IT-Sicherheit in Kritischen Infrastrukturen

Die EU hat Ende 2022 mit der NIS2- und der CER-Richtlinie neue Vorgaben verabschiedet. Deutschland setzt diese mit zwei Gesetzen um: dem NIS2UmsuCG (Cybersicherheitsstärkungsgesetz) und dem KRITIS-Dachgesetz (Kritis-DachG). Diese bringen:

• Erweiterte Pflichten für IT-Sicherheit (z. B. Angriffserkennung, Meldepflichten)
• Einheitliche Regeln zum physischen Schutz kritischer Anlagen (z. B. Zugangssicherung, Redundanz)

Obwohl die EU-Frist für die Umsetzung bereits im Oktober 2024 lag, hinkt Deutschland hinterher. Die Gesetze sollen jedoch bis spätestens 2026 verabschiedet werden. Erste Auswirkungen zeigen sich bereits jetzt: Seit Mai 2023 gilt für KRITIS-Betreiber die Pflicht zur Implementierung eines Systems zur Angriffserkennung (z. B. SIEM).

Eine wirksame Security-Governance beginnt mit klaren Verantwortlichkeiten. Bestellen Sie formell mindestens zwei Informationssicherheitsbeauftragte, um Ausfälle abzufangen – so empfiehlt es auch das BSI. Diese Personen setzen aktiv die IT-Sicherheitsrichtlinien um und übernehmen die Kommunikation mit Behörden.

Binden Sie außerdem das Top-Management gezielt in das Risikomanagement ein. Geschäftsführung und Vorstand müssen nicht nur Verantwortung tragen, sondern auch verstehen, was gesetzlich von ihnen verlangt wird. Lassen Sie Ihre Führungskräfte schulen, damit sie ihre Pflichten kennen und im Ernstfall angemessen handeln können.

Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), um Ihre Sicherheitsprozesse ganzheitlich zu strukturieren. Dazu gehören unter anderem regelmäßige Risikoanalysen, die Festlegung verbindlicher Richtlinien und ein dauerhaftes Monitoring. Viele Energieversorger orientieren sich an ISO 27001 oder dem BSI-Grundschutz, um den regulatorischen Rahmen systematisch umzusetzen und den Stand der Technik nachzuweisen.

Dokumentieren Sie jede sicherheitsrelevante Maßnahme lückenlos. So erfüllen Sie die gesetzlichen Nachweispflichten und stellen sicher, dass Audits, Prüfberichte und Zertifikate jederzeit griffbereit sind. Das BSI kann diese Unterlagen alle zwei Jahre oder bei Bedarf anfordern.

Darüber hinaus sollten Sie im Rahmen des KRITIS-Dachgesetzes ein physisches Schutzkonzept entwickeln. Stimmen Sie Meldewege mit lokalen Behörden ab und führen Sie regelmäßig gemeinsame Krisenübungen mit Polizei und Katastrophenschutz durch. So verankern Sie Sicherheit nicht nur technisch, sondern auch organisatorisch in Ihrem Betrieb.

Führen Sie eine Gap-Analyse durch, um Ihren aktuellen Sicherheitsstand mit den neuen Anforderungen aus NIS2 und dem KRITIS-Dachgesetz abzugleichen. So identifizieren Sie schnell offene Baustellen und setzen gezielt Quick Wins um, um die gesetzlichen Mindestanforderungen zu erfüllen.

Überprüfen Sie Ihre Lieferanten und Dienstleister, insbesondere in Hinblick auf ein gefordertes Supply-Chain-Security-Konzept. Ermitteln Sie, welche externen Partner für Ihre IT kritisch sind. Wenn nötig, ergänzen Sie Ihre Verträge, um von diesen Partnern verbindliche Sicherheitsstandards einzufordern.

Erstellen oder aktualisieren Sie Notfallpläne, die konkrete Szenarien wie Stromausfälle oder Cyberangriffe abdecken. Testen Sie regelmäßig Ihre Backup- und Wiederanlaufprozesse, um sicherzustellen, dass Ihr Betrieb im Ernstfall weiterläuft.

Mit NIS2 gelten sehr kurze Meldefristen. Richten Sie deshalb interne Abläufe ein, die es Ihrem Team ermöglichen, Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI zu melden. Dazu gehört, dass Sie potenzielle Vorfälle frühzeitig erkennen, strukturiert bewerten und klar kommunizieren.

Definieren Sie eindeutige Eskalationswege: Legen Sie fest, wer im Notfall entscheidet, meldet und welche Informationen übermittelt werden müssen. Bereiten Sie Meldeformulare vor und dokumentieren Sie Zuständigkeiten schriftlich – zum Beispiel in einem Incident-Response-Plan oder Ihrer Security-Policy. So gewährleisten Sie eine schnelle und rechtssichere Reaktion auf Sicherheitsereignisse.

