Stadtwerke betreiben kritische Infrastruktur: Strom, Gas, Wasser, Wärme und zunehmend Telekommunikation. Die Netzleittechnik und die IT-Systeme dahinter werden jedoch nur selten vollständig im eigenen Haus betrieben – Hersteller von Leittechnik, Systemintegratoren und IT-Dienstleister warten sie regelmäßig aus der Ferne. Genau dieser Dienstleisterzugriff ist eine der größten und am schlechtesten kontrollierten Angriffsflächen im KRITIS-Umfeld.

Dieser Artikel zeigt, warum Dienstleisterzugriff bei Stadtwerken ein regulatorisches und sicherheitstechnisches Problem zugleich ist, welche konkreten Pflichten aus NIS-2 und dem IT-Sicherheitskatalog nach § 11 EnWG folgen – und wie sich externe Partner kontrolliert, zeitlich begrenzt und nachweisbar anbinden lassen, ohne den Betrieb auszubremsen.

Warum Dienstleisterzugriff für Stadtwerke ein KRITIS-Problem ist

Stadtwerke betreiben eine heterogene Landschaft aus klassischer IT (Abrechnung, ERP, Kundenportale) und Betriebstechnik (OT): Netzleittechnik, SCADA-Systeme, Fernwirktechnik, Smart-Metering-Infrastruktur. Kaum ein Stadtwerk hält für all diese Spezialsysteme eigenes Personal vor. Die Wartung übernehmen Hersteller, Systemintegratoren und IT-Dienstleister – fast immer per Fernzugriff.

Damit entsteht ein strukturelles Risiko, das sich von dem klassischer Unternehmen unterscheidet: Ein kompromittierter Dienstleisterzugang führt hier nicht nur zu Datenabfluss, sondern potenziell direkt in die Steuerung der Strom- oder Gasversorgung. Typische Schwachstellen:

• Fernwartung der OT: Leittechnik- und SCADA-Hersteller benötigen Zugang zu Systemen, die das Netz steuern. Ein übernommener Wartungszugang ist ein direkter Weg in die Betriebstechnik.
• Sammelzugänge und geteilte Credentials: Ein VPN-Account für ein ganzes Dienstleisterteam, ein gemeinsames Admin-Passwort – ohne Bezug zur handelnden Einzelperson.
• Fehlende Nachvollziehbarkeit: Wer hat wann auf welchem System was getan? Ohne Sitzungsaufzeichnung ist das nicht zu beantworten – und damit nicht auditierbar.
• Dauerhaft offene Zugänge: Fernwartungszugänge bleiben oft Monate oder Jahre aktiv, lange nach Projekt- oder Vertragsende.

Die Bedrohungslage: Der Angriff kommt über den Partner

Angreifer haben erkannt, dass der Weg über den Dienstleister effizienter ist als der Frontalangriff. Ein einziger kompromittierter Wartungszugang kann Zugriff auf viele Stadtwerke gleichzeitig öffnen, wenn derselbe Dienstleister mehrere Versorger betreut. Der Energiesektor ist dabei überproportional betroffen: Die Zahl der Cyberangriffe auf den Energie- und Versorgungssektor hat sich innerhalb von zwei Jahren mehr als verdoppelt, und der Sektor meldet ein Vielfaches der OT/ICS-Vorfälle anderer Branchen.

„Rund 29 % der Unternehmen in Deutschland waren bereits von Supply-Chain-Angriffen betroffen – mit Folgen von Betriebsausfällen bis hin zu Reputations- und finanziellen Schäden.“ — Kaspersky, Supply-Chain-Security-Studie

Für Stadtwerke heißt das: Die eigene Sicherheit ist nur so stark wie die Kontrolle über die Zugänge ihrer Dienstleister.

Was NIS-2 von Stadtwerken verlangt

Mit dem NIS2-Umsetzungsgesetz ist der Sektor Energie umfassend reguliert. Stadtwerke fallen darunter regelmäßig als wichtige oder besonders wichtige Einrichtung – und zwar unabhängig davon, ob sie die klassischen KRITIS-Schwellenwerte der BSI-KritisV überschreiten. Schon mittelgroße Versorger ab rund 50 Beschäftigten und 10 Mio. Euro Umsatz sind erfasst.

