Cyberangriff auf Kraftwerke: Diese Übung zeigt, wie schnell alles eskalieren kann

Im Future Energy Lab Berlin trainieren Kritis-Unternehmen praxisnah die Abwehr und das richtige Verhalten bei Cyberangriffen.

Foto: Claudius Pflug

Cyberangriffe zählen für viele Unternehmen längst zum Alltag. Besonders gefährliche Auswirkungen können die Attacken haben, wenn Kritische Infrastrukturen (Kritis) betroffen sind. Denn wenn industrielle Steuerungssysteme in der Energie- oder Wasserversorgung angegriffen werden, geht es nicht nur um Datenverlust oder gestörte Bürokommunikation. Dann können Pumpen, Leitsysteme, Schaltanlagen, Sensoren oder automatisierte Schutzmechanismen betroffen sein.

Also genau die Technik, die Versorgungssicherheit im Hintergrund zuverlässig am Laufen halten soll. Weil IT- und OT-Systeme immer stärker miteinander verbunden sind, entstehen Sicherheitsvorfälle zunehmend an den Schnittstellen zwischen Informations- und Betriebstechnik. Genau dort entscheidet sich im Ernstfall, ob ein Angriff früh erkannt, richtig eingeordnet und für beherrschbar gehalten wird.

Übungskonzept entwickelt

Das Fraunhofer IOSB-AST hat im Auftrag des Future Energy Labs der Deutschen Energie-Agentur (dena) deshalb ein Übungskonzept entwickelt, das den Ernstfall Cyberangriff möglichst realitätsnah abbildet. EnerCise III richtet sich an Kritis-Betreiber und soll ihnen ermöglichen, ihre Incident-Response-Fähigkeiten im OT-Umfeld praktisch zu erproben und weiterzuentwickeln.

Der Ansatz ist bewusst breiter angelegt als viele klassische Schulungen. Denn bestehende Formate betrachten Cybervorfälle häufig entweder technisch oder organisatorisch. In der Praxis greifen beide Ebenen jedoch ineinander: Leitwarte, OT-Betrieb, OT-Security, IT-Administration, Informationssicherheitsmanagement und Geschäftsführung müssen unter Zeitdruck zusammenarbeiten. Und das oft mit unvollständigen, widersprüchlichen oder zunächst unscheinbaren Informationen.

EnerCise III ist als szenariobasierte, rollenorientierte Ganztags-Simulation aufgebaut und orientiert sich an den fünf Phasen des Incident-Response-Prozesses nach ISO/IEC 27035: Vorbereitung, Erkennen und Melden, Bewerten und Entscheiden, Reagieren sowie Lessons Learned. Cybersicherheit soll so zu einem handlungsorientierten Prozess werden. Wer meldet was? Wer bewertet die Lage? Wann wird eskaliert? Welche Informationen braucht der Krisenstab? Und wie verhindert man, dass ein technischer Befund zu spät in eine betriebliche Entscheidung übersetzt wird? Solche Fragen lassen sich am Schreibtisch planen, aber erst in einer Übung zeigt sich, ob die Abläufe tatsächlich funktionieren.

Cybersecurity endet nicht an der Firewall

Das Szenario selbst ist bewusst nah an aktuellen Bedrohungslagen angelegt. Simuliert wird eine mehrstufige Supply-Chain-Kompromittierung: Angreifer manipulieren den Firmware-Update-Prozess eines Geräteherstellers. Nachdem die kompromittierte Firmware auf Steuerungskomponenten installiert wurde, entfaltet sich die Schadfunktion zeitverzögert.

Zunächst entsteht verdeckte Command-and-Control-Kommunikation, später werden Industrieprotokolle manipuliert, schließlich kommt es zu Prozessabweichungen und automatisierten Schutzabschaltungen. Zusätzliche Hürde: Die Symptome sind so gestaltet, dass sie anfangs auch als gewöhnliche Betriebsstörung interpretiert werden könnten. Erst durch systematische Korrelation wird erkennbar, dass ein Cyberangriff dahintersteht.

Realitätsnähe erwünscht

Realitätsnah, denn bei vielen Organisationen ist nicht die einzelne technische Analyse das größte Problem bei einem Cyberangriff, sondern die Verknüpfung verstreuter Hinweise. Eine Auffälligkeit in der Leitwarte, ein ungewöhnlicher Netzwerkverkehr, eine nicht plausible Prozessabweichung und eine Meldung aus der IT ergeben für sich genommen noch kein klares Bild.

Erst im Zusammenspiel wird daraus eine Lage. Genau dieses Zusammenspiel trainiert EnerCise III: operative Analyse, strategische Lagebewertung, Eskalation, Kommunikation und Entscheidung. Thomas Bauer vom Fraunhofer IOSB-AST formuliert es entsprechend deutlich: „Hybride Bedrohungen erfordern hybride Übungsformate. Wer Incident Response nur am Schreibtisch plant, wird im Ernstfall an den Schnittstellen zwischen Technik und Organisation scheitern.“

Die technische Grundlage stammt aus dem Lernlabor Cybersicherheit Energie- und Wasserversorgung des Fraunhofer IOSB-AST. Dort entwickelt das Institut Trainings- und Schulungsangebote für Branchen, in denen Cybervorfälle nicht nur digitale, sondern physische Auswirkungen haben können.

Der Krisenfall nach dem Cyberangriff ist Teamarbeit

Das Übungsformat soll zwar auch Wissen vemitteln, aber vor allem Organisationen zusammenbringen. Denn ein Cyberangriff endet selten an der Grenze einer einzelnen Abteilung oder Organisation. Betreiber, Dienstleister, Behörden, Hersteller und Sicherheitsverantwortliche müssen im Zweifel sehr schnell miteinander sprechen können. Am besten funktioniert das natürlich, wenn die Kommunikation im Krisenfall nicht die erste ist, sondern wenn man sich bereits kennt.

Für Energie- und Wasserversorger ist die Bedrohungslage durch einen Cyberangriff schon lange Alltag. Mit der Digitalisierung der Netze, der zunehmenden Fernwartung, neuen Datenplattformen und stärker vernetzten Betriebsprozessen wächst die Angriffsfläche. Gleichzeitig steigen die Erwartungen an Nachweisbarkeit und Resilienz. Es reicht nicht mehr, Sicherheitskonzepte in Ordnern oder Managementsystemen vorzuhalten. Entscheidend ist, ob sie im Ernstfall praktisch greifen. Genau deshalb sind realitätsnahe Übungen mehr als Weiterbildung. Sie sind ein Stresstest für Zuständigkeiten, Kommunikationswege und Entscheidungsroutinen.

Erste Live-Sicherheitsübung im Juni

Wer erkennt frühzeitig, dass eine vermeintliche Betriebsstörung ein Cyberangriff sein könnte? Wer darf Anlagenzustände bewerten? Wie wird verhindert, dass IT und OT aneinander vorbeireden? Und wann wird aus einem technischen Ereignis ein Krisenfall für die Geschäftsführung? Diese Fragen entscheiden darüber, ob ein Angriff begrenzt bleibt oder sich zu einer betrieblichen Störung mit weitreichenden Folgen entwickelt.

EnerCise III will genau an diesen Übergängen ansetzen. Im weiteren Projektverlauf soll die Übung mit Betreibern aus Energie- und Wasserversorgung durchgeführt und wissenschaftlich begleitet ausgewertet werden. Die nächste kostenfreie EnerCise III – Cybersicherheitsübung für den Energiesektor findet am 23. Juni 2026 in Berlin statt.