24. Mai 2026 | Artikel drucken | |

Zero Trust beim Energieversorger: Was die NIS2-Audits jetzt aufdecken

8 Min. Lesezeit

Am 29. April 2026 haben CISA, das US-Energieministerium und vier weitere Behörden eine gemeinsame Empfehlung zur Anwendung von Zero-Trust-Prinzipien auf Operational Technology veröffentlicht. Drei Wochen später beginnen in Deutschland die ersten BSI-Audits nach dem NIS2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 in Kraft ist. Energieversorger stehen damit doppelt unter Druck. Wer ein flaches Netz mit gemeinsamen Identitäten zwischen IT und OT betreibt, gilt nach dem neuen IT-Sicherheitskatalog der BNetzA nicht mehr als Stand der Technik. Volt Typhoon hat im vergangenen Jahr gezeigt, wofür das in der Praxis genutzt wird.

Das Wichtigste in Kürze

  • NIS2 in der Energie ist seit Dezember 2025 scharf. Die BSI- und BNetzA-Pflichten gelten, Audits laufen ab Sommer 2026 produktiv. Die Registrierung beim BBK nach KRITIS-Dachgesetz muss bis 17. Juli 2026 abgeschlossen sein.
  • Zero-Trust für OT ist nicht aus der IT kopiert. Die CISA-Empfehlung vom 29. April 2026 stellt klar: Segmentierung, Identity-Boundaries und Asset-Sichtbarkeit müssen für die Constraints von SCADA, Schutztechnik und Leitsystem konstruiert sein, nicht retrofittet.
  • Die häufigste Lücke liegt an der IT-OT-Grenze. Gemeinsame Service-Accounts, geteilte Domain-Strukturen und unsegmentierte Wartungszugänge sind 2026 der Pfad, über den IT-Kompromittierungen die Leitwarte erreichen.

Verwandt:Adaptive MFA als Zero-Trust-Hebel  /  NIS2-Enforcement trifft 29.500 Firmen

Wie ein DACH-Energieversorger Zero-Trust 2026 anfängt

Das folgende Bild verdichtet aus mehreren öffentlich diskutierten Versorger-Programmen ein typisches Vorgehen, nicht einen einzelnen Konzern. Reale Namen werden bewusst weggelassen, weil belastbare öffentliche Quellen fehlen. Wer eine fertige Vendor-Geschichte sucht, liegt hier falsch. Wer den Anker für die eigene Roadmap sucht, findet ein realistisches Vorgehen.

Ausgangslage ist ein Verteilnetzbetreiber im mittleren dreistelligen MW-Bereich, mehrere Umspannwerke, eigene Leitwarte, Microsoft-zentrierte IT-Welt und ein historisch gewachsenes ICS-Netz. Die BNetzA hat den Versorger 2025 als KRITIS gelistet, der NIS2-Status ist mit Inkrafttreten des Umsetzungsgesetzes im Dezember 2025 dazugekommen. Der Prüfdruck kommt parallel aus dem IT-Sicherheitskatalog der BNetzA und der Vorbereitung auf das ISO-27019-Re-Zertifikat.

Das erste belastbare Audit-Ergebnis aus dem internen Pre-Assessment war unbequem. 41 Service-Accounts mit Berechtigungen in beiden Welten. Fünf Wartungs-VPNs, die ohne MFA in OT-Segmente hineinreichten. Eine Active-Directory-Struktur, die einen Domain-Admin-Kompromiss direkt in die Leitwarte verlängert hätte. Genau das Muster, gegen das die CISA-Empfehlung explizit warnt.

Fünf Schritte, die das Programm tatsächlich getragen haben

Statt einer Zero-Trust-Architektur am Reißbrett wurde in fünf priorisierten Schritten gearbeitet. Jeder hat ein Audit-Artefakt erzeugt, das der Wirtschaftsprüfer ohne Erklärung versteht.

