„Besonders alarmierend ist dabei die zunehmende Verschmelzung von Operational Technology (OT) mit klassischen IT-Systemen.“

„Offensive Security bedeutet, die Perspektive zu wechseln“

Snehal Antani, CEO von Horizon3.ai, warnt im Interview mit energie.blog vor einer wachsenden Bedrohungslage für Versorger und Netzbetreiber. Klassische Audits und Sicherheits-Checklisten reichen nicht mehr aus, um Cyberangriffe abzuwehren. Stattdessen plädiert er für offensive Sicherheit: Systeme aktiv aus Angreiferperspektive testen, Schwachstellen realitätsnah identifizieren und gezielt schließen. Besonders in kritischen Infrastrukturen könne nur überprüfbare Wirksamkeit von Schutzmaßnahmen Vertrauen schaffen. Antani erklärt, wie autonome Penetrationstests selbst mit begrenzten Ressourcen ein realistisches Sicherheitsniveau ermöglichen, welche typischen Schwachstellen Versorger gefährden und welche Pflichten aus NIS2 und dem Cyber Resilience Act folgen. Sein Appell: Compliance folgt der Resilienz, nicht umgekehrt.

Bedrohungslage bei Energieversorgern

e.b: Herr Antani, wie beurteilen Sie die aktuelle Bedrohungslage für kritische Infrastrukturen wie Energieversorger in Deutschland und Europa?
Snehal Antani: Die Bedrohungslage spitzt sich zu. Energieversorger und Netzbetreiber sind längst keine zufälligen Opfer mehr, sondern gezielte Angriffsziele in Ransomware-Kampagnen, geopolitischen Spannungen und staatlich gesteuerten Cyberoperationen. Es braucht keinen vollständigen Blackout, um ernsthaften Schaden anzurichten. Schon die Störung einzelner Komponenten kann sich über vernetzte Systeme hinweg ausbreiten und das Vertrauen der Öffentlichkeit erschüttern.

Besonders alarmierend ist dabei die zunehmende Verschmelzung von Operational Technology (OT) mit klassischen IT-Systemen. Was früher klar getrennt oder sogar physisch isoliert war, wird durch die fortschreitende Digitalisierung zunehmend vernetzt – und damit auch angreifbar über dieselben Schwachstellen, die IT-Systeme schon lange betreffen.

Dennoch verlassen sich viele Organisationen weiterhin auf Checklisten, Audits und die Annahme, dass sie sicher sind. Angreifer hingegen sind oft bereits im System, kombinieren Schwachstellen, umgehen statische Abwehrmaßnahmen und nutzen branchenweit verbreitete Tools für ihre Zwecke. In diesem Umfeld reicht passive Sicherheit nicht mehr aus. Um zu wissen, ob die eigenen Schutzmaßnahmen wirklich greifen, ist ein aktiver Test notwendig – konsequent, realitätsnah und aus der Perspektive eines Angreifers.

Wandel zur offensiven Sicherheit

e.b: Sie sprechen von einem Wandel hin zu offensiver Sicherheit. Was genau verstehen Sie darunter und warum ist dieser Ansatz auch für konservativ geprägte Versorgungsunternehmen notwendig?
Snehal Antani: Offensive Security bedeutet, die Perspektive zu wechseln: Statt auf Angriffe zu warten und darauf zu reagieren, werden eigene Systeme aktiv getestet. Durch simulierte, aber realitätsnahe Angriffsversuche in der Produktivumgebung, sicher und wiederholbar. Dabei geht es nicht darum, selbst „Hacker zu spielen“, sondern darum, Schwachstellen aufzudecken, bevor es echte Angreifer tun. Wer weiß, wo Abwehrmaßnahmen unter echtem Druck versagen, kann gezielt nachbessern – nicht auf Verdacht, sondern auf Basis klarer Erkenntnisse.

Gerade in sicherheitskritischen und eher konservativen Sektoren wie der Energieversorgung ist dieser Perspektivwechsel entscheidend, denn hier haben Risiken unmittelbare Auswirkungen auf Systeme und Abläufe. Die entscheidende Frage lautet nicht mehr „Sind wir ausreichend geschützt?“, sondern: „Könnte ein Angreifer problemlos ins System eindringen und den Betrieb lahmlegen?“ Offensive Sicherheit liefert auf diese Frage klare und belegbare Antworten. Denn nur, wer seine Verteidigung unter realen Bedingungen prüft, kann ihr auch vertrauen.

e.b: Wie unterscheidet sich ein autonomer Penetrationstest von klassischen Sicherheitsscans oder Audits?
Snehal Antani: Scans und Audits sind wie eine Kontrolle, ob die Türen abgeschlossen sind. Autonome Penetrationstests hingegen engagieren gewissermaßen den Schlüsseldienst mit dem Auftrag, einzubrechen und zu zeigen, wie einfach dies tatsächlich wäre. Dabei wird kein Schaden verursacht, es gibt jedoch einen nachvollziehbaren Beleg.

