Cyberangriffe auf die Infrastruktur gehören nicht mehr in die Rubrik Spionageromane. Wozu auch, wenn sie für Hamburg bereits zum Alltag gehören? Ein einziger Systemausfall – und schon kommt kein Treibstoff mehr an den Terminals an, Solaranlagen bleiben in einem „Verbindungsfehler“ hängen und Daten gehen auf Reisen. Besonders sensibel ist dies für die Energiewirtschaft, wo jeder Angriff die Infrastruktur der Stadt empfindlich treffen kann. Unser Überblick auf hamburgfuture.eu fasst kurz zusammen, was in Hamburg bereits geschehen ist, warum dies ein Warnsignal für Energieunternehmen ist und wie sie versuchen, sich auf künftige Cyberbedrohungen vorzubereiten.
Welche Cyberangriffe gab es bereits: Fälle aus Hamburg und Schlussfolgerungen für die Energiewirtschaft
Beginnen wir mit dem aufsehenerregendsten Fall: dem Hack bei Oiltanking – einem Betreiber von Öltanklagern mit Hauptsitz in Hamburg. Im Januar 2022 legte ein Angriff mit Schadsoftware die IT-Systeme des Unternehmens lahm. Betroffen waren mehrere Dutzend Standorte, darunter auch Hamburger Anlagen, sowie Kunden wie Shell. Für die deutsche Energielogistik war das ein Schlag ins Gesicht – Treibstoff konnte nicht verteilt werden, weil die Systeme stillstanden.
Dies ist kein Einzelfall, sondern eher ein erster lauter Weckruf. Ende desselben Jahres meldete die Hochschule für Angewandte Wissenschaften Hamburg (HAW Hamburg) einen massiven Cyberangriff auf ihre IT-Infrastruktur. Eine Bildungseinrichtung ist zwar kein Energieunternehmen, aber ihre Service-Cloud, Datenbanken, Verwaltungsmodule und Systeme zur elektronischen Identifizierung sind genauso verwundbar wie SCADA-Systeme zur Stromversorgung. Schließlich bildet die Universität künftige Energieingenieure aus und arbeitet mit Industriepartnern zusammen.
Beide Geschichten haben einen gemeinsamen Nenner – das Fehlen eines systematischen öffentlichen Informationsaustauschs. Über das wahre Ausmaß der Angriffe und konkrete Schwachstellen erfahren wir entweder durch Leaks oder durch Andeutungen in Berichten. Und das ist ein Risiko, das nicht weniger gefährlich ist als die Angriffe selbst. Denn ohne Analyse der eigenen Fehler wird es kaum möglich sein, sich beim nächsten Mal zu schützen.
Weiter geht es damit, was der Hamburger Energiesektor selbst unternimmt. Spoiler: Man sitzt nicht untätig herum.
Wie der Hamburger Energiesektor auf die Bedrohung reagiert: Was die Unternehmen wirklich tun
Nach dem Vorfall bei Oiltanking verschwand in Hamburg schnell die Illusion, dass Cyberangriffe „uns nichts angehen“. Die Energieunternehmen der Stadt begannen, pragmatisch und vorsichtig zu handeln. Erstens hörte Cybersicherheit auf, ein reines IT-Thema zu sein, und verlagerte sich auf die Managementebene. Bei städtischen und regionalen Netzbetreibern wird sie immer häufiger im gleichen Atemzug mit Netzstabilität und physischer Anlagensicherheit diskutiert.
Bezeichnend war eine Fachveranstaltung in Hamburg zum Schutz erneuerbarer Energien. Dort ging es darum, wie Windkraftanlagen, Solarparks und Wasserstoffanlagen geschützt werden können, die über digitale Systeme gesteuert werden. Ein besonderer Schwerpunkt lag auf der sogenannten Sektorkopplung, bei der Strom, Wärme, Gas und Wasserstoff zu einem steuerbaren Netz verbunden werden. Für Ingenieure bedeutet das Effizienz, für Hacker ein bequemes Einfallstor.