Für den Dienstleisterzugriff sind drei Punkte zentral:

• Risikomanagement inklusive Lieferkette (§ 30 BSIG): Betroffene müssen angemessene technische und organisatorische Maßnahmen umsetzen – ausdrücklich auch für die Sicherheit der Lieferkette sowie bei Erwerb, Entwicklung und Wartung von IT-Systemen. Dienstleisterzugriff fällt direkt darunter.
• Meldepflichten (§ 32 BSIG): Erhebliche Sicherheitsvorfälle sind dem BSI in engen Fristen zu melden – Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Ohne lückenlose Protokollierung der Dienstleisterzugriffe lässt sich ein Vorfall weder rekonstruieren noch fristgerecht melden.
• Verantwortung und Haftung der Geschäftsleitung: Die Leitung muss die Maßnahmen billigen und überwachen und haftet bei Verstößen. Es drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Mehr zum regulatorischen Rahmen: NIS-2: Was die neue EU-Richtlinie für Ihr Unternehmen bedeutet und die NIS-2-Checkliste für den Mittelstand.

Der IT-Sicherheitskatalog nach § 11 EnWG

Der Energiesektor ist zusätzlich sektorspezifisch geregelt. Über § 11 Abs. 1a EnWG (Netzbetreiber) und § 11 Abs. 1b EnWG (Betreiber von als KRITIS eingestuften Energieanlagen) verpflichtet die Bundesnetzagentur die Betreiber, ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 und der branchenspezifischen ISO/IEC 27019 aufzubauen und zertifizieren zu lassen.

Der IT-Sicherheitskatalog verlangt unter anderem eine kontrollierte Zugriffsverwaltung, dokumentierte Berechtigungen und Nachvollziehbarkeit aller Zugriffe – einschließlich derer von externen Dienstleistern. Konkret bedeutet das: Dienstleisterzugriffe müssen auf das Notwendige begrenzt (Least Privilege), eindeutig einer Person zugeordnet und revisionssicher dokumentiert sein.

Die Schwellenfrage der BSI-KritisV – im Strombereich rund 3.700 GWh pro Jahr beziehungsweise etwa 500.000 versorgte Personen – verliert dabei an Bedeutung: Über NIS-2 sind auch Versorger unterhalb dieser Schwellen in der Pflicht.

Warum VPN und Jump-Hosts allein nicht ausreichen

Viele Stadtwerke binden Dienstleister noch über klassische VPN-Zugänge oder Jump-Hosts an. Beides löst das Problem nicht:

• VPN gibt Netzwerk- statt Systemzugang: Ein VPN-Tunnel öffnet den Weg ins Netz – nicht nur zum gewarteten System. Bewegt sich ein Angreifer von dort lateral weiter, ist der Schaden kaum eingrenzbar.
• Jump-Hosts ohne Sitzungskontrolle sind ein blinder Fleck: Ohne Aufzeichnung bleibt unklar, was auf dem Zielsystem tatsächlich passiert ist.
• Geteilte Konten brechen die Nachweisbarkeit: Ein gemeinsamer Dienstleister-Account macht es unmöglich, Handlungen einer konkreten Person zuzuordnen – ein direkter Konflikt mit NIS-2 und IT-Sicherheitskatalog.

Verwandte Risiken im Detail: RDP absichern: Best Practices gegen Remote-Desktop-Angriffe.

