• Bundesamt für Sicherheit in der Informationstechnik empfiehlt für die Stationsautomatisierung der deutschen Energieversorgung ein dediziertes Sicherheitsmonitoring.
• Im Fokus der Empfehlung stehen die industriellen Anlagen und Systeme.
• Das deutsche OT-Cybersicherheitsunternehmen Rhebo bestätigt die Warnung des BSI, dass Umspannwerke bislang mehrheitlich unsicher sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit "Monitoring in der Stationsautomatisierung” eine Empfehlung für das Sicherheitsmonitoring der Stationsautomatisierung in Energienetzen ausgesprochen. In dem März 2025 veröffentlichten Dokument empfiehlt das BSI, in dezentral geführten Energieversorgungsanlagen wie Umspannwerken u.a. ein netzbasiertes Angriffserkennungssystem bzw. Network Intrusion Detection System (NIDS) zu installieren.  

Das BSI begründet seine neueste Empfehlung mit der Digitalisierung und Vernetzung kritischer Anlagen durch exponierte Netzwerkkomponenten sowie der wachsenden Gefahr eines Supply Chain Compromise. Bei dieser Form des Cyberangriffs versuchen Angreifende sowohl über die Komponentenhersteller als auch die Dienstleister, die in der Regel weitreichende Privilegien für die Systeme besitzen, in ein Netzwerk einzudringen. Die OT  (Operational Technology, d.h. Netzleit- und Fernwirktechnik) ist aufgrund ihres geringen eigenen Grades an Cybersicherheit besonders anfällig für externe Kompromittierung und Störung.

“Die Entscheidung des BSI spiegelt unsere Beobachtungen der letzten zehn Jahre aus Schwachstellenbewertungen sowie dem laufenden Betrieb unseres Angriffserkennungsystems in OT-Netzen wider”, kommentiert René Krause, Teamlead Support bei Rhebo. Das Leipziger Technologieunternehmen bietet seit 2015 ein dediziert für die OT entwickeltes NIDS, das passives Sicherheitsmonitoring mit Anomalieerkennung verbindet. Das Angriffserkennungssystem schützt bereits eine Vielzahl von Netzleitstellen deutscher Energieversorgungsunternehmen vor mehrstufigen Angriffen, versteckten Sicherheitsrisiken und technischen Fehlerzuständen. “Die Kerngefahr für die OT der deutschen Energieversorgung geht von veralteten Systemen, schwacher Authentifizierung und umfassenden Fernzugriff-Privilegien aus (siehe Abbildung). Diese Sicherheitslücken können jedoch nicht so einfach abgestellt werden. Ein NIDS bildet deshalb die beste Lösung, um dieses bleibende Restrisikos in den Griff zu bekommen. Was ich nicht direkt absichern kann, muss ich kontinuierlich überwachen”.

Arbeitsaufwand minimieren und Reaktionsfähigkeit sichern

Das Ziel der BSI-Empfehlung ist, dass Energieversorgungsunternehmen sicherheitsrelevante Ereignisse (SRE) in ihrer Stationsautomatisierung schnellstmöglich erkennen und auf diese reagieren können. Dazu empfiehlt das BSI auch, dass das industrielle System zur Angriffserkennung die SRE an eine zentrale Instanz im Unternehmen – in der Regel ein SIEM – übermittelt, um die OT-Sicherheit ressourcenschonend in die allgemeine IT-Sicherheit zu integrieren. Rhebo ermöglicht seit 2019 die Übermittlung der Sicherheitsmeldungen an SIEM-Systeme, u.a. von Splunk und IBM QRadar.

Für das einfache Anlernen des NIDS empfiehlt das BSI in IEC 61850 Infrastrukturen die Nutzung der bestehenden .scd-Datei – eine von Rhebo seit einigen Jahren angebotene Methode, um das Baselining der Anomalieerkennung zu automatisieren.

“Die Empfehlung für ein Monitoring in der Stationsautomatisierung ist ein wichtiger Schritt, die deutsche Energieversorgung gegen die bestehenden und kommenden Cybergefahren resilient zu machen”, so René Krause. Denn, wie das BSI in seiner Empfehlung anmerkt, wird weniger davon ausgegangen, dass Angriffe direkt über die zentrale Leittechnik erfolgen. Vielmehr würden sich Angreifende “gezielt Systeme suchen, die nur schwach gesichert und kontrolliert werden. […] Das Monitoring in Umspannwerken ist damit für den Schutz der kritischen Dienstleistung genauso wichtig, wie der Schutz der zentralen Netzleittechnik”.