OT-Sicherheit für Energieversorger & Netzbetreiber

Energieunternehmen betreiben verteilte, historisch gewachsene OT-Infrastrukturen mit hohen Anforderungen an Verfügbarkeit, Safety und regulatorische Nachweisfähigkeit.

Netzleitstellen, Umspannwerke, Fernwirkstationen und Engineering-Systeme bilden das Rückgrat der Energieversorgung und gleichzeitig eine komplexe Angriffsfläche.

Wir unterstützen Energieversorger, Stadtwerke und Netzbetreiber bei der technischen Sicherheitsbewertung und Absicherung ihrer OT-Umgebungen, mit strukturierten, nicht-disruptiven Prüfverfahren und praxisnahen Maßnahmenempfehlungen.

Die Realität in Energie-OT-Umgebungen

In Projekten bei Energieunternehmen begegnen uns regelmäßig folgende Konstellationen:

Direkte oder indirekte Layer-3-Verbindungen zwischen Office-IT und Leitstellen
Fernwartungszugänge über VPN ohne durchgängige Multi-Faktor-Authentisierung
Gemeinsame Service-Accounts für externe Dienstleister
Engineering-Workstations ohne Härtung oder Monitoring
Historian- oder SCADA-Systeme mit veralteten Betriebssystemen
Unzureichend segmentierte Netzbereiche zwischen Level 3 und Level 2
Fehlende Protokollüberwachung für IEC 60870-5-104 oder Modbus

Diese Situationen entstehen nicht aus Fahrlässigkeit, sondern aus:

langen Lebenszyklen industrieller Systeme
regulatorischem und wirtschaftlichem Druck
komplexer Dienstleisterstruktur
historisch gewachsenen Architekturen

Warum klassische IT-Sicherheitsansätze hier nicht greifen

Ein klassischer IT-Penetrationstest fokussiert häufig auf Exploit-Nachweise und Privilege Escalation.

In Energieumgebungen kann ein solches Vorgehen:

Prozessstörungen auslösen
Safety-Mechanismen triggern
regulatorische Risiken erzeugen

OT-Sicherheitsprüfungen müssen daher:

nicht-disruptiv erfolgen
architekturbasiert denken
Wartungsfenster berücksichtigen
eng mit OT-Verantwortlichen abgestimmt sein

OT-Security im Energiesektor ist keine „Angriffsdemonstration“, sondern eine strukturierte Systembewertung.

Regulatorische Anforderungen in der Praxis

Im Energiesektor tauchen regulatorische Anforderungen selten abstrakt auf. Sie werden konkret, sobald Prüfungen oder Management-Abnahmen anstehen.

Relevante Rahmenwerke sind unter anderem:

KRITIS / BSI-Anforderungen
NIS2
IEC 62443
IT-Grundschutz

In der Praxis geht es dabei jedoch nicht um Paragraphen, sondern um technische Fragen:

Ist die IT/OT-Trennung tatsächlich durchgesetzt oder nur dokumentiert?
Sind Fernwartungszugänge kontrolliert und nachvollziehbar eingeschränkt?
Gibt es Transparenz über reale Kommunikationspfade?
Sind sicherheitsrelevante OT-Ereignisse erkennbar und auswertbar?

Spätestens in einer Prüfung reicht ein Netzplan nicht aus. Was zählt, ist die technische Realität.

Unsere OT-Sicherheitsprüfungen machen diese Realität sichtbar, unabhängig davon, ob sie im Kontext von KRITIS, NIS2 oder interner Risikoanalyse durchgeführt werden.

Typische OT-Architektur in Energieumgebungen

Je nach Größe und Struktur finden sich häufig:

Netzleitstellen (Control Center)
SCADA-Systeme
Fernwirkprotokolle (IEC 60870-5-101/104)
RTUs in Umspannwerken
Prozessnahe Systeme auf Level 1–2
Historian- und Reporting-Systeme
Remote-Zugänge externer Dienstleister
Übergänge zwischen IT- und OT-Zonen

Besondere Herausforderungen:

eingeschränkte Patch-Fenster
Safety-Vorgaben
teilweise fehlende Asset-Transparenz
heterogene Herstellerlandschaft

Eine Sicherheitsprüfung muss diese Rahmenbedingungen berücksichtigen.

OT-SOC und Monitoring in Energieumgebungen

Ein klassisches IT-SOC erkennt typische IT-Angriffe.

Es erkennt jedoch nicht automatisch ungewöhnliche Steuerbefehle oder atypische OT-Kommunikationsmuster.

Ein OT-fokussiertes Monitoring berücksichtigt:

industrielle Protokolle
atypische Befehlsketten
ungewöhnliche Kommunikationsbeziehungen
Übergänge zwischen IT- und OT-Zonen

Praxisbeispiel

Bei einem Energieversorger wurde ein IT-SOC um OT-spezifische Use Cases erweitert.

Innerhalb weniger Wochen konnten zuvor nicht erkannte Kommunikationsanomalien identifiziert und analysiert werden.

Safety und Verfügbarkeit als Leitprinzip

Unsere Prüfungen erfolgen:

abgestimmt mit Anlagenverantwortlichen
unter Berücksichtigung von Wartungsfenstern
ohne aktive Eingriffe in produktive Steuerungssysteme
transparent dokumentiert

Sicherheitsbewertung darf selbst kein Risiko erzeugen.

