Cybersicherheit : Kleine und mittlere Energieversorger sind die offene Flanke

Anfang Oktober hat ein Ransomware-Angriff auf Collins Aerospace Passagierabfertigung und Check-in-Systeme an Flughäfen in London, Berlin und Brüssel lahmgelegt. Das hat einmal mehr gezeigt, wie verwundbar unsere zentralen Infrastrukturen geworden sind. Was auf den ersten Blick wie eine Attacke auf die Luftfahrtbranche wirkt, offenbart in Wahrheit ein strukturelles Risiko, das weit darüber hinausgeht. Wenn Flugzeuge am Boden bleiben, verpassen Menschen Termine, Urlaubsreisen verzögern sich oder Lieferungen kommen später an. Ärgerlich – aber beherrschbar.

Ein Angriff auf das Stromnetz hingegen hätte weitaus gravierendere Folgen: Ganze Viertel, Städte oder Regionen könnten stillstehen – keine Kommunikation, keine Produktion, kein Verkehr. Die Auswirkungen wären überall zu spüren: in Haushalten, Unternehmen und auf politischer Ebene.

Energieinfrastruktur als digitales Nervensystem Europas

Die Energieinfrastruktur Europas gleicht heute einem fein verästelten digitalen Organismus. Intelligente Netzsteuerung, Echtzeitdaten aus Smart Metern, automatisierte Schaltvorgänge und Cloud-basierte Betriebsplattformen machen das System effizient, aber auch hochgradig anfällig. Die Steuerung kritischer Prozesse erfolgt über sogenannte SCADA-Systeme, die Mess- und Steuerdaten erfassen, jedoch häufig auf Jahrzehnte alten Architekturen basieren und erst nachträglich digitalisiert wurden.

Diese Systeme sind das Rückgrat der Energieversorgung, doch sie sind in vielen Fällen nicht für die heutigen Bedrohungsszenarien ausgelegt. Fernwartungszugänge, gemeinsame Datennetze und die Integration neuer Akteure – von E-Mobility-Anbietern bis zu dezentralen Speichern – schaffen ein Ökosystem, das schwer zu überblicken und noch schwerer zu schützen ist. Jede neue Schnittstelle erhöht die Angriffsfläche.

Hinzu kommt die geopolitische Dimension. Energieflüsse sind längst nicht mehr national kontrollierbar: Europäische Stromnetze sind synchronisiert, Gaspipelines grenzübergreifend verknüpft und Wasserstoffinfrastrukturen entstehen als europäische Cluster. Ein Angriff in einem Mitgliedstaat kann daher Auswirkungen auf ganze Regionen haben.

Das schwächste Glied: kommunale Energieversorger

Besonders besorgniserregend ist die Lage bei den kleinen und mittleren Energieversorgern: Stadtwerke in Gemeinden mit 10.000 bis 30.000 Einwohnern. Sie sind systemrelevant, weil sie lokale Netze betreiben, Wärme liefern und Wasserinfrastrukturen absichern. Sie verfügen aber selten über die Ressourcen für Cyberabwehr: kein Security Operations Center, kein kontinuierliches Monitoring verdächtiger Aktivitäten, keine Experten, die sich mit IT-Security umfassend auskennen.

In der Praxis bedeutet dies, dass ein kommunaler Versorger, der seine Steuerungssoftware über einen externen Dienstleister bezieht oder Cloud-Systeme nutzt, unbeabsichtigt zum Einfallstor für Ransomware wird. Cybergruppen haben diese Schwäche bereits erkannt. In Foren und Darknet-Channels, die wir regelmäßig auswerten, werden Exploits für genau diese Systeme gehandelt.

Es sind oft keine spektakulären Zero-Day-Angriffe, bei denen unbekannte oder noch ungepatchte Sicherheitslücken ausgenutzt werden – diese verwenden Angreifer um Schwachstellen in Steuerungssoftware oder Cloud-Setups ausnutzen zu können, bevor Betreiber oder Anbieter Sicherheitsupdates überhaupt bereitstellen. Vielmehr handelt es sich hier um einfache Konfigurationslücken, die ausreichen, um Zugänge zu kapern.