Fünf priorisierte Schritte für Zero-Trust im Energieversorger
Schritt 1
Asset-Inventur in IT und OT in einer Sicht. Vor jeder Policy steht die Liste der Geräte, Protokolle, Firmware-Stände und Eigentümer. Ohne dieses Inventar bleibt Segmentierung Theorie. In der Praxis: passives Listening am OT-Mirror-Port, abgeglichen mit dem CMDB-Stand.
Schritt 2
Identitäts-Trennung an der IT-OT-Grenze. Gemeinsame Service-Accounts werden aufgelöst, OT-Konten landen in einem separaten Identity-Bereich mit eigenen Lebenszyklen. Phishing-resistente Faktoren wie FIDO2 für administrative Zugänge sind nicht mehr verhandelbar.
Schritt 3
Microsegmentation ab dem Purdue-Level 3. Der harte Schnitt verläuft zwischen Manufacturing Operations (Level 3) und Process Control (Level 2). Jeder Übergang läuft über ein erklärungsfähiges Gateway, jede Regel hat einen Owner. Default ist deny, nicht allow.
Schritt 4
SzA für OT mit eigenem Use-Case-Katalog. Das System zur Angriffserkennung nach BSI-Vorgabe deckt OT-spezifische Muster ab, nicht nur die IT-Logik. Anomalien in Modbus, IEC 60870-5-104 oder DNP3 brauchen eigene Detektoren und Eskalationspfade ins SOC.
Schritt 5
Incident-Response mit BBK-Pfad und 24-Stunden-Meldung. Die NIS2-Erstmeldung an das BSI ist binnen 24 Stunden Pflicht, die endgültige innerhalb von 72 Stunden. Der Pfad zum BBK aus dem KRITIS-Dachgesetz wird parallel geübt. Die Playbooks unterscheiden zwischen IT- und OT-Vorfall.

Die Reihenfolge ist kein Geschmacksvorschlag. Wer mit Schritt drei beginnt, ohne die Asset- und Identitätslage zu kennen, segmentiert auf Annahmen. Das hält keiner Belastungssituation stand.

29.500
deutsche Einrichtungen fallen unter die NIS2-Umsetzung, sechs Mal mehr als unter der bisherigen KRITIS-Verordnung. Bußgelder reichen bis 10 Mio. Euro, die Erstmeldepflicht beträgt 24 Stunden.
Quelle: BSI / OpenKRITIS, Stand März 2026

Was die CISA-Empfehlung für DACH-Versorger heißt

Die gemeinsame Empfehlung vom 29. April 2026 ist nicht nur eine US-Lektüre. Sie liefert vier Punkte, die in jedem DACH-Versorger-Audit hochkommen werden. Erstens, dass Identitäten zwischen IT und OT nicht geteilt werden dürfen. Zweitens, dass Sichtbarkeit auf Asset- und Protokollebene Voraussetzung für Segmentierung ist. Drittens, dass Default-Deny in OT funktionieren muss, ohne den Betrieb zu blockieren. Viertens, dass Incident-Response in OT eigene Playbooks und eigene Übungen braucht.

Volt Typhoon ist in der Empfehlung explizit genannt. Das Muster, IT-Credentials zu kompromittieren und sich in OT zu lateralisieren, ist mittlerweile Standard. Ein Versorger, der seine OT-Identitäten nicht trennt, verlässt sich auf den Schutz seiner IT-Domäne. Dieser Schutz hat in mehreren öffentlichen Vorfällen nicht gehalten.

Wo Versorger 2026 noch scheitern

Drei Fehler tauchen in der Praxis am häufigsten auf. Der erste ist organisatorisch. OT-Sicherheit hängt im Betrieb, IT-Sicherheit im CIO-Bereich. Ohne eine gemeinsame Verantwortung, die in der Geschäftsführung verankert ist, zerfällt jede Zero-Trust-Strategie an der Naht. NIS2 macht das Management explizit haftbar, was die Trennung politisch unhaltbar macht.

Der zweite Fehler ist technisch. Wartungs-VPNs für Anlagenhersteller werden als Sonderfall behandelt und damit aus der Microsegmentation herausgenommen. Genau das wird in mehreren öffentlichen Energie-Vorfällen der vergangenen zwei Jahre als initialer Vektor genannt. Wer hier eine pauschale Ausnahme zulässt, hebelt das eigene Konzept aus.

