Cyber-Security in der Welt der Erneuerbaren

Die Energieversorgung zählt zur kritischen Infrastruktur – das macht sie auch zum attraktiven Ziel für Cyberkriminelle.

Der deutsche Bundesverband Solarwirtschaft (BSW-Solar) widmete diesem Thema vor Kurzem ein Webinar mit dem Titel „Cyber Security – IT sicherer Betrieb von PV-Anlagen“, in dem sechs große Trends auf Seiten der Cyberkriminellen ausgemacht wurden: 1. KI-gestützte Attacken, 2. Multi-Channel-Angriffe, 3. Supply-Chain-Attacken, 4. Bedrohung durch persönliche Identitäten, 5. Ungleichgweicht bei Cyber-Resilienz und 6. Boom im Cybercrime – wobei besonders der letzte Punkt Anlass zur Sorge gibt: Nicht nur der Energiesektor auf der einen, sondern auch der Cybercrime-Sektor auf der anderen Seite entwickelt sich mehr und mehr zur globalen Branche.

Für Österreich wurde im September zum zehnten Mal die Studie „Cybersecurity in Österreich” von KPMG und dem Kompetenzzentrum Sicheres Österreich (KSÖ) präsentiert. Demnach war allein in Wien jeder sechste (!) Cyberangriff erfolgreich (im Jahr davor nur jeder zehnte) – österreichweit jeder siebente. Besonders alarmierend: Fast 55 Prozent der befragten Unternehmen glauben, dass die digitale Infrastruktur in Österreich unzureichend geschützt ist. 32 Prozent der österreichischen Unternehmen berichten, dass ihre Lieferanten oder Dienstleister Opfer von Cyberangriffen wurden –mit massiven Auswirkungehnm auf das eigene Unternehmen. Österreichweit wurden im ersten Halbjahr 2025 fast 1.800 Attacken pro Woche auf heimische Organisationen verzeichnet.

Problembewusstein ist da

In der heimischen PV-Branche ist das Problembewusstsein für Cyber-Risiken durchaus ausgeprägt, wie die Recherchen von E&W ergeben haben. Bei Fronius etwa beurteilt man die Bedeutung von IT-Sicherheit in der Energieversorgung als „sehr groß”. Aber: „Leider wird häufig immer noch auf die ‚einzelnen PV-Anlagen‘ geblickt. Selbstverständlich muss jede PV-Anlage gegenüber externen Cyberangriffen bestmöglich geschützt werden, wofür entsprechend hochwertige Komponenten einsetzen werden müssen. Dabei wird häufig übersehen, dass Unternehmen (Hersteller, Aggregatoren,…) die hunderttausende oder Millionen dieser Anlagen fernsteuern können, ebenfalls als vertrauenswürdig und sicher gelten müssten. Man muss wissen, dass z.B. jeder Hersteller von PV-Wechselrichtern über Softwareupdates das Verhalten der Wechselrichter verändern kann. Daher ist es so entscheidend, dass die Unternehmen selbst kein hohes Risiko darstellen. Unsere zentrale Botschaft an die Politik lautet: Die Möglichkeiten zur Fernsteuerung der heimischen, kritischen Infrastruktur dürfen ausschließlich bei vertrauenswürdigen Unternehmen liegen. Andernfalls bleibt ein entscheidender, potenzieller Angriffsvektor unberücksichtigt.”

Huawei teilte uns mit, man setze auf „ganzheitliche Sicherheitskonzepte, die den gesamten Zyklus und alle Beteiligten berücksichtigen. Entscheidend ist die Kombination aus sicherer Technologie, klaren Prozessen und kontinuierlicher Sensibilisierung. Datenschutz und Datensicherheit erfordern gemeinsame Bemühungen aller Beteiligten. Nach der erteilten Zugriffsberechtigung durch den Geräteeigentümer an den Installateur überträgt Huawei nach der Zustimmung des Geräteeigentümers dessen persönliche Daten über eine OpenAPI-Schnittstelle an das Geräteverwaltungssystem des Installateurs. Dadurch wird der Installateur zum unabhängigen Controller. Um Datenschutz und -sicherheit zu gewährleisten, sollten alle Beteiligten, also Gerätebesitzer, Installateure, Produktanbieter wie Huawei und weitere Akteure der Branche bewährte Verfahren anwenden.”

