Quelle: E&M
AUS DER AKTUELLEN AUSGABE:
Gefahren, so groß wie ein Kraftwerk
Hinter der Brandmauer lauert das Böse. Die Stadtwerke Schwerte als jüngstes Ziel von Hackerangriffen wissen das. Größeren Schutz versprechen neue Richtlinien, die 2026 Pflicht werden.
Es sind gigantische Summen. 178 Milliarden Euro Schaden hat die deutsche Wirtschaft 2024 durch Cyberangriffe erlitten, 1,3
Milliarden Euro Lösegeld wanderten weltweit in die Taschen von Web-Kriminellen, nachdem sie zuvor Netzwerke lahmgelegt und
Daten erbeutet hatten.
Die Zahlen des IT-Branchenverbands Bitkom und des Bundesamts für Sicherheit in der Informationstechnik (BSI) kennen nur einen Trend: Es geht Jahr für Jahr aufwärts − mit der Bedrohung. Auch und gerade für Unternehmen der Energiewirtschaft, wie ein Angriff auf die IT der Stadtwerke Schwerte von Anfang März neuerlich zeigt. Versorger müssten sich wappnen, sagt Sebastian Jurczyk. „Wer am falschen Ende spart, kann dafür sehr teuer bestraft werden“, so Münsters Stadtwerkechef gegenüber E&M.
Die Gefahren für die Energiewirtschaft sind − bildlich gesprochen − so groß wie ein Kraftwerk. Was als Bauwerk viel Fläche einnimmt, kann Ziel analoger Attacken sein − durch Eindringlinge oder aus der Luft. Im Verborgenen, aber nicht minder risikobehaftet, sind Angriffe durch das digitale Einfallstor. Ein falscher Klick auf eine Phishing-Mail, eine übersehene Lücke in der IT-Brandmauer und eine platzierte Schadsoftware (Ransom) öffnen Übeltätern den Zugriff auf Systeme und Netze − und am Ende auf das Geld der Unternehmen, die ihre verschlüsselten Daten freikaufen müssen.
Die Europäische Union hat angesichts der Gefährdungslage für Unternehmen der kritischen Infrastruktur die Vorsorge in neue Richtlinien gegossen. KRITIS und NIS 2 sind verabschiedet und nun noch in nationales Recht zu übertragen. In Deutschland hatte das Ampel-Aus diesen Prozess zuletzt aufgehalten. Daniel Bohlmann geht davon aus, dass Unternehmen die Direktiven voraussichtlich im Laufe des Jahres 2026 umzusetzen haben. Vorausgesetzt, so der Mitarbeiter des Ismaninger Beratungsunternehmens „m3 management consulting“, der neue Bundestag verabschiede das Gesetz im dritten oder vierten Quartal 2025.
NIS 2 erweitert die Sicherungsmaßnahmen nun auch auf viele kleinere und mittlere Unternehmen. Im Energiebereich etwa auf Versorger oder Dienstleister, die bis zu 250 Menschen beschäftigen oder mehr als 50 Millionen Euro Umsatz machen. Hinzu kommen Anbieter digitaler Dienste mit bis zu 50 Mitarbeitenden oder einem Umsatz bis 10 Millionen Euro. Daniel Bohlmann sieht in naher Zukunft daher 97 Prozent aller Unternehmen von den neuen Bestimmungen betroffen, das seien mehr als 25.000 Firmen.
Kleinere Stromhändler begeben sich hier womöglich auf unbekanntes Terrain. Nicht so die Stadtwerke Münster. Seit 2022 erfüllen sie bereits konzernweit die Anforderungen von NIS 2, teilt das westfälische Verbundunternehmen mit. Das ist für einen Energieerzeuger und Netzbetreiber mit Verbundleitstelle, Kraft- und Wasserwerken von überragender Bedeutung − und zeigt sich auch in der Hierarchie. An „oberster Stelle“, so die Münsteraner, haben sie die Stabsstelle Informationssicherheit und Datenschutz angesiedelt. Das dort beschäftigte dreiköpfige Team berichtet Geschäftsführer Sebastian Jurczyk direkt.
In Münster lässt sich ablesen, was Cybersicherheit umfasst. Die Systemstruktur von Gebäuden und Einrichtungen wie der IT-Architektur sei durch einen „geeigneten Aufbau“ zu schützen. Programme und Schnittstellen müssen so gestaltet sein, dass sie Angriffen standhalten und dabei den Datenschutz gewährleisten. Über die Arbeit mit Tastatur und Monitor hinaus ist der Austausch im Betrieb erforderlich. Schulungen sind unabdingbar, um diversen Betrügereien vorzubeugen. Das Personal soll sich so gegen Angriffe wehren, die von der Manipulation von Mitarbeitenden (Social Engineering) über Fake-Mails (Phishing) bis hin zur vorgetäuschten Aufforderung zu Finanztransaktionen (CEO-Fraud) reichen können.