Der dritte Fehler ist prozessual. Die 24-Stunden-Frist der NIS2-Erstmeldung wird selten geübt. In der Realität bedeutet sie, dass eine Bereitschaft die Meldung autorisiert ausgeben können muss, ohne den Konzernvorstand zu wecken. Ohne Probemeldungen und ohne dokumentierte Eskalationskette wird die Frist im Ernstfall nicht eingehalten.

Der Versorger aus dem Fallbild oben hat genau diese drei Stellen zuerst angefasst, bevor das technische Programm ausgerollt wurde. Drei Monate vor dem ersten BSI-Audit. Das ist der pragmatische Zeitraum, in dem die offenen Punkte real schließbar sind. Wer im Juni beginnt, hat im September nur Folien.

Häufige Fragen

Wann beginnt das erste BSI-Audit nach dem NIS2-Umsetzungsgesetz?

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten, die Registrierungspflicht läuft. Die BSI-Aufsicht ist seit Mai 2026 in der operativen Phase, erste Audits bei KRITIS-Energieversorgern werden für den Sommer 2026 erwartet. Wer die Risikomanagement-Maßnahmen nach Artikel 21 NIS2 nicht dokumentieren kann, hat hier ein Problem.

Was unterscheidet Zero-Trust in OT von Zero-Trust in IT?

OT-Umgebungen haben harte Verfügbarkeits- und Latenzanforderungen, Legacy-Protokolle ohne Verschlüsselung und Geräte, die nicht patchbar sind. Eine IT-Logik, die auf Continuous Verification bei jedem Request setzt, ist in einem Leitsystem nicht ohne Weiteres anwendbar. Die CISA-Empfehlung vom 29. April 2026 formuliert deshalb eine eigene OT-Lesart: Segmentierung, Identitäts-Boundaries und Asset-Sichtbarkeit gehen voraus, Continuous Verification wird gestaffelt.

Welche Rolle spielt ISO 27019 in der NIS2-Auditpraxis?

ISO 27019 ist die energiespezifische Erweiterung von ISO 27001. Sie deckt OT-spezifische Steuerungen ab, die der reine ISO-27001-Katalog nicht adressiert. Im IT-Sicherheitskatalog der BNetzA ist die Zertifizierung nach ISO 27001 plus 27019 vorgeschrieben. NIS2-Risikomanagement und ISO-27019-Anforderungen überlappen sich, deshalb lassen sich Audits zusammenführen, wenn die Dokumentation sauber ist.

Müssen Wartungs-VPNs vollständig in die Microsegmentation eingebunden werden?

Ja, mit eigenen, befristeten Identitäten und einer Detektion auf der Strecke. Pauschale Ausnahmen für Anlagenhersteller sind nach der CISA-Empfehlung und der Auditpraxis nicht mehr vertretbar. Eine Just-in-Time-Vergabe von Zugängen, kombiniert mit Session-Aufzeichnung, ersetzt den dauerhaften Site-to-Site-Tunnel.

Wie lässt sich das BBK aus dem KRITIS-Dachgesetz neben dem BSI bedienen?

Das KRITIS-Dachgesetz adressiert physische Resilienz, Sabotage und hybride Bedrohungen, NIS2 die IT-Sicherheit. Beide Pfade laufen parallel, mit getrennten Registrierungen. Versorger müssen bis 17. Juli 2026 zusätzlich beim BBK registriert sein. Operativ lohnt es sich, Vorfallmeldungen, Übungen und Notfallpläne so zu strukturieren, dass eine Meldung den jeweils zuständigen Pfad bedient, ohne doppelt aufgesetzt zu werden.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Platform Engineering für Compliance: IDPs erzwingen NIS2 und DORA

mybusinessfuture

Krisenplan statt Krisen-PR: vier Entscheidungen für KMU

digital-chiefs

Tech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap

Quelle Titelbild: Pexels

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH