„KI ist kein Autopilot für Cybersecurity“

Jochen Wargulski: Die Grenzen zwischen Informationstechnologie und Operational Technology werden durchlässiger. Bürosysteme, Steuerungssysteme, Leitstellen, Netzsteuerung, Sensorik, Fernwartung und intelligente Messsysteme sind heute deutlich stärker miteinander verbunden als früher. Diese Vernetzung nimmt durch Digitalisierung, Fernzugriffe und Echtzeitdaten weiter zu. Das bringt einige operative Vorteile, erhöht aber auch die Anforderungen an Sicherheit. Viele Versorger betreiben gewachsene Infrastrukturen, die ursprünglich nicht für diese Form der Vernetzung ausgelegt waren.

Marcus Bergsträßer: Unternehmen müssen Cyberrisiken heute umfassender betrachten als noch vor einigen Jahren. Es geht nicht mehr nur um den Schutz einzelner Systeme, sondern um IT und OT, um Dienstleister, Lieferketten sowie Krisen- und Notfallprozesse. Das gilt besonders für kommunale Unternehmen, weil sie zentrale Aufgaben der Daseinsvorsorge übernehmen. Mit NIS2 und dem KRITIS-Dachgesetz rücken Erkennungsfähigkeit, Reaktionsfähigkeit, Krisenmanagement und Nachweisbarkeit stärker in den Fokus. Gleichzeitig steigt die Verantwortung der Geschäftsführung, Cyberrisiken aktiv zu steuern und regulatorische Anforderungen nachvollziehbar zu erfüllen. Cybersecurity wird damit Teil der unternehmerischen Steuerung.

Jochen Wargulski: Die Bedrohungslage entwickelt sich sehr dynamisch. Sie reicht von opportunistischen „Script Kiddies“ mit automatisierten Werkzeugen über organisierte Cyberkriminelle bis zu staatlich unterstützten Gruppen mit langfristigen Zielen. Besonders schwierig sind Angriffe, bei denen legitime Systemwerkzeuge missbraucht werden und Aktivitäten dadurch unauffällig erscheinen. Klassische Abwehr allein greift in solchen Fällen zu kurz. In der Praxis sammeln Unternehmen zwar viele Daten, können sicherheitsrelevante Signale aber nicht immer zuverlässig herausfiltern und interpretieren. Entscheidend ist, den Normalzustand einer Umgebung zu kennen und Abweichungen rechtzeitig zu erkennen. In OT-Umgebungen ist das besonders anspruchsvoll.

Marcus Bergsträßer: Hinzu kommt, dass Schwachstellen häufig an Schnittstellen entstehen: technisch, organisatorisch oder extern. Komplexe Dienstleister- und Lieferkettenstrukturen machen Sicherheitssteuerung schwieriger, weil auch Drittanbieter in die Betrachtung einbezogen werden müssen. Security darf deshalb nicht als isoliertes Technikthema verstanden werden. Die Verantwortung endet nicht an der Unternehmensgrenze.

Jochen Wargulski: KI ersetzt keine Security-Teams und keine Sicherheitsstrategie. Sie ist auch kein Autopilot für Cybersecurity. KI-gestütztes Monitoring kann aber helfen, Zusammenhänge schneller sichtbar zu machen, vor allem dort, wo klassische Verfahren an Grenzen stoßen. In OT-Umgebungen sind Kommunikationsmuster oft stabil. Eine Steuerung kommuniziert mit bekannten Systemen, Sensoren liefern definierte Daten. Wenn plötzlich eine neue Verbindung zu einem externen Ziel entsteht oder ein System nachts aktiv wird, muss das auffallen. Ein Alarm allein genügt aber nicht. Security-Teams brauchen Kontext: Welche Systeme sind betroffen? Wie ist der Vorgang einzuordnen? Wie dringend ist die Reaktion? Dieser Erkenntnisgewinn kann helfen, potenzielle Angriffe früher zu erkennen, abzuwehren und einzugrenzen.

Marcus Bergsträßer: Am Anfang steht Transparenz. Unternehmen müssen wissen, welche Systeme, Schnittstellen und kritischen Prozesse existieren. Nur dann lassen sich Risiken sinnvoll priorisieren. Darauf aufbauend braucht es klare Verantwortlichkeiten, moderne Monitoring-Konzepte, definierte Eskalationswege und regelmäßige Krisenübungen. Ein Beispiel sind neue digitale Mess- und Steuerungssysteme: Jede zusätzliche Schnittstelle schafft Nutzen, erhöht aber auch die Notwendigkeit, Abhängigkeiten und Risiken im Blick zu behalten. Cyberresilienz entsteht durch das Zusammenspiel von Technologie, Prozessen und Organisation. Kein Unternehmen kann jeden Angriff verhindern. Entscheidend ist, auch im Störungsfall handlungsfähig zu bleiben und die Versorgung zuverlässig aufrechterhalten zu können.