Abo-Inhalt

Intelligente Datensicherheit

09.01.2026 | Veröffentlicht in Ausgabe 01-2026
Tony Hemmelgarn, Präsident und CEO von Siemens Digital Industries Software, auf einer Tagung im Mai 2025 in Mexico City
© Foto: flickr.com
Tony Hemmelgarn, Präsident und CEO von Siemens Digital Industries Software, auf einer Tagung im Mai 2025 in Mexico City

Das neue NIS-2-Gesetz zur Umsetzung der Europa-Richtlinie für digitale Sicherheit verpflichtet mehr Grünstromerzeuger. Sie könnten es nutzen.

Tilman Weber

Cybersecurity ist optimales Vernetzen verschiedener digitaler Systeme. Und das muss sich lohnen. Das sagt der an der Hamburger Stadtgrenze operierende Digitalisierungsberater Thomas Zedler. Wenn ein Energieunternehmen sich jetzt durch Neuorganisation seiner elektronischen Datenverarbeitung (EDV) und Modernisierung der Informationstechnik (IT) seiner Energieanlagen gegen Angriffe aus dem Cyberraum sichern wolle, „sollte es das nicht nur tun, weil Gesetze das wollen. Sondern es sollte auch einen Mehrwert damit erzielen können.“

Zedler ist Geschäftsführer von Ettex. Er hat das Dienstleistungsunternehmen für Anlagen-IT und Cybersecurity, also für die Sicherheit der EDV gegen Angriffe aus dem Internet, 2024 gegründet. Ganz aktuell reist er durchs Land und erzählt auf Branchentreffs, beispielsweise den Windenergietagen 2025 im November in Potsdam, wie die Zuhörenden aus Windenergie-, Batterietechnik- oder Photovoltaikbranche wirtschaftlichen Nutzen daraus ziehen können, dass sie die Anlagen und das datengestützte Geschäft gegen Angriffe auf die kritische Infrastruktur wappnen müssen. Anders als bisher bei den vielen kleinen und mittelgroßen dezentralen Erneuerbare-Energien-Anlagen sollten sie „nicht mehr nur genug Daten für deren digitale Steuerung oder zum Beispiel fürs Kundenmanagement sichern, sondern diese Daten nun auch gut genug und KI-ready abspeichern“, sagt Zedler.

Technisch gesprochen ist die Ettex-Mission diese: Grünstromunternehmen, die von neuen Gesetzen wie dem im Dezember im Bundestag verabschiedeten Umsetzungsgesetz für die europäische NIS-2-Richtlinie betroffen sind, sollen eine neue, sichere und zugleich für die künftige Nutzung künstlicher Intelligenz (KI) vorteilhafte Architektur ihrer Datenverarbeitung und der Datentransportwege schaffen.

10 Mal mehr Wind- und Solarenergieakteure könnte das Umsetzungsgesetz zur EU-Richtlinie für System- und Datensicherheit einbinden, um die Cybersicherheit zu erhöhen.

NIS 2 erweitert kritische Infrastruktur

Der Beratungsdienstleister zielt auf die Reform der Richtlinie Network and Information Security (NIS) der Europäischen Union (EU), die hierzulande NIS 2 heißt. Und er zielt auf das aller Voraussicht nach 2026 in Kraft tretende Kritis-Dachgesetz. Beide Regelwerke waren eigentlich schon für 2024 vorgesehen. Das zum Schutz kritischer Infrastruktur (Kritis) von der Bundesregierung nun im September 2025 beschlossene, aber noch nicht vom Bundestag verabschiedete Kritis-Gesetzespaket richtet sich zusätzlich gegen handfeste Zerstörungen oder Einbrüche durch kriminelle oder feindliche Akteure. Und umso länger die Bundespolitiker im koalitionsinternen Aushandeln der Details offenbar brauchten, umso mehr Bedarf an Beratung zur gesetzesgerechten Gestaltung ihrer Cybersicherheit dürften nun Energiewende-Unternehmen angesammelt haben. Die Programmmacher der Potsdamer Tagung hatten acht Arbeits-Panels mit teils mehreren Referenten alleine auf die neue NIS-2- und Kritis-Wirklichkeit angesetzt.

