Wenn das Licht ausgeht: Cyberangriffe auf die Schweizer Energieversorgung

Ein Cyberangriff auf einen Energieversorger ist kein gewöhnlicher Unternehmensvorfall. Wenn ein Stromversorger, Gasnetzbetreiber oder Wasserversorger angegriffen wird, sind nicht nur Unternehmensdaten und -systeme bedroht – es geht um die physische Infrastruktur, von der Millionen von Menschen abhängen. Heizungen, Spitäler, Verkehrssysteme, Kommunikationsnetze: Alles hängt an einer stabilen Energieversorgung.

Die Schweiz hat dies erkannt und Energieversorger ab einer bestimmten Grösse als Betreiber kritischer Infrastruktur (KRITIS) eingestuft. Doch auch kleinere Stadtwerke, Regionalversorger und kommunale Energieunternehmen sind zunehmend im Visier von Angreifern – und oft deutlich schlechter geschützt als die grossen nationalen Akteure.

Laut dem Schweizer Bundesamt für Cybersicherheit (BACS) haben staatlich geförderte Angreifergruppen aus Russland, China, Iran und Nordkorea die Schweizer Energieinfrastruktur in den letzten Jahren aktiv ausgespäht. Das BACS stuft die Bedrohungslage für den Energiesektor als “erhöht” ein – eine Einschätzung, die angesichts der geopolitischen Lage in Europa zunehmend ernst genommen werden muss.

SCADA und ICS: Das Herzstück der Energieversorgung im Fadenkreuz

Was sind SCADA und ICS?

SCADA (Supervisory Control and Data Acquisition) und ICS (Industrial Control Systems) sind die IT-Systeme, die physische Energieinfrastruktur steuern und überwachen: Stromtransformatoren, Schaltanlagen, Pipelineventile, Turbinen und Pumpen. Sie verbinden die digitale Welt der Datennetzwerke mit der physischen Welt der Energieinfrastruktur.

Historisch waren diese Systeme vollständig isoliert (“Air Gap”) – physisch vom Internet getrennt und damit für Cyberangreifer unerreichbar. Diese Zeit ist vorbei. Die Vernetzung von SCADA/ICS mit IT-Netzwerken für Fernwartung, Effizienzoptimierung und Datenanalyse hat die Angriffsfläche massiv vergrössert.

Die wichtigsten SCADA/ICS-Bedrohungen

Stuxnet und seine Erben: Der Stuxnet-Wurm von 2010 war ein Wendepunkt. Erstmals zerstörte ein Cyberangriff physische Infrastruktur (Zentrifugen im iranischen Atomprogramm). Seitdem haben staatliche Akteure spezifische Malware für Energieinfrastruktur entwickelt: Industroyer/Crashoverride (der 2016 in der Ukraine einen Stromausfall verursachte), Triton/TRISIS (der auf Sicherheitssysteme in petrochemischen Anlagen abzielte) und PIPEDREAM/INCONTROLLER (eine modulare Angriffsplattform für industrielle Systeme).

Legacy-Systeme als dauerhaftes Risiko: Viele SCADA-Systeme in der Schweiz wurden in den 1990er und frühen 2000er Jahren installiert und sind auf eine Lebensdauer von 20 bis 40 Jahren ausgelegt. Sie laufen auf Betriebssystemen, die keinen Herstellersupport mehr erhalten (Windows XP, Windows Server 2003) und können oft nicht einfach aktualisiert werden, ohne den Betrieb zu gefährden. Diese Systeme sind mit bekannten, unpatchbaren Schwachstellen dauerhaft verwundbar.

OT/IT-Konvergenz als Angriffspfad: Wenn Angreifer ins IT-Netz eines Energieversorgers eindringen, können sie bei unzureichender Segmentierung von dort ins OT-Netz vordringen. Mehrere dokumentierte Angriffe – darunter der Colonial-Pipeline-Angriff in den USA 2021 – zeigen, wie Ransomware zunächst IT-Systeme befällt und dann den Betrieb von OT-Systemen indirekt unterbricht.