In der Praxis bedeutet dies mehrere parallele Schritte. Unternehmen überprüfen die Architektur ihrer IT- und OT-Systeme, trennen kritische Segmente ab und führen Zugriffsaudits durch. In Hamburg werden immer häufiger externe Spezialisten für Angriffssimulationen hinzugezogen – ohne Romantik, dafür mit kühlem Kalkül: Was bricht zuerst zusammen und wie schnell wird es bemerkt? Parallel dazu wächst das Interesse an der Mitarbeiterschulung, denn eine Phishing-E-Mail ist nach wie vor ein billigeres und effektiveres Werkzeug als ein komplexer technischer Hack.
Es gibt noch einen weniger offensichtlichen Aspekt. Als großer Hafen- und Energiestandort hängt Hamburg immer stärker von Lieferketten ab – Software, Dienstleistungsunternehmen, Cloud-Lösungen. Deshalb geht der Cyberschutz in Hamburg über die eigenen Server hinaus und umfasst auch Partnersysteme.
Die nächste Ebene sind die Spielregeln. Denn selbst die besten technischen Lösungen sind wenig wert, wenn sie nicht durch klare Verantwortlichkeiten untermauert werden. Hier betritt in Hamburg die NIS-2-Richtlinie die Bühne – nicht theoretisch, sondern ganz praktisch.
Was NIS-2 für die Hamburger Energiewirtschaft ändert
Für Hamburger Energieunternehmen betrifft die NIS-2-Richtlinie direkt diejenigen, die die Stadt mit Strom, Wärme, Treibstoff und Wasserstoff versorgen. Und das Wichtigste: Die Verantwortung versteckt sich nun nicht mehr irgendwo in den technischen Abteilungen. Für die Cybersicherheit haftet die Geschäftsführung, mit allen rechtlichen Konsequenzen.
In der Praxis bedeutet das mehrere Dinge. Erstens werden regelmäßige Sicherheitsaudits zur Pflicht und nicht mehr „je nach Budget“ durchgeführt. Zweitens müssen Vorfälle gemeldet werden – schnell und offiziell. Für Hamburg, wo der Ruf eines Unternehmens von entscheidender Bedeutung ist, ist diese Anforderung psychologisch nicht einfach zu erfüllen, aber notwendig – und nicht verhandelbar. Drittens können sich auch kleine Energieversorger und Netzbetreiber nicht mehr verstecken – NIS-2 greift auch bei ihnen.
Mythen und Fakten zur Cybersicherheit in der Hamburger Energiewirtschaft
Zum Schluss – ein paar Mythen und Fakten.
Mythos 1: „Deutschland ist ein Technologieland, hier ist alles längst gesichert.“
Fakt: Die Fälle Oiltanking und HAW Hamburg zeigen das Gegenteil. Der Digitalisierungsgrad ist hoch, die Abstimmung des Schutzes jedoch nicht. Genau das macht einen Cyberangriff in Hamburg so schmerzhaft.
Mythos 2: „Das Problem betrifft nur die großen Player.“
Fakt: Am häufigsten werden nicht die Flaggschiffe angegriffen, sondern Auftragnehmer und Dienstleister. Über sie gelangt man in die großen Energiesysteme.
Mythos 3: „Es reicht, teure Software zu kaufen.“
Fakt: Bei den Hamburger Vorfällen war nicht die Software entscheidend, sondern die Organisation der Prozesse – Zugriffsrechte, Backup-Szenarien, Reaktion des Personals.
In den kommenden Jahren wird Hamburg höchstwahrscheinlich zum Testfeld für ein neues Modell des Cyberschutzes in der deutschen Energiewirtschaft werden: mehr Transparenz, mehr Kontrolle der Lieferketten, weniger Illusionen. Aber was muss getan werden, damit Hamburg keine Cyberangriffe mehr erlebt? Wahrscheinlich braucht es dafür Verbände wie HITeC und Genies wie Bernhard Nocht.
