Cyberangriffe auf industrielle Steuerungssysteme in der Energie- und Wasserversorgung werden komplexer und zielgerichteter.

(WK-intern) – Gleichzeitig wachsen die Abhängigkeiten zwischen IT- und OT-Systemen, wodurch Sicherheitsvorfälle an deren Schnittstellen immer häufiger entstehen und sich wechselseitig auf Betriebs- und Informationssysteme auswirken.

Im Rahmen des Projekts EnerCise III hat das Fraunhofer IOSB-AST im Auftrag des Future Energy Labs der dena – Deutsche Energie-Agentur, ein umfassendes Übungskonzept entwickelt, das Betreibern Kritischer Infrastrukturen ermöglicht, ihre Incident-Response-Fähigkeiten im OT-Umfeld praxisnah zu erproben und weiterzuentwickeln.

„Die Besonderheit der EnerCise-Übungen liegt darin, dass Personen aus verschiedenen Organisationen und Positionen zusammenkommen und gemeinsam für den Ernstfall zu trainieren. Dadurch entstehen branchenweite Austausche und neue Netzwerke, die auch nach den Übungen bestehen bleiben.“ erklärt Marius Dechand, Deutsche Energie-Agentur

Bestehende Schulungsformate im Bereich der Cybersecurity adressieren häufig entweder rein technische oder rein organisatorische Aspekte der Vorfallbewältigung. Eine realitätsnahe Erprobung des Zusammenspiels zwischen Leitwarte, OT-Betrieb, OT-Security, IT-Administration, Informationssicherheitsmanagement und Geschäftsführung fehlte bislang weitgehend. Genau hier setzt das im Projekt EnerCise III entwickelte Konzept an.

Die Übung ist als szenariobasierte, rollenorientierte Ganztags-Simulation konzipiert und bildet einen realitätsnahen Sicherheitsvorfall entlang der fünf Phasen des Incident-Response-Prozesses nach ISO/IEC 27035 ab: Prepare, Detect & Report, Assess & Decide, Respond und Lessons Learned. Im Mittelpunkt stehen Entscheidungsfindung, Kommunikation, Eskalation und bereichsübergreifende Zusammenarbeit unter Bedingungen unvollständiger und teils widersprüchlicher Informationen.

Das zugrunde liegende Szenario simuliert eine mehrstufige Supply-Chain-Kompromittierung: Angreifer haben den Firmware-Update-Prozess eines Geräteherstellers manipuliert. Nach Installation der kompromittierten Firmware auf Steuerungskomponenten entfaltet sich die Schadfunktion zeitlich versetzt – von verdeckter Command-and-Control-Kommunikation über manipulierte Industrieprotokolle bis hin zu Prozessabweichungen und automatisierten Schutzabschaltungen. Die Symptome sind bewusst so gestaltet, dass sie zunächst als gewöhnliche Betriebsstörungen interpretiert werden können und erst durch systematische Korrelation als Cyberangriff erkennbar werden. Technische Basis sind mobile Schulungsplattformen sowie zentrale Leitsystem- und Angriffserkennungssystem-Infrastrukturen, die im Lernlabor Cybersicherheit Energie- und Wasserversorgung am Fraunhofer IOSB-AST entwickelt wurden.

Methodisch kombiniert das Konzept drei didaktische Ansätze:

Technische Hands-on-Phasen an realitätsnahen Trainingsplattformen für operative und analytische Rollen
Tabletop-Elemente für Lagebewertung, Entscheidungsfindung und strategische Koordination
Ein Capture-the-Flag-Ansatz als übergreifendes Feedback- und Motivationsinstrument

Bis zu acht funktionale Rollen – von Leitstellenpersonal über OT-Security-Analyse und Incident Coordinator bis zum Krisenstab – ermöglichen eine differenzierte Abbildung organisatorischer Schnittstellen. Die Übung ist für elf bis fünfundzwanzig Teilnehmende skalierbar und orientiert sich an den gesetzlichen Anforderungen gemäß § 8a BSIG sowie den BSI-Standards 200-2 und 200-4.

„Hybride Bedrohungen erfordern hybride Übungsformate. Wer Incident Response nur am Schreibtisch plant, wird im Ernstfall an den Schnittstellen zwischen Technik und Organisation scheitern. Mit EnerCise III schaffen wir ein Lern- und Erprobungsformat, das diese Schnittstellen gezielt adressiert und Betreibern Kritischer Infrastrukturen ermöglicht, ihre Reaktionsfähigkeit unter realistischen Bedingungen zu stärken“, erläutert Thomas Bauer vom Fraunhofer IOSB-AST.

Das Übungskonzept leistet damit einen konkreten Beitrag zur Stärkung der organisationalen Resilienz Kritischer Infrastrukturen und zur Weiterentwicklung von Best Practices im Bereich OT-Cybersicherheit. Im weiteren Projektverlauf wird die Übung mit Betreibern aus der Energie- und Wasserversorgung durchgeführt und die gewonnenen Erkenntnisse durch eine wissenschaftliche Begleitung systematisch ausgewertet.

Kostenfreie Anmeldungen für die EnerCise III – Cybersicherheitsübung am 23. Juni 2026 in Berlin sind noch möglich unter: https://future-energy-lab.de/events/enercise-iii-cybersicherheitsuebungen-fuer-den-energiesektor/

Weiterführende Fragen zum Thema beantwortet Ihnen gerne Antonia Hotzan, 03677 461-141, antonia.hotzan@iosb-ast.fraunhofer.de

Über das Fraunhofer IOSB-AST:

Das Fraunhofer IOSB-AST ist Teil der Fraunhofer-Gesellschaft, der weltweit führenden Organisation für angewandte Forschung. Wir sind die Experten für Angewandte Systemtechnik. Seit über 30 Jahren machen wir kritische Infrastrukturen effizient, resilient und nachhaltig. Unsere Forschungsschwerpunkte sind Kognitive Energiesysteme und Energiemanagement, Eingebettete Intelligente Systeme und Unterwasserrobotik.

Wir überführen unsere Ergebnisse in den Bereichen Elektrotechnik, Informations- und Kommunikationstechnologie sowie technischer Kybernetik in marktreife Systemlösungen für Wirtschaft und öffentliche Auftraggeber.

PM: Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB / Institutsteil Angewandte Systemtechnik (AST)

PB: dena Future Energy Lab. Copyright: Claudius Pflug