Herr Wargulski, welche aktuellen Entwicklungen im Bereich der IT-Sicherheit sind für Stadtwerke und kommunale Versorger besonders relevant?

Jochen Wargulski: Die klassische Trennung zwischen Informationstechnologie (IT), beispielsweise Bürosysteme, und Operational Technology (OT), beispielsweise Steuerungssysteme für Anlagen, löst sich zunehmend auf. Früher funktionierten diese Systeme weitgehend isoliert voneinander. Heute sind Leitstellen, Netzsteuerung, Sensorik, Fernwartung und intelligente Messsysteme eng miteinander vernetzt. Diese Verflechtung wird mit zunehmender Digitalisierung, Fernzugriffen und der Nutzung von Echtzeitdaten enger. Das schafft Vorteile, birgt aber auch Risiken. Vor allem deshalb, weil viele kommunale Versorger noch mit historisch gewachsenen Infrastrukturen arbeiten, die nicht für die moderne Vernetzung konzipiert wurden.

Herr Bergsträßer, warum wird Cyberresilienz eine Management- und Führungsaufgabe?

Marcus Bergsträßer: Das liegt unter anderem an den strengeren regulatorischen Anforderungen. Früher stand der Schutz einzelner Systeme im Fokus. Heute müssen Unternehmen Risiken ganzheitlich betrachten – von IT und OT über Dienstleister bis hin zu Krisen- und Notfallprozessen. Dies betrifft insbesondere kommunale Unternehmen, die Verantwortung für zentrale Teile der Daseinsvorsorge tragen. Denn mit der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) sowie dem Rahmengesetz zum Schutz kritischer Infrastrukturen (KRITIS-Dachgesetz) rücken Erkennungsfähigkeit, Reaktionsfähigkeit, Krisenmanagement und Nachweisbarkeit stärker in den Fokus. Gleichzeitig wächst die Verantwortung der Geschäftsführung, Cyberrisiken aktiv zu steuern und regulatorische Anforderungen nachweisbar zu erfüllen. Dadurch wird Cybersecurity zunehmend Teil unternehmerischer Steuerung und nicht mehr ausschließlich Aufgabe der IT.

Viele Stadtwerke investieren seit Jahren in Sicherheit. Warum reicht das trotzdem oft nicht mehr aus?

Jochen Wargulski: Die Bedrohungslage ist dynamischer geworden. Das Spektrum reicht heute von opportunistischen „Script Kiddies” mit automatisierten Werkzeugen über organisierte Cyberkriminelle bis hin zu staatlich unterstützten Gruppen mit langfristigen Zielen. Besonders herausfordernd sind Angriffe, bei denen legitime Systemwerkzeuge missbraucht werden, um unauffällig zu bleiben. Klassische Abwehrmethoden allein reichen dagegen oft nicht mehr aus. In der Praxis sehen wir häufig, dass Unternehmen zwar viele Informationen sammeln, die tatsächlich sicherheitsrelevanten Informationen jedoch nicht richtig interpretieren können. Viele Security-Teams sind angesichts der Datenmenge überfordert. Entscheidend ist, den Normalzustand eines Systems zu verstehen und zu erkennen, wann er kippt. Gerade in OT-Umgebungen ist das besonders anspruchsvoll.

Marcus Bergsträßer: Hinzu kommt, dass Schwachstellen häufig dort auftreten, wo technische, organisatorische und externe Faktoren zusammenwirken. Komplexe Dienstleister- und Lieferkettenstrukturen erschweren diese Sicherheitssteuerung erheblich, da auch Drittanbieter Teil der Sicherheitsbetrachtung sein müssen. Security wird vielerorts noch zu stark als technisches Einzelthema betrachtet, die Verantwortung endet jedoch nicht mehr an der Unternehmensgrenze.

Welche Rolle kann KI-gestütztes Security Monitoring spielen?

