In den vergangenen Monaten hat die NATO ihre Präsenz im Osten verstärkt. Der Grund: Zunehmende Drohnenaktivitäten und verstärkte Bewegungen der russischen Schattenflotte. Letztere steht unter anderem im Verdacht, Sabotageakte an Datenkabeln und Pipelines durchzuführen. Das gefährdet die Sicherheit kritischer Infrastrukturen wie der Energieversorgung. „Mit dem Angriff auf die Ukraine hat sich die Bedrohungslage deutlich verschärft. Wir nehmen verstärkt Drohnensichtungen wahr, auch im Offshore-Bereich in der Ostsee. Und wir registrieren immer mehr Cyber-Angriffe“, berichtet Roger Rentschler, Sicherheitschef der EnBW und verantwortlich für den Bereich Corporate Security, der Informationssicherheit, Konzernsicherheit, Business Continuity und Krisenmanagement bündelt.
Robuste Schutzmaßnahmen sind gefragt – insbesondere für die sogenannten kritischen Infrastrukturen, kurz KRITIS, die für das Funktionieren der Gesellschaft, die Versorgung der Bevölkerung und das tägliche Leben unerlässlich sind.
Was sind kritische Infrastrukturen?
Zu den Branchen und Sektoren des KRITIS-Bereichs zählen unter anderem die Energie- und Wasser- sowie die Lebensmittelversorgung ebenso wie staatliche Einrichtungen oder das Gesundheitswesen. Derzeit gibt es in Deutschland über alle Sektoren hinweg fast 2.000 KRITIS-Betreiber (301 im Energiesektor) und mehr als 2.100 Anlagen (Energie: 505), deren Funktionieren von besonderer Bedeutung ist.
Welche Gefahren gibt es für KRITIS-Unternehmen?
Die KRITIS-Unternehmen müssen einen zuverlässigen und sicheren Betrieb ihrer Anlagen gewährleisten und ihre Infrastrukturen umfassend gegen vielfältige Gefahren wappnen. Dabei liegt ein starker Fokus neuer Richtlinien und Gesetze auf einer wirkungsvollen Cyberabwehr.
Denn in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Situation als „besorgniserregend“ ein – unter anderem, da die Zahl der Cybervorfälle in kritischen Infrastrukturen steigt.
950 Meldungen gingen im Berichtszeitraum aus den KRITS-Sektoren ein (2024: 726), 153 davon aus der Energieversorgung. „Die Bedrohungslage im Sektor Energie ist unverändert hoch. Die Betreiber von Kritischen Infrastrukturen sehen sich mit verschiedensten Angriffsszenarien konfrontiert“, so der Bericht. „Unter anderem hybride Bedrohungen, also mehrdimensionale Angriffe mit verschiedenen Mitteln, nehmen weiter zu", erklärt Rentschler. Der Sicherheitsexperte geht davon aus, dass die Zahl der Angriffe daher deutlich höher sein könnte als dokumentiert. „Der Bericht zählt umfassende, meldepflichtige Vorfälle auf. Kleinere Attacken mussten bisher von den Unternehmen nicht zwingend an die Behörden weitergegeben werden.“
Schäden durch physische Sicherheitsvorfälle und Naturgewalten
Auch außerhalb des Cyberumfelds stellen kriminelle Aktivitäten ernsthafte Bedrohungen für Anlagen und Systeme dar. Um diese Risiken systematisch zu erfassen, hat die Konzernsicherheit der EnBW elf spezifische meldungspflichtige Gefährdungen definiert. Dazu gehören unter anderem Spionage, Sabotage, Ausspähungen, Vandalismus und Diebstahl.
Roger Rentschler erklärt: „Die Gefährdungen werden konzernweit in aggregierter Form gemeldet. Aktuell erleben wir zum Beispiel sehr viel Kabelklau an unseren Ladestationen, der vor allem einen hohen wirtschaftlichen Schaden mit sich bringt."
Wie verwundbar kritische Infrastruktur sein kann, zeigte sich Anfang 2026 in Berlin: Am 3. Januar führte ein Anschlag auf eine Kabelbrücke dazu, dass rund 45.000 Haushalte und mehr als 2.200 Betriebe in der Hauptstadt tagelang ohne Strom waren. Der Vorfall führte zu einer intensiven Debatte über den Schutz kritischer Infrastrukturen und beschleunigte die Verabschiedung des KRITIS-Dachgesetzes im Bundestag.