Die Gefahr liegt nicht allein in der Größe eines einzelnen Stadtwerks, vielmehr in seiner Vernetzung. Fällt ein kommunaler Knoten aus, können angeschlossene Regionen betroffen sein. Steuerungsdaten werden verzögert, Netzfrequenzen geraten aus dem Takt, Schaltvorgänge verspäten sich. Ein Dominoeffekt, der in der Theorie beginnt und in der Praxis binnen Minuten Realität werden kann.

Gerade diese kleinen Knotenpunkte könnten damit zur Achillesferse der europäischen Energieversorgung werden.

Hybride Angriffe auf Netze: Von der Manipulation zur Kaskade

Hybridangriffe, wie sie beispielsweise die Nachrichtenagentur Reuters zuletzt prognostizierte, kombinieren Cyberattacken mit physischen Störaktionen: Drohnenüberflüge über Trafostationen, Unterbrechungen von Glasfaserleitungen, Desinformationskampagnen über angebliche Stromausfälle. Die Wirkung entsteht durch Gleichzeitigkeit und Unsicherheit.

In der Energieinfrastruktur kann eine einzige Manipulation, etwa an einem Schaltknoten oder einer Frequenzmessstelle, ganze Verteilnetze destabilisieren. Anders als in der Luftfahrt sind die Systeme hier nicht kurzfristig ersetzbar. Die Wiederherstellung erfordert Fachpersonal, physische Zugänge und oft Wochen der Reparatur.

Das Problem ist strukturell: Netzbetreiber und Versorger arbeiten zunehmend in einem Spannungsfeld aus Digitalisierung, Kostendruck und Fachkräftemangel. Sicherheit wird oft als Zusatzaufwand gesehen, nicht als Voraussetzung für Stabilität.

Das KRITIS-Dachgesetz: ein Schritt, aber kein Schutzschild

Mit dem neuen KRITIS-Dachgesetz hat die Bundesregierung erstmals einen sektorübergreifenden Rahmen für kritische Infrastrukturen geschaffen. Das ist ein notwendiger Schritt, doch die Realität zeigt, dass die größten Angriffsflächen außerhalb der unmittelbaren Reichweite des Gesetzes liegen.

Kommunale Betreiber, Stadtwerke und regionale Energieversorger fallen häufig unter Schwellenwerte oder Übergangsfristen. Für viele von ihnen gelten die neuen Anforderungen erst in einigen Jahren. Solange Sicherheitsstandards nicht bis in die kommunale Ebene reichen, bleibt der Schutz lückenhaft. Es braucht gemeinsame Monitoring-Strukturen und zentrale Meldewege, die speziell auf kleine Betreiber ausgerichtet sind.

Darknet-Monitoring und Frühwarnsysteme als Verteidigungslinie

Ein entscheidender Hebel, um Angriffe wie den auf Collins Aerospace frühzeitig zu erkennen, wäre das Darknet-Monitoring. Dort werden gestohlene Zugangsdaten, Exploits und Angriffskampagnen gehandelt – Wochen, teils Monate bevor sie aktiv werden.

Wenn Energieversorger, insbesondere Stadtwerke, diese Informationen in Echtzeit auswerten, könnten viele Attacken abgewehrt werden, bevor sie beginnen. Dafür müssen Betreiber und Behörden enger zusammenarbeiten und Informationen über Bedrohungen teilen. Die aktuelle Situation zeigt, dass Frühwarnsysteme eine Grundvoraussetzung für Versorgungssicherheit sind.

Schutz beginnt an der Peripherie

Die Bedrohung für die europäische Energieinfrastruktur wächst nicht an den großen Leitstellen, sondern an der Peripherie – dort, wo lokale Betreiber, kleine Stadtwerke und kommunale Dienstleister ohne ausreichende Schutzmechanismen agieren.

Wenn Ransomware-Gruppen gezielt diese Angriffsvektoren nutzen, kann aus einem lokalen Vorfall binnen Stunden eine systemische Krise werden. Der Angriff auf Collins Aerospace war ein Testlauf. Der nächste könnte das Stromnetz treffen.

Deshalb gilt: Resilienz beginnt nicht im Ministerium, sondern in der Kommune. Europa kann sich keine Inseln der Verwundbarkeit mehr leisten – weder auf der Landebahn noch im Leitungsnetz.

Thomas Lang ist Partner und Managing Director bei der Digitalberatung Valantic. Er ist Experte für Cybersecurity, agiert hier unter anderem als Strategieberater und „Breach Coach“.