ENISA

EU-Wasserwirtschaft und Bahn rutschen in die Cyber-Risikozone

Wasserwerk
LinkedInRedditWhatsApp

Der dritte NIS360-Bericht der EU-Cybersicherheitsagentur ENISA attestiert zwar Fortschritte über alle kritischen Sektoren hinweg. Doch Trinkwasser, Abwasser und der Schienenverkehr gelten nun erstmals als zu schlecht gerüstet für ihre Bedeutung.

Die EU-Agentur hat ihren NIS360-Bericht 2026 vorgelegt, die dritte Ausgabe einer Bestandsaufnahme, die alle 22 Sektoren und Teilsektoren von hoher Kritikalität unter der NIS2-Richtlinie bewertet. Das Ergebnis fällt zweischneidig aus: Die Cybersicherheitsreife steigt EU-weit langsam, aber stetig. Gleichzeitig sind drei Sektoren neu in die sogenannte Risikozone gerutscht.

Anzeige

Anders als klassische Reifegradmodelle, die einzelne Unternehmen unter die Lupe nehmen, bewertet ENISA das gesamte Ökosystem eines Sektors. In die Reife fließen vier Bausteine ein: Gesetzeslage und deren Wirksamkeit, die Vorbereitung der Unternehmen, die institutionelle Kapazität der Behörden sowie die Strukturen des Sektor-Ökosystems. Die Kritikalität wiederum misst, wie stark Gesellschaft und Wirtschaft von einem Sektor abhängen und wie schnell sich ein Ausfall bemerkbar machen würde.

Banken, Strom und Telekommunikation bleiben Spitzenreiter

An der Spitze hat sich wenig verschoben. Bankwesen, Elektrizität und Telekommunikation bleiben die reifsten und zugleich kritischsten Sektoren. Neu in die Gruppe mit hoher Reife aufgestiegen sind drei weitere: Vertrauensdienste (Trust Services), die Luftfahrt und die Finanzmarktinfrastrukturen (FMIs).

Beim Finanzsektor sieht ENISA die EU-Verordnung DORA als wesentlichen Treiber. Sie habe Ressourcen gebündelt und das Risikomanagement der FMIs strukturierter gemacht. Gleichzeitig bleibt der Sektor ein bevorzugtes Ziel. Neben DDoS-Angriffen, Ransomware und Datendiebstahl nimmt laut Bericht die Zahl der Betrugsmaschen zu, viele davon mit Social Engineering und zunehmend mit KI-gestützten Deepfakes.

Anzeige

Vier Sektoren legten innerhalb des mittleren Reifebandes zu: Gas, Straßenverkehr, Seeverkehr und Gesundheit. Beim Straßenverkehr zieht vor allem die Automobilindustrie das Niveau nach oben, die unter eigenen internationalen Regelwerken wie der UN-Regelung Nr. 155 und der Norm ISO/SAE 21434 operiert.

Drei Neuzugänge in der Risikozone

Die Risikozone definiert ENISA als Bereich, in dem Sektoren eine unterdurchschnittliche Reife aufweisen, ihre Kritikalität diese Reife aber übersteigt. Solche Sektoren sind im Wortlaut des Berichts „kritischer für Gesellschaft und Wirtschaft, als sie derzeit auf Cyberrisiken vorbereitet sind“.

Neu hineingerutscht sind Schienenverkehr sowie Trink- und Abwasser. Beim Bahnsektor spielt laut Bericht die wachsende Rolle für die militärische Logistik in Europa eine Rolle, was die Kritikalität anhebt und den Sektor zu einem attraktiveren Ziel für Cyber- und hybride Bedrohungen macht. Als warnendes Beispiel führt ENISA einen Angriff in Polen an, bei dem ein Angreifer eine Schwäche in der funkbasierten OT-Kommunikation ausnutzte und mehrere Züge für einige Stunden zum Stillstand brachte.

Trink- und Abwasser gehören zu den am wenigsten reifen Sektoren überhaupt. Trinkwasser schneidet etwas besser ab als Abwasser, was ENISA auf die frühere Einbeziehung in die Cybersicherheitsgesetzgebung zurückführt. Beide Sektoren kämpfen mit Altsystemen, knappen Budgets, fehlendem Fachpersonal und einem überwiegend reaktiven Vorgehen. Bei beiden gibt jede dritte befragte Einrichtung an, noch nie eine Risikobewertung durchgeführt zu haben.

