Bild: © vectorfusionart/stock.adobe.com
DIGITAL SOUVERÄNE CYBERSICHERHEIT
Digitale Souveränität und Angriffserkennung in EEAs Digitale Souveränität ist auch im Sektor der Erneuerbare-Energie-Anlagen ein Thema. Damit einher geht die Herausforderung der Cybersicherheit von Windkraft-, Wasserkraft- und Photovoltaikanlagen. Investoren, Betreiber und Hersteller können beides mit einem Sicherheitsmonitoring vereinen. VON NICOLAI SUKUP
E
s gab wenige Themen, die auf der „Husum Wind“ im September 2025 so präsent waren wie die digitale Souveränität. Zugleich kommen Investoren und Betreiber von Erneuerbare-Energie-Anlagen (EEA) nicht umhin, Komponenten aus Ländern einzusetzen, die eigene geopolitische Agenden im Cyberraum verfolgen und eigenwillige Vorstellungen von Datenschutz haben. Dabei richtet sich der Blick nicht nur gen Osten. Selbst die USA müssen unter den gegebenen politischen Zerwürfnissen und im Lichte des US Cloud Act kritisch betrachtet werden. Die Zwickmühle jedoch bleibt: Kostendruck und Verfügbarkeitsfragen stechen vielerorts den Wunsch nach Souveränität und (Cyber-)Sicherheit aus. So bleibt den Verantwortlichen für EEAs nichts anderes
20
6/2025
übrig, als dieses Risiko bewusst einzukaufen. Trotz alledem können und müssen sie damit einen Umgang finden.
Das Cyberrisiko ist real Seit Jahren zeigt sich, wie Cybersicherheit und digitale Souveränität Hand in Hand gehen. Zum einen nahmen die Cybervorfälle auf den Energiesektor seit 2020 sprunghaft zu. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) registrierte zwischen 2020 und 2024 eine Zunahme der gesetzlich meldepflichtigen Cybervorfälle von 495 auf 1.340. Der Anteil des Energiesektors an diesen stieg von 2 auf 14 %. Fast die Hälfte dieses Anteils wurde auf bösartige Aktivitäten zurückgeführt. Im Vergleich: Der Durchschnitt für bösartige Auslöser von Cybervorfällen über alle zwölf Sektoren betrug „nur“ 28 % [1].
Zum anderen ist Cyberkriminalität für den Energiesektor nicht das einzige Problem bei der Cybersicherheit. Auch wenn viele EEA so ausgelegt sind, dass sie nicht unter die Schwellenwerte der BSI-KRITISVerordnung fallen, bilden sie eine kritische Infrastruktur für unser Land. Dementsprechend stehen sie auch staatlich gelenkten Akteuren gegenüber, die weniger auf schnelle Ransomware-Disruption setzen, sondern auf Spionage und langfristige Präpositionierung im Rahmen hybrider Kriegsführung. Anzeichen dafür häufen sich seit Jahren: •D er Microsoft-France-Chefjustiziar erklärte März 2025 unter Eid, dass er selbst für europäische Microsoft-Server nicht garantieren kann, dass die dort gespeicherten Unternehmensdaten nicht an US-Behörden gelangen. Microsoft un-
www.r-energy.eu