“Das grösste Problem bei SCADA-Systemen ist nicht die Technologie selbst, sondern die falsche Annahme, dass sie noch sicher isoliert sind. In unseren Red-Team-Übungen können wir in acht von zehn Fällen vom IT-Netz aus OT-Systeme eines Energieversorgers erreichen – auch wenn der Betreiber überzeugt ist, dass dies unmöglich sei.” – OT-Sicherheitsspezialist, Zürich

Massnahmen für SCADA/ICS-Sicherheit:

  • Vollständige Inventarisierung aller OT/ICS-Assets
  • Netzwerksegmentierung zwischen IT und OT nach IEC 62443
  • Anomalieerkennung spezifisch für OT-Protokolle (Modbus, DNP3, IEC 61850)
  • Regelmässige Sicherheitsbewertungen durch OT-Spezialisten
  • Patchmanagement-Prozess für Systeme mit eingeschränkter Updatefähigkeit

Smart Grid: Digitalisierung mit Risiken

Die Digitalisierung des Stromnetzes (“Smart Grid”) bringt enorme Effizienzgewinne: intelligente Messsysteme (Smart Meter), bidirektionaler Energiefluss durch Solar- und Windanlagen, dynamische Preisgestaltung und präzise Lastprognosen. Gleichzeitig schafft jedes neue vernetzte Gerät einen potenziellen Angriffspunkt.

Smart-Meter-Sicherheit

Über eine Million Smart Meter sollen bis 2027 in der Schweiz installiert sein. Diese Geräte messen Energieverbrauch in Echtzeit und kommunizieren regelmässig mit dem Versorger. Sicherheitsrisiken:

  • Massenangriffe: Ein Angreifer, der Smart-Meter-Firmware manipuliert, könnte koordiniert Schaltvorgänge auslösen und das Netz destabilisieren
  • Datenschutz: Detaillierte Verbrauchsprofile verraten, wann jemand zu Hause ist, welche Geräte verwendet werden und mehr
  • Schwachstellen in der Kommunikation: Unverschlüsselte oder schwach authentifizierte Kommunikation zwischen Meter und Backend kann abgehört oder manipuliert werden

Erneuerbare Energien und IoT

Solar- und Windanlagen werden zunehmend über Webportale und Cloud-Plattformen gesteuert. Wechselrichter, Batteriespeichersysteme und Photovoltaik-Steuerungen von Drittanbietern haben oft schwache Sicherheitsmassnahmen. Ein Angriff, der koordiniert Wechselrichter abschaltet, könnte lokale Netzinstabilitäten verursachen.

Laut einer deutschen Studie (übertragbar auf die Schweiz) haben 67 Prozent der kommerziellen Solaranlagen-Wechselrichter Sicherheitslücken, die aus dem Internet ausnutzbar sind.

Massnahmen:

  • Sicherheitsanforderungen in Beschaffungsprozesse für Smart-Grid-Komponenten einbauen
  • Verschlüsselung und starke Authentifizierung für alle Gerätekommunikation
  • Anomalieerkennung für ungewöhnliche Schaltmuster
  • Regelmässige Firmware-Updates für alle vernetzten Geräte

Staatlich gesponserte Bedrohungen: Ein anderes Kaliber

Energieversorger sind primäre Ziele staatlich geförderter Angreifergruppen, weil ein Angriff auf die Energieversorgung maximalen gesellschaftlichen Schaden anrichten kann. Bekannte Gruppen, die Energieinfrastruktur weltweit angreifen:

Sandworm (Russland/GRU): Verantwortlich für die Stromausfälle in der Ukraine 2015 und 2016, Entwickler von Industroyer und NotPetya. Hat aktiv westeuropäische Energieinfrastruktur ausgespäht.

Volt Typhoon (China/VBA): Eine chinesische Gruppe, die sich in kritische Infrastruktur “einbettet” und dort über Monate oder Jahre wartet – für einen möglichen Sabotageauftrag in einer Krisensituation. US-Behörden haben 2024 bestätigt, dass Volt Typhoon in US-Energieinfrastruktur präsent war.

APT33/Magnallium (Iran): Aktiv gegen Energieunternehmen in Europa und dem Nahen Osten. Bekannt für Spear-Phishing und den Einsatz von Wiper-Malware.

Für die Schweiz relevant: Als neutrales Land mit wichtiger Rolle in der europäischen Energieversorgung (Transit, Wasserkraft) ist die Schweiz sowohl strategisch interessant als auch ein potenzielles Ziel für Sabotage in geopolitischen Spannungssituationen.

