In diesem Artikel geht es um eine Bestandsanalyse der Regulatorik, marktreifen Technik und Forschung mit Hinblick auf den Schutz der elektrischen Infrastruktur und Netze vor physischen Ereignissen und Angriffen.
Es ist wichtig zu erwähnen, dass die meisten und größten (hinsichtlich nicht versorgter Kunden) Stromausfälle der Welt durch technisches oder menschliches Versagen verursacht werden, weit weniger durch Naturkatastrophen oder physische Angriffe. Während jedoch das Versagen mehr oder minder einer Stochastik unterliegen, gibt es bei den physischen Angriffen die Dimension der koordinierten Zerstörung hinsichtlich des Zeitpunkts, der Ziele und des Umfangs. Darüber hinaus gibt es bei den Naturkatastrophen die Dimension des großflächigen Zerstörungspotentials. Naturkatastrophen oder physische Angriffe führen damit auch zu wesentlich längeren Ausfallzeiten.
Wenn man die Bedrohungslage als zunehmend betrachtet (Klimawandel, hybride Kriegsführung), dann muss eine Gesellschaft Maßnahmen ergreifen.
In der deutschen Energiewirtschaft, Politik und Medienlandschaft spielten physische Ereignisse in der Vergangenheit eine untergeordnete Rolle. Während für Cyberangriffe Regularien geschaffen, Forschung betrieben und Gelder bereitgestellt wurden, befand sich der physische Schutz der elektrischen Energieversorgung in Deutschland und Europa auf dem Stand der Technik von vor vielen Jahren und war kein Thema der Diskussion.
Das änderte sich zum einen durch Extremwetterereignisse wie im Ahrtal, dem Überfall Russlands auf die Ukraine und durch zunehmende Sabotage auf kritische Infrastrukturen. Mit dem „KRITIS-Dachgesetz“ (Regierungsentwurf verabschiedet am 10.09.2025) gibt es jetzt zum ersten Mal eine umfangreiche Regulatorik, um den Schutz von physischen Ereignissen und Angriffen zu berücksichtigen. Damit soll auch die CER-Richtlinie der Europäischen Union umgesetzt werden. Das Gesetzt ist jedoch noch nicht verabschiedet und die Branche muss sich zunächst noch einarbeiten.
Es macht Sinn, den Schutz gegen physische Ereignisse und Angriffe separat von den anderen Gefahren für die elektrische Energieversorgung zu betrachten (siehe Abb. 1). Maßnahmen gegen Auswirkungen von Pandemien, einem Cyberangriff oder Strommangel müssen auf einer anderen Ebene gesetzt werden als der physische Schutz.
Im Gesamtkonzept sind alle Maßnahmen wichtig, aber die separate Betrachtung der physischen Ereignesse erlaubt den Fokus auf den physischen Schutz zu legen.
Schutzmaßnahmen für den physischen Schutz umfassen bauliche Sicherungen, Zutrittskontrollen, Überwachungssysteme, visuelle Abschottung, Geheimhaltung sensibler Standortinformationen sowie die enge Zusammenarbeit von Netzbetreibern mit Sicherheitsbehörden. Es umfasst auch bauliche Maßnahmen zum Schutz gegen Natureinflüsse, beispielsweise einen Überschwemmungsschutz, einen Blitzableiter, einen Brandschutz und einen Schutz vor Tieren.
Dabei muss im Hinblick auf physische Angriffe klar sein, dass man keinen absoluten Schutz erschaffen kann, aber den Angriff deutlich erschweren und das die Angreifer mit Konsequenzen rechnen müssen. Es muss auch nicht jede Infrasturktur gesichert werden: je größer die Konzequenz eines Ausfalls und die geschätzte Ausfallzeit desto höher muss der Schutz sein. Gerade die zentralen Höchstspannungs-Umspannwerke mit den großen Leistungstransformatoren sind hier besonders schützenswert [1].
Abbildung 3 zeigt die Schutzzonen, die man beim pyhsischen Schutz gegen Angriffe auf elektrische Infrastruktur ansetzen kann.
Dabei sind die ersten drei Zonen diejenigen, welche am kosteneffizientesten ausgebaut werden können.
Abschrecken
- Ein einfacher Punkt ist der Sichtschutz. Wenn nicht direkt erkennbar ist, wie etwas gesichert ist und was zu beschädigen gilt, kann das potenzielle Täter abschrecken und dazu bringen, sich leichtere Ziele (mit weniger Auswirkung) zu suchen.
- Offensichtliche Videoüberwachung: Diese hilft nicht nur bei der Erkennung von Angriffen (siehe Erkennen) und der Identifizierung von Angreifern, sondern auch bei der Abschreckung.
