunden sei jeder Vorfall an die zuständigen Behörden zu melden. Frühzeitige Verträge mit forensischen IT-Spezialisten seien entscheidend, um im Ernstfall schnell reagieren zu können.

IT-Sicherheit ist Chefsache

„Nach dem Angriff ist vor dem Angriff“, erinnerte Daniel Zittlau von 3M Management Consulting. Er riet zu klar abgegrenzten Abteilungen, um Dominoeffekte zu vermeiden. Besonders positiv bewertete er, dass viele Geschäftsführer an der Konferenz teilnahmen. „IT-Sicherheit gehört in die Chefetage, nicht nur in die IT-Abteilung“, so Zittlau.
 
Mathias Böswetter, Fachgebietsleiter Cybersicherheit beim Bundesverband der Energie- und Wasserwirtschaft (BDEW), forderte mehr Konsequenz vom Gesetzgeber: Drohnenüberflüge oder Sabotageversuche müssten härter geahndet werden. „Der Schutz kritischer Infrastrukturen ist eine staatliche und unternehmerische Gemeinschaftsaufgabe“, sagte er.

Zwischen Versorgungssicherheit und Wirtschaftlichkeit

Neben der Sicherheit stand auch die Energieversorgung selbst im Fokus. Christian Seyfert, Hauptgeschäftsführer des Verbands der Industriellen Energie- und Kraftwirtschaft (VIK), machte deutlich, dass Industrie und Energiewirtschaft künftig enger zusammenarbeiten müssen, um Dekarbonisierung und Versorgungssicherheit zu vereinen. „Unsere Anlagen sind auf maximale Effizienz ausgelegt. Wenn wir sie flexibel fahren sollen, um das Netz zu stabilisieren, sinkt diese Effizienz“, erklärte er.

Der neue Entwurf der Bundesnetzagentur zu den Netzentgelten (NEST) störe zudem die Planungssicherheit. Seyfert warnte vor einer weiteren Abwanderung energieintensiver Betriebe ins Ausland und sprach von drohenden Brownouts − einer Drosselung industrieller Stromverbräuche bei Engpässen. „Dann verlieren wir auch den Standortvorteil der Versorgungssicherheit“, warnte er.

Thomas Hüwener, Geschäftsführer des Fernleitungsnetzbetreibers Open Grid Europe (OGE, Essen), erinnerte daran, dass trotz Energiewende „nicht alles elektrifiziert werden kann“. Rund 30 Prozent des deutschen Primärenergieverbrauchs stammten weiterhin aus Erdgas. Auch Biogas und künftig Wasserstoff würden eine Rolle spielen. „Ohne Moleküle keine sichere Energieversorgung“, sagte Hüwener.

Die LNG-Terminals seien derzeit unverzichtbar: „Sie liefern pro Stunde rund 1 Million Kubikmeter Erdgas.“ Allerdings wünschte sich Hüwener verbindlichere Vorgaben für Gasspeicherfüllstände. 80 Prozent Füllstand zum Winter seien „ein knappes Polster“. Zudem zeigten geopolitische Spannungen, etwa in der Straße von Hormus, wie anfällig die Flüssiggaslieferketten seien.

Wasserstoff und CO2 als neue Aufgabenfelder

OGE plane, bis 2027 das Ruhrgebiet an das Wasserstoff-Kernnetz anzuschließen. Dafür müssten bestehende Gasleitungen umgerüstet und Investitionsrisiken besser abgesichert werden. „Das Amortisationskonto ist ein guter Ansatz, aber die Finanzierung bleibt schwierig“, so Hüwener.

Neben Wasserstoff entstehe mit CO2 ein weiteres „Transportmolekül“. Künftige Infrastrukturen müssten auch den Abtransport von abgeschiedenem Kohlendioxid ermöglichen. Hierfür sei das CO2-Speichergesetz derzeit im Bundestag in Arbeit. „Wir brauchen jetzt den regulatorischen Rahmen, um diese neuen Netze zu planen“, sagte Hüwener.

Stadtwerke fordern Klarheit bei Kraftwerksausschreibungen

Auch die kommunalen Versorger erwarten Orientierung. Ingbert Liebing, Hauptgeschäftsführer des Verbands kommunaler Unternehmen (VKU), forderte von der Bundesregierung eine rasche Entscheidung über die geplanten Kraftwerksausschreibungen. Diese würden sich bis 2026 verzögern.

Liebing begrüßte das Energiewende-Monitoring von Bundeswirtschaftsministerin Katherina Reiche (CDU): „Wenn der Stromverbrauch langsamer steigt, sollten wir die Investitionen daran anpassen.“ Laut Analysen des Energiewirtschaftlichen Instituts an der Universität zu Köln (EWI) und der Beratung BET werde der Strombedarf in den kommenden fünf Jahren um rund 20 Prozent steigen − genug Anlass für Netzausbau, Speicherprojekte und Digitalisierung. Doch ohne passende gesetzliche Rahmenbedingungen blieben viele Projekte auf Eis.

Abschluss und Auszeichnung

Den feierlichen Schlusspunkt der Konferenz bildete die Verleihung des Titels „Energiemanagerin des Jahres“. In diesem Jahr ging die Auszeichnung an Kerstin Andreae, Hauptgeschäftsführerin des BDEW