Mit der Einführung des IT-SiG 2.0 rückt die Erkennung und der Umgang mit Cyberangriffen in der Leit- und Fernwirktechnik von Energie- und Wasserversorgern immer mehr in den Vordergrund. Das Verständnis über Werkzeuge, Prozesse und Betriebsleistungen ist dabei ein entscheidender Faktor.
Der Aufbau eines Systems zur Erkennung von Cyberangriffen in der Produktionsumgebung eines Versorgungsunternehmens ist nicht nur sinnvoll, sondern auch notwendig.
(Bild: Sergey Nivens - stock.adobe.com)
Für große Versorgungsunternehmen ist es ein leichtes adäquate Überwachungswerkzeuge im eigenen Security Operations Center zu betreiben. Anders geht es dabei mittelständischen Betrieben, welche oft weder über die finanziellen Mittel noch über das nötige Fachpersonal verfügen. Ein angemessenes Sicherheitssystem zu etablieren, stellt solche Betreiber schnell vor eine große Herausforderung. Unglücklicherweise nutzen findige Softwarehersteller diesen Umstand nur zu gern aus.
Ein System zur Angriffserkennung ist…
Bestandteile eines Angriffserkennungssystems.
(Bild: Ausecus)
Bis Mai 2023 (BSIG §8a Abs. 1a, EnWG §11 Abs 1f) verlangen das BSIG (§2 Abs. 9b, §8a Abs 1) und EnWG (§11 Abs. 1e) von Betreibern Kritischer Infrastrukturen und Energieverteilungsnetzen ein System zur Angriffserkennung (SzA). Es ist ein System aus Werkzeugen, Prozessen und Spezialisten. Geeignete Betriebsparameter sollen mit angemessenem Aufwand nach Stand der Technik automatisiert untersucht werden. Auf diese Weise können Cyberangriffe nicht nur erkannt, sondern auch behandelt werden. Das schafft einen eindeutigen Sicherheitsmehrwert].
Die nach BSIG (§8a) zertifizierten Versorgungsunternehmen haben einen zeitlichen Vorteil. Sie müssen den Nachweis erst im nächsten regulären Audit erbringen, welches dem Termin des 01.05.23 nachfolgt. Ein entsprechendes Sicherheitssystem rechtzeitig in Betrieb zu nehmen, ist dennoch unerlässlich. Besonders im Hinblick auf die Frage der Haftung müssen sich Energie- und Wasserversorger unbedingt absichern.
Alle anderen Unternehmen, welche die in der KRITIS-V festgelegten Schwellenwerte unterschreiten, unterliegen bislang noch nicht den gesetzlichen Vorgaben. Es ist jedoch die nationale Umsetzung der europäischen NIS2-Richtlinie für 2024 abzusehen. Die Gruppe der KRITIS Betreiber wird sich dadurch bedeutend vergrößern. Grund dafür sind die in der Richtlinie vorgegebenen Kennwerte, wie Umsatz und Mitarbeiterzahl. Durch die steigenden Anforderungen müssen sich nun noch mehr Versorgungsunternehmen dem Thema SzA in der Zukunft dringend annehmen.
Bei der Planung eines funktionierenden SzA muss man sich zunächst über die erforderlichen Bestandteile im Klaren sein. Mit der Beschaffung und Installation von Software für Intrusion Detection (IDS) und oder Logmanagement bzw. Security Information & Event Management (SIEM) können die Anforderungen eines SzA nur teilweise erfüllt werden. Zur Vermeidung solcher Missverständnisse definiert die Orientierungshilfe (OH) des BSI die Auslegung genauer.
Bestandteile eines Systems zur Angriffserkennung
Ein System zur Angriffserkennung kann in die folgenden Bestandteile aufgeteilt werden:
Datenerfassung (Protokollierung)
Die Erfassung relevanter Protokolldaten der betreffenden Systeme und Netzwerke, die Aufschluss über einen Cyberangriff geben können
Detektion
Die Durchsuchung der Protokolldaten nach geeigneten Hinweisen auf sicherheitsrelevante Ereignisse, wie mögliche Angriffe oder Schwachstellen
Reaktion
Der angemessene Umgang mit entdeckten sicherheitsrelevanten Ereignissen
Wie geht man so ein Thema an?
Bei der Planung eines Systems zur Angriffserkennung ist der Umfang nicht zu unterschätzen. Die technischen Werkzeuge sind nur ein Bestandteil, der berücksichtigt werden muss. Der Startpunkt der Planung sollte die Festlegung der genauen Anforderungen sein. Die Suche nach geeigneten Werkzeugen und deren Betriebsmodell erfolgt dann auf Basis dessen im nächsten Schritt.
Ratsam ist es auch sich zu Beginn der Planung einen Überblick über bereits vorhandene Protokollierungs- und Erkennungsmaßnahmen zu verschaffen. Auf diese kann später aufgebaut werden. Dies gibt schon viel Aufschluss darüber, welche Optionen beim Betrieb eines solchen Systems in Frage kommen und welches Know-how extern besorgt werden muss.