Die heimischen Energieversorger verfolgen laut Oesterreichs Energie folgenden Ansatz: „Robuste IKT-Sicherheitskonzepte nehmen im Rahmen der Digitalisierung einen hohen Stellenwert ein – insbesondere für kritische Infrastruktur wie sie im Energiesektor vorhanden ist. Um diesen Risken zu begegnen, setzen Unternehmen der E-Wirtschaft verstärkt auf Zusammenarbeit und Erfahrungsaus-tausch. IT-Sicherheit muss im Zuge der zunehmenden Vernetzung fest in die betrieblichen Abläufe integriert werden. Gleichzeitig erfordert die dynamische Bedrohungslage eine laufende Anpassung an neue Angriffsszenarien. Um die Versorgungssicherheit im Strom- und Gassektor zu gewährleisten, müssen digitale Systeme täglich vor Cyberangriffen geschützt werden. Das setzt eine kontinuierliche Überwachung sowie das frühzeitige Erkennen und Verstehen neuer Angriffsmethoden voraus. Daher wurde das ‚Energy Security Operations Center‘ (E-SOC) ins Leben gerufen.”

Laut Regulierungsbehörde E-Control „betrifft die zunehmende Bedrohungslage im Bereich IT-Security die E-Control selbst, wie auch die gesamte Energiebranche. Um den Bedrohungen strukturiert zu begegnen, führt die E-Control, gemeinsam mit der Energiebranche, eine IKT-Risikoanalyse durch, in der Risiken der Teilnehmer besprochen und abgestimmt werden. Darüber hinaus bringt die E-Control ihr Wissen in verschiedenen EU-weiten Gremien ein, in denen Standards und Anforderungen, zur Sicherheit der Energieversorgung und kritischen Einrichtungen, entwickelt und diskutiert werden. In regelmäßigen Abständen werden behörden- und organisationübergreifende Krisenübungen durchgeführt, um die Krisenvorsorge stetig zu verbessern. Zusätzlich werden Awareness-Programme in der E-Control durchgeführt, um das Bewusstsein für Informationssicherheit zu fördern.”

BMI als Knotenpunkt

Wenn es um das Thema Sicherheit geht, ist das Innenministerium hierzulande die zentrale Anlaufstelle – so auch im Bereich Cyber-Security. „IT-Sicherheit ist wesentlich für die Sicherstellung der nationalen Energieversorgung. Zum einen bestehen Gefahren in Verbindung mit hybriden Angriffen ausländischer Akteure. Diese können auch mit Informationsoperationen kombiniert werden. Durch die Dezentralisierung der Energieproduktion entstehen neue Herausforderungen für die IT-Sicherheit. Einzelne Hersteller bzw. Herstellerstaaten konnten signifikante Marktanteile in Österreich aufbauen. Dadurch begibt sich Österreich in Abhängigkeiten. In Zukunft werden Bedeutung von und Angriffe auf Energiesysteme zunehmen”, schätzt das BMI die Lage ein.

Das BMI ist zugleich mit der Umsetzung der gesetzlichen Rahmenbedingungen zum Schutz kritischer Infrastruktur betraut. Diesbezüglich arbeite man auf folgendes Gesamtbild hin:

• Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) wurde am 16. Oktober 2025 im Bundesgesetzblatt kundgemacht und tritt (hauptsächlich) mit 1. März 2026 in Kraft. Der zeitliche Fahrplan wird von der Richtlinie vorgegeben und die nächsten Schritte gestalten sich wie folgt:
• Bis 17. Jänner 2026 ist vom BMI eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen vorzubereiten und von der Bundesregierung zu beschließen. Ebenfalls bis 17. Jänner 2026 hat der Minister des BMI eine nationale Risikoanalyse zu erstellen. Beide Dokumente sind anlassbezogen, spätestens alle vier Jahre, zu überarbeiten.
• Bis 17. Juli 2026 sind die kritischen Einrichtungen durch den Innenminister mittels Bescheides zu ermitteln. Diese haben anschließend binnen neun Monaten eine Risikoanalyse zu erstellen und binnen zehn Monaten nach Ermittlung Resilienzmaßnahmen zu treffen und diese in einem Resilienzplan nachvollziehbar darzulegen.
• Es ist ein enger Austausch zwischen der zuständigen NIS-2-Behörde und der RKE-Behörde geplant, um eine möglichst hohe Resilienz sowohl im physischen als auch im Cybersicherheitsbereich zu gewährleisten.

