Die Digitalisierung geht mit einer zunehmenden IT-OT-Konvergenz einher. OT-Systeme, die aufgrund der bisher existierenden Abkopplung weniger auf Cybersicherheit ausgelegt waren, sehen sich infolge der Vernetzung immer häufiger Angriffen ausgesetzt. Zugleich schleichen sich mit dieser Risiken und Schwachstellen aus OT-Systemen in IT-Systeme ein. Hinzu kommt die Energiewende und das immer kleinteiligere Energiesystem, das die Angriffsfläche deutlich erhöht. Vor allem kleinere und mittlere Versorger sind aufgrund restriktiver Ressourcen im Bereich Cybersicherheit besonders herausgefordert und können von einem Chief Information Security Officer profitieren.
Inhalt
- Ein Beispiel mit zwei Angriffsmustern
- Zwei Welten, die sukzessiv zusammenwachsen
- Was kostet es, auf einen Chief Information Security Officer zu verzichten?
- Fazit
- FAQs
Ein Beispiel mit zwei Angriffsmustern
Im Dezember 2025 attackiert eine mutmaßlich staatlich gelenkte Gruppe in einem koordinierten Angriff mehr als 30 polnische Wind- und Photovoltaikparks, ein Heizkraftwerk mit rund einer halben Million Wärmeabnehmern sowie ein Industrieunternehmen. In allen drei Fällen bleibt die eigentliche Energieversorgung ungestört.
Bei den Windparks setzt der Angriff laut einem Bericht von CERT Polska direkt bei der industriellen Steuerungstechnik an: Fernwirkeinheiten (RTU), Bedienrechner (HMI), Schutzrelais und serielle Kommunikationsserver. Möglich ist das durch einfache Versäumnisse, Werkseinstellungen bei Zugangsdaten, VPN-Zugänge ohne Zwei-Faktor-Authentifizierung, eine Firmware-Signaturprüfung, die zwar existiert, aber nicht aktiviert worden ist. Die Steuerstationen haben dadurch die Verbindung zum Netzbetreiber und die Fernsteuerbarkeit verloren.
Ziel: die Kommunikations- und Steuertechnik am Netzanschlusspunkt
Quelle: CERT Polska
Grafik: WK Personalberatung
Beim Heizkraftwerk verläuft der Angriff anders. Die Angreifer bewegen sich zwischen März und Dezember 2025 unbemerkt durch die Windows-Domäne, kopieren die Active-Directory-Datenbank und durchsuchen gezielt Dateien und E-Mails mit Bezug zu SCADA-Systemen und OT-Netzmodernisierung. In die eigentliche Anlagensteuerung sind sie nach den vorliegenden Erkenntnissen glücklicherweise nicht vorgedrungen. Der finale Löschversuch ist bereits auf über hundert Rechnern angelaufen, bevor eine EDR-Software diese über einen Canary-Datei-Mechanismus gestoppt hat.
Die beiden Angriffe zeigen unterschiedliche Schwachstellen. Bei den Windparks fehlten grundlegende Sicherheitsmaßnahmen für OT-Komponenten, etwa eine konsequente Härtung von Fernzugängen und Geräten. Beim Heizkraftwerk gelang es den Angreifern dagegen, sich über Monate im Windows-Netzwerk zu bewegen, Administratorrechte auszubauen und gezielt Informationen über die OT-Umgebung zu sammeln.
Zwei Welten, die sukzessiv zusammenwachsen
Die Trennung von IT und OT hat gute Gründe und ist kein Zufall. Sie geht auf das Purdue-Modell zurück, eine in den 1990er-Jahren entwickelte Referenzarchitektur für industrielle Netze, die bis heute Grundlage internationaler Standards wie IEC 62443 bildet. Die Trennung reduziert die Angriffsfläche, sichert deterministische Kommunikation für zeitkritische Steuerungsprozesse, erhält hohe Verfügbarkeit und vermeidet unnötige Eingriffe an sicherheitskritischen Anlagen.
IT/OT-Konvergenz & ihre Treiber
Dass diese Trennung richtig ist, zeigt auch ein Fall aus Schleswig-Holstein: Bei den Vereinigten Stadtwerken in Ratzeburg haben sich Angreifer im November 2025 über einen kompromittierten IT-Dienstleister Zugriff auf einen von rund 200 Servern verschafft, es ist zum Abfluss von Kundendaten gekommen. Die Versorgungssysteme sind vollständig getrennt und blieben daher unberührt.