Vorgehensweise einer Planung
Prüfung aller relevanten Datenquellen (Systeme und Netzwerke) und zu erfassenden Daten anhand des Risikomanagements (Angriffsvektoren, Eintrittswahrscheinlichkeiten, Schadenshöhen) und der Netzwerkstrukturpläne
Prüfung der zentralen Auswertbarkeit der Daten (Datenformate, verfügbare Hard- und Softwareschnittstellen)
Festlegung von geeigneten Speicherdauern und resultierenden Speichervolumen
Beachtung der DSGVO und BetrVG Anforderungen
Festlegung der Erkennungsmethoden anhand der Angriffsvektoren
Festlegung eines Prozesses für die systematische und regelmäßige Erfassung und Integration von Angriffsdaten in die Erkennungsmethodik
Festlegung des gewünschten Betriebsmodells (Leistungen selbst erbringen oder zukaufen). Bei der Nutzung von Dienstleistern, Definition der Schnittstellen
Prüfung und ggf. Ergänzung vorhandener Notfallmanagement Prozesse
Vorgehensweise Umsetzung
Abhängig vom Betriebsmodell, Auswahl der Werkzeuge bzw. Dienstleister
Aufbau der erforderlichen Personalorganisation
Implementierung der Prozesse
Implementierung eines KVP – Ein System zur Angriffserkennung erfordert im Betrieb eine kontinuierliche Verbesserung, um effizient und wirksam zu funktionieren
Durchführung von Übungen zur Feststellung und Verbesserung der Wirksamkeit
Make-or-Buy Entscheidung
Abhängig von der Auslastung des eigenen Informationssicherheitsbeauftragten (ISB), kann es eine große Hilfe sein, einen externen Berater in die Planung mit einzubeziehen. Bei der Auswahl eines externen Dienstleisters sollte man besonders auf Erfahrung und entsprechendes Hintergrundwissen (ISMS für Betreiber des entsprechenden Sektors) wert legen.
Besonders in kleinen und mittelständischen Unternehmen sind die Mitarbeiter oft vielen verschiedenen Aufgaben verpflichtet. Daher bietet sich an dieser Stelle der Einsatz eines externen Dienstleisters an. Dieser kann durch sein Know-how und seine zusätzliche Verfügbarkeit die Mitarbeiter geeignet ergänzen. Für Versorgungsbetriebe mit überschaubarer Größe bietet sich dadurch eine gute Alternative zu dem zeit- und kostenintensiven Aufbau einer, eigens für das SzA gedachten, Personalorganisation.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Will man einen Dienstleister verpflichten, muss man sich überlegen, welches Betriebsmodell für das eigene Unternehmen am sinnvollsten ist. Zunächst gibt es die Möglichkeit dem Dienstleister nur den unmittelbaren Betrieb der Überwachungssysteme zu überlassen. Hierbei wird sich allein um die Verfügbarkeit und Aktualität aller Komponenten gekümmert. Darüber hinaus kann der Dienstleister auch mit der Datenanalyse betraut werden. Das bedeutet, er erbringt eine ganzheitliche Leistung. Der Vorteil dabei ist, dass es klare Verantwortlichkeiten für die Leistungserbringung gibt und lästige Schnittstellendiskussionen vermieden werden.
Ein weiterer wichtiger Punkt ist der Verarbeitungsort aller erhobenen Daten. Demnach sollten Datenverarbeitung und Datenhaltung innerhalb derselben Infrastruktur stattfinden. Der Dienstleister absolviert seine Aufgabe über einen sicheren Fernzugriff mit geeigneten Verschlüsselungs- und Authentisierungsverfahren. Diese Maßnahmen beugen einer ungewollten Verbreitung von sensiblen Daten vor und reduzieren das Risiko bei einer Kompromittierung des Dienstleisters erheblich.
Weitere Details zu Komponenten und der Umsetzung sind in Angriffserkennung in Leit- und Fernwirktechnik als Dienstleistung im vgbe energy journal 09/2022 beschrieben
Fazit
Der Aufbau eines Systems zur Erkennung von Cyberangriffen in der Produktionsumgebung eines Versorgungsunternehmens ist nicht nur sinnvoll, sondern auch notwendig. Erst ab einer ausreichenden Unternehmensgröße ist es für einen Betreiber wirtschaftlich möglich, diese Anforderungen aus eigener Kraft autark zu bewerkstelligen. Dazu kommt die Aufgabe geeignetes Personal zu finden und dauerhaft zu halten. Kleine- und mittelständische Unternehmen sind besser beraten, sich mit passenden Dienstleistern auszustatten.
Veränderungen der Produktionsumgebungen sind im Rahmen der Digitalisierung immer häufiger erforderlich. Umso mehr ist ein Partner auf Augenhöhe und mit ausreichend Flexibilität erforderlich. Hohe Investitionskosten und langfristige Bindungen sind hier eher hinderlich. Diese Anforderungen verlangen einen Paradigmenwechsel im Vergleich zu früheren Systemeinführungen.
Über den Autor: Sascha Jäger ist Geschäftsführer und Gesellschafter bei der ausecus GmbH. Von 1996 bis 2013 war er in unterschiedlichen Positionen bei dem IT-Security Spezialisten Integralis/NTT in Deutschland, Österreich, Schweiz und Frankreich tätig, zuletzt als Geschäftsführer. Anschließend war er bei Fujitsu für den Aufbau des Bereichs Cybersecurity (Security Operations Center) in Zentraleuropa verantwortlich und leitete diesen bis zu seinem Start bei ausecus im Januar 2021.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/62/c4/62c44271d4375ddce05dd15a7d43c271/0125174957v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/0c/6e0c265f328f57bbd511b7862ab0f2d1/0122516400v4.jpeg "Staatliche Regulierungen wie DORA und NIS2 fordern Unternehmen heraus: Reifegrade, Managementsysteme und eine faktenbasierte Zusammenarbeit ersetzen Vertrauen und Subjektivität. Warum das Top-Management jetzt handeln muss – und welche Strategien wirklich zählen. (Bild: MYZONEFOTO - stock.adobe.com)")