Zentral versus dezentral – Warum Erneuerbare Energien-Anlagen besonders leicht angreifbar sind
Der ENISA Threat Landscape Report 2024 zeigt erneut: Der Energiesektor gehört zu den Branchen, die am stärksten von Cyberangriffen betroffen sind. Besonders im Visier von Angreifern stehen Betreiber von Solar- und Windkraftanlagen. Die dokumentierten Attacken reichen von klassischen DDoS-Angriffen, die Netzwerke gezielt überlasten, bis hin zu komplexen Ransomware-Kampagnen, die ganze Anlagen lahmlegen können – mit potenziell verheerenden Folgen für die Versorgungssicherheit und Stabilität der Energieinfrastruktur.
Cybersicherheit ist daher längst keine freiwillige Aufgabe mehr, sondern eine grundlegende Voraussetzung für den sicheren Betrieb kritischer Infrastrukturen. Denn Stromversorgung ist systemrelevant: Ein erfolgreicher Angriff kann nicht nur wirtschaftliche Schäden verursachen, sondern auch das öffentliche Leben massiv beeinträchtigen, wie der großflächige Stromausfall auf der iberischen Halbinsel am 28. April 2025 zeigte. Dementsprechend zählen Energieunternehmen in vielen Ländern zur sogenannten Kritischen Infrastruktur (KRITIS) - und stehen damit besonders im Fokus von Angreifern.
Konventionelle Kraftwerke verfügen oft über zentralisierte IT/OT-Strukturen und historisch gewachsene Sicherheitsarchitekturen. In einigen Fällen unterliegen sie zudem umfassenden regulatorischen Vorgaben, einschließlich den hohen Anforderungen des KRITIS Dachgesetzes bzw. der EU CER-Richtlinie. Betreiber erneuerbarer Energieanlagen dagegen – besonders kleinere und mittlere Unternehmen – agieren häufig dezentral, sind über virtuelle Kraftwerke miteinander vernetzt (zum Beispiel Next-Kraftwerke) und verfügen über deutlich begrenztere Ressourcen für die IT- und Informationssicherheit.
Die auffälligsten Unterschiede auf einen Blick:
- Struktur: Zentrale Steuerung bei fossilen Anlagen vs. verteilte Steuerung bei EE-Sicherheitsbudget: Während große Kraftwerke meist ausreichendes IT-/OT-Sicherheitspersonal und Budget besitzen, verfügen kleinere EE-Betreiber oft nur über eingeschränkte Mittel und Ressourcen.
- Netzwerkarchitektur: Die Netzwerke der fossilen Anlagenbetreiber sind meist gut und vielschichtig segmentiert – bei vielen erneuerbaren Erzeugungsanlagen ist dies oft nicht der Fall.
- Technikstand: Veraltete Systeme, Standard-Logins, fehlende Updates sind in EE-Anlagen weit verbreitet.
Fazit: Erneuerbare Anlagen bilden in vielen Aspekten eine weit verzweigte, schwer überschaubare Angriffsfläche – und sind dadurch für Cyberkriminelle in der aktuellen Zeit und dem gegenwärtig dynamischen Umfeld besonders interessant und lukrativ.
Warum Betreiber erneuerbarer Energien ein bevorzugtes Ziel für Cyberangriffe sind
Laut ENISA Threat Landscape Report 2024 sind Betreiber von Wind-, Solar- und Biogasanlagen besonders häufig Ziel von Cyberangriffen – und das aus mehreren Gründen.
Der zentrale Schwachpunkt ist das mangelnde Patch- und Schwachstellenmanagement: Veraltete Softwareversionen, ungesicherte Schnittstellen und fehlende Sicherheitsupdates öffnen Hackern Tür und Tor. So werden Systeme häufig mit veralteter Firmware oder Software betrieben, für die keine regelmäßigen Sicherheitsupdates eingespielt werden. Solche Sicherheitslücken bieten Cyberkriminellen ideale Voraussetzungen, um auf zentrale Komponenten oder Steuerungssysteme zuzugreifen.
Zudem setzen viele Betreiber verstärkt auf Fernwartung und Cloud-Dienste, um den Betrieb effizienter zu gestalten. Diese Technologien erhöhen jedoch die potenzielle Angriffsfläche erheblich. Besonders gefährlich ist dabei der Einsatz sogenannter Living Off Trusted Sites-Taktiken (LOTS). Angreifer tarnen ihre Aktivitäten, indem sie sich über vertrauenswürdige Plattformen wie Slack, GitHub oder Microsoft Graph API Zugang zu Systemen verschaffen – und so traditionelle Sicherheitslösungen geschickt umgehen.
Ein weiteres häufiges Problem ist das fehlende oder unzureichende Sicherheitsmanagement. Vor allem kleinere und mittlere Betreiber verfügen weder über ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) noch über speziell ausgebildete IT-Sicherheitsbeauftragte oder Notfallpläne für den Krisenfall. Dadurch fehlt es an klar definierten Prozessen, Verantwortlichkeiten und schnellen Reaktionsmöglichkeiten im Ernstfall.
Darüber hinaus verstärkt die zunehmende Nutzung von IoT-Komponenten sowie Operational Technology (OT)-Systemen das Risiko. Diese Geräte und Systeme sind oft nicht ausreichend gehärtet, verwenden Standardpasswörter oder nutzen unsichere, veraltete Kommunikationsprotokolle. Sicherheitsüberprüfungen oder regelmäßige Konfigurationschecks finden nur selten statt.