Klassische Sicherheitsprüfungen sind zwar berechtigt, jedoch meist punktuell, manuell und auf die Erfüllung formaler Anforderungen ausgerichtet. Autonome Tests gehen weit darüber hinaus: Sie laufen kontinuierlich, orientieren sich am Vorgehen echter Angreifer und decken nicht nur einzelne Schwachstellen auf, sondern verknüpfen sie zu konkreten Angriffspfaden, wie es auch Cyberkriminelle tun würden.

Diese Verlagerung vom theoretischen Risiko zur nachvollziehbaren Ausnutzbarkeit ist entscheidend. Denn Resilienz entsteht nicht durch ein Gefühl von Sicherheit, sondern durch überprüfbare Gewissheit darüber, wo Schutzmaßnahmen tatsächlich greifen und wo Handlungsbedarf besteht.

Realistisches Sicherheitsniveau trotz begrenzter Ressourcen

e.b: Viele Stadtwerke und Netzbetreiber sind mittelständisch geprägt und haben begrenzte Ressourcen. Wie können diese Unternehmen dennoch ein realistisches Sicherheitsniveau erreichen?
Snehal Antani: Man braucht kein riesiges SOC und kein Heer an Sicherheitsexperten, sondern Klarheit, Fokus und Automatisierung. Der entscheidende erste Schritt: herauszufinden, was wirklich angreifbar ist – nicht nur, was theoretisch als Schwachstelle gilt. Genau hier wirkt autonomes Penetrationstesten als echter Hebel: Es filtert das Wesentliche aus der Masse an Signalen und liefert den Beweis, ob eingeleitete Maßnahmen tatsächlich wirksam sind.

Cybersicherheit bedeutet nicht, alles zu tun, sondern das Richtige gut zu machen. Selbst mit begrenzten Ressourcen können Unternehmen die Perspektive eines Angreifers einnehmen, ihre Umgebung kontinuierlich testen und Resilienz schrittweise aufbauen. Entscheidend ist eine Priorisierung, die sich an Fakten orientiert und nicht an Angst.

Häufigste Schwachstellen bei Versorgern

e.b: Welche typischen Schwachstellen beobachten Sie gerade bei Versorgern und Netzbetreibern am häufigsten?
Snehal Antani: Drei Muster begegnen uns immer wieder: Unsichere, mehrfach verwendete Zugangsdaten und mangelnde Zugriffskontrollen, vor allem in Altsystemen. Zu weitreichend freigegebene Daten und interne Dienste, die häufig durch flache Netzwerkarchitekturen verursacht werden. Und zu guter Letzt: bekannte, ungepatchte Schwachstellen – teils noch Monate nach ihrer Aufnahme in den CISA-KEV-Katalog.

In einem besonders kritischen Fall war ein falsch konfiguriertes Backup-System öffentlich zugänglich mit Standardpasswort. Der Weg von dort zu sensiblen OT-Komponenten war erschreckend kurz. Es handelt sich nicht um komplexe Zero-Day-Exploits, sondern um vermeidbare Versäumnisse und Konfigurationsfehler, die von Angreifern gezielt ausgenutzt werden.

Cyber Resilience Act

e.b: Mit NIS2 und dem Cyber Resilience Act verschärft sich die Regulierung auch für kleinere Versorger. Was sind aus Ihrer Sicht die dringendsten To-dos?
Snehal Antani: Mit NIS2 und dem Cyber Resilience Act (CRA) machen EU-Regulierer deutlich: Cybersicherheit muss messbar, kontinuierlich und nachweisbar sein – besonders für Betreiber kritischer Infrastrukturen. Was Versorger jetzt priorisieren sollten:

Erstens, Angriffsfläche realistisch bewerten. NIS2 verlangt angemessene technische und organisatorische Maßnahmen. Dazu gehört, nicht nur IT-Assets zu erfassen, sondern konkret nachvollziehbare Schwachstellen wie Fehlkonfigurationen, schwache Zugangsdaten oder potenzielle Angriffspfade zu identifizieren.

Zweitens ,unter realen Bedingungen testen: Compliance erfordert den Nachweis funktionierender Erkennungs- und Abwehrmechanismen. Automatisierte Penetrationstests und Red-Teaming liefern dafür belastbare Beweise – jenseits theoretischer Risikoannahmen.