Tatsächlich zieht zumindest die NIS-2-Richtlinie den Kreis der in die Cyberschutzpflichten einbezogenen Akteure deutlich größer als die bisherigen Kritis-Regeln. So galten vorher gemäß dem sogenannten BSI-Gesetz alle Stromerzeugungsanlagen ab 104 Megawatt (MW) Nennleistung als kritische Infrastruktur sowie mit wesentlich geringeren Schwellenwerten oder gar ohne Einschränkung alle Anlagen mit besonderen Funktionen. Kritis-Anlagen sind beispielsweise demnach schon bisher auch alle diejenigen Stromerzeuger, die dank Schwarzstartfähigkeit eine zusammengebrochene Spannung im Stromnetz wieder aufbauen können. Auch Erzeuger, die binnen 30 Sekunden bei plötzlichem Bedarf im Stromnetz mit steuerbarer Einspeisung zur Korrektur der Netzfrequenz beitragen, sind Kritis-Anlagen.

Pflicht zu Informationsmanagementsystem

Nun führt die NIS-2-Verordnung weiterreichende Pflichten zur Digitalsicherheit auch für Anlagen und Unternehmen ein, die ab 50 Mitarbeitenden und zehn Millionen Euro Jahresumsatz als „wichtig“ und ab 250 Mitarbeitenden oder mehr als 50 Millionen Euro Umsatz als „besonders wichtig“ gelten. Alle betroffenen Unternehmen müssen beispielsweise ein Informationsmanagementsystem einführen, Risikobewertungen vornehmen und ihre Sicherheitsmaßnahmen dokumentieren, binnen 24 Stunden IT-Sicherheitsvorfälle melden und Lieferkettenrisiken prüfen. Strafen bis zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen, wo sie sich nicht daran halten.

NIS 2

Cybersicherheit oder Schutz der digitalen Steuerung kritischer Infrastruktur regelt das Umsetzungsgesetz zur 2022 reformierten EU-Richtlinie NIS 2 für die „Network and Information Security“ (NIS). Das Umsetzungsgesetz ist seit Oktober 2024 fällig und trat nun verspätet am 6. Dezember 2025 in Kraft.

Bild: Siemens

Zwei Einsatzbereiche deckt Ettex nun ab: „Erstens: das Management der Assetlisten“, sagt IT-Sicherheitsexperte Zedler. Diese Auflistung aller technischen Geräte zur Datenverarbeitung – von der Steuerung der Anlagen mit dem die Sensordaten der Anlage verwertenden Scada-System bis zu den Firmenrechnern – erfordert eine jährliche Risikoprüfung. Vom Bundesinnenministerium in Absprache mit dem Wirtschafts- und Energieministerium als unsicher empfundene Geräte und Bauteile nicht zuletzt aus chinesischer Fertigung müssen die Unternehmen melden.

Ettex-Sicherheitsarchitektur für Datenburg

Insbesondere entwerfen die Ettex-Experten mit den Unternehmen, die sie beraten, die neue Sicherheitsarchitektur: Sie legen gemeinsam fest, wo welche Benutzer auf welche Digitaltechnik zugreifen oder Räume betreten dürfen, prüfen die digitale Brandmauer zur Angriffserkennung, trennen verschiedene Datenbereiche voneinander in Netzwerke und bestimmen, welche Netzwerke mit welchen Netzwerken jeweils über neue digitale Nervenbahnen überhaupt Signale und Daten tauschen dürfen, damit der Cyberkörper beim Auftreten einer Störung in einer Zelle nicht schnell kollabiert. „Es ist, als würden wir wieder Ritterburgen bauen mit vielen abgetrennten Vorhöfen, damit kein Angriff durchdringen kann“, so erklärt es Zedler.

„Informationssicherheitsmanagement“ nennt das deutsche Umsetzungsgesetz zur NIS-2-Richtlinie der EU das. Auf einige Wochen bis ein halbes Jahr bei vier- bis sechsstelligen Kosten in Euro lassen sich offenbar die Aufwände von Zeit und Geld für solche Umbauberatungen für die betroffenen Erneuerbare-Energien-Unternehmen beziffern.

Wie teuer es wird und wie gut, hängt freilich auch von der eingesetzten operativen Technik ab – von EDV-Spezialisten auch OT genannt. Traditioneller und großer Lieferant davon ist der Geschäftsbereich Smart Infrastructure (SI) im Siemens-Konzern.