Fazit: Durch die Kombination aus veralteter Technik, organisatorischen Defiziten und wachsender Vernetzung entsteht eine breite, schwer zu kontrollierende Angriffsfläche. In Zeiten zunehmender geopolitischer Spannungen werden Erneuerbare-Energien-Anlagen daher immer häufiger zum attraktiven Ziel für Cyberkriminelle.
Regulatorische Anforderungen an Betreiber erneuerbarer Energieanlagen – Überblick und Auswirkungen
Neben technischen Risiken gewinnen auch regulatorische Anforderungen zunehmend an Bedeutung für Betreiber erneuerbarer Energien. Im Fokus steht dabei das deutsche Energiewirtschaftsgesetz (EnWG): Es verpflichtet laut §11 EnWG betroffene Betreiber dazu, angemessene technische und organisatorische Maßnahmen zu treffen, um die Versorgungssicherheit ihrer Anlagen dauerhaft sicherzustellen. IT-Sicherheit ist dabei ein zentraler Bestandteil – insbesondere mit Blick auf die fortschreitende Digitalisierung.
Auch das Erneuerbare-Energien-Gesetz (EEG) ist indirekt sicherheitsrelevant. Zwar regelt es primär Förderstrukturen und Marktmechanismen, doch der sichere und störungsfreie Betrieb erfordert technisch aktuelle, geschützte Systeme – und damit auch eine adäquate IT-Sicherheitsarchitektur.
Für KWK-Anlagen gilt ergänzend das Kraft-Wärme-Kopplungsgesetz (KWKG), das ebenfalls Auswirkungen auf die Anforderungen an Cyber-Resilienz hat – vor allem im Kontext zunehmend vernetzter Systeme in der Energieerzeugung.
Eine besonders hohe Bedeutung erhält der KRITIS-Status. Betreiber, deren Anlagen als kritische Infrastruktur gelten, unterliegen dem BSI-Gesetz und müssen strenge Sicherheitsstandards nachweisen sowie Meldepflichten erfüllen. Die neue NIS2-Richtlinie und die EU-RCE/CER-Verordnung verschärfen diese Anforderungen europaweit zusätzlich. Für Betreiber erneuerbarer Energien ergibt sich daraus in bestimmten Fällen eine hohe regulatorische Verantwortung, der bislang oft nur fossile oder nukleare Kraftwerke unterlagen.
Auch der kommende Cyber Resilience Act (CRA) der EU betrifft Energiebetreiber indirekt: Zwar richtet sich die Verordnung vorrangig an Hersteller digitaler Produkte, doch auch Betreiber müssen künftig vermehrt auf zertifizierte Komponenten achten und Sicherheitsnachweise von Zulieferern einfordern.
Fazit: Wer sich frühzeitig auf diese Anforderungen einstellt, reduziert regulatorische Risiken und stärkt gleichzeitig die eigene Cyber-Resilienz – ein wichtiger Wettbewerbsfaktor im digitalisierten Energiemarkt.
Cybersicherheit stärken – Handlungsempfehlungen für Betreiber erneuerbarer Energien
Die ENISA gibt klare Empfehlungen, wie Betreiber die Cybersicherheit ihrer Anlagen effektiv verbessern können. Die entsprechenden Vorschläge unterstützt Grant Thornton in Deutschland nachdrücklich. Eine zentrale Maßnahme ist die konsequente Segmentierung von Netzwerken: IT- und OT-Systeme sollten voneinander getrennt und mit rollenbasierten Zugangskontrollen abgesichert sein.
Ebenso essenziell ist ein strukturiertes Patch- und Asset-Management. Alle eingesetzten Systeme müssen regelmäßig aktualisiert und vollständig dokumentiert werden, um Schwachstellen frühzeitig zu erkennen und zu beheben. Ein effektives Monitoring sowie ein klar definiertes Incident-Response-Konzept gehören ebenfalls zur Grundausstattung. Dazu zählen Frühwarnsysteme, Alarmierungsprozesse und regelmäßig getestete Notfallpläne. Wichtig ist außerdem die kontinuierliche Sensibilisierung der Mitarbeitenden – etwa durch Schulungen zu Phishing, Social Engineering und Passwortsicherheit.
Auch die digitale Lieferkette muss stärker in den Fokus rücken. Betreiber sollten ihre Dienstleister regelmäßig prüfen und nur Produkte einsetzen, die anerkannten Sicherheitsstandards entsprechen. Besonders kleinere Betreiber profitieren hier von branchenspezifischen Leitfäden und modular einsetzbaren Sicherheitstools.
Fazit: Cybersicherheit als Voraussetzung für eine resiliente Energiewende
Erneuerbare Energien sind ein zentraler Bestandteil der Energiezukunft – doch sie werden zunehmend zum Ziel professioneller Cyberangriffe. Dezentrale Strukturen, Cloudanbindungen und komplexe Lieferketten erhöhen die Verwundbarkeit.
Wer gesetzliche Vorgaben wie die NIS2-Richtlinie nicht erfüllt oder keine ausreichenden Schutzmaßnahmen ergreift, riskiert nicht nur hohe finanzielle Schäden, sondern auch rechtliche Konsequenzen und mögliche Rufschädigungen.
Deshalb gilt: Betreiber sollten frühzeitig handeln. Investitionen in Cybersicherheit sind keine Zusatzkosten, sondern notwendige Voraussetzung für Versorgungssicherheit, Marktzugang und Vertrauen. Nur wer Risiken systematisch erkennt und Schutzmaßnahmen etabliert, kann die Chancen der Energiewende sicher nutzen.
Der Artikel wurde in Zusammenarbeit mit Tim Stein (Consultant) verfasst.