Die IT-OT-Konvergenz erhöht die Komplexität der Sicherheit. Deshalb braucht es nicht weniger, sondern mehr Segmentierung, Zugriffskontrollen, Monitoring und Incident Response, eingebettet in etablierte Standards wie IEC 62443 und NIST SP 800-82. Der IEC 62443-3-2 formalisiert beispielsweise die Trennung im Konzept der Zones and Conduits: Zonen bündeln Anlagen mit ähnlichem Schutzbedarf, Conduits regeln kontrollierte Kommunikationswege dazwischen. Damit verschiebt sich die Herausforderung von der Absicherung einzelner Systeme zur Steuerung der Übergänge.
Das ist genau der Aufgabenbereich eines Chief Information Security Officers (CISO). Ein Chief Information Security Officer hätte einen Angriff wie den in Polen wahrscheinlich nicht verhindert. Seine Aufgabe besteht jedoch darin, genau solche Risiken systematisch zu reduzieren. Dazu gehören einheitliche Sicherheitsstandards für IT- und OT-Systeme, die Absicherung von Fernzugängen und privilegierten Konten, ein gemeinsames Monitoring sicherheitsrelevanter Ereignisse sowie klar definierte Prozesse für den Ernstfall. Gerade der Angriff auf das Heizkraftwerk zeigt, wie wertvoll ein bereichsübergreifendes Lagebild sein kann: Werden sicherheitsrelevante Ereignisse aus IT und OT gemeinsam bewertet, steigt die Chance, verdächtige Muster früher zu erkennen und ihre Auswirkungen zu begrenzen.
Was kostet es, auf einen Chief Information Security Officer zu verzichten?
Cyberangriffe auf Energieversorger betreffen heute längst nicht mehr nur die Büro-IT. Gelangen Angreifer bis in die Betriebstechnik, können Fernwirkanlagen, Netzleitstellen oder andere zentrale Systeme betroffen sein. Dann geht es nicht mehr allein um den Schutz von Daten, sondern um den sicheren Betrieb der Infrastruktur. Neben den Kosten für die Wiederherstellung drohen Bußgelder, Imageschäden und im schlimmsten Fall Einschränkungen der Versorgung.
Wie teuer ein Sicherheitsvorfall werden kann, zeigt der IBM Cost of a Data Breach Report 2025. Demnach verursachte ein Datenvorfall weltweit durchschnittliche Kosten von 4,4 Millionen US-Dollar. Bei Angriffen mit Bezug zu IoT- und OT-Systemen lagen die Schäden nochmals höher. Für Betreiber kritischer Infrastruktur kommen mögliche Auswirkungen auf Netzbetrieb und Versorgungssicherheit hinzu.
Mindestens genauso entscheidend wie die Kosten ist jedoch die Zeit. Ein Angriff auf ein Stadtwerk betrifft häufig mehrere Bereiche gleichzeitig. Sind Verantwortlichkeiten nicht klar geregelt oder fehlt ein gemeinsames Lagebild, vergeht wertvolle Zeit.
Gerade kleinere Stadtwerke stehen hier vor einer besonderen Herausforderung. Anders als große Energieversorger verfügen sie meist nicht über eigene Teams für IT-Sicherheit, OT-Sicherheit und Security Operations. Sicherheitsaufgaben werden häufig zusätzlich zum Tagesgeschäft übernommen. Umso wichtiger ist eine Stelle, die Risiken bereichsübergreifend bewertet, Informationen zusammenführt und im Ernstfall die Koordination übernimmt.
Fazit
Viele Stadtwerke verbinden den Chief Information Security Officer mit einer zusätzlichen Führungsposition und einem großen Sicherheitsteam. Für die meisten kommunalen Versorger wäre das weder wirtschaftlich noch notwendig. In kleinen und mittleren Unternehmen übernimmt häufig eine einzelne Person die Informationssicherheitsfunktion. Erst mit wachsender Unternehmensgröße werden daraus spezialisierte Teams.