Projekterfahrung im Energiesektor

Unsere Projekte umfassen u. a.:

OT-Sicherheitsanalysen in Netzleitstellen
Segmentierungsbewertungen in Umspannwerken
Absicherung von Fernwirkarchitekturen
Vorbereitung auf regulatorische Prüfungen

[Hier branchenspezifische Logos]

„Die strukturierte OT-Analyse hat uns erstmals ein realistisches Bild unserer tatsächlichen Netzsegmentierung gegeben.“

– IT-/OT-Leitung, Energieversorger

Wann eine OT-Sicherheitsprüfung sinnvoll ist

Vor regulatorischen Prüfungen
Nach Architekturänderungen
Bei Einführung neuer Fernwartungskonzepte
Bei zunehmender IT/OT-Vernetzung
Bei Unsicherheit über tatsächliche Segmentierung

Nächster Schritt

Wenn Sie die Sicherheitslage Ihrer OT-Infrastruktur strukturiert bewerten möchten, klären wir in einem Erstgespräch:

Zielsetzung
Architekturrahmen
regulatorische Einordnung
zeitliche Randbedingungen

Auf dieser Basis definieren wir ein angemessenes Prüfmodell.

Häufig gestellte Fragen (FAQ)

Stören OT-Penetrationstests den laufenden Betrieb?

Nicht, wenn sie richtig geplant sind. In produktiven Energieumgebungen führen wir keine destruktiven Tests auf Level-1-Systemen durch.

Die Prüfmethodik wird vorab mit IT- und OT-Verantwortlichen abgestimmt. Wartungsfenster und kritische Prozessphasen werden berücksichtigt.

Ziel ist eine realistische Bewertung, nicht ein erfolgreicher Angriff um jeden Preis.

Reicht ein klassischer IT-Pentest für unsere Energieumgebung?

In der Regel nein. Ein IT-Pentest prüft Server, Active Directory oder Webanwendungen.

In Energie-OT geht es um Zonen/Conduits, Fernwirkprotokolle, Leitstellenarchitekturen und reale Kommunikationspfade.

Das sind unterschiedliche Fragestellungen und unterschiedliche Risiken.

Was bedeutet „nicht-disruptive OT-Prüfung“ konkret?

Wir verzichten auf aktive Exploits in produktiven Steuerungssystemen. Stattdessen analysieren wir:

Architektur und Segmentierung
effektive Kommunikationspfade
Zugriffs- und Berechtigungskonzepte
Monitoring- und Logging-Fähigkeiten

Das Ziel ist Transparenz, nicht Systeminstabilität.

Unterstützen Sie auch bei NIS2- oder KRITIS-Nachweisen?

Ja. Wenn eine NIS2- oder KRITIS-Prüfung ansteht, prüfen wir die reale Umsetzung in der OT-Architektur.

Beispielsweise:

Ist die IT/OT-Trennung technisch durchgesetzt?
Sind Fernzugänge kontrolliert?
Gibt es nachvollziehbare Sicherheitsüberwachung?

Wir liefern die technische Grundlage. Die formale Einordnung erfolgt in Abstimmung mit euren internen Verantwortlichen.

Wie lange dauert eine OT-Sicherheitsprüfung im Energiesektor?

Das hängt von Umfang und Anzahl der Standorte ab. Eine fokussierte Segmentierungs- und Architekturprüfung kann wenige Wochen dauern. Komplexe, verteilte Umgebungen mit mehreren Umspannwerken benötigen entsprechend mehr Abstimmung. Wichtiger als die Dauer ist die saubere Vorbereitung.

Was erhalten wir am Ende konkret?

Sie erhalten einen ausführlichen Bericht. Dieser beinhaltet

Executive Summary
Dokumentierte Befunde mit technischer Einordnung
Beschreibung realer Kommunikationspfade
Bewertung struktureller Schwachstellen
priorisierte Maßnahmenempfehlungen

Die Ergebnisse sind nachvollziehbar und umsetzungsorientiert.

Ist IEC 62443 für uns verpflichtend?

Nicht immer formal verpflichtend, aber im OT-Kontext oft der sinnvollste technische Referenzrahmen.

Wir nutzen IEC 62443 als Strukturierungsmodell für Zonen, Übergänge und Sicherheitsanforderungen, unabhängig davon, ob sie regulatorisch explizit gefordert wird.

Müssen wir für eine Prüfung bereits vollständig dokumentiert sein?

Nein. Die Realität von zahlreichen Energieumgebungen ist, dass sie historisch gewachsen sind. Wir finden in der Praxis selten perfekt dokumentierte Umgebungen. Eine Prüfung hilft oft gerade dabei, Dokumentationslücken sichtbar zu machen und eine belastbare, praxisnahe Architekturübersicht zu erhalten.

Ist ein OT-SOC zwingend notwendig?

Nicht zwingend, aber ohne Monitoring bleibt Sicherheitsbewertung statisch.

In Energieumgebungen geht es weniger um „ob“, sondern um „wie“:

Welche Protokolle werden überwacht?
Welche Anomalien sind relevant?
Wie werden Übergänge zwischen IT und OT beobachtet?

Wann ist der richtige Zeitpunkt für eine OT-Prüfung?

Typische Anlässe sind:

bevorstehende regulatorische Prüfungen
größere Architekturänderungen
Einführung neuer Fernwartungslösungen
zunehmende IT/OT-Vernetzung
Unsicherheit über tatsächliche Segmentierung