Wie sich Dienstleisterzugriff KRITIS-konform absichern lässt

Sicherer Dienstleisterzugriff beruht auf wenigen, konsequent umgesetzten Prinzipien:

• Least Privilege: Der Dienstleister erhält Zugang ausschließlich zu den Systemen, die er für seinen konkreten Auftrag braucht – nicht zum Netz. Mehr dazu: Das Prinzip der minimalen Rechte.
• Just-in-Time-Zugriff: Zugänge existieren nur für das vereinbarte Wartungsfenster und werden danach automatisch entzogen. Es gibt keine dauerhaften Credentials, die übernommen werden könnten.
• Eindeutige Identität statt Sammelkonto: Jeder Dienstleister-Mitarbeiter wird einzeln identifiziert und authentifiziert. Jede Handlung ist einer Person zuzuordnen.
• Session-Recording und Vier-Augen-Prinzip: Jede Sitzung wird vollständig aufgezeichnet. Bei besonders kritischen Eingriffen lässt sich der Zugriff live freigeben und mitverfolgen.

VISULOX: Dienstleisterzugriff für Stadtwerke kontrollieren

VISULOX ist als dezentrale Remote-PAM-Plattform genau für diese Anforderung gebaut. Externe Dienstleister werden kontrolliert, zeitlich begrenzt und nachweisbar an die Systeme von Stadtwerken angebunden:

• Zentraler Gateway statt VPN: Dienstleister greifen ausschließlich über den VISULOX-Gateway zu. Kein direkter Systemzugriff, kein exponierter RDP-Port, keine dauerhaften VPN-Credentials.
• Just-in-Time und Least Privilege: Zugang nur zum benötigten System, nur für das freigegebene Wartungsfenster – mit personalisierter Identität statt Sammelkonto.
• Revisionssicheres Logging: Jede Zugriffsaktion wird lückenlos aufgezeichnet – als Nachweis für den IT-Sicherheitskatalog nach § 11 EnWG und für die Meldepflichten nach NIS-2 (§ 32 BSIG).
• Implementierung in unter zwei Tagen: VISULOX ist agentenlos und ohne Eingriff in den laufenden Betrieb innerhalb von zwei Werktagen produktiv – auch in gewachsenen OT-Umgebungen.

Mehr zum Thema: Drittanbieter-Zugriff absichern: Wie Sie externe Dienstleister sicher anbinden.

Checkliste: Dienstleisterzugriff im KRITIS-Umfeld in 6 Schritten absichern

1. Dienstleister-Inventar erstellen: Erfassen Sie, welche externen Partner auf welche Systeme zugreifen, über welchen Weg und mit welchen Rechten. Ein lückenhaftes Inventar ist das häufigste Einfallstor.
2. Sammelzugänge abschaffen: Ersetzen Sie geteilte Konten und VPN-Sammelzugänge durch personalisierte, eindeutig zuordenbare Identitäten.
3. Least Privilege auf Systemebene durchsetzen: Geben Sie Zugang ausschließlich zu den konkret benötigten Systemen frei – kein pauschaler Netzzugang.
4. Just-in-Time-Zugriff einführen: Binden Sie Zugänge an definierte Wartungsfenster und entziehen Sie sie danach automatisch.
5. Session-Recording aktivieren: Zeichnen Sie jede Dienstleistersitzung lückenlos auf – für Forensik, Incident Response und Audit.
6. Verträge und Nachweise sichern: Verankern Sie Sicherheitsanforderungen vertraglich und halten Sie die Zugriffsdokumentation auditfest vor – für NIS-2 und den IT-Sicherheitskatalog.

Dienstleisterzugriff ist für Stadtwerke unverzichtbar – Netzleittechnik und IT lassen sich nicht allein im Haus betreiben. Die entscheidende Frage ist daher nicht, ob externe Partner Zugang erhalten, sondern wie kontrolliert. NIS-2 und der IT-Sicherheitskatalog nach § 11 EnWG machen aus dem, was lange als Best Practice galt, eine überprüfbare Pflicht – mit persönlicher Verantwortung der Geschäftsleitung.

Die Kombination aus Least Privilege, Just-in-Time-Zugriff, eindeutiger Identität und lückenlosem Session-Recording reduziert die Angriffsfläche auf ein Minimum und liefert zugleich den geforderten Nachweis. VISULOX bindet externe Dienstleister über ein zentrales Gateway an – ohne VPN, revisionssicher und in unter zwei Tagen produktiv, ohne Eingriff in den laufenden Betrieb.