Siemens SI bietet eine zentrale 24-Stunden-­Überwachung für die digitale Sicherheit vor allem auf Netzbetreiberseite an. Insbesondere Verteilnetzbetreiber, deren Leitungen in erster Linie Solarstrom, aber auch Windstrom aufnehmen und verteilen sollen und die einen Fernsteuerungszugriff auf die Grünstromanlagen haben, bewacht das Unternehmen mit solchen OT-Security-Operations-Centern in den zentralen und wichtigsten Komponenten so intensiv, wie es die Risikoanalyse des Netzbetreibers verlangt. Nach einem beobachteten Angriff isolieren die dabei von Siemens-Spezialisten beratenen Netzbetreiber die befallene Datenzelle und führen im schlimmsten Fall die digitale Steuerung der Infrastruktur über andere virtuelle Nervenbahnen darum herum. Zudem ermitteln sie unterstützt von Siemens die Angreifenden und geben das Ergebnis an die Polizei, schreiben den Report über gelernte Lektionen und empfehlen Verbesserungen für das Sicherheitskonzept und angepasste Mitarbeiterschulungen.

250 Mitarbeitende und über 50 Millionen Euro Jahresumsatz bilden die Schwelle, ab der Unternehmen „besonders wichtig“ sind. Ab 50 Menschen und zehn Millionen Euro sind sie noch „wichtig“. Diese Unternehmen müssen Anlagen und Datenverkehr nun mehr schützen.

„Wir betreuen hauptsächlich Netzbetreiber. Die Technik ist aber auch für Windparks oder Ladeinfrastruktur für Elektromobilität betreibende Unternehmen interessant“, sagt Mark Werbik. Der Siemens-SI-Experte für Cybersicherheit und Digitalisierung verweist dabei auch auf digitale Schutzgeräte. Solche stellt Siemens SI in Strom­erzeugungsanlagen und Umspannwerke. Sie schützen die Anlagentechnik durch automatisierte Datenanalyse vor elektrischen Überlastungen oder anderen elektrischen Fehlern. Dafür lesen sie Sensordaten aus und schalten Erneuerbaren-Anlagen über den steuernden Zugriff beispielsweise in Überlastungssituationen ab. Sie unterstützen die Netzautomatisierung, indem sie mit Netzleitstellen kommunizieren, Ereignisse melden und eine Fernsteuerung ermöglichen.

Im Siemens-SI-Angebotsportfolio tragen sie den Produktnamen Siprotec. Ihre aktuelle Version Siprotec 5 unterstützt moderne Sicherheitsfunktionen wie verschlüsselte Kommunikation, rollenbasierte Zugriffskontrolle, Zertifikatemanagement
und Protokolle etwa von Sicherheitsereignissen.

Siemens SI liefert operative Technik

Weil sich die Angriffe beständig ändern, gehört zum Siemens-Rundumdienst allerdings auch der Patch-­Management-Service: die Überwachung der installierten Basis eines Netzbetreibers auf Sicherheitsschwachstellen. Entdecken die Siemens-­Experten eine neue Schwachstelle für eine im Betrieb befindliche Komponente, erhalten die Kunden eine Information und auf Wunsch eine Handlungsempfehlung. Zudem können die Experten testen, ob die „Patch“ genannte Programmierungsänderung kompatibel mit der Netztechnik ist, um unerwünschte Rückwirkungen im Netzbetrieb zu vermeiden, und helfen beim Installieren. Verteilt über den ganzen Konzern forschen rund 1.300 Cybersicherheitsexperten inklusive rund 200 OT-Spezialisten nach immer neuen Sicherheitslücken.

Der gesetzlich nun stark erweiterte Kritis-Kreis versechs- oder versiebenfacht möglicherweise die Zahl der betroffenen Energieunternehmen. Statt der bisher 4.500 Unternehmen werde es künftig 29.500 beaufsichtigen, meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang Dezember. Sogar von einer Verzehnfachung der Zahl betroffener Energieunternehmen sprechen Experten. Anlagen kritischer Infrastruktur im Energiebereich betrieben bisher 308 Unternehmen, darunter überwiegend Stromversorgungsanlagen sowie auch Anlagen zur Gas-, Öl- und Wärmeversorgung. Zu den bisherigen Energieerzeugungsanlagen, Stromnetzen, Messstellen, Speicheranlagen oder Systemen für den Stromhandel kommen nun digitale Energiedienste hinzu. Noch ist nicht ganz klar, was hierzu gehört: ob virtuelle Kraftwerke, E-Mobilitäts-Ladelösungen, Quartierslösungen, Smart-City-Plattformen oder Messstellenbetreiber.