Hinzu kommt: Nicht nur Anschläge, sondern auch Extremwetterereignisse sind eine zunehmende Bedrohung für die Energieinfrastruktur, da sie massive Schäden an Leitungen und Anlagen sowie weitreichende Versorgungsunterbrechungen verursachen können. Die steigende Zahl und Intensität solcher Ereignisse aufgrund des Klimawandels erfordert eine kontinuierliche Anpassung der Schutz- und Resilienzstrategien.
Meldepflichtige Sicherheitsvorfälle (Gefährdungen)
|
Gefährdungsart
|
Gefährdung
|
|---|---|
|
Gefährdungsart
G1
|
Gefährdung
Unberechtigter Zutritt zu Anlagen und Betriebsstätten
|
|
Gefährdungsart
G2
|
Gefährdung
Einbruch
|
|
Gefährdungsart
G3
|
Gefährdung
Diebstahl
|
|
Gefährdungsart
G4
|
Gefährdung
Sachbeschädigung, Vandalismus, Zerstörung
|
|
Gefährdungsart
G5
|
Gefährdung
Sabotage, Spionage, Ausspähung, Drohnensichtungen
|
|
Gefährdungsart
G6
|
Gefährdung
Mängel in der Sicherheitskonzeption oder unzureichende Kontrollen
|
|
Gefährdungsart
G7
|
Gefährdung
Demonstration/Protestaktion
|
|
Gefährdungsart
G8
|
Gefährdung
Terrorismus
|
|
Gefährdungsart
G9
|
Gefährdung
Auffinden eines nicht zuordenbaren Gegenstandes/Bombendrohung/Räumung
|
|
Gefährdungsart
G10
|
Gefährdung
Bedrohungen/Personenschäden
|
|
Gefährdungsart
G11
|
Gefährdung
Ausfall von Systemen zur Objektsicherheit
|
|
Gefährdungsart
Sonstiges
|
Gefährdung
Zutritt von Ermittlungsbehörden, Polizei
|
Quelle: EnBW
Welche Gesetze und Richtlinien gelten für kritische Infrastrukturen?
Damit die Versorgungssicherheit auf einem hohen Niveau bleibt, gilt für KRITIS-Betreiber in Deutschland ein umfassendes Regelwerk aus nationalen und europäischen Gesetzen sowie aus sektorspezifischen Vorgaben. Dazu gehören aktuelle Sicherheitsstandards, regelmäßige Risikoanalysen und eine enge Zusammenarbeit mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
IT-Sicherheitsgesetz 2.0 und NIS2
Besonders im Bereich IT-Sicherheit gibt es immer wieder neue Richtlinien oder Gesetzesnovellen. Zu den relevanten Vorgaben für deutsche KRITIS-Betreiber zählen aktuell das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) und die KRITIS-Verordnung (KritisV). Dabei definiert die KritisV, welche Anlagen, Unternehmen und Organisationen als KRITIS gelten und welche Pflichten die Betreiber haben. Das IT-Sicherheitsgesetz 2.0 stärkt die Kompetenzen des BSI und verschärft die Anforderungen an KRITIS-Betreiber – etwa durch neue Mindeststandards für die IT-Sicherheit.
Die EU-weite „Network and Information Security Directive 2“ (NIS2) wiederum soll ein gemeinsames, hohes Niveau an Cyber-Sicherheit in bestimmten Sektoren stärken. Die Richtlinie ist im Dezember 2025 in Deutschland in Kraft getreten. „NIS2 sieht beispielsweise vor, dass sicherheitsrelevante Ereignisse, die eine Auswirkung auf unsere kritischen Geschäftsvorfälle haben, innerhalb von 24 Stunden gemeldet und innerhalb bestimmter Fristen Berichte erstellt werden müssen. Ich gehe davon aus, dass aufgrund dieser strengen Meldepflichten auch die Zahl der registrierten Vorfälle noch einmal deutlich steigt“, erläutert Sicherheitschef Rentschler.
KRITIS-Dachgesetz: Bundesweit einheitlicher physischer Schutz
Ende Januar 2026 hat der Bundestag zudem das KRITIS-Dachgesetz beschlossen. Mit diesem Gesetz setzt Deutschland die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie 2022/2557) in nationales Recht um. Das Gesetz schafft erstmals einen bundesweit einheitlichen Rahmen für den physischen Schutz kritischer Infrastrukturen und ergänzt damit die bestehenden Regelungen zur Cybersicherheit.
