Energienetze mit erneuerbaren Produktionen müssen mit Hilfe von IT und KI geregelt werden. Ihre technischen Systeme werden um Informationstechnologien ergänzt und vernetzt. Sicherheitsexperte Tibor Külkey über die aktuelle Grosswetterlage der Cybersecurity und den Handlungsbedarf.
Sicherheitsexperte Tibor Külkey über den aktuellen Stand der Cyberbedrohungen für Energienetze.
Interview: Bruno Habegger
Tibor Külkey ist OT-Security Consultant bei ALSEC Cyber Security Consulting.
Tibor Külkey, Sie haben jüngst in einem Vortrag gesagt, Sie würden bei Sicherheitsüberprüfungen immer wieder auf Lücken zwischen Realität und Zielvorgaben stossen. Sind wir nur mit Glück an einer Katastrophe vorbeigeschlittert?
Dass die Schweiz bislang grössere Vorfälle vermeiden konnte, war nicht allein Glück, dies wäre zu harsch ausgedrückt. Viele Betreiber leisten solide Arbeit und investieren in Cybersicherheit. Dennoch zeigen Assessments regelmässig Lücken zwischen den Anforderungen und der Realität, gerade dort, wo Prozesse, die Sicherheitsorganisation oder die Sicherheitstechnologien noch nicht einer gewissen Basismaturität entsprechen.
Das klingt nach einer Herkules-Aufgabe.
In der Operational Technology kommt hinzu, dass diese Systeme noch nie verpflichtend einem Security Assessment unterzogen wurden. Diese nun auf ein gefordertes Schutzniveau zu bringen, erfordert ein strukturiertes und begleitetes Vorgehen. Entscheidend ist, dass Lücken kontinuierlich erkannt, priorisiert und geschlossen werden. Nur so lässt sich das Risiko sinnvoll eindämmen und permanent als integrales Element in das strategische Risikomanagement der Unternehmen einbinden. Ja, das ist keine leichte Aufgabe. Aber machbar.
Energienetze sind kritische Infrastrukturen. Was müssen Betreiber bedenken?
Die Grosswetterlage in der Cybersecurity der kritischen Infrastrukturen in der Schweiz lässt sich als ambivalent beschreiben: Auf der einen Seite verfügen die Betreiber über eine hohe technische Kompetenz und langjährige Erfahrung im sicheren Betrieb komplexer Anlagen. Auf der anderen Seite führt die zunehmende Digitalisierung der Energienetze, Wasser- oder Gasversorgung zu neuen Abhängigkeiten und Schnittstellen. Mit Smart-Metering, digitaler Netzsteuerung und Cloud-basierten Diensten steigt die Durchdringung der Betriebstechnologien durch IT-Systeme, was Effizienzgewinne bringt, aber gleichzeitig die Angriffsfläche vergrössert.
Was ist das grundlegende Problem?
Die Bedrohungslage ist bei zunehmender Vernetzung von OT und IT qualitativ anders und für kritische Infrastrukturen besonders brisant. Hinzu kommt, dass viele OT-Systeme historisch nicht mit Blick auf Cybersecurity entwickelt wurden. Sie sind oft jahrzehntealt, laufen auf proprietären oder veralteten Betriebssystemen und lassen sich nicht einfach patchen. Dadurch steigt die Angriffsfläche erheblich, während die Möglichkeiten zur klassischen Abwehr begrenzt bleiben. Um dieser Herausforderung zu begegnen, braucht es ein Umdenken: IT- und OT-Sicherheit dürfen nicht länger getrennt betrachtet werden. Nur durch abgestimmte Schutzkonzepte, klare Schnittstellen und eine enge Zusammenarbeit von IT- und OT-Teams kann die Resilienz gegen moderne Angriffe nachhaltig gestärkt werden.
«Kleinere Betreiber stehen vor grossen Herausforderungen.»
Die Betreiber von kritischen Infrastrukturen haben viel aufzuholen?
Ja. Hinzu kommt, dass Prozesse für Asset-Management, Monitoring und Incident Response – also eine schnelle Antwort auf Vorfälle – noch nicht flächendeckend etabliert sind. Der IKT-Minimalstandard des Bundes schafft hier erstmals ein einheitliches Fundament und gibt den Betreibern eine erste Orientierung. Während grössere Versorgungsunternehmen ihre Strukturen bereits professionalisiert haben, stehen kleinere Betreiber aber noch vor der Herausforderung, Ressourcen und Know-how aufzubauen.
Was sind denn die konkreten Folgen eines Angriffs auf ein Energienetz bzw. den Energieversorger?
Grundsätzlich können Angriffe auf kritische Infrastrukturen besonders gravierende Auswirkungen haben, da sie beispielsweise nicht nur IT-Daten verschlüsseln, sondern auch den Betrieb von Steuerungs- und Leitsystemen stören können. Während ein klassischer IT-Angriff «nur» die Verfügbarkeit von Geschäftsprozessen beeinträchtigt, kann ein Angriff auf kritische OT-Systeme direkt zu Versorgungsunterbrüchen, Produktionsstillständen oder sogar physischen Schäden führen. Das macht solche Attacken wesentlich gefährlicher für die öffentliche Sicherheit.