Am Beispiel der Stadtwerke Münster zeigt sich ferner, dass Cybersicherheit keine punktuelle Aufgabe ist. Die IT-Systeme lässt der Versorger laufend überwachen, jeder Angriffsversuch falle auf. Dass die Westfalen den kommenden Verordnungen „gelassen“ entgegensehen, hat mehrere Gründe. Einerseits seien die Kriterien von NIS 2 weitgehend deckungsgleich mit den Anforderungen des IT-Sicherheitskatalogs der Bundesnetzagentur und der ISO 27001, einer Norm für Managementsysteme der Informationssicherheit (ISMS), die die Münsteraner erfüllen. Andererseits seien die internen Sicherheitsvorgaben „deutlich höher“ als die aktuellen gesetzlichen Anforderungen.
Weil die digitalen Möglichkeiten rasant wachsen, tun sich immer neue Einfallsmöglichkeiten für Cyberkriminelle und damit Herausforderungen für die Unternehmen auf. Und der beste Schutz kann löchrig sein, sofern die Angreifer einen Schritt voraus sind. Wie möglicherweise im Falle der Stadtwerke Schwerte. Wie der Versorger vom Ostrand des Ruhrgebiets auf Anfrage mitteilt, seien seine internen IT-Systeme durch eine digitale Attacke in Teilbereichen stark eingeschränkt. Hinweise auf einen Diebstahl oder eine Veröffentlichung sensibler Daten gebe es bis dato nicht.
An welcher Stelle die Eindringlinge die Schutzmaßnahmen überwinden konnten, sei noch Gegenstand forensischer Untersuchungen, so eine Sprecherin der Stadtwerke Schwerte zu E&M. Offen wie ein Scheunentor empfinden sie sich eigentlich nicht. Denn wie Münster ist auch das ISMS der Stadtwerke Schwerte nach ISO 27001 zertifiziert. Dazu setze das Unternehmen modernste Sicherheitsstandards ein. Die waren in diesem Falle offenbar kein ausreichender Schutz. Eine Lehre daraus sei, die Standards „weiter zu verbessern und anzupassen“. Denn „Cybersicherheit ist ein fortlaufender Prozess und Angriffe wie dieser zeigen, dass wir uns kontinuierlich weiterentwickeln müssen“, so die Sprecherin.
Der Schutz kostet Geld. Aus Sicht der Stadtwerke Münster ist das „sehr gut“ angelegt und „eine Investition in die Resilienz unseres Unternehmens und unserer Kommune“, so Geschäftsführer Sebastian Jurczyk. Beziffern ließen sich die Kosten schwerlich. Es ist ein Mix aus Personalkosten, Ausgaben für sichere Hard- und Software (Lizenzen) sowie für die Umsetzung von Schutzmaßnahmen. Die Gelder seien laut Sebastian Jurczyk „ein zentraler Teil unserer Verantwortung als kommunales Versorgungsunternehmen. Wir setzen daher auch aus eigenem Interesse auf hohe Sicherheitsstandards, nicht nur weil Verordnungen und Gesetze dies fordern.“
Gut und Böse liefern sich also einen Wettlauf im Digitalen. Was in der Realität ein Ärgernis ist und Firmen in den Ruin treiben kann, ist oft auch Stoff für großes Kino, etwa bei großflächigen Angriffen auf das Stromnetz („Blackout“). In jedem Fall ist es Nervenkitzel. Und der Spannungsaspekt einer Cyberattacke lässt sich nun auch virtuell nachempfinden. In Augsburg hat Mitte März das „Cyber Experience Center“ eröffnet. Es simuliert einen digitalen Angriff mit Ransomware und will so „den Aufbau langfristiger Cybersicherheitsstrategien fördern“, so die Entwicklerfirma Orange Cyberdefense.
Auf verschiedenen Ebenen eines Unternehmens ließen sich „die Nöte und Handlungsoptionen herunterbrechen − vom Geschäftsführer über die kaufmännische Leitung und den Technikleiter bis hin zum Security-Verantwortlichen, IT-Manager und IT-Architekten“, heißt es aus Bayern. Das in Belgien erprobte Angebot soll lehrreich sein, vermutlich ist es angstschweißtreibend.