Jochen Wargulski: KI ersetzt weder Security-Teams noch Sicherheitsstrategien. KI-gestütztes Monitoring ist auch kein Autopilot für Cybersecurity. Aber sie hilft dabei, Zusammenhänge schneller sichtbar zu machen – insbesondere dort, wo klassische Methoden nicht ausreichen. In OT-Umgebungen sind Kommunikationsmuster oft stabil: Eine Steuerung spricht mit bekannten Systemen und Sensoren liefern definierte Daten. Wenn plötzlich eine neue Verbindung zu einem externen Ziel entsteht oder ein System nachts aktiv wird, muss das auffallen. Wichtig ist die Erklärbarkeit, denn ein Alert allein hilft wenig. Security-Teams benötigen Kontextinformationen: Welche Systeme sind betroffen, wie ist der Vorfall einzuordnen, wie dringend ist der Fall? Dieser schnelle Erkenntnisgewinn macht KI-gestütztes Monitoring wertvoll, vor allem für kommunale Betreiber, um potenzielle Angriffe früh zu erkennen, abzuwehren und einzugrenzen.

Was sollten Sicherheitsverantwortliche jetzt priorisieren?

Marcus Bergsträßer: Grundlage jeder Cyberresilienz ist Transparenz: Welche Systeme, Schnittstellen und kritischen Prozesse existieren überhaupt? Nur wer seine Infrastruktur versteht, kann Risiken sinnvoll priorisieren. Auf dieser Grundlage sind klare Verantwortlichkeiten, moderne Monitoring-Konzepte, definierte Eskalationswege und regelmäßige Krisenübungen erforderlich. Ein typisches Praxisbeispiel sind neue digitale Mess- und Steuerungssysteme: Mit jeder zusätzlichen Schnittstelle steigt nicht nur der Nutzen, sondern auch die Herausforderung, Transparenz über Abhängigkeiten und Risiken zu behalten. Cyberresilienz entsteht nicht durch einzelne Tools, sondern durch das Zusammenspiel von Technologie, Prozessen und Organisation. Es geht nicht mehr nur um IT-Schutz im engeren Sinne, sondern um die Fähigkeit, kritische kommunale Infrastruktur auch unter Störungen handlungsfähig zu halten. Jeden Angriff zu verhindern, ist unrealistisch. Das Ziel besteht deshalb darin, auch im Falle eines Angriffs handlungsfähig zu bleiben und die Versorgung zuverlässig aufrechterhalten zu können. Genau dabei unterstützen spezialisierte Partner wie Lufthansa Industry Solutions kommunale Unternehmen zunehmend: mit integrierten Sicherheitsstrategien, KI-gestütztem Monitoring und praxisnahen Resilienzkonzepten für komplexe IT-/OT-Infrastrukturen.

Lufthansa Industry Solutions beim VKU-KRITIS-FORUM 2026

In der Breakout-Session zum Thema Third-Party Risk zeigt Christian Garske, Head of IT-Security & Privacy bei Lufthansa Industry Solutions, wie Risiken entlang externer Dienstleister und Partner besser bewertet und gesteuert werden können.

Mit der zunehmenden Zahl von Blackouts, Sabotageakten und wetterbedingten Ausfällen rückt die physische Sicherheit Kritischer Infrastrukturen mehr denn je ins Zentrum der öffentlichen Debatte. Denn (Teil-)Ausfälle betreffen längst ganze Städte. Eines wird klar: Sicherheitskonzepte müssen dringend neu gedacht werden, um die Resilienz der Daseinsvorsorge in Deutschland sicherzustellen. Das VKU-KRITIS-FORUM 2026 gibt Ihnen Raum für Einordnung, Austausch und Netzwerken und konkrete Lösungsansätze mit an die Hand. Am 30. Juni 2026 treffen sich Expert:innen aus Kommunalwirtschaft, Behörden und Politik, um die aktuelle Lage zu bewerten und neue Wege für die physische und digitale Sicherheit Kritischer Infrastrukturen zu definieren.

Sie haben noch Fragen?

Copyrights

Teaserbild Mediathek © Lufthansa Industry Solutions GmbH & Co. KG
Foto Marcus Bergsträßer © Lufthansa Industry Solutions GmbH & Co. KG
Foto Jochen Wargulski © Lufthansa Industry Solutions GmbH & Co. KG