Für Stadtwerke bedeutet das vor allem eines: Es braucht keine neue Hierarchieebene, sondern eine klar geregelte Verantwortung. Diese kann bei der IT-Leitung liegen, sofern ausreichende Ressourcen vorhanden sind und eine direkte Berichtslinie zur Geschäftsführung besteht. Alternativ können auch externe Informationssicherheitsbeauftragte oder CISO-as-a-Service-Modelle diese Aufgabe übernehmen. Entscheidend ist nicht der Titel, sondern dass Sicherheitsrisiken zentral bewertet, Maßnahmen priorisiert und Entscheidungen im Ernstfall eindeutig getroffen werden.
FAQs
Was verdient ein Chief Information Security Officer in Deutschland?
Das Gehalt hängt stark von Unternehmensgröße und Branche ab. Erfahrene CISOs verdienen häufig zwischen 120.000 und 180.000 Euro im Jahr. In DAX-Konzernen oder Finanzinstituten sind auch Gehälter über 200.000 Euro möglich. Bei einem Stadtwerk mit einer kombinierten Rolle liegt die Vergütung naturgemäß niedriger, weil die Position selten in Vollzeit ausgefüllt wird. Wer die Aufgabe extern vergibt, zahlt stattdessen ein Beratungshonorar statt eines Jahresgehalts.
Was ist der Unterschied zwischen CISO und CIO?
Der CIO verantwortet die gesamte IT-Strategie eines Unternehmens, von der Softwareauswahl bis zur Digitalisierung von Prozessen. Der Chief Information Security Officer konzentriert sich ausschließlich auf den Schutz dieser Systeme vor Angriffen und Ausfällen. In vielen Unternehmen berichtet der CISO an den CIO, in sicherheitskritischen Branchen direkt an die Geschäftsführung. Bei einem Stadtwerk mit begrenzter Personaldecke übernimmt oft eine Person beide Perspektiven gleichzeitig. Wichtig ist dann, dass die Sicherheitsverantwortung nicht in der allgemeinen IT-Agenda untergeht.
Ist ein CISO gesetzlich vorgeschrieben?
Kein Gesetz schreibt wörtlich vor, eine Position mit dem Titel CISO zu besetzen. Die §§ 5c bis 5e EnWG und die NIS-2-Richtlinie verlangen aber ein zertifiziertes Informationssicherheits-Managementsystem und eine klar zurechenbare Verantwortung. Wer diese Verantwortung im Ernstfall keiner Person zuordnen kann, erfüllt die Anforderungen faktisch nicht. Ob die Person Chief Information Security Officer, IT-Sicherheitsbeauftragter oder Leiter Informationssicherheit heißt, spielt für die Aufsichtsbehörde keine Rolle. Entscheidend ist die nachweisbare Zuständigkeit.
Wie wird man CISO, welche Qualifikationen sind nötig?
Der klassische Weg führt über mehrjährige Erfahrung in der IT-Sicherheit, oft ergänzt durch Zertifizierungen wie CISSP oder ISO-27001-Lead-Auditor. Ein Studium der Informatik oder Wirtschaftsinformatik hilft, ist aber kein Muss. Zunehmend gelangen auch Quereinsteiger aus Compliance, Datenschutz oder IT-Betrieb in die Rolle, wenn sie technisches Verständnis mit Kommunikationsstärke verbinden. Bei einem Stadtwerk zählt praktische Erfahrung mit der eigenen Systemlandschaft oft mehr als ein bestimmter Titel im Lebenslauf. Wer intern jemanden aufbaut, sollte entsprechende Weiterbildungen von Anfang an einplanen.
Was kostet ein externer CISO oder CISO-as-a-Service?
Externe Anbieter berechnen meist Tagessätze oder monatliche Pauschalen, abhängig vom Umfang der Betreuung. Für ein kleineres Stadtwerk mit überschaubarer Systemlandschaft liegt der Aufwand oft deutlich unter dem Gehalt einer eigenen Vollzeitstelle. Externe Dienstleister kennen die internen Abläufe zu Beginn allerdings nicht, dafür zahlt das Unternehmen nur für tatsächlich benötigte Kapazität statt für eine ganze Stelle. Ein klar definiertes Mandat gleicht diesen Nachteil in der Praxis meist aus.