Denn „Audio- und Lichteffekte sorgen für eine realistische Stresssituation, in der schnelle Entscheidungen unter Druck getroffen werden müssen“. Der Ernstfall zum Ausprobieren, er spricht womöglich eher Unternehmen an, die in der Wirklichkeit noch verschont geblieben sind.
Die Zahlen des IT-Branchenverbands Bitkom und des Bundesamts für Sicherheit in der Informationstechnik (BSI) kennen nur einen Trend: Es geht Jahr für Jahr aufwärts − mit der Bedrohung. Auch und gerade für Unternehmen der Energiewirtschaft, wie ein Angriff auf die IT der Stadtwerke Schwerte von Anfang März neuerlich zeigt. Versorger müssten sich wappnen, sagt Sebastian Jurczyk. „Wer am falschen Ende spart, kann dafür sehr teuer bestraft werden“, so Münsters Stadtwerkechef gegenüber E&M.
Die Gefahren für die Energiewirtschaft sind − bildlich gesprochen − so groß wie ein Kraftwerk. Was als Bauwerk viel Fläche einnimmt, kann Ziel analoger Attacken sein − durch Eindringlinge oder aus der Luft. Im Verborgenen, aber nicht minder risikobehaftet, sind Angriffe durch das digitale Einfallstor. Ein falscher Klick auf eine Phishing-Mail, eine übersehene Lücke in der IT-Brandmauer und eine platzierte Schadsoftware (Ransom) öffnen Übeltätern den Zugriff auf Systeme und Netze − und am Ende auf das Geld der Unternehmen, die ihre verschlüsselten Daten freikaufen müssen.
Die Europäische Union hat angesichts der Gefährdungslage für Unternehmen der kritischen Infrastruktur die Vorsorge in neue Richtlinien gegossen. KRITIS und NIS 2 sind verabschiedet und nun noch in nationales Recht zu übertragen. In Deutschland hatte das Ampel-Aus diesen Prozess zuletzt aufgehalten. Daniel Bohlmann geht davon aus, dass Unternehmen die Direktiven voraussichtlich im Laufe des Jahres 2026 umzusetzen haben. Vorausgesetzt, so der Mitarbeiter des Ismaninger Beratungsunternehmens „m3 management consulting“, der neue Bundestag verabschiede das Gesetz im dritten oder vierten Quartal 2025.
NIS 2 erweitert die Sicherungsmaßnahmen nun auch auf viele kleinere und mittlere Unternehmen. Im Energiebereich etwa auf Versorger oder Dienstleister, die bis zu 250 Menschen beschäftigen oder mehr als 50 Millionen Euro Umsatz machen. Hinzu kommen Anbieter digitaler Dienste mit bis zu 50 Mitarbeitenden oder einem Umsatz bis 10 Millionen Euro. Daniel Bohlmann sieht in naher Zukunft daher 97 Prozent aller Unternehmen von den neuen Bestimmungen betroffen, das seien mehr als 25.000 Firmen.
Kleinere Stromhändler begeben sich hier womöglich auf unbekanntes Terrain. Nicht so die Stadtwerke Münster. Seit 2022 erfüllen sie bereits konzernweit die Anforderungen von NIS 2, teilt das westfälische Verbundunternehmen mit. Das ist für einen Energieerzeuger und Netzbetreiber mit Verbundleitstelle, Kraft- und Wasserwerken von überragender Bedeutung − und zeigt sich auch in der Hierarchie. An „oberster Stelle“, so die Münsteraner, haben sie die Stabsstelle Informationssicherheit und Datenschutz angesiedelt. Das dort beschäftigte dreiköpfige Team berichtet Geschäftsführer Sebastian Jurczyk direkt.
In Münster lässt sich ablesen, was Cybersicherheit umfasst. Die Systemstruktur von Gebäuden und Einrichtungen wie der IT-Architektur sei durch einen „geeigneten Aufbau“ zu schützen. Programme und Schnittstellen müssen so gestaltet sein, dass sie Angriffen standhalten und dabei den Datenschutz gewährleisten. Über die Arbeit mit Tastatur und Monitor hinaus ist der Austausch im Betrieb erforderlich. Schulungen sind unabdingbar, um diversen Betrügereien vorzubeugen. Das Personal soll sich so gegen Angriffe wehren, die von der Manipulation von Mitarbeitenden (Social Engineering) über Fake-Mails (Phishing) bis hin zur vorgetäuschten Aufforderung zu Finanztransaktionen (CEO-Fraud) reichen können.