Ebenfalls in der Risikozone verbleiben Gesundheit, Seeverkehr, ICT-Service-Management, Raumfahrt und die öffentliche Verwaltung.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Lichtblick Gas, Sorgenkind öffentliche Verwaltung

Eine positive Entwicklung gibt es beim Gassektor, der die Risikozone verlässt. ENISA nennt dafür besseren Informationsaustausch, stärkere Zusammenarbeit und eine verbesserte Umsetzung von Risikomanagementmaßnahmen.

Schlechter sieht es bei der öffentlichen Verwaltung aus, die der Bericht als „am häufigsten angegriffenen Sektor“ bezeichnet. Rund ein Drittel der Verwaltungen verfügt über keinen strukturierten Ansatz, um Cybersicherheitsexpertise auf Managementebene sicherzustellen. Etwa die Hälfte bietet keine entsprechenden Schulungen für Führungskräfte. Patches dauern häufig länger als drei Monate. Hacktivismus macht den Großteil der Vorfälle aus, Datenlecks und Cyberspionage kommen hinzu.

Auch das ICT-Service-Management, also Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs), bleibt ein Sorgenfall. Weil diese Dienstleister als Drittanbieter tief in andere Sektoren hineinwirken, ist ihre nur mittlere Reife nicht nur ihr eigenes Problem. Ein kompromittierter Anbieter kann als Sprungbrett zu zahlreichen Kunden dienen, wie ENISA erklärt.

KI, Lieferketten und Geopolitik als Querschnittsrisiken

Über alle Sektoren hinweg macht ENISA drei prägende Dynamiken aus. Erstens die rasche Entwicklung von KI, deren Nutzen sich bislang schneller für Angreifer als für Verteidiger materialisiert, etwa durch überzeugendere Social-Engineering-Angriffe und schnellere Schwachstellenausnutzung.

Zweitens die wachsende Abhängigkeit von Lieferketten und Drittanbietern. Wer einem Anbieter vertraut, vertraut implizit allen, denen dieser Anbieter wiederum vertraut. Die Kompromittierung eines einzigen Glieds kann durch ganze Sektor-Ökosysteme kaskadieren. Als Beispiele aus dem Berichtszeitraum nennt ENISA unter anderem Ausfälle bei großen Cloud-Anbietern wie Google Cloud und AWS sowie Beschädigungen von Unterseekabeln.

Drittens die geopolitische Volatilität, die sich in geopolitisch motivierten Angriffen niederschlägt, bei denen Organisationen oft ins Kreuzfeuer staatlicher Konflikte geraten.

Fazit

Die Botschaft des NIS360-Berichts ist nicht, dass die EU bei der Cybersicherheit ihrer kritischen Infrastruktur versagt. Im Gegenteil, der Trend zeigt nach oben, und Gesetzgebung wie NIS2 und DORA wirken offenbar nicht nur als Compliance-Pflichtübung, sondern als realer Investitionstreiber. Bemerkenswert ist eher die Ungleichheit. Während regulatorisch erprobte Sektoren wie Banken und Telekommunikation davonziehen, hinken Wasserwirtschaft und Teile des Verkehrs hinterher. Dass ausgerechnet die Wasserversorgung, existenziell für jeden Haushalt, zu den unreifsten Bereichen zählt und ein Drittel der Einrichtungen nie eine Risikobewertung gemacht hat, dürfte Aufsichtsbehörden zu denken geben.


Lars

Becker

Stellvertretender Chefredakteur

IT Verlag GmbH

Anzeige
Wasserwerk
1. Juni 2026
EU-Wasserwirtschaft und Bahn rutschen in die Cyber-Risikozone
Dell Technologies
1. Juni 2026
Dell-Aktie steigt nach Rekordquartal um fast 33 Prozent wegen KI
Datensicherheit
1. Juni 2026
Zunehmende Komplexität beim Datenschutz in der Lieferkette
Sicherheitslücke, palo alto firewall angriff, palo alto firewall sicherheitslücke, palo alto network firewall, Palo Alto Network, Firewall
1. Juni 2026
Palo Alto GlobalProtect: Aktiv ausgenutzter VPN-Bypass bedroht Firmennetze

Weitere Artikel

Dell-Aktie steigt nach Rekordquartal um fast 33 Prozent wegen KI
Palo Alto GlobalProtect: Aktiv ausgenutzter VPN-Bypass bedroht Firmennetze
Uber und Autobrains starten Robotaxi-Test in München
Verdeckte Spionagetunnel: Kimsuky missbraucht Microsoft Visual Studio Code
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.