Abo
Über das Event Programm Referenten Partner Networking Presse & Organisation News Rückblick
Veröffentlicht am 05. Dezember 2025
Artikel

High Voltage – Warum Compliance unsere Netze nicht schützt

NIS2, KRITIS-Dachgesetz und die Sicherheitslücken im Energiesektor

Energieunternehmen gehören zu den am stärksten regulierten Sektoren Europas. NIS2, KRITIS-Dachgesetz, IT-Sicherheitskataloge der Regulierer – die Liste ist lang. Und doch zeigen reale Vorfälle:

Gastbeitrag von Benjamin Rohé, CEO, MONARCH

Regelkonformität schützt nicht vor systemischen Ausfällen.

Die NIS2-Richtlinie basiert auf Arbeiten aus dem Jahr 2020 – sicherheitspolitisch eine völlig andere Epoche. Heute sehen wir staatlich unterstützte Cyberoperationen, hybride Angriffe auf Energie- und Versorgungssysteme, OT-Sabotage, Social Engineering in der Supply Chain und eine Angriffsoberfläche, die sich durch die Digitalisierung permanent erweitert. Regulierung setzt Mindeststandards. Angreifer arbeiten nach Operationsplänen – nicht nach Paragraphen.

Besonders relevant: Unter NIS2 haften Geschäftsführung und Aufsichtsräte persönlich, wenn Sicherheitsmaßnahmen nicht angemessen, risikoorientiert und „dem Stand der Technik“ entsprechend umgesetzt sind. Compliance ist damit nicht nur eine organisatorische Aufgabe, sondern eine persönliche Verantwortung.

Wenn Unternehmen zum Ziel werden: Zwei reale Warnsignale

1. Jaguar-Land-Rover-Incident (2025)
Ein Supply-Chain-Angriff führte 2025 zu einem mehrtägigen Produktionsstillstand. Die Folgen:

  • Produktionsausfälle von über 500 Mio. GBP,
  • globale Störungen im Liefernetz,
  • dreistellige Millionenkosten für Wiederanlauf und Sicherheitsmodernisierung.
    Formale Sicherheitsstandards waren vorhanden – aber Checklisten-Compliance schützt nicht vor Angriffen, die entlang der Lieferkette erfolgen.

2. Stromausfälle in der Ukraine (2015/2016)
Gezielte Angriffe nutzten IT-Schwachstellen, um physische Schaltanlagen zu manipulieren.
Die Wiederherstellung wurde erschwert, u. a. durch Sabotage an USV- und Fernwartungssystemen.
Das Muster ist klar:
Unternehmen hatten Vorgaben erfüllt, aber sie hatten ihre Systeme nicht aus der Sicht eines professionellen Angreifers betrachtet.

Die eigentliche Frage für Energie-Entscheider

Ob ÜNB, VNB, Erzeuger, Speicherbetreiber oder Betreiber neuer H₂- und LNG-Infrastrukturen:

Ihre Organisation ist längst Teil eines strategischen Spielfelds.

  • Netze und Leitstellen haben geopolitischen Wert.
  • OT-Schnittstellen sind operative Single Points of Failure.
  • Neue Technologien (H₂, Offshore, Speicher, HVDC) erzeugen globales Interesse – auch seitens von Nachrichtendiensten.

Angreifer sind häufig staatlich ausgebildete oder unterstützte Gruppen oder Insider mit Zugriff – ihr Ziel sind nicht Daten, sondern Versorgungsausfälle, politische Hebelwirkung und Störungen der Energiewende.

Self-Assessment: Wie „crisis or war ready“ ist Ihr Unternehmen wirklich?

Ein Leitfaden für Aufsichtsräte, Geschäftsführende und C-Level.

1. Strategische Verwundbarkeit

  • Warum wären wir ein attraktives Ziel?
  • Welche Anlagen erzeugen geopolitische Aufmerksamkeit?
  • Haben wir ein Lagebild, das Security, Geopolitik und Geschäft verbindet?

2. IT/OT-Schnittstellen und Angriffsflächen

  • Kennen wir alle Übergänge zwischen IT und OT – inklusive Fernwartung und temporären Workarounds?
  • Wer trägt die Gesamtverantwortung für OT-Security – organisatorisch und rechtlich?
  • Haben wir uns bereits durch EU-/NATO-erfahrene Offensivteams testen lassen?

3. Insider, Dienstleister und Supply Chain

  • Wie werden Schlüsselpersonen überprüft und rotierend eingesetzt?
  • Prüfen wir Dienstleister auf Ownership, Herkunftsrisiken und sicherheitsrelevante Strukturen?
  • Haben wir geübte Szenarien für Bestechung, Erpressung und Social Engineering?

4. Physische und operative Resilienz

  • Ist der Schutz von Leitstellen, Umspannwerken, Speicheranlagen und Außenflächen realistisch dimensioniert?
  • Haben wir redundante Kommunikationswege und Schaltfähigkeit bei IT-Ausfall?
  • Denken wir gezielte Sabotage durch Subunternehmer oder Tarnidentitäten mit ein?

5. Wiederanlauf und Autarkiefähigkeit
Die entscheidende Frage lautet: Wie schnell können wir wieder hochfahren? Viele Unternehmen haben Projektordner, aber keine getesteten Black-Start- oder Wiederanlaufpläne. Ein beunruhigender Vergleich: In den letzten fünf Jahren hat keine einzige US-Militärbasis bei unabhängigen Prüfungen nachweisen können, dass sie 72 Stunden autark weiterarbeiten kann. Wenn bereits strategische Einrichtungen eines Weltmilitärs daran scheitern – wie realistisch sind dann die Wiederanlaufpläne deutscher Energieunternehmen und -industrien?

6. Führungsfähigkeit in der Krise

  • Haben wir hybride Krisenübungen (Cyber + physisch + Medien) realistisch geprobt?
  • Kennen die Top-5-Entscheider ihre Prioritäten für die ersten 10, 60 und 1.440 Minuten?
  • Gibt es Notfallkommunikation unabhängig von IT?
  • Wie wird das Management durch Prozesse und Verfahren geschützt?
  • Wer trifft Entscheidungen?

Vom Mindeststandard zur Verteidigungsfähigkeit

NIS2 und KRITIS-Dachgesetz definieren die Untergrenze.
Echte Sicherheit beginnt dort, wo Unternehmen beginnen:
IT, OT, Personal, Lieferkette, Geopolitik und physische Sicherheit als integriertes System zu denken – und aus Angreiferperspektive zu prüfen.

Wer Energie liefert oder kritische Infrastruktur betreibt, steht im Zentrum globaler Interessen.
Compliance ist Pflicht. Widerstandsfähigkeit ist eine Entscheidung – eine Entscheidung darüber, ob Ihr Unternehmen im nächsten Krisenfall nur betroffen ist oder handlungsfähig bleibt.