Marius Dechand
Seniorexperte Digitale Technologien
Cyberlab
4576 
Die Themen Cybersicherheit und Cyberresilienz gewinnen im Energiesektor enorm an Bedeutung. Durch den vermehrten Einsatz digitaler Technologien auf allen Ebenen der Wertschöpfungskette und der zunehmenden Dezentralisierung der Energieversorgung steigen die Angriffsflächen für Akteure, die versuchen das System zu infiltrieren oder anderweitig zu schädigen.
Cybersicherheit bezeichnet den Schutz von Systemen, Netzwerken und Daten vor digitalen Angriffen aus dem Internet und dem globalen Cyberraum. Dazu zählt sowohl die Abwehr konkreter Bedrohungen wie Hackerangriffe, Phishing oder Ransomware als auch das Verstehen von kriminellen Organisationen und Motivationen im Cyberraum. IT-Sicherheit wird meist als Teil der Cybersicherheit verstanden und beschreibt vor allem den Schutz von IT-Systemen durch technische und organisatorische Maßnahmen.
Cyberresilienz ergänzt die Cybersicherheit um eine weitere Dimension: Während Cybersicherheit darauf abzielt, Angriffe zu verhindern, beschreibt Cyberresilienz die Widerstandsfähigkeit einer Organisation für den Fall, dass diese Maßnahmen nicht ausreichen. Sie umfasst die Fähigkeit Schäden zu begrenzen, den Betrieb aufrechtzuerhalten und sich danach schnell zu erholen.
Kritische Infrastrukturen (KRITIS) gelten als besonders schützenswert. Gemäß des BSI sind Kritische Infrastrukturen Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Im Energiesektor betrifft das beispielsweise Anlagen zur Erzeugung, den Transport und/oder die Verteilung von Strom, Gas, Mineralöl und Fernwärme. Betreiber von Anlagen, die gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) als kritische Infrastruktur eingestuft werden, haben besondere Auflagen bezüglich der IT-Sicherheit und müssen im Falle einer massiven Versorgungsstörung geeignete Präventions- und Reaktionsmaßnahmen zur Minimierung des Ausmaßes der Folgen ergreifen.
Cybersicherheitsübungen
Cybersicherheitsübungen trainieren das Zusammenspiel von Cybersicherheit und –resilienz indem sie Organisationen darauf vorbereiten, im Ernstfall sowohl die Abwehr als auch die Reaktion zu beherrschen. Für einen reibungslosen Ablauf im Krisenfall ist es essenziell Routine- und Responsemechanismen regelmäßig zu üben und zu verbessern. Unternehmensübergreifende Cybersicherheitsübungen können zudem die Zusammenarbeit verschiedener Stakeholder fördern. Zentrale Bedeutung hat auch das Schaffen von Awareness, also eines Problembewusstseins für Cybersicherheit, insbesondere auf der Geschäftsführungsebene.
Das Cyberlab
Das Future Energy Lab wurde 2025 vom Bundesministerium für Wirtschaft und Energie (BMWE) mit dem Aufbau eines Cyberlabs und der Durchführung von drei Cyberübungen beauftragt.
Das Cyberlab ist eine Plattform zum Lernen, Austauschen und Vernetzen zu allen Facetten des Themas Cybersicherheit im Energiesektor. Das Herzstück bilden die Cybersicherheitsübungen der Reihe „EnerCise“.
EnerCise – Cybersicherheitsübungen für den Energiesektor
Bereits seit 2022 werden im Future Energy Lab Cyberübungen mit unterschiedlichen Formaten und Schwerpunkten durchgeführt. Alle Übungen der Serie haben die übergeordnete Zielsetzung, die Resilienz des Energiesektors zu stärken und zum Wissensaufbau bezüglich Cyberübungen im Energiesektor beizutragen.
Die Übungen EnerCise III – V werden wissenschaftlich begleitet und einheitlich evaluiert. Die Ergebnisse dessen sind Teil eines Leitfadens zur Entwicklung und Durchführung von Cyberübungen im Energiesektor. Mit diesem Leitfaden sollen insbesondere kleine und mittlere Akteure der Energiewirtschaft Unterstützung erhalten eigene Übungsbedarfe identifizieren und darauf aufbauende Anforderungen an Übungskonzepte definieren zu können.
Übungen
Hinweis: Die Übung EnerCise IV und V finden im Jahr 2027 statt.
Die Übung EnerCise III findet am 23. Juni 2026 im Future Energy Lab statt.
Inhalt und Ziele:
Für diese Übung wird das Szenario eines Lieferkettenangriffs auf den Zulieferer von OT-Technik (Betriebstechnik) simuliert. In der Übung werden definierte Reaktionsmechanismen getestet. Ziel der Übung ist es sowohl die Hard Skills zur Bewältigung von Cyberangriffen als auch die Soft Skills, insbesondere im Bereich der Kommunikation zwischen den Funktionen und Bereichen der Teilnehmenden, zu stärken. Darüber hinaus dient die Übung dazu, die Teilnehmenden untereinander zu vernetzen.
Teilnehmende:
Der Teilnehmendenkreis umfasst maximal 25 Personen, wobei die primäre Zielgruppe technisches Personal sowie technisch/nicht-technisches Personal (Personen die nicht-technisch arbeiten, aber technisches Fachwissen für ihre Funktion benötigen wie z. B. Informationssicherheitsbeauftragte) von kleineren Verteilnetzbetreibenden ist.
Erkenntnisse:
Im Anschluss an die Übung wird ein Abschlussbericht veröffentlicht.