Parallel dazu sieht das RKEG Aufsichts- und Durchsetzungsmaßnahmen vor. Die RKE-Behörde könne dabei unter anderem Vor-Ort-Kontrollen durchführen und Audits anordnen. Außerdem seien als ultima ratio Verwaltungsstrafen durch die Bezirksverwaltungs–behörden möglich. Das BMI verweist außerdem darauf, dass die großen Energieversorger und -produzenten sowie Netzbetreiber bereits jetzt unter das NISG in der aktuell geltenden Fassung fallen. „Im NISG ist ein Aufsichtsregime, das auch für den Energiesektor gilt, vorgesehen. Die betroffenen Unternehmen und Vereine haben die im Cyberbereich ergriffenen Sicherheitsmaßnahmen per Prüfbericht nachzuweisen. Die NIS-Behörde hat überdies Kontroll- und Einschaurechte bei den Betreibern, welche in der Praxis auch genutzt werden. Es wurden bereits zahlreiche Empfehlungen der NIS-Behörde zur Verbesserung der Cybersicherheit im Energiesektor ausgesprochen und von den betroffenen Unternehmen umgesetzt. Mit dem geplanten Umsetzungsgesetz der NIS-2-RL wird das Aufsichts- und Durchsetzungsregime weiter präzisiert und an die praktischen Bedürfnisse angepasst.”

Die nationale Umsetzung der NIS-2-Richtlinie wurde mit dem entsprechenden Umlaufbeschluss im Ministerrat am 20. November 2025 eingeleitet. Damit hat Österreich den Entwurf des Netz- und Informationssystemsicherheitsgesetzes 2026 (NISG 2026) in das parlamentarische Verfahren eingebracht. Darin ist gegenüber dem letztjährigen Begutachtungsentwurf eine geänderte Übergangsfrist enthalten: Nach Ablauf von neun Monaten nach der Kundmachung soll das neue NIS-2-Gesetz in Kraft treten. Damit haben heimische Unternehmen voraussichtlich bis zum Herbst 2026 Zeit, ihre technischen und organisatorischen Risikomanagementmaßnahmen umzusetzen. Nach diesen neun Monaten startet die 12-monatige Frist zur Selbstdeklaration, ohne Aufforderung durch die Behörde, im Rahmen derer Unternehmen selbst spezifische Informationen zur Wirksamkeit ihrer Maßnahmen übermitteln müssen (Die Details dazu sind allerdings noch offen). Die zuständige NIS-Behörde wird eine nachgelagerte Stelle (Cybersicherheitsbehörde) des BMI.

Woher die Bedrohung kommt

Das BMI verortet die aktuelle größten Risiken übrigens „in der Schnittstellenkomplexität zwischen Herstellern, Netzbetreibern und digitalen Steuerungssystemen. Insbesondere im Bereich der Energieversorgung betrifft dies die Lieferkettenabhängigkeiten (z.B. Hersteller von Steuerungshardware und Software), fehlende Segmentierung von IT- und OT-Netzen, unzureichendes Schwachstellenmanagement bei älteren Systemen, sowie menschliche Faktoren (unzureichendes Sicherheitsbewusstsein, unklare Verantwortlichkeiten, etc.).”
Aus Sicht der Energieversorger bestehen Cyberrisiken „entlang der gesamten Wertschöpfungskette – vom Hersteller bis zu den Endkunden. Besonders bei Consumer-Geräten zeigt sich eine Schwachstelle: Sie werden selten aktualisiert, liegen außerhalb des Einflussbereichs der Branche und sind bei Nutzern ohne IT-Erfahrung oft unzureichend geschützt.”