Am Beispiel der Stadtwerke Münster zeigt sich ferner, dass Cybersicherheit keine punktuelle Aufgabe ist. Die IT-Systeme lässt der Versorger laufend überwachen, jeder Angriffsversuch falle auf. Dass die Westfalen den kommenden Verordnungen „gelassen“ entgegensehen, hat mehrere Gründe. Einerseits seien die Kriterien von NIS 2 weitgehend deckungsgleich mit den Anforderungen des IT-Sicherheitskatalogs der Bundesnetzagentur und der ISO 27001, einer Norm für Managementsysteme der Informationssicherheit (ISMS), die die Münsteraner erfüllen. Andererseits seien die internen Sicherheitsvorgaben „deutlich höher“ als die aktuellen gesetzlichen Anforderungen.
Weil die digitalen Möglichkeiten rasant wachsen, tun sich immer neue Einfallsmöglichkeiten für Cyberkriminelle und damit Herausforderungen für die Unternehmen auf. Und der beste Schutz kann löchrig sein, sofern die Angreifer einen Schritt voraus sind. Wie möglicherweise im Falle der Stadtwerke Schwerte. Wie der Versorger vom Ostrand des Ruhrgebiets auf Anfrage mitteilt, seien seine internen IT-Systeme durch eine digitale Attacke in Teilbereichen stark eingeschränkt. Hinweise auf einen Diebstahl oder eine Veröffentlichung sensibler Daten gebe es bis dato nicht.
An welcher Stelle die Eindringlinge die Schutzmaßnahmen überwinden konnten, sei noch Gegenstand forensischer Untersuchungen, so eine Sprecherin der Stadtwerke Schwerte zu E&M. Offen wie ein Scheunentor empfinden sie sich eigentlich nicht. Denn wie Münster ist auch das ISMS der Stadtwerke Schwerte nach ISO 27001 zertifiziert. Dazu setze das Unternehmen modernste Sicherheitsstandards ein. Die waren in diesem Falle offenbar kein ausreichender Schutz. Eine Lehre daraus sei, die Standards „weiter zu verbessern und anzupassen“. Denn „Cybersicherheit ist ein fortlaufender Prozess und Angriffe wie dieser zeigen, dass wir uns kontinuierlich weiterentwickeln müssen“, so die Sprecherin.
Der Schutz kostet Geld. Aus Sicht der Stadtwerke Münster ist das „sehr gut“ angelegt und „eine Investition in die Resilienz unseres Unternehmens und unserer Kommune“, so Geschäftsführer Sebastian Jurczyk. Beziffern ließen sich die Kosten schwerlich. Es ist ein Mix aus Personalkosten, Ausgaben für sichere Hard- und Software (Lizenzen) sowie für die Umsetzung von Schutzmaßnahmen. Die Gelder seien laut Sebastian Jurczyk „ein zentraler Teil unserer Verantwortung als kommunales Versorgungsunternehmen. Wir setzen daher auch aus eigenem Interesse auf hohe Sicherheitsstandards, nicht nur weil Verordnungen und Gesetze dies fordern.“
Gut und Böse liefern sich also einen Wettlauf im Digitalen. Was in der Realität ein Ärgernis ist und Firmen in den Ruin treiben kann, ist oft auch Stoff für großes Kino, etwa bei großflächigen Angriffen auf das Stromnetz („Blackout“). In jedem Fall ist es Nervenkitzel. Und der Spannungsaspekt einer Cyberattacke lässt sich nun auch virtuell nachempfinden. In Augsburg hat Mitte März das „Cyber Experience Center“ eröffnet. Es simuliert einen digitalen Angriff mit Ransomware und will so „den Aufbau langfristiger Cybersicherheitsstrategien fördern“, so die Entwicklerfirma Orange Cyberdefense.
Auf verschiedenen Ebenen eines Unternehmens ließen sich „die Nöte und Handlungsoptionen herunterbrechen − vom Geschäftsführer über die kaufmännische Leitung und den Technikleiter bis hin zum Security-Verantwortlichen, IT-Manager und IT-Architekten“, heißt es aus Bayern. Das in Belgien erprobte Angebot soll lehrreich sein, vermutlich ist es angstschweißtreibend.
Denn „Audio- und Lichteffekte sorgen für eine realistische Stresssituation, in der schnelle Entscheidungen unter Druck getroffen werden müssen“. Der Ernstfall zum Ausprobieren, er spricht womöglich eher Unternehmen an, die in der Wirklichkeit noch verschont geblieben sind.
Volker Stephan
© 2025 Energie & Management GmbH
Mittwoch, 02.04.2025, 08:41 Uhr
Mittwoch, 02.04.2025, 08:41 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Die MAN-Großmotoren heißen jetzt anders