Drittens, Risiken beheben und dokumentieren. Der CRA schreibt ein kontinuierliches Schwachstellenmanagement vor. Unternehmen müssen nicht nur Sicherheitslücken schließen, sondern auch nachweisen, dass die Maßnahmen wirksam sind – inklusive nachvollziehbarer Dokumentation für Prüfungen.

Viertens, Lieferketten absichern. NIS2 legt die Verantwortung für Drittanbieter-Risiken bei den Unternehmen selbst. Dazu gehört auch, kritische Software oder Infrastruktur externer Partner zu prüfen und abzusichern.

Fünftens, Meldepflichten umsetzen. Bedeutende Sicherheitsvorfälle müssen unter NIS2 binnen 24 Stunden gemeldet werden. Das erfordert Echtzeiteinblicke, klare Eskalationspfade und erprobte Notfallprozesse.

Die Anforderungen gehen über formale Compliance hinaus, gefragt ist überprüfbare Sicherheit im Betrieb. Wer jetzt mit validierten Maßnahmen startet, ist regulatorisch wie technisch deutlich besser aufgestellt.

e.b: Welche Dokumentations- und Nachweispflichten kommen konkret auf Betreiber kritischer Infrastrukturen zu?
Snehal Antani: Im Zuge von NIS2 und CRA reicht es nicht mehr, Prozesse zu dokumentieren. Gefragt ist der Nachweis der tatsächlichen Wirksamkeit von Sicherheitsmaßnahmen. Das bedeutet konkret:

• Protokolle über offensive Sicherheitstests (z. B. Penetrationstests, Angriffssimulationen)
• Logs, die erfolgreiche Behebung und erneute Prüfung von Schwachstellen belegen
• Nachweis über verkürzte Reaktionszeiten (MTTR) und geschlossene Angriffsfenster
• Dokumentierte Fähigkeit, Angriffe in Echtzeit zu erkennen und darauf zu reagieren
• Trainings und Lessons-Learned-Berichte zu Incident-Response-Prozessen

Moderne, autonome Sicherheitsplattformen können diese Nachweise automatisiert erzeugen. Und so den Reporting-Aufwand drastisch reduzieren. Was früher manuell aufbereitet wurde, wird damit zu einem integralen Bestandteil der Sicherheitsstrategie.

Häufigkeit von Tests

e.b: Wie häufig sollten Versorger ihre Systeme aus Angreiferperspektive testen lassen?
Snehal Antani: So oft, wie sich Ihre Infrastruktur ändert – also ständig. Angreifer richten sich nicht nach Audit-Kalendern. Jedes neue Software-Deployment, jede Konfigurationsänderung, jede Cloud-Migration oder Partnerintegration kann neue Angriffsflächen schaffen. Deshalb sollten Unternehmen laufend prüfen, ob sich dadurch neue Schwachstellen oder Angriffspfade ergeben haben.

Idealerweise erfolgen gezielte, automatisierte Tests wöchentlich oder monatlich, umfassendere Simulationen mindestens quartalsweise. Dabei geht es nicht nur um Frequenz, sondern um Reaktionsfähigkeit: Wer schnell testen, beheben und erneut prüfen kann, bevor ein Angreifer die Lücke findet, erfüllt den neuen Sicherheitsstandard.

e.b: Was müssen Unternehmen in den nächsten 12 bis 24 Monaten tun, um nicht nur compliant, sondern wirklich resilient zu sein?
Snehal Antani: Resilienz bedeutet: Einen Angriff einkalkulieren und trotzdem lieferfähig bleiben. Versorgungsunternehmen müssen in den nächsten 12 bis 24 Monaten grundlegende Weichen stellen. Dazu gehört, offensive Sicherheitsmaßnahmen in den operativen Alltag zu integrieren, Sicherheitskontrollen, Patch-Prozesse und Netzsegmentierung automatisiert zu validieren und den Fokus von klassischem Schwachstellenmanagement hin zu einem risikoorientierten Exposure-Management zu verlagern – also auf die tatsächliche Ausnutzbarkeit und potenzielle Schadwirkung bei einem Zugriff durch Angreifer.

Entscheidend ist, Sicherheitsmaßnahmen konsequent mit den unternehmenskritischen Risiken zu verknüpfen. Und nicht auf Annahmen, sondern auf überprüfbaren Nachweisen zu setzen. Denn: Compliance folgt der Resilienz – nicht umgekehrt. Wer heute auf reale Angreiferperspektiven, kontinuierliche Validierung und gezielte Optimierung setzt, besteht nicht nur Audits, sondern ist Bedrohungen auch langfristig einen Schritt voraus.