Verfolgen Sie eine Defense-in-Depth-Strategie, um Ihre Systeme über mehrere Ebenen hinweg abzusichern. Setzen Sie dabei auf moderne Technologien, die sowohl Ihre IT- als auch Ihre OT-Infrastruktur schützen – gerade bei Stadtwerken ist diese Kombination entscheidend.

Installieren Sie ein SIEM-System (Security Information and Event Management), das sämtliche sicherheitsrelevanten Logdaten sammelt, korreliert und auswertet. So erkennen Sie Angriffe frühzeitig. Ergänzend dazu sollten Sie ein Security Operations Center (SOC) betreiben oder beauftragen, das rund um die Uhr eingehende Alerts analysiert und auf Incidents reagiert.

Verknüpfen Sie Ihr IT- und OT-Monitoring, um gezielt Angriffe auf SCADA-Systeme und Leitsysteme zu erkennen. Gerade in Stadtwerken ist diese Integration essenziell, um die Verfügbarkeit kritischer Steuerungssysteme zu sichern.

Führen Sie konsequent eine Zero-Trust-Architektur ein. Segmentieren Sie Ihre Netzwerke, vergeben Sie nur minimale Rechte (Least Privilege) und setzen Sie Multi-Faktor-Authentifizierung für alle Admin-Zugänge sowie externe Verbindungen durch. So erschweren Sie Angreifern die Ausbreitung im Netzwerk erheblich.

Organisieren Sie ein zentrales Patch-Management, das sicherheitsrelevante Updates zeitnah einspielt. Gleichzeitig sollten Sie alle Ihre Systeme vollständig inventarisieren, denn unbekannte Assets stellen ein erhebliches Risiko dar.

Sichern Sie Ihre Softwareentwicklung ab: Verankern Sie sichere Coding-Praktiken, führen Sie Code-Reviews durch und lassen Sie regelmäßig Penetrationstests durchführen. So stellen Sie sicher, dass auch Ihre Eigenentwicklungen den Anforderungen von NIS2 entsprechen.

Setzen Sie konsequent auf Verschlüsselung – sowohl für Datenübertragung als auch für Datenspeicherung. Verwenden Sie starke Kryptografie und sichere Kommunikationskanäle, um dem geforderten Stand der Technik zu entsprechen.

Vergessen Sie nicht die physische Sicherheit: Kontrollieren Sie Zutritte zu Serverräumen und Schalthäusern, installieren Sie Videoüberwachung und Alarmsysteme, und sorgen Sie für redundante Stromversorgung sowie Klimatisierung. All das fließt direkt in Ihre Resilienzstrategie gemäß KRITIS-DachG ein.

Ein effektives Notfall- und Krisenmanagement bildet eine zentrale Säule Ihrer Sicherheitsstrategie. Entwickeln Sie ein umfassendes Konzept, das klare Abläufe für IT-Ausfälle, Cyberangriffe und physische Schadensszenarien vorgibt. Nutzen Sie dazu etablierte Standards wie den BSI-Standard 200-4 oder die ISO 22301 als Leitfaden für Aufbau und Struktur.

Erarbeiten Sie einen aktuellen Notfallplan, der alle relevanten Aspekte abdeckt: Alarmierungslisten, Kommunikationspläne und Wiederanlaufverfahren für kritische Dienste. Berücksichtigen Sie dabei auch die interne und externe Kommunikation, inklusive einer Presse- und Öffentlichkeitsstrategie, falls eine öffentliche Reaktion notwendig wird.

Führen Sie regelmäßig praxisnahe Notfallübungen und Penetrationstests durch, um die Wirksamkeit Ihrer Vorkehrungen realitätsnah zu testen. Dabei empfiehlt es sich, branchenspezifische Szenarien zu simulieren – etwa Blackouts im Stromnetz oder gezielte Angriffe auf Netzleitstellen. Auf diese Weise erkennen Sie Schwachstellen im Vorfeld und verbessern gezielt Ihre Reaktionsfähigkeit.

Die NIS2-Richtlinie verpflichtet Unternehmen ausdrücklich dazu, die Wirksamkeit ihres Risikomanagements systematisch zu evaluieren. Setzen Sie dafür auf den bewährten PDCA-Zyklus (Plan-Do-Check-Act) innerhalb Ihres ISMS, um Maßnahmen fortlaufend zu prüfen, aus Erfahrungen zu lernen und Prozesse zu optimieren.

Darüber hinaus sollten Sie sich aktiv in branchenspezifische Frühwarn- und Lageportale einbringen. Treten Sie z. B. der Allianz für Cyber-Sicherheit oder der UP KRITIS Public-Private-Partnership bei. Diese Netzwerke ermöglichen es Ihnen, regelmäßig Frühwarnungen und Lageberichte des BSI zu erhalten – eine wertvolle Informationsquelle, insbesondere für KRITIS-Unternehmen.