Für Fronius darf Cybersicherheit „keinen Aspekt in der Kette unberücksichtigt lassen”, weshalb man bei den eigenen Produkten auf entsprechend hohe Produktsicherheitsstandards setze. „Wichtig dabei ist es aber, dass diese auch tatsächlich von allen am Markt erhältlichen Produkten eingehalten werden (Stichwort CRA, Radio Equipment Directive – RED). Bei günstigen Komponenten ist dies häufig sehr zweifelhaft. Auch die Betreiber und Nutzer von Anlagen sollten Cybersicherheit ernst nehmen und nicht versehentlich Türen für potenzielle Angriffe auf ihr Heim- bzw. Firmennetzwerk öffnen. Hier braucht es teilweise stärkeres Bewusstsein. In den Betriebsanleitungen von Fronius finden sich Hinweise und Anleitungen wie Geräte sicher betrieben werden können. Das größte Systemrisiko für die Stromversorgung sehen wir aber darin, dass es heute immer noch möglich ist, dass in Europa Millionen von Komponenten an das Stromnetz angeschlossen werden, die von Unternehmen ferngesteuert werden können, die teilweise als hochriskant eingestuft sind. Dies ist ein Risiko, das aus Gründen der Energiesicherheit dringend politisch gelöst werden sollte. Die Empfehlung lautet, ähnlich wie im 5G Bereich vorzugehen: 1. Risikoanalyse von Unternehmen, die kritische (aggregierte) Leistungen fernsteuern können, und 2. Nur Komponenten von vertrauenswürdigen Herstellern dürfen ans öffentliche Stromnetz angeschlossen werden.“

Fenecon, der nach eigenen Angaben größte deutsche Hersteller von Stromspeichersystemen mit integriertem Energiemanagement, erachtet „eine konsequent dezentral organisierte Energieversorgung mit wenigen Single-Points-of-Failure, also einzelnen Ausfallpunkten” als „grundsätzlich by-design resilient gegenüber Cyberangriffen. Der Angriffsvektor Nr. 1 funktioniert über Menschen. Auf Anwender- und Käuferseite ist deshalb die grundsätzliche Awareness für Cybersicherheit wichtig (die z. B. mit NIS2 auch aktiv eingefordert wird). Hersteller sind gefordert, nicht nur sichere Hard- und Software in den Markt zu bringen, sondern Cybersicherheit out-of-the-box zu aktivieren und benutzerfreundlich zu gestalten.” Als größtes Risiko ortet man den Einsatz von „Wegwerf-Agenten” in den Service-Teams von Hardware aus Drittstaaten, denn diese hätten „meist vollen Fernzugriff auf zehntausende Geräte in der kritischen Infrastruktur und somit auf große Megawatt oder Gigawatt an Leistung, die sie nach Belieben zu- oder wegschalten können”.

Maßnahmen und To-Do‘s für die Energiebranche

„Es braucht politische Vorgaben, die zumindest keinen Netzanschluss von fernsteuerbaren Komponenten mehr erlauben (die in der aggregierten Masse für die Stromversorgung relevant sind), die mit einer Fernsteuerbarkeit durch nicht vertrauenswürdige Unternehmen einhergehen. Ein möglichst hohes Bewusstsein zu Cybersicherheit ist heutzutage aber auch für jede Privatperson notwendig. Die zunehmende Anzahl von Phishing, Smishing, Vishing usw. erfordert sichere Produkte, sowie Wissen über die Vorgehensweisen von Angreifern”, leitet Fronius aus all dem ab.

Huawei-Sprecher Michael Nowak erklärt dazu: „Huawei ist von der Cybersecurity-Thematik in mehreren Bereichen betroffen, etwa wenn unsere Technologie in kritischer Infrastruktur zum Einsatz kommt oder auch bei den Lieferketten. Huawei ist der Überzeugung, dass Cybersicherheit und Datenschutz die Grundpfeiler der digitalen und intelligenten Welt sind. Das Unternehmen hält sich an das zentrale Prinzip, alle geltenden Gesetze und Vorschriften zur Cybersicherheit und zum Datenschutz einzuhalten. Huawei garantiert, dass das Engagement für Cybersicherheit niemals zugunsten kommerzieller Interessen vernachlässigt wird. Aus diesem Grund arbeiten bei Huawei weltweit mehr als 2.600 Huawei-Mitarbeitende an der Forschung und Entwicklung in diesem Bereich.” Und Nowak ergänzt: „Die Energiewende kann nur gelingen, wenn alle Beteiligten das Thema Sicherheit als gemeinsame Verantwortung sehen und sowohl auf nationaler als auch internationaler Ebene zusammenarbeiten. Nur so können Standards und Regularien erfolgreich umgesetzt werden. Um die Sicherheit in der Branche zu gewährleisten, braucht es einen gemeinsamen Schulterschluss und Anstrengungen aller Akteure. ”