“Staatlich gesponserte Gruppen sind in Energienetzwerken oft bereits präsent, bevor wir beginnen, nach ihnen zu suchen. Sie sind geduldig, sie sind still, und sie warten auf den richtigen Moment. Das macht sie so gefährlich – und klassische Sicherheitsmassnahmen, die auf schnelle Erkennung setzen, so unzureichend.” – Bedrohungsanalyst, Schweizer Bundesamt für Cybersicherheit

Regulatorische Anforderungen für Schweizer Energieversorger

Stromversorgungsgesetz (StromVG) und Revision

Das Schweizer Stromversorgungsgesetz (StromVG) und die zugehörige Stromversorgungsverordnung (StromVV) enthalten Anforderungen an die Versorgungssicherheit und Betriebssicherheit von Netzbetreibern. Die laufende Revision des StromVG verschärft die IT-Sicherheitsanforderungen für Netzbetreiber und Versorger.

Die Eidgenössische Elektrizitätskommission (ElCom) kann Auflagen zu Sicherheitsmassnahmen erlassen und hat begonnen, Cybersecurity-Anforderungen in ihre Aufsichtstätigkeit einzubeziehen.

KRITIS-Anforderungen und BACS-Meldepflichten

Als Betreiber kritischer Infrastruktur unterliegen grosse Schweizer Energieversorger der Meldepflicht für Cyberangriffe und Sicherheitsvorfälle gegenüber dem BACS. Das Bundesgesetz über die Informationssicherheit beim Bund (ISG) und der Nationale Schutzplan für kritische Infrastrukturen schaffen den regulatorischen Rahmen.

Die geplante NIS2-Direktive der EU wird zwar direkt nur EU-Mitgliedstaaten betreffen, hat aber indirekte Auswirkungen auf Schweizer Unternehmen, die in EU-Märkten tätig sind oder mit EU-regulierten Unternehmen zusammenarbeiten.

nDSG für Energieversorger

Auch das nDSG ist für Energieversorger relevant: Kundendaten (Verbrauchsdaten, Abrechnungsdaten, Smart-Meter-Daten) sind schützenswerte Personendaten. Besonders Smart-Meter-Daten können als Profiling-Daten betrachtet werden, was erhöhte Anforderungen an Datenschutz und Datensicherheit stellt.

Incident Response für Energieversorger: Besondere Anforderungen

Bei einem Cyberangriff auf einen Energieversorger ist klassisches Incident Response – Systeme abschalten, forensisch untersuchen, bereinigen – oft nicht möglich. Denn Energieversorgung ist 24/7 kritisch. Systeme lassen sich nicht einfach offline nehmen.

Dies erfordert spezifische Incident-Response-Fähigkeiten:

Netzwerkisolation ohne Versorgungsunterbrechung: Kompromittierte IT-Systeme isolieren, ohne OT-Systeme zu beeinträchtigen, die weiterhin die physische Infrastruktur steuern müssen.

OT-spezifische Forensik: Standard-IT-Forensiktools funktionieren in OT-Umgebungen oft nicht oder gefährden die Systeme. Spezialisierte OT-Forensik ist notwendig.

Koordination mit Behörden: Stromversorger müssen bei schwerwiegenden Vorfällen das BACS, die ElCom und allenfalls auch den Nachrichtendienst des Bundes (NDB) informieren.

Kommunikation mit der Öffentlichkeit: Bei Versorgungsunterbrechungen ist proaktive, transparente Kommunikation mit Kunden und Öffentlichkeit unumgänglich.

Schutzmassnahmen: Prioritätenliste für Energieversorger

Unmittelbar (0–3 Monate):

  • Vollständiges OT-Asset-Inventar erstellen
  • IT/OT-Segmentierung überprüfen und Lücken schliessen
  • Phishing-Schutz für alle Mitarbeitenden implementieren
  • Privileged Access Management für SCADA-Systeme einführen
  • Backup-Strategie für kritische Systeme prüfen

Mittelfristig (3–12 Monate):

  • OT-Netzwerk-Monitoring mit ICS-spezifischen Tools einführen
  • Ransomware-Schutz für IT-Netz implementieren
  • Incident-Response-Plan für OT-Vorfälle entwickeln
  • Schulungsprogramm für OT-Sicherheit für technisches Personal
  • Drittanbieter-Risikomanagement für alle OT-Zulieferer

Langfristig (12+ Monate):

  • Zero-Trust-Architektur für IT/OT-Schnittstellen
  • Red Teaming für vollständige Sicherheitsüberprüfung
  • IEC 62443-Zertifizierung anstreben
  • Purple-Team-Übungen mit eigenem OT-Sicherheitsteam

Red Teaming und Penetrationstests für Energieversorger

Der Unterschied zwischen einem Penetrationstest und Red Teaming ist im Energiesektor besonders bedeutsam. Ein klassischer Pentest prüft bekannte Schwachstellen in definierten Systemen – nützlich, aber unvollständig.