- Offensichtliche Hürden und mechanische Barrieren wie Zäune, Mauern oder Pfosten (Bollards) (siehe Verweigern)
Erkennen
- Viedoüberwachung – zum Beispiel KI-gestützt und mit Anbindung an die Leitstelle
- Alarmanlagen und versteckte Sensorig
Verweigern
- Lückenlose mechanische Barrieren wie Zäune, Mauern oder Pfosten (Bollards)
- Zugangskontrollen mit ggf. 2-Faktor Authentifizierung
Die Rahmenbedingungen für die Regulatorik des physischen Schutzes kritischer Infrastrukturen sollen in Deutschland in Zukunft mit dem „KRITIS-Dachgesetz“ [2] (siehe auch den Beitrag) festgelegt werden und auch in einer Resilienzstrategie verankert werden. Das Gesetz wird voraussichtlich im Jahr 2026 von der Legislative in Kraft gesetzt. Technische Umsetzungen sind jedoch noch offen und müssen durch erarbeiten eines Stand der Technik noch ermittelt werden.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat diverse Leitfaden und Papiere erstellt, die unterschiedliche Parteien bei der Vorbereitung auf Stromausfälle hefen sollen [3].
Das Forum Netztechnik/Netzbetrieb im VDE (FNN) hat in 2025 einen Hinweis „Aufbau und Betrieb resilienter Stromnetzinfrastrukturen“ [4] veröffentlicht, dass als erste Schritt zu einer Anwendungsregel gilt. Neben Grundlagen und Gefährdungsszenarien werden Handlungsempfehlungen für ein Resilienzmanagement behandelt.
In der Studie „State of the Art der Forschung zur Verwundbarkeit Kritischer Infrastrukturen am Beispiel Strom/Stromausfall” des Forschungsforums Öffentliche Sicherheit aus dem Jahr 2011 wurde die Verwundbarkeit der Elektrizitätsversorgung und mögliche Handlungsoptionen untersucht [5]. Als Maßnahmen werden die Vorbereitung auf Ereignisse (Prävention), das Training für den Fall des Eintritts eines Ereignisses (Reaktion) und die Einführung von „Risk Governance”-Prozessen genannt.
Der Bundesverband Sicherheitstechnik e.V. hat in 2025 ein Leitfaden „Vorsorgemaßnahmen zum Schutz lebenswichtiger Anlagen und Einrichtungen“ veröffentlicht [6]. Dort werden Mindest-Standads der physischen Sicherheit beschrieben so Anforderungen an die Produkte definiert.
Eine gute Übersicht über den Schutz kritischer Infrastrukturen im Allgemeinen bietet die Internetseite „https://kritis-info.de“. Es werden technische Schutzmaßnahmen sowie organisatorische Maßnahmen und Prozesse behandelt. Es ist ein Blog, der auch altuelle Entwicklungen aufgreift.
Technische Standards und Spotlights von Unternehmen
Beim Thema physischer Schutz gegen Angriffe können Deutschland und Europa von den USA lernen. In den USA gibt es aufgrund vergangener Anschläge bereits seit Längerem Regulierungen sowie Angebote von Dienstleistern. So beschreibt der „Reliability Standard CIP-014-2“ der North American Electric Reliability Corp (NERC) die Pflichten von Netzbetreibern, Maßnahmen für die physische Resilienz zu ergreifen. Der IEEE hat die Regulatorik in eine technische Anwendungsregel „IEEE Guide for Physical Security of Electric Power Substations“ überführt [7]. Es ist vergleichbar zu dem „KRITIS-Dachgesetz“.
Die US „Cybersecurity and Infrastructure Security Agency„, kurz CISA, hat ein einenen kurzen „Sektor Spotlight“ veröffentlicht [8], welches die wesentlichsten Punkte zum Schutz eines Umspannwerks darstellt. Es stellt Eigentümern, Betreibern und Interessengruppen aktuelle Informationen zu Bedrohungen sowie Schutzmaßnahmen bereit, die zur Verbesserung der physischen Sicherheit in Umspannwerken beitragen können. Letztlich sollen damit die Auswirkungen eines Angriffs verringert oder minimiert werden.
Aus dem industriellen Bereich gibt es von ABB USA auch ein gutes Whitepaper “Five steps to substation physical security and resiliency” [9], welcher auch die Schutzebenen aus Abbildung 3 mit aufgreift.
In einem Whitepaper [10] dokumentiert die Firma Siemens USA den Weg eines Retrofits zu einer schusssicheren Transformatorstation.