Sorgen Sie dafür, dass solche Warnmeldungen intern schnell an die richtige Stelle gelangen – etwa an eine 24/7-Monitoring-Mailbox oder direkt ins SOC. Gleichzeitig sollten Sie klar festlegen, wer eingehende Warnungen bewertet und wer ggf. sofortige Gegenmaßnahmen einleitet.

Nutzen Sie Erkenntnisse aus Übungen und Vorfällen gezielt, um Ihre Notfallprozesse zu verfeinern. So schaffen Sie nicht nur Reaktionssicherheit im Ernstfall, sondern stärken auch die Widerstandsfähigkeit Ihres Unternehmens langfristig und nachhaltig.

Der Faktor Mensch bleibt einer der kritischsten Punkte in der IT-Sicherheit. Deshalb sollten Sie gezielt personelle Ressourcen für Cybersecurity aufbauen – entweder durch die Entwicklung eines internen IT-Security-Teams oder durch den Einsatz externer Fachkräfte. Gerade für kleinere Stadtwerke kann es sinnvoll sein, gemeinsame SOC-Dienstleistungen zu nutzen oder Beratungsexpertise zuzukaufen, um Know-how effizient zu bündeln.

Darüber hinaus sollten Sie alle Mitarbeiter regelmäßig in IT-Sicherheit schulen. Konzentrieren Sie sich dabei besonders auf Awareness-Trainings, um das Bewusstsein für Bedrohungen wie Phishing und Social Engineering zu schärfen – denn genau diese Methoden zählen nach wie vor zu den häufigsten Angriffsvektoren.

Auch die Führungskräfte und die Geschäftsleitung müssen ihre Verantwortung ernst nehmen. Organisieren Sie gezielte Schulungen für das Top-Management, um sie mit ihren neuen Pflichten vertraut zu machen. Die NIS2-Richtlinie betont ausdrücklich die persönliche Verantwortung der Leitungsebene – im Falle grober Pflichtverletzungen droht sogar persönliche Haftung. Daher ist es entscheidend, dass Entscheidungsträger gut informiert und vorbereitet handeln können.

Gleichzeitig sollten Sie eine Unternehmenskultur etablieren, in der Sicherheit als gemeinschaftliche Aufgabe verstanden wird. Ermutigen Sie Ihre Mitarbeitenden, Schwachstellen oder Sicherheitsvorfälle aktiv zu melden, ohne Angst vor negativen Konsequenzen. Nur wenn Sicherheit im Alltag mitgedacht wird, lässt sich ein hoher Schutzgrad dauerhaft erreichen.

Um Verantwortlichkeiten klar zu regeln, sollten Sie zudem offizielle Rollen benennen und voneinander abgrenzen. Dazu gehören beispielsweise:

• ein Datenschutzbeauftragter für DSGVO-Themen,
• ein Informationssicherheitsbeauftragter für den technischen Schutz,
• getrennte IT- und OT-Security-Teams,
• sowie ein Notfallkoordinator, der im Krisenfall schnell Entscheidungen treffen kann.

Verankern Sie diese Zuständigkeiten transparent und verbindlich, idealerweise in internen Richtlinien, Organigrammen oder Verantwortlichkeitsmatrizen. Auf diese Weise schaffen Sie eine Struktur, die auch in Stresssituationen trägt – und das ist in der heutigen Bedrohungslage wichtiger denn je.

Das Zusammenspiel aus BSI-Gesetz, NIS2 und KRITIS-Dachgesetz bringt nicht nur neue Pflichten, sondern erfordert auch ein strategisches Umdenken. Unternehmen, insbesondere Energieversorger und Stadtwerke, sollten jetzt die Weichen stellen. Wer frühzeitig handelt, sichert nicht nur die eigene Compliance, sondern auch die Resilienz gegen zunehmend komplexe Bedrohungslagen.

Quellenverzeichnis:

• Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de
• BSI „NIS2: Was tun?“: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html
• Bundesnetzagentur IT-Sicherheitskatalog: https://www.bundesnetzagentur.de/DE/Fachthemen/ElektrizitaetundGas/Versorgungssicherheit/IT_Sicherheit/Sicherheitskataloge/artikel.html
• OpenKRITIS: https://www.openkritis.de
• BDEW zur KRITIS-Gesetzgebung: https://www.bdew.de/presse/presseinformationen/kritis-dachgesetz-staerkt-resilienz-kritischer-infrastruktur/
• Heise online zur NIS2-Umsetzung: https://www.heise.de/en/news/NIS2-implementation-and-Kritis-umbrella-law-finally-failed-10259847.html