Red Teaming simuliert hingegen realistische, mehrstufige Angriffe: Ein Team versucht, mit denselben Methoden wie staatlich gesponserte Angreifer in die Systeme einzudringen – über Phishing gegen Mitarbeitende, Ausnutzung von Schwachstellen in IT-Systemen, Vordringen ins OT-Netz und Demonstration des möglichen physischen Schadens.

Für Energieversorger besonders relevant:

  • Simulation von APT-Szenarien (Advanced Persistent Threats), die staatliche Angreifer nachbilden
  • Test der OT/IT-Segmentierung unter realen Angriffsbedingungen
  • Überprüfung von Detektionsfähigkeiten: Würde ein Angriff überhaupt erkannt?
  • Test des Incident-Response-Prozesses unter Zeitdruck

Die Kosten für Red Teaming in der Schweiz für einen Energieversorger sind höher als für einen Standard-KMU-Einsatz, weil spezialisierte OT-Expertise und längere Testphasen erforderlich sind. Angesichts der möglichen Schäden – die Bundesverwaltung schätzt die Kosten eines mehrtägigen Stromausfalls in der Schweiz auf mehrere Milliarden Franken – ist diese Investition gut begründet.

Branchenspezifische Statistiken

Die Bedrohungslage ist ernst und gut dokumentiert:

  • 89 Prozent der weltweit grössten Energieunternehmen haben laut IBM Security 2024 mindestens einen signifikanten Cyberangriff erlitten
  • Angriffe auf europäische Energieversorger stiegen 2024 um 74 Prozent gegenüber 2022
  • Die durchschnittliche Verweildauer eines APT-Akteurs in Energienetzwerken beträgt 286 Tage – fast ein Jahr unbemerkt
  • 43 Prozent der Schweizer Regionalversorger haben laut einem BACS-Bericht 2024 keine spezifischen OT-Sicherheitsmassnahmen implementiert
  • Der Colonial-Pipeline-Angriff 2021 verursachte einen direkten Schaden von 4,4 Millionen US-Dollar Lösegeld – der volkswirtschaftliche Gesamtschaden durch die Versorgungsunterbrechung wird auf über eine Milliarde US-Dollar geschätzt

Fazit

Kein Sektor trägt eine grössere gesellschaftliche Verantwortung für Cybersicherheit als die Energieversorgung. Ein erfolgreicher Angriff trifft nicht nur das Unternehmen, sondern potenziell die gesamte Gesellschaft. Schweizer Energieversorger – von der nationalen Axpo bis zum kommunalen Stadtwerk – müssen dieser Verantwortung gerecht werden.

Die Herausforderung ist enorm: Legacy-SCADA-Systeme, die nicht gepatcht werden können, Smart-Grid-Komponenten mit schwacher Sicherheit, staatlich gesponserte Angreifer mit schier unbegrenzten Ressourcen und regulatorischer Druck aus mehreren Richtungen. Trotzdem gibt es einen klaren Weg vorwärts: konsequente OT/IT-Segmentierung, spezialisierte OT-Sicherheitstools, regelmässige Tests unter realen Bedingungen und eine Unternehmenskultur, die Sicherheit als Kernkompetenz begreift.

Wissen Sie, ob ein staatlich geförderter Angreifer bereits in Ihren Systemen ist? Ob Ihre OT/IT-Segmentierung einem gezielten Angriff standhält? Ob Ihr Incident-Response-Team auf einen OT-Angriff vorbereitet ist? Unsere Red-Teaming-Spezialisten mit OT-Expertise beantworten diese Fragen – unter kontrollierten Bedingungen, bevor ein echter Angreifer die Initiative ergreift.

Jetzt Red Teaming anfragen – ab CHF 11’900 – und prüfen Sie die Widerstandsfähigkeit Ihrer Energieinfrastruktur unter realen Angriffsbedingungen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.