Wissenschaft und Medien
In der deutschen Forschung gab es mit „RESIST” ein größeres Projekt, das sich mit Resilienz im Stromnetz beschäftigte [11]. Im Forschungsprojekt „LINDA” wurde untersucht, wie eine lokale Inselnetzversorgung und ein beschleunigter Netzwiederaufbau mithilfe dezentraler Erzeugungsanlagen bei großflächigen Stromausfällen helfen können [12].
Ein Projekt das sich mehr mit des „Vulnerabilität und Resilienz des digitalen Stromsystems“ auseinandersetzte war das Projekt „Strom+-RESILIENZ“. Wie gesagt gibt es um Thema Cybersicherheit in der Energiewirtschaft deutlich mehr Schriften aus der Forschung, durch Leitlienen und Gesetze als für die physische Resilienz. Dennoch werden im Abschlussbericht „Strom+-RESILIENZ“ [13] einige Optionen zur Ausgestaltung der Rahmenbedingungen für ein resilientes Energiesystem formuliert, welche sich auf die physische Resilienz übertragen lässt.
In einem wissenschaftlichen Beitrag [14] analyisiert Saulius Rimutis vom Eastern Euroupe Studies Centre die Lessons Learneds hinsichtlich der Angriffe auf die Energieinfrastruktur im Ukrainekrieg. Der Beitrag zeigt zunächst eine Übersicht zu den Schäden auf, beschreibt getroffene Maßnahmen zu mehr Resilienz und weißt auf Zukunftschancen hin.
Referenzen
[1] Dragoș Pasculescu, Daniel N. FÎȚĂ, Roxana HERBEI: „UMSPANNWERKE: Kritische Energieinfrastrukturen“, ISBN 6203916935
[2] Bundesregierung: „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“, online: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/KM4/reg-kritis-dachgesetz.pdf?__blob=publicationFile&v=1
[3] BKK, „KRITIS-Sektor: Energie“, online: https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/Sektoren-Branchen/Energie/energie_node.html
[4] FNN: „Aufbau und Betrieb resilienter Stromnetzinfrastrukturen“, https://www.vde-verlag.de/buecher/636500/aufbau-und-betrieb-resilienter-stromnetzinfrastrukturen.html
[5] Forschungsforums Öffentliche Sicherheit: „State of the Art der Forschung zur Verwundbarkeit Kritischer Infrastrukturen am Beispiel Strom/Stromausfall”, https://www.sicherheit-forschung.de/forschungsforum/schriftenreihe_neu/sr_v_v/SchriftenreiheSicherheit_02.pdf
[6] Bundesverband Sicherheitstechnik e.V. „Vorsorgemaßnahmen zum Schutz lebenswichtiger Anlagen und Einrichtungen“ https://www.bhe.de/_Resources/Persistent/a/a/9/c/aa9c10c2c2d4b1acbff3926b512876043e9c4d36/KRITIS-Konzept_11-2025_digital.pdf
[7] IEEE: „1402-2021 – IEEE Guide for Physical Security of Electric Power Substations”, https://ieeexplore.ieee.org/document/9611203/references#references
[8] CSIA: „Sector Spotlight: Electricity Substation Physical Security“, https://www.cisa.gov/resources-tools/resources/sector-spotlight-electricity-substation-physical-security
[9] ABB Whitepaper „Five steps to substation physical security and resiliency”, https://library.e.abb.com/public/e8924c3fb5c5400a8890a8c88b6533b5/ABB%205%20Steps%20to%20Substation%20Physical%20Security.pdf
[10] Simens Whitepaper „Bullet resistant power transformer retrofit“, https://assets.new.siemens.com/siemens/assets/api/uuid:7e00827a-dc7b-483e-880e-da3134df7565/br-retrofit-brochure.pdf
[11] RESIST – „Resilienz der Stromversorgung steigern in Zeiten der Energiewende”, https://strom-resist.de
[12] LINDA – „Lokale Inselnetzversorgung und beschleunigter Netzwiederaufbau mit
dezentralen Erzeugungsanlagen bei großflächigen Stromausfällen”, https://www.lew.de/media/5875/schlussbericht_linda_final.pdf
[13] Strom+-RESILIENZ – „Vulnerabilität und Resilienz des digitalen Stromsystems“, https://www.strom-resilienz.de/data/stromresilienz/user_upload/Dateien/Schlussbericht_Strom-Resilienz.pdf
[14] Eastern Euroupe Studies Centre „Lessons of War: Ukraine’s Energy Infrastructure Damage, Resilience and Future Opportunities“, https://www.gssc.lt/wp-content/uploads/2024/05/v04_Rimutis_Ukrainos-energetikos-sektoriaus-zala_EN_A4.pdf