Zurück zur Übersicht

IKT-Minimalstandards nach StromVV: So vermeiden Sie ein Blackout-Szenario

Autor
Andreas Winet
Veröffentlicht
18. September 2025
Wenn eine Hacker-Gruppierung Ihnen als Energieversorger das Licht ausknipst, entscheidet Ihre Resilienz über die Versorgungssicherheit Ihrer Abnehmer. Ob das Licht hingegen anbleibt, entscheidet einzig Ihre konsequente Umsetzung der IKT-Minimalstandards. Durch vier gezielte Massnahmen, einer 14-Punkte-Checkliste und sechs Handlungsempfehlungen schliessen Sie Sicherheitslücken und stellen sich als verlässlicher Player der nationalen Wirtschaft auf. Gestalten Sie jetzt Ihre Zukunft mit Cyberresilienz!

Stellen Sie sich vor: Ein lauer Sommerabend, die Klimaanlage surrt im Hintergrund. Plötzlich legt ein Hackerangriff zentrale Systeme lahm und binnen Minuten könnte die Versorgung ganzer Regionen ins Wanken geraten.

Was wie ein Film-Plot klingt, ist längst Realität. Cyberangriffe sind für die Energiebranche heute wahrscheinlicher als ein Stromausfall durch ein Gewitter. Die Branche steht an einem Wendepunkt: Mit der Revision der Stromversorgungsverordnung (StromVV) sind die IKT-Minimalstandards ab Juli 2024 verbindlich. Für die Gasversorgung ab Juli 2025, ein Signal mit Strahlkraft weit über die Energie hinaus.

Drei Schutzniveaus – passgenau für jede Kritikalität

Sowohl in der Strom- als auch in der Gasversorgung basieren die IKT-Minimalstandards auf einem abgestuften Modell mit drei Schutzstufen (A, B, C). Ziel ist es, ein verhältnismässiges, aber vergleichbares Sicherheitsniveau zu schaffen. Von grossen Betreibern mit höchster Kritikalität bis hin zu kleineren Unternehmen mit überschaubarem Risiko.

  • Schutzniveau A: Gilt für die Betreiber mit der höchsten Kritikalität z.B. Stromnetzbetreiber ab 450 GWh/Jahr oder Gasnetzbetreiber mit Hochdruckleitungen bzw. Transportvolumen über 2600 GWh/Jahr. Hier sind die umfassenden Sicherheitsanforderungen des IKT-Minimalstandards vollständig umzusetzen, jeweils an die branchenspezifischen Besonderheiten angepasst.
  • Schutzniveau B: Betrifft Betreiber mittlerer Grösse (Strom: 112–450 GWh/Jahr; Gas: 400–2600 GWh/Jahr). Die Anforderungen orientieren sich am Niveau A, sind aber reduziert, praxisnah und mit geringerem Ressourceneinsatz umsetzbar.
  • Schutzniveau C: Deckt kleinere Betreiber ab (Strom: <112 GWh/Jahr; Gas: bis 400 GWh/Jahr). Es stehen vor allem organisatorische Mindestanforderungen im Vordergrund, technische Massnahmen sind teilweise lediglich Empfehlungen.

Diese Staffelung ermöglicht eine gezielte Umsetzung nach Kritikalität, verhindert Überregulierung bei kleineren Unternehmen. Gleichzeitig bleibt die Vergleichbarkeit der Sicherheitsniveaus innerhalb und zwischen den Branchen gewährleistet.

Doch die Schutzniveaus bleiben Theorie, wenn sie nicht in den Alltag übersetzt werden. Genau hier stehen IT- und OT-Sicherheitsverantwortliche vor der Frage: Was heisst das konkret für meinen Betrieb?

4 Massnahmen, die Sicherheitsverantwortliche jetzt umsetzen.

Im Dialog mit IT-Sicherheitsverantwortlichen kristallisieren sich vertraute Pain Points und neue Erkenntnisse heraus.