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zu umfangreichen Schutzmaßnahmen: Sie müssen ihre Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren lassen, regelmäßige Risikoanalysen durchführen, Resilienzpläne erstellen und schwere Störungen melden Als kritisch gelten Anlagen, wenn sie mehr als 500.000 Menschen versorgen – wobei die Bundesländer nach eigenen Kriterien auch kleinere Anlagen als kritisch einstufen können.
Was schützt kritische Strominfrastruktur vor physischen Bedrohungen?
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sieht vor, dass sich kritische Infrastrukturen nach einem sogenannten
Berücksichtigung aller Gefahrenarten (zum Beispiel Naturgefahren, technologische Gefahren) im Rahmen des Risiko- und Krisenmanagments.
Allerdings, so erläutert Roger Rentschler, sei es unrealistisch, tausende Kilometer Stromtrassen schützen zu wollen. „Das ist auch nicht notwendig. Denn nicht nur Prävention gehört zum Resilienz-Konzept. An vielen Stellen sind Backups und schnelle Wiederherstellungsmaßnahmen deutlich effizienter.“ Diese machen einen wichtigen Pfeiler der EnBW-Sicherheitsstrategie aus.
An anderen Stellen setzt das Unternehmen auf umfangreiche Sicherheits- und Vorsorgemaßnahmen. „Für neuralgische Elemente unserer Infrastruktur wie zentrale Umspannwerke mit der höchsten Priorität, prüfen wir aktuell neue Schutzmaßnahmen und rüsten nach: Wir verstärken Zäune und den Übersteigschutz, wir optimieren die Sicherheitstechnik – zum Beispiel mit Videoüberwachungssystemen vor Ort, die Aufzeichnungen in Echtzeit an eine Sicherheitsleitstelle übertragen und eine zeitnahe Intervention gewährleisten.“
Das neue KRITIS-Dachgesetz konkretisiert die physischen Maßnahmen noch weiter. So müssen die Betreiber gegebenenfalls Notstromversorgung gewährleisten und ihre Lieferketten absichern. Ein wichtiger Aspekt des Gesetzes sind auch Anpassungen bei den Transparenzpflichten: Das Gesetz sieht vor, dass künftig weniger sensible Informationen über kritische Infrastrukturen öffentlich gemacht werden müssen. Lagepläne und technische Details sollen künftig eingeschränkter zugänglich sein, um Ausspähung und Sabotage zu erschweren.
Wie beugt die EnBW Notfällen und Ausfällen vor?
KRITIS-Bereiche unterliegen regelmäßigen Prüfungen hinsichtlich ihrer Resilienz, die von unabhängigen Stellen wie dem TÜV bestätigt wird. Kommt es dennoch zu Schadenereignissen und die Energieversorgung ist gefährdet oder unterbrochen, setzt das Notfall- und Krisenmanagement ein. Detailliert ausgearbeitete Kontinuitätspläne aus dem Business Continuity Management zielen darauf ab, den Betrieb aller kritischen Geschäftsprozesse jederzeit aufrecht zu erhalten. Umfangreiche Trainings für die Beschäftigten bereiten kontinuierlich auf den Ernstfall vor.
Regelmäßige Risikoanalysen dokumentieren die Gefährdungslage
Konsequente Wartungen der Hardware sowie Sicherheitsprotokolle helfen, Risiken durch technische Ausfälle zu minimieren. Schulungen sensibilisieren die Beschäftigten dafür, Gefahren zu erkennen, einzuordnen und an die entsprechenden Stellen weiterzugeben. „Wichtig ist dies insbesondere bei der IT-Sicherheit. Hier suchen Angreifer nach wie vor Einfallstore über E-Mails oder vergleichbare Kommunikationswege“, erklärt Rentschler. Gemeinsam mit seinem Team bewertet er in regelmäßigen Risikoanalysen die jeweilige Gefährdungslage und hält sie für den zweiwöchentlichen Intelligence Report der EnBW fest.
„Wir tauschen uns dazu auch mit anderen Unternehmen der Branche aus. So erhalten wir wichtige Informationen weit über die Grenzen unseres eigenen Konzerns hinaus“, berichtet Rentschler.
Branchenübergreifende Kooperationen und gegenseitige Unterstützung werden im KRITIS-Bereich in Zukunft noch bedeutender werden, so die Einschätzung des Sicherheitsexperten. „Besonders für kleinere Stadtwerke oder Energieversorger wird diese Zusammenarbeit erforderlich, um das geforderte Sicherheitsniveau mit den entsprechenden Nachweisen erreichen zu können, da ihnen gegebenenfalls die Expertise und die Ressourcen fehlen.“