Viele Unternehmen leiden oft unter sogenannten DDoS-Angriffen, bei denen Systeme mutwillig überlastet werden. Auch ein Thema bei Energieversorgern?
DDoS-Angriffe spielen nach wie vor eine Rolle, insbesondere im Kontext von Erpressung oder als Ablenkungsmanöver. Ihr Schaden ist jedoch meist temporär und beeinträchtigt vor allem die Erreichbarkeit von Services, weniger die Funktionsfähigkeit der physischen Infrastruktur.
Und politische Akteure wie Nordkorea oder Russland?
Angriffe von staatlichen Akteuren sind auch für die Schweiz relevant, wenn auch oft indirekt. Sie richten sich nicht primär gegen einzelne Schweizer Unternehmen, sondern gegen westliche Staaten und deren Infrastrukturen insgesamt. Dennoch kann die Schweiz als hochvernetzter Wirtschaftsstandort, Finanzplatz und Teil der europäischen Energieversorgung ein attraktives Ziel – sei es für Spionage, Sabotage oder politische Signalwirkung, sein.
«Schweizer Energienetze sind stabil und zuverlässig – Handlungsbedarf besteht im Bereich Cybersecurity.»
Wie sicher sind sie denn nun, unsere Energienetze?
Die Schweizer Energienetze zählen weltweit zu den stabilsten und zuverlässigsten, gleichzeitig stehen sie durch die laufende Energiesystem-Transformation vor neuen sicherheitsrelevanten Herausforderungen. Mit der zunehmenden Dezentralisierung, etwa durch Photovoltaik, Windkraft oder die Integration von Prosumer-Anlagen, steigt die Zahl der Einspeisepunkte und Kommunikationsschnittstellen rapide an. Während die physische Resilienz traditionell eine Stärke der Schweiz darstellt, zeigt sich im Bereich Cybersecurity noch Handlungsbedarf.
Wo konkret?
Besonders bei der systematischen Erfassung von OT-Assets, dem kontinuierlichen Monitoring, sowie den Prozessen, bestehen Lücken. Zudem sind viele Netzkomponenten historisch nicht für moderne Cyberbedrohungen konzipiert, was Updates und Patching erschwert. Der IKT-Minimalstandard gibt hier eine wichtige Orientierung und schafft erstmals ein einheitliches Fundament für alle Netzbetreiber.
Reicht der IKT-Minimalstandard denn aus? Sind wir nicht zu langsam?
Der IKT-Minimalstandard ist zweifellos ein wichtiger Meilenstein, weil er erstmals einheitliche Mindestanforderungen für kritische Infrastrukturen definiert. Gleichzeitig darf man nicht vergessen: Er ist bewusst als «Minimal»-Standard konzipiert, also als Fundament, nicht als vollständiges Sicherheitskonzept. In einer Bedrohungslage, die sich rasant weiterentwickelt, reicht es nicht, sich allein auf die regulatorischen Vorgaben zu stützen. Wer die Cyber-Resilienz seiner Organisation ernst nimmt, sollte den Minimalstandard als Basis betrachten und ihn durch weitergehende Best Practices, sowie kontinuierliches Risikomanagement ergänzen.
Scheitert das nicht oft an der Praxis?
Ja. In der Praxis zeigt sich, dass bereits die Umsetzung des Minimalstandards viele Betreiber an ihre Grenzen bringt, sei es aus Ressourcengründen, aufgrund fehlenden Know-hows oder weil die organisatorischen Prozesse erst aufgebaut werden müssen. Gerade das verdeutlicht aber auch, wie anspruchsvoll dieser Standard ist: Wer ihn vollständig erfüllt, erreicht damit bereits ein Schutzniveau, das in der internationalen Vergleichbarkeit einer sehr belastbaren Cybermaturität entspricht. Der Minimalstandard ist damit keineswegs ein «Papiertiger», sondern in seiner Tiefe und Breite ein ernstzunehmendes Fundament, das Unternehmen erheblich stärkt.
«Die Schweiz hat wichtige Schritte für mehr Sicherheit unternommen.»
Sind wir nicht zu langsam?
Ja, denn Angreifer denken und handeln in ganz anderen Zeiträumen. Cyberkriminelle bewegen sich in Tagen oder Wochen, während regulatorische Prozesse Jahre dauern können. Hier entsteht ein gefährlicher Geschwindigkeitsunterschied. Entscheidend ist daher, dass Betreiber proaktiv agieren und die Zeit bis zu neuen Vorgaben nicht ungenutzt verstreichen lassen. Nur wenn Umsetzungsgeschwindigkeit, technische Innovation und Regulierung enger zusammenspielen, können wir Angreifern wirklich einen Schritt voraus sein.
Genügt, was die Schweiz unternimmt? Denn mit dem Melden von Cyberangriffen ist es wohl nicht getan.
