21.05.2026 – Das Fraunhofer IOSB-ASB bietet eine Cybersicherheitsübung für KRITIS-Betreiber im Bereich der OT an.
Im Auftrag des future energy Labs der Deutschen Energie-Agentur (dena) entwickelte das Fraunhofer IOSB-AST das Projekt EnerCise III für KRITIS-Betreiber. Der Schwerpunkt lag dabei darauf, dass die KRITIS-Betreiber ihre Incident-Response-Fähigkeiten im Umfeld der Operational Technology (OT) praxisnah simulieren und weiterentwickeln.
Lösungen entlang der Incident-Response-Kette
Das Fraunhofer-Institut für Angewandte Systemtechnik (AST) merkt an, dass in anderen Schulungsformaten vorwiegend rein technische oder organisatorische Aspekte der Vorfallbewältigung stehen. Es fehle aber an einer praxisnahen Simulation der Abläufe zwischen Leitwarte, OT-Betrieb, OT-Security, IT-Administration, Informationssicherheitsmanagement und Geschäftsführung.
Die Übung zum Projekt Enercise III findet am 23. Juni 2026 im Berliner dena Future Energy Lab statt. (Bild: Claudius Pflug)
Enercise III soll genau diese Lücke füllen und bildet eine Simulation eines realitätsnahen Sicherheitsvorfalls ab. Dabei orientiert sich die Übung an den fünf Phasen des Incident-Reponse-Prozesses nach ISO/IEC 27035: Prepare, Detect & Report, Assess & Decide, Respond und Lessons Learned. „Im Mittelpunkt stehen Entscheidungsfindung, Kommunikation, Eskalation und bereichsübergreifende Zusammenarbeit unter Bedingungen unvollständiger und teils widersprüchlicher Informationen“, betont das Fraunhofer-AST.
Aus einer vermeintlichen Betriebsstörung wird ein Cyberangriff
Im Beispielszenario haben Angreifer den Firmwareupdate-Prozess eines Geräteherstellers manipuliert. Nach Installation der kompromittierten Firmware auf Steuerungskomponenten entfaltet sich die Schadfunktion zeitlich versetzt – von verdeckter Command-and-Control-Kommunikation über manipulierte Industrieprotokolle bis hin zu Prozessabweichungen und automatisierten Schutzabschaltungen.
Die Symptome sind bewusst so gestaltet, dass sie zunächst als gewöhnliche Betriebsstörungen interpretiert werden können und erst durch systematische Korrelation als Cyberangriff erkennbar werden. Technische Basis sind mobile Schulungsplattformen sowie zentrale Leitsystem- und Angriffserkennungssystem-Infrastrukturen, die im Lernlabor Cybersicherheit Energie- und Wasserversorgung am Fraunhofer IOSB-AST entwickelt wurden. Insgesamt bildet die Simulation bis zu acht funktionale Rollen – vom Leitstellepersonal über OT-Security-Analyse, Incident Coordinator bis zum Krisenstab ab. Die Übung sei für elf bis fünfundzwanzig Teilnehmende skalierbar und orientiere sich an den gesetzlichen Anforderungen gemäß § 8a BSIG sowie den BSI-Standards 200-2 und 200-4.
„Hybride Bedrohungen erfordern hybride Übungsformate. Wer Incident Response nur am Schreibtisch plant, wird im Ernstfall an den Schnittstellen zwischen Technik und Organisation scheitern. Mit EnerCise III schaffen wir ein Lern- und Erprobungsformat, das diese Schnittstellen gezielt adressiert und Betreibern Kritischer Infrastrukturen ermöglicht, ihre Reaktionsfähigkeit unter realistischen Bedingungen zu stärken“, sagt Thomas Bauer vom Fraunhofer IOSB-AST. Künftig werde die Übung mit Betreibern aus der Energie- und Wasserwirtschaft durchgeführt und anschließend die gewonnen Erkenntnisse wissenschaftlich ausgewertet. (cst)