Anders als das bisherige IT-Sicherheitsgesetz verfolgt das KRITIS-Dachgesetz einen All-Gefahren-Ansatz, der physische, digitale und organisatorische Risiken gleichermaßen einbezieht. (Bild: Adobe Stock)
Die Energiekrise, gezielte Angriffe auf Netzinfrastrukturen und die zunehmende Bedrohung durch Cyberkriminalität haben das Sicherheitsverständnis deutscher Stadtwerke grundlegend verändert. Rund drei Viertel der Unternehmen sehen die Versorgungssicherheit inzwischen als höchste Priorität – noch vor dem Klimaschutz und der Wirtschaftlichkeit. Zu diesem Schluss kommt die EY-Stadtwerkestudie 2025 [1].
Knapp 70 % der kommunalen Versorger planen in den kommenden drei Jahren Investitionen in Netzstabilität, alternative Energiequellen und Notfallvorsorge. Gleichzeitig bestehen deutliche Lücken: Veraltete IT-Systeme, schleppende Digitalisierung, Fachkräftemangel und knappe Budgets bremsen dringend notwendige Modernisierungen. Fast 40 % der befragten Stadtwerke geben an, intern nicht über ausreichend Know-how zu verfügen, um komplexe IT- und Sicherheitsprojekte umzusetzen. Gerade vor diesem Hintergrund verschärft das KRITIS-Dachgesetz die Lage der Versorger zusätzlich, da es erstmals einen einheitlichen, sektorübergreifenden Rechtsrahmen zum Schutz kritischer Infrastrukturen schafft und von den Betreibern konkrete, überprüfbare Sicherheits- und Resilienzmaßnahmen verlangt.
Versorgungssicherheit als strategisches Ziel
Die Erfahrungen aus den Jahren 2022 und 2023, als Gaslieferengpässe und Strompreisvolatilität die Branche unter Druck setzten, haben dazu geführt, dass viele Versorger ihre Krisenhandbücher wieder zur Hand nahmen – oft zum ersten Mal seit Jahren. Doch nicht alle Bedrohungsszenarien sind dort abgebildet. Sabotageakte, hybride Angriffe oder gezielte Desinformation werden noch zu selten berücksichtigt.
Ein weiteres Problem ist die sogenannte „Krisendemenz“. Sobald akute Risiken abklingen, sinkt die Bereitschaft, langfristig in Prävention zu investieren. Dabei zeigen Ereignisse wie das Münsterland-Schneechaos 2005, bei dem Strommasten unter Eislast zusammenbrachen, oder jüngst der Brandanschlag auf einen Strommast 2024 in Brandenburg, wie schnell ganze Regionen nicht ausreichend versorgt werden können.
KRITIS-Dachgesetz: Paradigmenwechsel für Resilienz
Mit dem KRITIS-Dachgesetz, dessen Entwurf am 10. September 2025 vom Bundeskabinett beschlossen wurde, setzt Deutschland die EU-CER-Richtlinie in nationales Recht um. Anders als das bisherige IT-Sicherheitsgesetz verfolgt es einen All-Gefahren-Ansatz, der physische, digitale und organisatorische Risiken gleichermaßen einbezieht.
Naturkatastrophen, technische Ausfälle, Sabotage und Terrorgefahren stehen damit gleichberechtigt neben Cyberbedrohungen. Zugeschnitten auf das jeweilige Versorgungsgebiet sieht das Gesetz verpflichtende Risikoanalysen für alle betroffenen Anlagen und Prozesse vor. Erhebliche Störungen oder drohende Gefahren müssen unverzüglich gemeldet werden – in der Regel innerhalb von 24 Stunden, auch wenn nicht alle Ursachen bekannt sind. Betreiber müssen zudem den Nachweis erbringen, dass wirksame Resilienzmaßnahmen umgesetzt wurden. Regelmäßige Audits sollten darüber hinaus die Einhaltung und Wirksamkeit dieser Maßnahmen sicherstellen.
Für viele Stadtwerke bedeutet das einen Paradigmenwechsel. Weg von freiwilligen, punktuellen Maßnahmen hin zu einem verbindlichen, überprüfbaren Sicherheitsstandard, der physischen Objektschutz, IT-Sicherheit, personelle Zuverlässigkeit und organisatorische Notfallvorsorge miteinander verzahnt.
Bekannte und unterschätzte Risiken
Die Liste der Gefährdungen ist lang. Cyberangriffe auf Netzleitwarten, Sabotageakte an Trafostationen oder Naturereignisse wie Stürme und Hochwasser gehören zu den bekannten Risiken. Weniger im Fokus stehen Risiken wie die schleichende Degradation von Infrastruktur durch Alterung oder Materialermüdung, die zu plötzlichen Ausfällen führen kann.
Auch menschliche Faktoren – von Fahrlässigkeit bis hin zu gezieltem Insiderhandel – werden häufig unterschätzt. Das Bundeskriminalamt warnt inzwischen explizit vor Versuchen, Mitarbeitende kritischer Versorger gezielt anzuwerben, um Zugang zu sensiblen Bereichen zu erlangen. Laut EY-Studie prüft bislang nur jedes zweite Stadtwerk systematisch die personelle Zuverlässigkeit an sicherheitskritischen Stellen.
Von der Analyse zum Schutzkonzept
Der Weg zu belastbarer Resilienz beginnt mit einer gründlichen Bestandsaufnahme und einer strukturierten Risikoanalyse. Entscheidend ist, dass alle Bedrohungsarten berücksichtigt werden, nicht nur die derzeit medial präsenten. Darauf aufbauend entsteht ein maßgeschneidertes Schutzkonzept, das technische, digitale und organisatorische Maßnahmen kombiniert. Dazu gehören die physische Sicherung sensibler Anlagen, eine widerstandsfähige IT-Architektur mit Netzwerksegmentierung, gesicherten Fernzugängen und regelmäßigen Updates sowie organisatorische Vorkehrungen.
Damit es nicht bei der „Papier-Compliance“ ohne gelebte Umsetzung bleibt, müssen klare Verantwortlichkeiten benannt, das Vier-Augen-Prinzip konsequent angewendet und interne wie externe Akteure eingebunden sowie Maßnahmen in bestehende Betriebs- und Krisenpläne integriert werden. Besonders regelmäßige Notfallübungen sowie die Durchführung von Angriffssimulationen oder Planspielen erhöhen die Wirksamkeit der Schutzmaßnahmen deutlich. Sie zeigen nicht nur, ob die Technik funktioniert, sondern auch, ob Kommunikationswege und Entscheidungsprozesse im Ernstfall greifen.
Stadtwerke können dabei von Kooperationen profitieren: Gemeinsame Übungen mit benachbarten Versorgern, Feuerwehr, Polizei und Katastrophenschutz ermöglichen realistische Szenarien und verbessern die Koordination. Gerade kleinere Versorger gewinnen so wertvolle Erkenntnisse, wie sie im Notfall auf externe Ressourcen zugreifen können. Gleichzeitig stärken solche Kooperationen das Vertrauen zwischen den Akteuren und schaffen belastbare Netzwerke für den Ernstfall.