Die Logik, nach der viele Transparenzpflichten von kritischen Infrastrukturen konzipiert sind, stammt aus einer Zeit, in der die Bedrohungslage noch anders bewertet wurde. (Bild: Adobe Stock)
Genau das hat der BDEW in seinem Positionspapier vom April 2026 [1] zum Ausgangspunkt einer grundsätzlichen Forderung gemacht. Der Verband benennt konkrete Regelungen, bei denen eine Überprüfung aus Sicherheitsgründen dringend geboten ist: den Infrastrukturatlas der Bundesnetzagentur, Kapazitätskarten für Stromnetze, Netzentwicklungspläne, das Informationsfreiheitsgesetz, das Umweltinformationsgesetz, Vergabeverfahren sowie die geplante nationale Energiedatenplattform HEDWIG. Die Botschaft ist klar: Transparenz, die ohne Rücksicht auf Sicherheitsanforderungen gestaltet wird, schafft Angriffsflächen.
Grenzen zwischen physischer und digitaler Bedrohung verschwimmen
Das BDEW-Papier adressiert in erster Linie physische Sicherheitsrisiken: Sabotage an Leitungen, gezielte Störungen von Umspannwerken, Angriffe auf Standorte der Wasser- und Energieversorgung. Dieser Befund trägt für sich. Doch das Papier selbst macht deutlich, dass die Grenze zwischen physischer und digitaler Bedrohung in mehreren der genannten Regelungsbereiche längst verschwimmt. Der BDEW spricht explizit von „Cyber- und Sabotagerisiken" – und an mindestens drei Stellen wird greifbar, warum diese Unterscheidung in der Praxis kaum noch trägt.
- Kapazitätskarten, die Engpässe im Stromnetz mit hoher räumlicher Granularität ausweisen, helfen Netzbetreibern bei der Anschlussplanung. Sie helfen aber auch dabei, die kritischsten Lastpunkte im Netz zu identifizieren – relevant für physische Störungen ebenso wie für gezieltes Targeting der Betriebstechnologien (Operational Technology, OT).
- Vergabeunterlagen für IT-Systeme kritischer Infrastrukturen können Systemarchitekturen, Schutzmaßnahmen und bekannte Schwachstellen enthalten. Das BDEW formuliert es direkt: Diese Informationen lassen sich missbrauchen, „um Angriffe vorzubereiten oder ein umfassendes Lagebild sensibler Infrastrukturen zu erstellen“.
- Die geplante HEDWIG-Plattform soll Echtzeitdaten zu Erzeugung, Last und Netzkapazitäten bereitstellen. Wer Zugriff auf granulare Echtzeitdaten zum Betriebszustand des Netzes erhält, kann daraus Betriebszustände einzelner Anlagen ableiten – ein Informationsgewinn, der für physische Störungen und für Cyberangriffe gleichermaßen wertvoll ist.
Öffentliche Daten als Werkzeug für die Angriffsvorbereitung
Der BDEW benennt künstliche Intelligenz (KI) als Risikofaktor – und trifft damit einen Punkt, der über klassische KRITIS-Debatten hinausgeht. KI-gestützte Tools machen es heute möglich, öffentliche Informationen in kurzer Zeit zu einem präzisen Lagebild zusammenzusetzen. Was früher aufwendige manuelle Recherche erforderte, erledigt ein Algorithmus in Minuten.
Für Cyberangriffe auf kritische Infrastrukturen bedeutet das eine qualitative Verschiebung. Öffentliche Infrastrukturdaten werden zum Werkzeug für die Angriffsvorbereitung. Ein Akteur, der eine Attacke auf ein Energieversorgungsnetz plant, braucht zunächst Antworten auf operative Fragen: Welche Komponente ist am stärksten vernetzt? Wo entsteht der größte Schaden bei einem Ausfall? Welche OT-Systeme sind im Einsatz, und welche bekannten Schwachstellen existieren dafür? Kapazitätskarten, Netzentwicklungspläne und – besonders relevant – Vergabeunterlagen für IT-Systeme liefern genau diese Informationen. Wer weiß, welche Trafostation den kritischsten Knotenpunkt im Netz darstellt, kann im Falle eines Cyberangriffs gezielt dort ansetzen und den maximalen Kaskadeneffekt auslösen.
Mehr Transparenz für Markt und Gesellschaft auf der einen Seite – wachsende Bedrohungslage auf der anderen
Transparenz pauschal zu reduzieren, wäre in der Debatte der falsche Reflex. Offenlegungspflichten sind ein demokratisches Fundament. Öffentliche Kontrolle von Infrastrukturentscheidungen, Bürgerbeteiligung in Genehmigungsverfahren, Wettbewerb im Energiemarkt: All das setzt voraus, dass relevante Informationen zugänglich sind.
Das eigentliche Problem liegt woanders. Die Logik, nach der viele Transparenzpflichten konzipiert wurden, stammt aus einer Zeit, in der die Bedrohungslandschaft noch anders aussah. Was vor fünfzehn Jahren als sinnvolle Offenheit galt, ist heute unter veränderten Bedingungen potenziell ein Angriffsvektor. Gleichzeitig plant der Gesetzgeber mit dem Netzanschlusspaket, der Novelle des Telekommunikationsgesetzes (TKG) und HEDWIG gleich mehrere Vorhaben, die Offenlegungspflichten weiter ausweiten würden – ohne dass eine systematische Sicherheitsprüfung erkennbar Teil des Gesetzgebungsprozesses wäre.
Drei Prinzipien, die den Unterschied machen
Der Weg aus diesem Dilemma führt nicht über pauschale Einschränkungen, sondern über eine differenzierte Schutzarchitektur. Drei Prinzipien sollten dabei als Mindeststandard für alle KRITIS-bezogenen Daten gelten.
- Das Need-to-know-Prinzip stellt die entscheidende Frage zuerst: Wer braucht welche Information – und wofür? Nicht jede Partei, die ein legitimes Interesse an Infrastrukturdaten hat, braucht denselben Detailgrad. Ein Netzbetreiber, der Anschlusskapazitäten plant, benötigt andere Informationen als ein Investor, der Marktpotenziale bewertet.
- Data Minimization übersetzt diesen Grundsatz in konkrete Datentiefe: So wenig Granularität wie möglich, so viel wie der Regelungszweck tatsächlich erfordert. Kapazitätskarten, die räumlich und zeitlich abstrahiert sind, erfüllen ihren Zweck für die Netzplanung – ohne dabei kritische Standorte zu exponieren.
- Abgestufte Zugriffe schaffen die technische und rechtliche Infrastruktur dafür: eine öffentliche Informationsebene für allgemeine Markt- und Planungsdaten, eine zugangsbeschränkte Ebene für sicherheitssensible Details, die nur berechtigten Stellen offensteht.
Diese Prinzipien greifen jedoch nur, wenn sie von Anfang an in Gesetzgebungsverfahren eingebaut werden – und nicht nachträglich als Ausnahmetatbestand hinzugefügt werden. Dazu kommt eine Dimension, die in der aktuellen Debatte zu wenig Beachtung findet: Selbst die beste Schutzarchitektur eliminiert das Restrisiko nicht. Informationen können kompromittiert werden, Angriffe können trotz aller Vorsicht gelingen.
Wer kritische Infrastrukturen betreibt, muss deshalb parallel sicherstellen, dass der Betrieb auch dann aufrechterhalten werden kann, wenn der Schutzwall einmal versagt. Business Continuity Management und Krisenmanagement sind in diesem Kontext keine Notfallplanung für den Worst Case, sondern eine strukturelle Resilienzanforderung, die Prävention und Reaktionsfähigkeit erst vollständig macht.
Die Bewährungsprobe steht bevor
Transparenz und Sicherheit sind kein Widerspruch – aber sie müssen fortwährend neu ausbalanciert werden. Nicht einmalig beim Erlass eines Gesetzes, sondern kontinuierlich, im Takt der sich verändernden Bedrohungslage. Das BDEW-Papier liefert dafür eine überfällige Grundlage.
Mit dem Netzanschlusspaket, der TKG-Novelle und HEDWIG befinden sich drei Gesetzgebungsvorhaben in der Pipeline, die Transparenzpflichten für kritische Infrastrukturen weiter ausweiten würden. Jedes dieser Verfahren ist eine Gelegenheit, es besser zu machen: Sicherheitsprüfung nicht als nachgelagerten Vorbehalt, sondern als festen Bestandteil des Entwurfsprozesses. Need-to-know, Data Minimization und abgestufte Zugriffe nicht als Ausnahme, sondern als Standard. Wer diese Chance vergibt, schafft Regelungen, die in fünf Jahren erneut überprüft werden müssen – unter möglicherweise noch ungünstigeren Bedingungen.
Anmerkung
[1] BDEW: Angemessene Transparenz schaffen: Sicherheitsrelevante Informationen in der Energie- und Wasserwirtschaft schützen, Berlin, 07.04.2026, abrufbar unter: www.bdew.de/media/original_images/2026/04/09/bdew-vorschlage-zur-neubewertung-von-transparenzpflichten-9.pdf
Oliver Hanka, Partner Cyber Security & Privacy, Annekathrin Enke, Director Business Continuity & Resilience Management, PwC Deutschland, München
oliver.hanka@pwc.com