Ein Unternehmen sollte es nicht nur tun, weil es die Gesetze verlangen. Es sollte auch einen Mehrwert für sich erzielen.

Thomas Zedler, Geschäftsführer von Ettex, zum gesetzlich verlangten Umbau der digitalen Anlagensteuerung und der datengesteuerten geschäftlichen Abläufe. Er berät Erneuerbare-Energien-Unternehmen.

Bis spätestens drei Monate nach Inkrafttreten der NIS-2-Richtlinie müssen die Unternehmen nun eine Selbsteinstufung und Registrierung vornehmen. Noch sei viel zu definieren, ist bei der Windkraft-Interessenorganisation intern zu vernehmen. So heißt es im Bundesverband Windenergie (BWE), zu klären sei nicht zuletzt auch noch, ob und wie Windparkunternehmen, die als Betreibergesellschaften mit beschränkter Haftung ausgegliedert wurden, größeren Unternehmen mit Kritis-Verantwortung zuzurechnen seien. Bisher unklar bleibe zudem, wie die Unternehmen ihr Risikomanagement und ihre Risikobewertungen durch Zertifikate belegen können. Nicht wenige Betriebsunternehmen ­dürften das Thema noch nicht ausreichend „auf dem Schirm haben“. Es werde nun wohl ein Findungsprozess folgen, der „länger als drei Monate“ dauert.

„Das BSI ist schon dabei, in Veranstaltungen über die Neuerungen zu informieren. Und es wird bei kritischen Komponenten einen Dialog geben, wie man diese ausdefiniert“, sagte gelassen BWE-Geschäftsführer Wolfram Axthelm Anfang Dezember bei einer Digitalveranstaltung.

Moderne Leitzentrale für Betriebsführung

Ein Unternehmen, das schon bisher als Kritis-Akteur gesetzliche Vorgaben erfüllen musste, ist der ostfriesische Ingenieurdienstleister Deutsche ­Windguard. Beim Bau des neuen Bürogebäudes am Standort Varel ließ die Unternehmensführung den Leitstand der technischen Betriebsführung neu konzipieren. Die IT teilt sich in getrennte Räume auf, Zugänge erfolgen bei „maximalen Schutzmaßnahmen mit Zutrittskontrolle“. Mit Redundanz, also Überausstattungen, rundete Deutsche Windguard das Neubaukonzept lehrbuchmäßig ab. Mitte 2022 wies es dem BSI nach, „dass der Leitstand den Kritis-Anforderungen des BSI-Gesetzes entsprach“. Weil das Unternehmen in technischer Betriebsführung 860 MW Windparkleistung digital beaufsichtigte, war es von da an zu tagesaktuellen Risikoanalysen verpflichtet.

Nun will Deutsche Windguard die Kunden seiner technischen Betriebsführung mit Windparkleistungen unter der 104-MW-Schwelle kostenlos über ihre Möglichkeiten zur Abwehr von Cyberangriffen beraten. Kostenpflichtig können die Kunden dann auch Hilfe beim Umsetzen der besprochenen Maßnahmen bestellen.

Die Angriffe in der digitalen Dimension nehmen tatsächlich zu. In der Jahresbilanz des BSI meldeten Betreiber von Kritis-Energieanlagen jüngst 153 Ereignisse an, was ein neuer Spitzenwert seit 2022 ist. Gezählt wurden hier „Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit“ der Kritis-Anlage geführt haben oder hätten führen können.

153 Störungen, „die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit“ einer Energieversorgungsanlage geführt haben, registrierte das Bundesamt BSI in den letzten zwölf Monaten.

TÜV Süd bietet Schnellcheck an

Als Prüf- und Zertifizierungsunternehmen beschäftigt sich TÜV Süd in verschiedenen Sektoren damit, wie sich regulatorische Vorgaben für die Cybersicherheit sinnvoll umsetzen lassen. Weil sich nun auch kleinere Betreiber von Windenergie- und Photovoltaikanlagen damit auseinandersetzen müssen, die keine eigenen oder keine großen IT- und EDV-Sicherheitseinheiten auf das Thema ansetzen können und sich mit der konkreten Umsetzung des Gesetzes ganz neu beschäftigen müssen, bieten die Münchner ein Schnell-Check-Verfahren an.

Hierbei informiert das Unternehmen in einem halbtägigen Workshop über relevante Regulierungen. In Kurzinterviews ermitteln die TÜV-Süd-Experten zudem den Ist-Zustand im Unternehmen. Das Ergebnis ist ein Kurzbericht mit auf das Unternehmen zugeschnittenen Handlungsempfehlungen.

Einen digitalen Sensor für unnormale Datenkurven bietet das Leipziger Unternehmen Rhebo an. Er kopiert die Kommunikationsdaten der OT-Technik und tastet sie außerhalb im Rhebo-Rechenprogramm nach Anomalien ab. So registriert dieser Controller, wenn ein neuer Host im Netzwerk auftaucht, ein Daten, Dienste oder Kapazitäten bereitstellender Computer also. Auch wenn zwei Hosts neue Protokolle und Befehle austauschen oder wenn es Ausschläge im Datenstrom der Gerätekommunikation gibt, erzeugt der Controller eine Nachricht. Das Rhebo-Monitoring zeichnet auch eine virtuelle Netzwerkkarte, die alle kommunizierenden Geräte und Systeme mit Kennung, Verbindungen, Datenvolumen und bekannten Schwachstellen anzeigt. Denn volle Ausleuchtung lässt Einbrecher auch an digitalen Tatorten auftauchen.

Cyberangriff auf kritische Infrastruktur und Abwehr durch Betreiberin und Betreiber von Energieinfrastruktur mit Grünstromanlagen
© Bild : Rhebo
Cyberangriff auf kritische Infrastruktur und Abwehr durch Betreiberin und Betreiber von Energieinfrastruktur mit Grünstromanlagen
Visualisierung der Energieversorgung als Schaltfeld mit vielen Segmenten
© Bild : Rhebo
Visualisierung der Energieversorgung als Schaltfeld mit vielen Segmenten
Ein Ettex-Mitarbeiter baut in eine Anlage operative Technik ein, genauer: OT-Elektronik.
© Foto: ettex
Ein Ettex-Mitarbeiter baut in eine Anlage operative Technik ein, genauer: OT-Elektronik.
Datenverarbeitung im Leitstand
© Foto: Siemens
Datenverarbeitung im Leitstand

Jetzt weiterlesen und profitieren.

+ ERE E-Paper-Ausgabe – jeden Monat neu
+ Kostenfreien Zugang zu unserem Online-Archiv
+ Fokus ERE: Sonderhefte (PDF)
+ Webinare und Veranstaltungen mit Rabatten
uvm.

Premium Mitgliedschaft

2 Monate kostenlos testen

The link has been copied to the clipboard

Tags

Betrieb

Weitere Inhalte

Auch Einschläge in der näheren Umgebung von PV-Kraftwerken können auf unterschiedliche Arten Schäden verursachen.
© Bild: Citel

Überspannungsschutz für Photovoltaikanlagen

Senvion-Anlagen stehen speziell im Bereich des Blattlagers unter Beobachtung, damit Risse im frühen Stadium entdeckt werden.
© Foto: Deutsche Windtechnik

Feinste Haarrisse mit Lichtwellen erkennen

Smart Production Park in Karlsruhe – Cyber Lab
© Foto: Tilman Weber

Quellenkunde im Daten-Lab

Die Anlage ist technisch fertig. Aber die Energiegenossenschaft wartet noch mit dem Netzanschluss.
© Energeno

Agri-PV: Fertiges Bürgerenergieprojekt wartet auf beihilferechtliche Genehmigung

Mit Opti-Node Cockpit werden Projektdaten automatisiert importiert, sicher verwaltet und sind jederzeit zentral verfügbar. Anstehende Aufgaben ­können einfach, effizient und skalierbar erledigt werden.
© Foto: node.energy

Die Tücken des § 6 EEG

© Foto: VERBUND

Branche braucht Klarheit über EEG-Nachfolgegesetz