Angriff auf unsere Versorgungsgrundlagen: Erkennung und Abwehr von Cyberattacken in Kommunalunternehmen

Der Angriff auf die Stromversorgung in Berlin hat eindrucksvoll gezeigt, wie anfällig selbst moderne Versorgungsstrukturen sind. Mit der Digitalisierung rücken immer mehr operative Technologien (OT) ins Fadenkreuz professioneller Angreifer. Sind Sie bereit, die Herausforderungen der OT-Cyber-Security zu meistern?

Perspektive eines OT-Cyber-Security-Experten

Der Angriff auf die Stromversorgung in Berlin im Januar 2026 hat der Öffentlichkeit eindrücklich vor Augen geführt, wie verwundbar selbst hochentwickelte Versorgungsstrukturen sind. Aus fachlicher Sicht ist dabei weniger der konkrete Vorfall entscheidend als vielmehr die Erkenntnis, dass operative Technologien (OT) längst im Fokus professioneller Angreifer stehen. Dass die vollständige Wiederherstellung der Versorgung vier Tage in Anspruch nahm, ist ein Warnsignal. In komplexeren Angriffsszenarien – etwa bei verdeckten Manipulationen von Steuerungslogiken oder Sicherheitsfunktionen – können sich Ausfälle über Wochen hinziehen und erhebliche Folgeschäden nach sich ziehen.

OT-Systeme in der Versorgungswirtschaft wurden über Jahrzehnte mit einem klaren Primat entwickelt: maximale Verfügbarkeit und Betriebssicherheit. Cyberbedrohungen spielten in dieser Architektur kaum eine Rolle. Diese Ausrichtung ist heute nicht mehr haltbar. Die fortschreitende Digitalisierung und Vernetzung, der Einsatz standardisierter IT-Komponenten, Fernzugriffe für Wartung sowie die Integration dezentraler Erzeuger, Speicher und Prosumer haben die ehemals abgeschotteten Netze geöffnet. Mit der Vernetzung ist die Angriffsfläche signifikant gewachsen – oft schneller, als Sicherheitskonzepte angepasst wurden.

Steigende Bedrohungslage und regulatorische Verdichtung

Parallel zur technischen Weiterentwicklung hat sich auch die Bedrohungslage deutlich verschärft. Staatlich unterstützte Akteure, organisierte Cyberkriminalität und Hacktivisten verfügen heute über tiefes Prozessverständnis industrieller Anlagen. Angriffe zielen nicht mehr primär auf Daten, sondern auf physische Effekte ab: Abschaltungen, Überlastungen oder gezielte Destabilisierung kritischer Prozesse. Für Kommunalunternehmen bedeutet dies eine neue Qualität des Risikos – mit direkter Auswirkung auf Versorgungssicherheit, Reputation und Haftung der Unternehmensleitung.

Die Einführung der NIS-2-Richtlinie und deren nationale Umsetzung erhöhen den regulatorischen Druck erheblich. Aus OT-Sicht ist dies grundsätzlich zu begrüßen, da Cybersicherheit damit explizit zur Managementaufgabe wird. Gleichzeitig darf nicht der Fehler gemacht werden, Regulierung mit Sicherheit gleichzusetzen. NIS-2, IT-Sicherheitsgesetz 2.0 und branchenspezifische Standards definieren einen Rahmen, aber sie ersetzen keine operative Sicherheitsstrategie. Compliance ist notwendig, aber nicht ausreichend.

Angriffserkennung als zentrales Element moderner OT-Security

In vielen Bestandsumgebungen dominiert noch immer ein reaktiver Sicherheitsansatz: Firewalls, Segmentierung und gelegentliche Audits. Diese Maßnahmen bleiben wichtig, reichen jedoch nicht aus, um moderne Angriffe frühzeitig zu erkennen. Aus Expertensicht ist die Fähigkeit zur kontinuierlichen Angriffserkennung der entscheidende Faktor für Resilienz.

Ein wirksames Schutzkonzept basiert auf einem mehrschichtigen Modell. Auf der Feldebene kommen spezialisierte IDS/IPS-Lösungen (Intrusion Detection System/Intrusion Prevention System) zum Einsatz, die industrielle Protokolle wie IEC 60870-5-104, Modbus oder OPC UA interpretieren können und Abweichungen vom normalen Prozessverhalten erkennen. Ergänzend sind EDR-Funktionen (Endpoint Detection Response) auf Leitwarten-, Engineering- und Wartungssystemen erforderlich, da diese Systeme häufig als Einstiegspunkt genutzt werden. Die gewonnenen Ereignisse müssen zentral in einem SIEM (Security Information & Event Management) erfasst, korreliert und durch ein OT-erfahrenes SOC (Security Operations Center) bewertet werden. Erst diese Konsolidierung ermöglicht eine fundierte Lageeinschätzung und eine koordinierte Reaktion.

Organisation und Mensch als kritische Faktoren

Technologie allein schafft jedoch keine Sicherheit. In der Praxis zeigt sich, dass fehlende Transparenz über OT-Assets, unklare Verantwortlichkeiten zwischen IT und Betrieb sowie mangelnde Übung im Krisenfall die größten Schwachstellen darstellen. Erfolgreiche Kommunalunternehmen verfolgen daher konsequent einen risikobasierten Ansatz: Kritische Prozesse werden priorisiert, Abhängigkeiten analysiert und Schutzmaßnahmen gezielt dort umgesetzt, wo Ausfälle die größten Auswirkungen hätten.

Regelmäßige Schulungen und realistische Notfallübungen sind dabei unverzichtbar. Nur wenn Leitwarte, Betrieb, IT und Management ein gemeinsames Lageverständnis haben, können Entscheidungen unter Zeitdruck sicher getroffen werden. Ebenso wichtig ist die Zusammenarbeit mit externen Experten, Herstellern und Behörden, um im Ernstfall auf belastbare Strukturen zurückgreifen zu können.

Fazit und Ausblick

OT-Cyber-Security ist heute ein strategisches Kernthema für unsere Kritische Infrastruktur mit der Versorgungswirtschaft. Sie entscheidet maßgeblich darüber, wie widerstandsfähig Kommunalunternehmen gegenüber gezielten Angriffen sind und wie schnell sie ihre Versorgungsleistung wiederherstellen können. Wer Sicherheit ausschließlich als regulatorische Pflicht versteht, wird den wachsenden Bedrohungen nicht gerecht. Erst ein ganzheitlicher, proaktiver Ansatz aus Technik, Organisation und qualifizierten Menschen schafft echte Resilienz.

Hinweis

Im Webcast „Angriff auf unsere Versorgungsgrundlagen – Erkennung und Abwehr von Cyberattacken in Kommunalunternehmen erfolgreich umsetzen“ am 25.02.2025  von 10:00–11:30 Uhr werden diese Aspekte vertieft und anhand konkreter Praxisbeispiele gezeigt, wie OT-Security wirksam, wirtschaftlich und managementtauglich in der Kritischen Infrastruktur umgesetzt werden kann.

Autoren: Fréderic Auburger, Paul Rosenberg