Im April 2024 fand die zweite Übung EnerCise II als Echtzeit-Simulation mit Table-Top-Elementen statt.
Inhalt und Ziele:
EnerCise II sensibilisierte für Cybersicherheit und die Auswirkungen von Cyberangriffen. In erster Linie wurde praktisches Wissen über Prävention und Erkennung von Cyberangriffen sowie über Reaktionsmöglichkeiten, also wesentliche Routinen und Response-Mechanismen, vermittelt. IT-Sicherheitsmaßnahmen wurden praktisch angewendet. Die Übung förderte die Integration innovativer Cybersicherheitslösungen und eine verbesserte Kommunikation im Krisenfall. Darüber hinaus bat sie für die Teilnehmenden die Möglichkeit, sich zu vernetzen.
Teilnehmende:
Die Übung richtete sich an IT- und Leitwarten-Personal sowie an das Management von mittelgroßen Verteilnetzbetreibenden. Teilgenommen haben elf Personen.
Erkenntnisse:
Die Durchführung von EnerCise II hat den dringenden Bedarf an Cybersicherheitsübungen im Energiesektor verdeutlicht. Solche Übungen sollten die praktische Umsetzung von Notfallplänen, Krisenkommunikation und reaktiven Maßnahmen in den Fokus rücken. Dabei ist eine interdisziplinäre Kommunikation und Vernetzung zwischen den jeweiligen Fachabteilungen von entscheidender Bedeutung, um Cybersicherheitsvorfälle schnell und effektiv zu erkennen und zu bewältigen. Das Management und der Krisenstab spielen hierbei eine zentrale Rolle, indem sie durch proaktives Handeln ein umfassendes Lagebild schaffen und die geordnete Bewältigung der Krise sicherstellen. Regelmäßige Trainings sind daher unerlässlich, um mögliche Schwachstellen in den IT-Sicherheitskonzepten und in der Kommunikation zu identifizieren und gezielt anzugehen. Einen besonderen Vorteil bieten unternehmensübergreifende Cybersicherheitstrainings, da sie zusätzliche Vernetzungsmöglichkeiten schaffen und den Erfahrungsaustausch fördern.
Den Auftakt bildete im Oktober 2022 EnerCise I als Table-Top Übung.
Inhalt und Ziele:
Die Übung EnerCise I vermittelte Kenntnisse über die möglichen und wahrscheinlichen Einfallstore für Angriffe (Angriffsvektoren) und befähigte dazu, typische Schwachstellen in Unternehmen zu identifizieren. Insbesondere stärkte die Übung die Kommunikationsfähigkeit für den Krisenfall. Zudem wurden sinnvolle Maßnahmen zur Prävention und Reaktion erörtert. EnerCise I schärfte vor allem das Verständnis für die zur Angriffserkennung und -abwehr sowie die zur Schadensbegrenzung erforderlichen Rollen und deren konkreten Funktionen. Außerdem wurden die zur Funktionserfüllung benötigten Informationen, Kenntnisse und Werkzeuge verdeutlicht und dafür sensibilisiert, die Zusammenarbeit zwischen diesen Rollen zu fördern. Daneben ermöglichte die Übung, wesentliche Akteur*innen im Bereich Cybersicherheit zu vernetzen.
Teilnehmende:
Die Veranstaltung richtete sich primär an verschiedene Netzbetreibende sowie Bundes- und Landesbehörden. Zusätzlich wurden zur technischen Unterstützung Sicherheitsexpert*innen von Hochschulen, IT-Dienstleistenden und aus der Stromerzeugung eingeladen. Teilgenommen haben letztendlich 70 Personen aus den Bereichen Management und IT.
Erkenntnisse:
Die zentralen Erkenntnisse dieser Übung sind, dass neben technischen Aspekten zur präventiven Abwehr vor allem auch die interne Vorgehensweise bei einem Cybersicherheitsvorfall erfolgskritisch für die Bewältigung einer Krise ist. Verantwortliche Akteur*innen, Aufgaben und Prozesse müssen für alle Beteiligten in der Organisation klar sein. Dazu gehören insbesondere auch die Anforderungen an die Kommunikation mit Dritten – seien es Partnerorganisationen oder Behörden.
Die Ergebnisse der Übung sowie darauf aufbauende Handlungsempfehlungen sind in der nachfolgenden Publikation zusammengefasst und sollen der Branche als Orientierung und Hilfestellung dienen. Hierfür verschafft das erste Kapitel einen Überblick über den Aufbau und Ablauf der Cybersicherheitsübung.
Jetzt Abschlussbericht EnerCise I lesen
Im Rahmen der Energiepartnerschaften werden gelegentlich nach Vereinbarung mit den Partnerschaftsländern gemeinsame Cybersicherheitsübungen durchgeführt.
Im November 2024 fand im Rahmen der Energiepartnerschaft mit Israel eine internationale Cyberübungen mit Delegationen aus Ministerien, Energieversorgungsunternehmen und Forschungseinrichtungen aus Israel, USA, Australien und Deutschland statt. Die Übung wurde in Anlehnung an EnerCise II als Echtzeitsimulation mit Table-Top Elementen durchgeführt.
Publikationen
Umfrage unter Netzbetreibern zum Stand der Cybersicherheit im deutschen Stromnetz
Vor der ersten Cybersicherheitsübung wurde eine Umfrage unter Netzbetreibern zum Thema Cybersicherheit durchgeführt. Die Umfrage untersuchte die Chancen und Herausforderungen der Netzbetreiber im Bereich Cybersicherheit und bildete die Grundlage für die Ausrichtung der Übungen EnerCise I und II.