Da es sich bei Energieinfrastruktur — egal ob im Netz oder beim privaten oder gewerblichen Endkunden — um eine Investition für Jahrzehnte, ist es für Fenecon „umso wichtiger, dass bei der Investitionsentscheidung die Zukunftsfähigkeit aller Komponenten mitberücksichtigt wird. Das heißt, Systeme müssen auch unter sich ändernden regulatorischen und marktlichen Bedingungen einer ‚100% Energiewende‘ funktionieren. Und es heißt auch, dass über Jahrzehnte hinweg Sicherheitsupdates bereitgestellt werden müssen. Als europäischer Binnenmarkt sollte es unser Anspruch sein, die Gestaltungshoheit über diese Produkte zu haben. Jeder Einzelne kann und sollte diesbezüglich seine Investitionsentscheidungen kritisch hinterfragen. Als Hersteller in einem Markt, der durch staatliche Subventionen und Überproduktionen im Ausland stark unter Druck steht, ergibt sich durch Cybersicherheits- und Datenschutzanforderungen eine Möglichkeit, USPs von und für den europäischen Markt zu entwickeln.”

Oesterreichs Energie leitet aus den aktuellen Entwicklungen folgende Handlungsanleitung ab: „Erneuerbare, Netze und digitale Plattformen wachsen rasant zusammen. Damit steigt der Nutzen fürs Energiesystem – und die potenzielle Angriffsfläche. Unsere Aufgabe ist es, diesen ‚Flickenteppich‘ in robuste, überprüfbare Standards zu überführen. Sicherheit gehört von Beginn an in Produkte, Projekte und Betrieb: technisch und organisatorisch. Sicherheit sollte aber weniger als Bremsklotz, sondern als Wettbewerbsvorteil gesehen werden – sie stärkt die Versorgungssicherheit, reduziert Ausfälle und bildet die Basis für eine sichere Transformation unseres Energiesystems.”

Auf die Frage, wie sich die heimsichen Akteure der Energiebranche auf mögliche Bedrohungsszenarien vorbereiten können, hat das BMI ebenfalls eine Reihe von Antworten parat: „Die Voraussetzungen zur Einstufung als kritische Einrichtung finden sich in § 11 Abs. 1 RKEG. Zusätzlich wird es eine Verordnung, die RKEV, geben, die Schwellenwerte dahingehend enthält, ob und wann ein Sicherheitsvorfall eintritt. Daran knüpfen sich entsprechende Meldepflichten. Auch gab es eine Vielzahl an sog. ‚Sektorengesprächen‘, wo mit betroffenen Unternehmen der jeweiligen Sektoren die verschiedensten Sicherheitsmaßnahmen besprochen und auf ihre Praxistauglichkeit überprüft wurden. Bezüglich grundsätzlicher Schutzmaßnahmen sieht das RKEG in § 13 verschiedene Unterstützungs- und Vorsorgemaßnahmen vor, darunter auch generelle Empfehlungen und Leitfäden. Diese werden im Laufe des Vollzugs erarbeitet werden.“

In Bezug auf NIS-2 verweist das BMI auf die Homepage der NIS-Behörde www.nis.gv.at. Dort finden sich die wichtigsten Informationen zu NIS-2 in kurzer und übersichtlicher Form zusammengefasst. Außerdem hat die NIS-Behörde bereits in der Vergangenheit Leitfäden zu Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste publiziert, die sich ebenfalls über diese Website abrufen lassen.Weitere Informationen sind zudem auf der Homepage der ENISA (Agentur der EU für Cybersicherheit) zu finden.