Die IKT-Minimalstandards sind keine Checkliste, sondern fordern einen methodischen Gesamtansatz:

  • Strukturierte Risikobewertungen und regelmässige Gap-Analysen
  • Aufbau und Pflege eines IKT-Sicherheitskonzepts
  • Glaubhafte Nachweisführung gegenüber der Aufsichtsbehörde (z.B. ElCom)
  • Etablierung eines echten kontinuierlichen Verbesserungsprozess (PDCA), der über das blosse Dokumentieren hinausgehen

Interoperabilität, Auditierbarkeit und die Integration in bestehende ISMS- und SOC-Strukturen sind das technische Salz in der Suppe, kein Nice-to-have, sondern Pflicht. Die Anforderungen sind klar, aber wie gut sind Unternehmen heute tatsächlich darauf vorbereitet? Gap Assessments gemäss StromVV geben Aufschluss und zeigen, wo die grössten Lücken liegen.

«Der beste Moment für ein Gap Assessment war gestern. Der zweitbeste ist heute. Handeln Sie jetzt und verwandeln Sie regulatorische Pflicht in gelebte Sicherheitspraxis!»

Der 14-Punkte-Check: So entlarven Sie Schwachstellen in Ihrer StromVV-Compliance

Im Rahmen erster Assessments gemäss StromVV wurden wiederholt technische und organisatorische Schwachstellen festgestellt.

Die wichtigsten Handlungsfelder im Überblick:

1. Backups testen

Backups und Wiederherstellungsprozesse sind die Lebensversicherung jedes Unternehmens, werden aber oft unterschätzt.

  • Backups werden selten air-gapped oder extern gelagert.
  • Wiederherstellungstests finden selten oder unvollständig statt.

Praxisbeispiel: Ein Energieversorger stellte nach einem Ransomware-Angriff fest, dass zwar Backups existierten, diese aber nie getestet worden waren. Statt Stunden dauerte die Wiederherstellung Tage, mit hohen Kosten. Ein jährlicher Probelauf hätte den Schaden massiv reduziert.

Empfehlung: Mindestens jährliche, realitätsnahe Wiederherstellungstests, automatisiertes Monitoring und regelmässige Integritätsprüfungen der Backups.

 2. Fremdzugänge richtig absichern 

Wartungs- und Lieferantenzugänge sind oft das schwächste Glied in der Sicherheitskette.

  • Zugänge sind meist personenbezogen und temporär, jedoch zu wenig überwacht.

Praxisbeispiel: Bei einer Netzstörung nutzte ein externer Dienstleister alte Zugangsdaten. Der Zugriff blieb unbemerkt, ein potenzielles Einfallstor. Mit Jump-Server und Session-Logging wäre der Vorfall sofort sichtbar gewesen.

Empfehlung: Session-Logging einführen, Zugänge zeitlich und inhaltlich beschränken und konsequent Jump-Server mit MFA nutzen. 

3. OT-Sicherheit im Maschinenraum stärken

Operational Technology (OT) erfordert spezielle Aufmerksamkeit, da sie oft nicht ausreichend ins Sicherheitsmonitoring eingebunden ist.

  • OT-Systeme sind häufig nicht ausreichend im zentralen Monitoring berücksichtigt.

Praxisbeispiel: In einer Netzleitstelle fielen plötzlich falsche Messwerte auf. Erst nach Tagen stellte sich heraus: Die OT-Systeme waren gar nicht ins SIEM integriert. Ein passiver Sensor hätte die Anomalie sofort erkannt.

Empfehlung: Passive Sensorik einführen, Netzwerke segmentieren und spezialisierte OT-Schwachstellenscanner nutzen.

4. Systemhärtung als Daueraufgabe

Veraltete oder fehlende Hardening-Massnahmen öffnen Angreifern unnötig Tür und Tor.

  • Hardening-Richtlinien fehlen oder sind veraltet.
  • Konfigurationen werden selten mit Best Practices verglichen.

Praxisbeispiel: Ein Unternehmen wurde Opfer eines Angriffs über einen Standard-Admin-Account. Ein regelmässiger Abgleich mit CIS-Benchmarks hätte die Schwachstelle früh eliminiert.

Empfehlung: Richtlinien aktuell halten und Konfigurationen regelmässig mit anerkannten Benchmarks vergleichen.

5. Von der Papierübung zur echten Risikosteuerung

Wirksames Sicherheitsmanagement braucht konkrete Analysen, nicht nur abstrakte Risiko-Reports für die Chefetage.

  • Risikoanalysen bleiben oft auf Managementebene, ohne Bezug zu einzelnen Komponenten.

Praxisbeispiel: Ein Energieversorger bewertete Risiken lange nur auf Unternehmensebene. Erst durch den Einsatz eines Tools zur komponentengenauen Analyse wurde sichtbar, dass eine einzelne, veraltete Firewall ein erhebliches Einfallstor darstellte.

Empfehlung: Spezialisierte Tools einsetzen, die Bedrohungen Asset-basiert bewerten, und Risikoanalysen bis auf Komponentenebene herunterbrechen.

6. Krisenpläne üben

Krisenpläne sind wertlos, wenn sie nur auf Papier existieren.

•    Tabletop-Übungen und praxisnahe Krisensimulationen werden vernachlässigt.

Praxisbeispiel: Während einer regionalen Störung wusste niemand, wer die externe Kommunikation übernimmt. Der Plan war zwar vorhanden, aber nie geübt.

Empfehlung: Krisenpläne regelmässig in realitätsnahen Übungen testen und Verantwortlichkeiten klar festlegen.

7. Dokumentation mit klaren Verantwortlichkeiten

Nur eine gepflegte und aktuelle Dokumentation ermöglicht Nachvollziehbarkeit und Sicherheit.

  • Verantwortlichkeiten zur Pflege und Aktualisierung sind oft nicht klar zugeordnet.

Praxisbeispiel: Bei einem Audit konnten Prozesse nicht nachgewiesen werden, weil Dokumentationen veraltet waren. Erst ein interdisziplinäres Team brachte Struktur und Verlässlichkeit.

Empfehlung: Ein Team definieren, das laufend Governance und Dokumentation sicherstellt.

8. Dienstleister unter Kontrolle halten

Externe Dienstleister übernehmen oft kritische Aufgaben, doch ohne klare Regeln und Kontrolle entsteht ein erhebliches Risiko.

  • Verträge regeln selten Security-SLAs oder Notfallszenarien.

Praxisbeispiel: Ein IT-Dienstleister spielte nach einem Cybervorfall wichtige Updates verspätet ein. Da keine Sicherheits-SLAs vereinbart waren, konnte das Unternehmen weder rechtzeitig reagieren noch den Schaden begrenzen.

Empfehlung: Strenge Security-SLAs in Verträgen verankern, Exit-Strategien definieren und IT-Dienstleister regelmässig durch Audits überprüfen.

9. Blinde Flecken im Sicherheitsalltag

Gerade grundlegende Aufgaben werden oft übersehen und entwickeln sich unbemerkt zu grossen Risiken.

  • Asset-Inventar und Asset-Management sind häufig unvollständig.
  • Kommunikationsplanung und Anomalie-Erkennung bleiben unausgereift.
  • Die Vorfallanalyse wird selten systematisch verfolgt.

Praxisbeispiel: Bei einem Netzbetreiber kam es wiederholt zu Störungen, deren Ursachen nicht klar identifiziert wurden. Erst nach einer detaillierten Asset-Erfassung wurde sichtbar, dass veraltete Geräte im Einsatz waren, die nie im Inventar geführt wurden.

Empfehlung: Ein vollständiges Asset-Inventar aufbauen, Anomalie-Erkennung ins Monitoring integrieren und Vorfälle konsequent dokumentieren und analysieren.

10. Mitarbeitende als Schlüssel zur Sicherheit

Der Mensch ist oft das Einfallstor, aber auch die wichtigste Verteidigungslinie.

  • Phishing- und Awareness-Trainings adressieren oft keine realistischen Szenarien.

Praxisbeispiel: Ein Mitarbeiter klickte auf eine Phishing-Mail, meldete dies aber sofort, dank einer klaren Meldekette. So konnte der Angriff gestoppt werden, bevor Schaden entstand.

Empfehlung: Regelmässige, realistische Awareness-Trainings durchführen und klare, einfache Meldewege etablieren.

11. Datenklassifikation: Nur wer Werte kennt, kann sie schützen

Ohne Klassifikation bleiben kritische Informationen ungeschützt.

  • Datenklassifikationsmodelle fehlen oder werden nicht angewendet.

Praxisbeispiel: Ein Stadtwerk stellte fest, dass sensible Netzdaten unverschlüsselt auf einem Fileserver lagen. Erst durch eine klare Klassifizierung wurden sie verschlüsselt und mit restriktiven Zugriffsrechten gesichert.