Die Schweiz hat in den letzten Jahren wichtige Schritte unternommen, um die Sicherheit kritischer Infrastrukturen zu stärken. Mit dem IKT-Minimalstandard, dem revidierten Datenschutzgesetz und der Einführung einer Meldepflicht für Vorfälle sind zentrale Eckpfeiler geschaffen, die ein gemeinsames Sicherheitsniveau und mehr Transparenz ermöglichen. Diese Massnahmen sind ein klarer Fortschritt, da sie den Betreibern Orientierung geben und eine Vergleichbarkeit im Umgang mit Cyberrisiken schaffen. Gleichzeitig ist aber offensichtlich: Regulierung allein schützt nicht. Eine Meldepflicht sorgt zwar für mehr Informationsfluss und bessere Lagebilder bei Behörden, sie verhindert jedoch keine Angriffe. Entscheidend bleibt die Umsetzung wirksamer Schutzmassnahmen in den Unternehmen selbst. Viele Betreiber kämpfen hier noch mit Ressourcenmangel, fehlendem Fachpersonal und einer oft unterschätzten Komplexität ihrer OT-Systeme. Darüber hinaus ist eine reine Compliance-Haltung zu wenig.
Inwiefern?
Sicherheitskonzepte müssen gelebt werden, es braucht eine Sicherheitskultur, die in den Führungsetagen beginnt und sich durch alle Ebenen der Organisation zieht. Ergänzend sollten Bund und Kantone auch den Austausch zwischen Betreibern und Behörden fördern, um Best Practices schneller zu verbreiten und Reaktionszeiten im Krisenfall zu verkürzen. Um die Sicherheit kritischer Infrastrukturen nachhaltig zu gewährleisten, braucht es also mehr als regulatorische Vorgaben: Ein Zusammenspiel aus verbindlichen Standards, praxisnaher Unterstützung, ausreichenden Ressourcen und einer vorausschauenden Sicherheitskultur. Nur so kann die Schweiz mit einer Bedrohungslage Schritt halten, die sich dynamischer entwickelt, als politische Prozesse reagieren können.
«Gut ausgebildete Mitarbeitende sind eine entscheidende Verteidigungslinie.»
Es geht aber nicht nur um Technologie, auch die Menschen müssen mitziehen?
Natürlich, auch die IT-Nutzenden spielen eine zentrale Rolle bei der Stärkung der Cybersicherheit kritischer Infrastrukturen. Die meisten Primär-Angriffe erfolgen nach wie vor über die klassische Business-IT, also durch beispielsweise Phishing, Schadsoftware in E-Mails oder kompromittierte Benutzerkonten. Von dort aus können Angreifer Brückenschläge in die sensiblen OT-Umgebungen versuchen.
Schwachstelle Mensch also, wie in der Business-IT?
So würde ich das nicht sagen - gut ausgebildet sind sie eine entscheidende Verteidigungslinie. Das bedeutet konkret: Energieversorger müssen die Schulung und Sensibilisierung ihrer Mitarbeitenden ernst nehmen und regelmässig aktualisieren. Themen wie sicheres Passwortmanagement, der Umgang mit verdächtigen E-Mails oder die Erkennung von Social-Engineering-Versuchen sind kein «Nice-to-have», sondern eine Pflichtaufgabe. Ein aufmerksamer Mitarbeitender, der eine ungewöhnliche Mail meldet, kann im Zweifel einen ganzen Angriff verhindern. Darüber hinaus braucht es die übliche technische Unterstützung mit Multi-Faktor-Authentifizierung und einer strikten Trennung von Benutzerrollen und eine starke Einschränkung des Zugriffs auf OT-Systeme.
Sicherheit ist machbar?
Ja. Am Ende ist es das Zusammenspiel von Menschen und Technologie, das über die Sicherheit entscheidet. Mitarbeitende müssen verstehen, wie wichtig ihre Rolle ist, und Unternehmen müssen ihnen die passenden Werkzeuge an die Hand geben. Nur dann lässt sich die Business-IT wirksam als Schutzschild stärken, damit Angreifer gar nicht erst in die Nähe der OT gelangen.
Über den Gesprächspartner
Tibor Külkey ist OT-Security Consultant sowie Lead Business Development des auf Operational Technology spezialisierten Sicherheitsunternehmens ALSEC Cyber Security Consulting. Er führt Assessments bei Unternehmen und in kritischen Infrastrukturen durch. Mehr Informationen: alsec.ch
IT- und OT-Systeme wachsen zusammen. Das nennt man Konvergenz. Dadurch verschwimmen die klassischen Sicherheitsgrenzen. Früher waren Office-IT und industrielle Steuerungssysteme weitgehend getrennte Welten, heute sind sie eng verzahnt, sei es über Remote-Zugriffe, Cloud-Anbindungen oder moderne IoT-Lösungen. Dadurch entstehen neue Angriffswege, die es Cyberkriminellen ermöglichen, über die IT in sensible OT-Umgebungen einzudringen.
Energieversorger müssen laut Tibor Külkey die folgenden Massnahmen ergreifen, um ihre Cyber-Resilienz zu stärken:
