Stellen Sie sich vor, Cyberkriminelle manipulieren nicht ein einzelnes Gerät, sondern nutzen Ladestationen für E-Autos als Einfallstor, um ein ganzes Verteilnetz zu destabilisieren. Klingt nach Hollywood? Keineswegs, Szenarien wie dieses sind längst keine Theorie mehr, sondern reale Bedrohungslagen, mit denen sich Energieversorger und Gerätehersteller heute auseinandersetzen müssen. Auch Transformatoren, Batteriespeicher oder Smart Meter sind Komponenten des Industrial Internet of Things (IIoT), die attackiert werden können und daher geschützt werden müssen. Erfolgreiche Angriffe können Stromdiebstahl, Erpressung oder Blackouts nach sich ziehen. Genau hier setzt CREIS (Cybersicherheit und Resilienz für systemkritische Energieinfrastruktur und deren Automatisierungssysteme) an – ein Forschungsprojekt zwischen der TU Graz und Siemens, gefördert von der Forschungsförderungsgesellschaft FFG, das Cybersicherheit kritischer Energieinfrastruktur grundlegend neu denken will.

Die Energiewende ist ohne Digitalisierung nicht denkbar. Sensoren, Edge-Geräte und Cloud-Plattformen bilden ein engmaschiges IIoT, das Echtzeitsteuerung und vorausschauende Wartung erst möglich macht. Moderne Digitalisierungsplattformen zeigen, wohin die Reise geht: cloudbasierte Echtzeitanalyse für intelligente Niederspannungsnetze. Doch was vernetzt ist, ist auch verwundbar. Prognosen gehen davon aus, dass weltweit bis 2044 über 150 Millionen vernetzte Geräte allein in den Bereichen Strom, Wasser und Gas im Einsatz sein werden. Jedes einzelne davon ist ein potenzieller Angriffspunkt.

„Digitalisierung und Vernetzung sind enorme Chancen, sie vergrößern aber auch die Angriffsfläche dramatisch“, sagt Stefan Mangard, Leiter der Forschungsgruppe „Secure Systems“ am Institute of Information Security der TU Graz (TUG-ISEC) und wissenschaftlicher Koordinator von CREIS. „Wir müssen heute Schutzkonzepte auf Geräteebene entwickeln, die nicht nur aktuelle Bedrohungen abdecken, sondern auch gegen Angriffsklassen wirken, die wir erst in einigen Jahren in voller Breite sehen werden.“

Auf diesem Gebiet gehört die TU Graz zur Weltspitze: Am TUG-ISEC wurden die aufsehenerregenden Prozessor-Schwachstellen „Meltdown“ und „Spectre“ mitentdeckt. Außerdem stammt mit ASCON ein Schema für leichtgewichtige authentifizierte Verschlüsselung aus Graz, das vom US-amerikanischen National Institute of Standards and Technology (NIST) als internationaler Standard ausgewählt wurde.

Ganzheitliche Betrachtungsweise

Das Besondere an CREIS: Das Projekt betrachtet die Bedrohungslage nicht isoliert, sondern ganzheitlich. Die Forschenden analysieren Angriffsflächen auf mehreren Ebenen gleichzeitig – von klassischen Softwareschwachstellen über sogenannte Side-Channel-Angriffe, bei denen Informationen nicht über den direkten Datenweg, sondern über physikalische Nebeneffekte wie Stromverbrauch oder Rechenzeit abgegriffen werden, bis hin zu indirekten Attacken über angeschlossene Infrastruktur.

CREIS verfolgt vier zentrale ineinandergreifende Forschungsstränge:

1. Analyse von Angriffsmöglichkeiten
Die Forschenden analysieren Komponenten von Energiesystemen unter neuen, erweiterten Angriffsmodellen. Dabei werden nicht nur bekannte Schwachstellen in den Fokus genommen, sondern gezielt neuartige Angriffsklassen erforscht – etwa solche, die Software- und Hardware- Angriffe kombinieren.

2. Erweiterung der Co-Simulationsumgebung
Herzstück ist die Erweiterung des Co-Simulationsframeworks BIFROST, das von Siemens entwickelt wurde. Damit lassen sich komplexe Energiesysteme virtuell nachbilden. Nun soll BIFROST weiterentwickelt werden, um damit auch Cyberangriffe realistisch simulieren zu können. Eine reale Demonstrationsanlage wird direkt in die Co-Simulation integriert, sodass Angriffe auf das Stromnetz replizierbar und wissenschaftlich auswertbar nachgestellt werden können.

3. Neue Schutzmaßnahmen entwickeln
Auf Basis der gewonnenen Erkenntnisse entstehen Schutzmechanismen, die nicht einzelne Schwachstellen aufzeigen, sondern ganze Angriffsklassen adressieren – sowohl softwarebasiert als auch hardwareunterstützt. Die Ansätze werden als Laborprototypen umgesetzt und in der Co-Simulationsumgebung evaluiert.

4. Update- und Zertifizierungskonzepte für das Feld
In der Praxis befinden sich IoT-Geräte im Energienetz oft an schwer zugänglichen Orten – etwa in Transformatorstationen oder Verteilerkästen. Updates müssen daher Over-the-Air (OTA) oder über die Stromleitung selbst (Power Line Communication) eingespielt werden. CREIS erforscht einen ganzheitlichen Update-Prozess.

© Siemens

„Unser Forschungsfokus auf Geräteebene betrifft die oben beschriebenen Updatemechanismen und etwa die Frage, wie man sicherstellt, dass auf den Geräten ausschließlich autorisierte Software ausgeführt wird. Auf Systemebene interessiert uns die Domäne Energiewirtschaft. Also wie sich Angriffe auf die Automatisierung im Energiesystem simulativ und möglichst realitätsnah darstellen lassen und wie sich solche Attacken auf das Energiesystem auswirken“, beschreibt Konrad Diwold, Senior Key Expert bei Siemens Österreich.

Damit die Forschungsergebnisse den Weg aus dem Labor in den Praxiseinsatz finden, setzt das Projektkonsortium auf eine enge Verzahnung von Simulation und Realität. Siemens Österreich ist der Technologiepartner des Energieforschungs- Joint-Venture Aspern Smart City Research (ASCR) in aspern Seestadt in Wien. Das dortige Smart-Grid-Testbed umfasst rund 30 Niederspannungsnetze, ausgestattet mit zahlreichen Sensoren und Komponenten der Siemens-SICAM- Produktfamilie. „Die Synergie zwischen ASCR und CREIS besteht darin, dass die entwickelten Lösungen zunächst im Rahmen des geförderten Forschungsprojekts mit der TU Graz in der virtuellen BIFROST-Umgebung mit realitätsnahen Testdaten untersucht werden können. Bei entsprechendem Erfolg kann darauf aufbauend ein Pilotprojekt definiert werden, um die Ansätze im ASCR-Testbed unter realen Bedingungen und gemeinsam mit dem Joint-Venture- Partner Wiener Netze zu validieren. Durch die Erfahrung aus dem ASCRTestbed können wir unsere Methoden von Beginn an eng am tatsächlichen Systemverhalten entwickeln und unseren Forschungspartnern praxisrelevante Rahmenbedingungen für ihre Forschung bieten“, ordnet Alfred Einfalt, Principal Key Expert für Distributed Energy Systems bei Siemens, ein.

© Siemens

Die wirtschaftliche Dimension des Themas ist beträchtlich. Der globale Markt für Sicherheitssysteme in der Energieautomatisierung soll von 8,3 Milliarden US-Dollar im Jahr 2024 auf rund 16 Milliarden US-Dollar im Jahr 2032 anwachsen. Noch größer ist das Feld der industriellen Automatisierung insgesamt, mit einer Wachstumsprognose von 55,9 Milliarden auf 115 Milliarden US-Dollar bis 2034. Die in CREIS erforschten Schutztechnologien sollen dabei bewusst nicht auf den Energiesektor beschränkt bleiben – sie lassen sich auf andere Branchen der Industrieautomatisierung übertragen, etwa auf Fertigungsindustrie oder Gebäudeautomation.

Auch der regulatorische Rahmen spielt CREIS in die Karten. Mit dem Cyber Resilience Act (CRA) und der NIS- 2-Richtlinie hat die Europäische Kommission klare Vorgaben für die Cybersicherheit digitaler Produkte und kritischer Infrastruktur geschaffen. Energieunternehmen sind neben anderen seit 2025 verpflichtet, umfangreiche technische und organisatorische Maßnahmen umzusetzen. Diese reichen von Risikoidentifikation über Vorfallmanagement bis hin zur Absicherung der gesamten Lieferkette. Wie genau das auf Geräteund Systemebene geschehen soll, bleibt allerdings den Herstellern und Betreibern überlassen. CREIS will hier konkrete, praxistaugliche Antworten liefern.

Kraftvolle Partnerschaft

Die Stärke des Projekts liegt auch in der Kombination der Partner. Das TUG-ISEC ist mit rund 70 Forschenden Österreichs größtes Universitätsinstitut für Informationssicherheit, aktiv seit rund 40 Jahren. Auf Siemens-Seite bündeln sich Kompetenzen aus zwei Bereichen: Die Forschungsabteilung in Wien bringt Expertise in Industrial IoT, Co-Simulation, Smart Grids und Data Analytics mit, während das Software- und Firmwareentwicklungs- bzw. R&D-Team in Graz das Knowhow in der Entwicklung und der Testung cybersicherer industrieller Automatisierungsprodukte – vom Feldgerät bis zur Cloud – beisteuert. „Die Kopplung von realer Hardware mit der Simulation ist die eigentliche Herausforderung. Das heißt, wir müssen die relevanten Security- Eigenschaften von Geräten identifizieren und diese dann so modellieren, dass sie in die Simulation eingebunden werden können“, unterstreicht Sandra Dominikus, Siemens-interne CREIS-Projektkoordinatorin sowie Product-Security-Expertin für industrielle Automatisierung, die praktische Relevanz.

„Unsere Softwareabteilung entwickelt Produkte und Lösungen, die weltweit in unterschiedlichen industriellen Anwendungen zum Einsatz kommen. Durch die Ansätze und Beispielimplementierungen, die wir in diesem Projekt gemeinsam mit den Forschenden der TU Graz entwickeln, lernen unsere Entwickelnden die neuesten Erkenntnisse in diesem Feld kennen. Das kommt uns wiederum in der Entwicklung von Security- Features für unsere Industriesteuerungen zugute, die zum Teil auch in Graz entwickelt und implementiert werden“, ergänzt Dominikus.

Am Ende der dreijährigen Projektlaufzeit sollen nicht nur wissenschaftliche Publikationen und Laborprototypen stehen. Das Konsortium plant auch einen Empfehlungsbericht, der sich gezielt an Energieunternehmen, Gerätehersteller und die Politik richtet. Die Botschaft: Cybersicherheit für kritische Infrastruktur ist kein Luxus und kein Zukunftsthema mehr, sondern eine Aufgabe, die jetzt konkrete Lösungen braucht. CREIS liefert genau das: den Versuch, den Angreifenden nicht nur hinterherzulaufen, sondern ihnen eine durchdachte, wissenschaftlich fundierte Verteidigungsstrategie entgegenzusetzen – von der Chipebene bis zum Gesamtsystem.