Empfehlung: Datenklassifikationsmodelle einführen und Zugriffe auf sensible Daten konsequent einschränken.

12. Krisenkommunikation richtig orchestrieren

Fehlende Abstimmung in der Kommunikation kann die Krise verschärfen.

  • Kommunikationspläne sind unvollständig oder veraltet.

Praxisbeispiel: Nach einem Angriff widersprachen sich interne und externe Mitteilungen. Die Unsicherheit beschädigte das Vertrauen von Kunden.

Empfehlung: Kommunikationspläne regelmässig aktualisieren und alle relevanten Zielgruppen einbeziehen.

13. Privilegierte Konten konsequent schützen

Privilegierte Zugänge sind die Kronjuwelen jeder IT-Umgebung und besonders gefährdet.

  • PAM-Lösungen fehlen, MFA ist nicht konsequent umgesetzt.

Praxisbeispiel: Angreifer kompromittierten ein Admin-Konto ohne MFA und erhielten weitreichende Rechte. Mit einer PAM-Lösung wären die Zugriffe protokolliert und abgesichert gewesen.

Empfehlung: PAM-Lösungen etablieren und MFA für alle Administrationszugänge verpflichtend machen.

14. Lieferkettenrisiken konsequent managen

Cyberrisiken enden nicht an der Unternehmensgrenze, sondern betreffen die gesamte Lieferkette.

  • Verträge regeln selten Security-SLAs oder Notfallszenarien.

Praxisbeispiel: Bei einem Cybervorfall beim IT-Dienstleister kam es zu einem Dominoeffekt. Da Sicherheits-SLAs fehlten, dauerte die Wiederherstellung Wochen.

Empfehlung: Strenge SLAs vereinbaren, Exit-Strategien definieren und regelmässige Audits durchführen.

Klarer Kurs für KMU: Leitfäden, die Ihr Gap Assessment vereinfachen

Für viele Organisationen, besonders KMU, ist die Einführung eines Gap Assessments nach dem IKT-Minimalstandard anspruchsvoll. Branchenverbände wie der VSE stellen deshalb Leitfäden und Vorlagen bereit, die eine strukturierte Durchführung erleichtern und für Konsistenz sorgen.

Hilfreich sind praxisnahe Dokumente wie der LVR-CH 2024 (strom.ch). Ebenso wichtig ist ein frühzeitiges Alignment mit dem NIST CSF 2.0, um künftige internationale Anforderungen mitzudenken.

Diese Leitfäden unterstützen bei:

  • der Identifikation relevanter Sicherheitslücken
  • der risikobasierten Priorisierung
  • der klaren Zuweisung von Massnahmen und Verantwortlichkeiten
  • der Vorbereitung auf Nachweispflichten und Audits

Gerade für Unternehmen mit knappen Ressourcen bieten sie einen einfachen Einstieg und lassen sich ohne grosse Umstrukturierungen in bestehende ISMS integrieren.

Umsetzungslücken schliessen: So gelingt's auch mit knappen Ressourcen

Die Erfahrung aus bisherigen Assessments zeigt, dass bei der Umsetzung oft sehr ähnliche Hürden auftreten.

In diesen Fällen greifen drei strategische Hebel besonders wirksam

  • Ressourcenbindung: Insbesondere KMU kämpfen mit begrenztem Personal und Knowhow. Hier braucht es mehr als guten Willen, etwa unterstützende Tools und gezielte Weiterbildung.
  • Koordination: Cybersicherheit kann nicht von der IT-Abteilung allein gestemmt werden, erst das Zusammenspiel von IT, OT, Geschäftsleitung und Dienstleistern bringt den nötigen Schub.
  • Strategische Führung: Ohne klaren Kurs der Firmenleitung bleibt Sicherheit ein Schönwetter-Projekt. Sichtbare Priorisierung und eine regelmässige Statusprüfung sind unverhandelbar.

Knowhow-Aufbau und das Compliance-Ziel im Fokus

Die Einführung der IKT-Minimalstandards ist kein reines Compliance-Thema. Sie ist die Chance, die eigene Resilienz systematisch zu stärken, egal ob in Strom- oder Gasversorgung. 
Die Vorgaben schaffen einen klaren Rahmen, aber den Unterschied macht die Praxis:

  • CISOs gewinnen mit Gap Assessments und klarer Governance eine fundierte Grundlage für Investitionen.
  • Geschäftsleitungen sichern die Versorgung und schützen Reputation durch sichtbare Priorisierung der Cyber Resilienz.
  • KMU profitieren von Leitfäden, die auch mit knappen Ressourcen eine pragmatische Umsetzung ermöglichen.

Der beste Moment für ein Gap Assessment war gestern, der zweitbeste ist heute. Starten Sie noch heute mit sechs unverzichtbaren Massnahmen und verwandeln Sie regulatorische Pflicht in gelebte Sicherheitspraxis.

6 unverzichtbare Handlungsempfehlungen zur StromVV-Compliance

  1. Gap Assessments durchführen: Sicherheitsdefizite mittels Gap-Analysen systematisch identifizieren und priorisierte Massnahmen ableiten.  
  2. Branchenleitfäden nutzen: VSE- und SVGW-Dokumente sowie BWL-Vorlagen als praxisnahe Orientierung heranziehen.
  3. Risikoorientiert vorgehen: Massnahmen konsequent nach Kritikalität und Schutzniveau (A, B, C) priorisieren.
  4. Integration in bestehende Systeme: Gap Assessments und Sicherheitsmassnahmen in ISMS, Business Continuity Management (BCM) und Krisenmanagement einbetten.
  5. Multi-Utility-Strukturen berücksichtigen: Querverbundunternehmen sollten sektorübergreifende Harmonisierung nutzen, um Doppelarbeit zu vermeiden.
  6. Internationale Entwicklungen im Blick behalten: NIS2, CRA und DORA frühzeitig berücksichtigen, um langfristige Compliance und Wettbewerbsfähigkeit sicherzustellen.
  7. Frühzeitige Anpassung an NIST 2.0 einleiten: Obwohl die verbindliche Einführung erst mit einer späteren Revision erfolgt, sollten Unternehmen bereits jetzt prüfen, welche zusätzlichen Dokumentationspflichten und Anpassungsbedarfe entstehen. Eine proaktive Auseinandersetzung mit den neuen NIST-Strukturen erleichtert die spätere Umstellung erheblich.

Darum lohnt sich ein Gap Assessment mit InfoGuard

Cybersicherheit hört nie auf – sie ist ein kontinuierlicher Prozess, der Organisationen täglich fordert und voranbringt. Mit klaren Standards, praxisnahen Tools und einer konsequent risikobasierten Herangehensweise schaffen Energie- und Gasversorger nicht nur Compliance, sondern machen Resilienz und Sicherheit zum echten Wertbeitrag für den Betrieb.

Was macht den Unterschied?

  • Sie stärken die Widerstandsfähigkeit Ihres Unternehmens nachhaltig,
  • erfüllen regulatorische Vorgaben auditfest und mit Augenmass und
  • generieren daraus zusätzlichen Mehrwert für Ihre Geschäftsprozesse.

Entscheidend ist das Zusammenspiel von Führung, IT, OT und externen Partnern – denn nur gemeinsam wird regulatorische Pflicht zur gelebten Sicherheitskultur.

Nutzen Sie die Erfahrung der InfoGuard-Expert*innen und gehen Sie den nächsten Schritt: Gestalten Sie Ihre Cyberstrategie auf Augenhöhe – strukturiert, partnerschaftlich und zukunftsfähig. Kontaktieren Sie uns für eine unverbindliche Beratung – gemeinsam verwandeln wir regulatorische Vorgaben in gelebte Cybersicherheitspraxis.

NIST CSF Gap-Analyse

 

Bildlegende: mit KI generiertes Bild
Artikel teilen

Blog

Hälftig ungesicherte Stromversorgung im Dunkel der Nacht
Blog 18. September 2025

IKT-Minimalstandards nach StromVV: So vermeiden Sie ein Blackout-Szenario

Cyber Security
Fachpersonen aller Bereiche untersuchen gemeinsam die Krisenabläufe
Blog 11. September 2025

Beyond TTX: Durch Cyber-Threat-Simulationen zur strategischen Resilienz

Cyber Security
Die fünf Security-Awareness-Ebenen zur starken Human Firewall
Blog 04. September 2025

Awareness 2.0: Die 5-Level-Journey zur Human Firewall

Security Awareness

Blog Updates abonnieren