Aufbruch in die digitale Resilienz

Die Schweizer Energiebranche steht an einem entscheidenden Wendepunkt. Die beschleunigte Dekar­boni­sierung treibt den Ausbau der erneuerbaren Energien unauf­haltsam voran, während die Digitalisierung nahezu alle Prozesse transformiert. Intelligente Stromnetze, sogenannte Smart Grids, haben das Potenzial, die Energieflüsse dynamisch zu steuern und zu optimieren. Damit können Schwankungen in der Strom­produktion, beispielsweise durch Wind- oder Solar­anlagen, effizient ausgeglichen werden. Doch diese technologischen Fortschritte bringen auch neue Heraus­forde­rungen mit sich, die von der Branche nicht unterschätzt werden dürfen.

Seit 2021 führt i-Risk in Zusammenarbeit mit dem Verband Schweize­rischer Elektri­zitäts­unter­nehmen (VSE) eine jährliche Studie durch, um die Risikolandschaft der Energie­versor­gungs­unter­nehmen (EVUs) zu analysieren. Die Ergebnisse dieser Erhebungen zeigen, wie stark sich die Rahmen­bedin­gungen in den letzten Jahren verändert haben. Die Covid-19-Pandemie stellte die EVUs vor unerwartete logistische und operative Heraus­forde­rungen, gefolgt vom Ukraine-Krieg, der die Energiepreise in die Höhe schnellen liess und die Stabilität der Versorgung gefährdete. Auch geopolitische Spannungen, die globale Lieferketten betreffen, und die Zunahme extremer Wetterereignisse haben die Branche nachhaltig geprägt.

Im Jahr 2022 lag der Fokus auf der Bewältigung einer drohenden Energie­mangel­lage und auf der Handhabung drastisch gestiegener Preise. Doch bereits ein Jahr später, 2023, trat ein weiteres zentrales Thema in den Vordergrund: die Notwendigkeit, die Resilienz der Unternehmen in einer zunehmend vernetzten und digitalisierten Welt zu stärken. 2024 wurde diese Entwicklung weiter beschleunigt.

Studienergebnisse

Die Ergebnisse der i-Risk-Studie 2024 [1] verdeutlichen, welche Risiken für die Branche von grösster Bedeutung sind (Bild 1):

• IT-Risiken. Die zunehmende Digitalisierung macht die IT-Sicherheit zu einem der zentralen Themen für EVUs. Ein Ausfall der IT-Systeme kann schwerwiegende Folgen haben: Netz­steue­rungen werden unterbrochen, Kontroll­zentralen verlieren den Überblick und wichtige operative Entschei­dungen können nicht getroffen werden. Cyberangriffe sind dabei die grösste Bedrohung. Immer häufiger kommt es zu gezielten Attacken auf kritische Infra­struk­turen, bei denen Angreifer versuchen, Betriebsprozesse zu stören oder Daten zu manipulieren. Ebenso proble­matisch sind Datenverluste oder Sicher­heits­lücken in sensiblen Systemen, die erhebliche finanzielle und regula­torische Konse­quenzen nach sich ziehen können.
• Personalrisiken. Der Fach­kräfte­mangel ist eines der drängendsten Probleme in der Energie­branche. Besonders betroffen sind IT-Sicherheits- und Netz­betriebs­teams, die aufgrund des zunehmenden Bedarfs an qualifi­ziertem Personal oft unterbesetzt sind. Der Verlust von Know-how durch Pensionie­rungen oder Abwan­derungen in andere Branchen verschärft die Situation. Fehl­beset­zungen oder unzureichend geschultes Personal können dazu führen, dass wichtige Kontroll­mecha­nismen nicht korrekt umgesetzt werden. Schulungs­programme und Wissens­manage­ment sind daher von zentraler Bedeutung, um diese Risiken zu minimieren.
• Beschaffungs­risiken. Schwankende Energiepreise, geopolitische Entwick­lungen und regulatorische Vorgaben erschweren die Beschaffung. Erneuerbare Energien stehen nicht immer bedarfsgerecht zur Verfügung, und Import­abhängig­keiten bergen zusätzliche Risiken. Fehl­pro­gnosen können teure Nachkäufe oder Überschüsse verursachen. Viele EVUs setzen auf diversifizierte Beschaf­fungs­strate­gien und datenbasierte Analysen, um Markt­entwick­lungen besser vorherzusehen. Engpässe bei kritischen Komponenten wie Trans­formatoren können zudem Bauprojekte verzögern.
• Energie­versorgungs­risiken. Die Kernaufgabe der EVUs bleibt die sichere Energie­versorgung. Doch durch extreme Wetter­ereignisse, geopolitische Unsicherheiten und schwankende Nachfrage wird diese Aufgabe zunehmend komplexer. Im Winter 2022 stand die Schweiz kurz vor einer Energie­mangellage, die durch knappe Gas­liefe­rungen und stark gestiegene Preise verschärft wurde. Blackout-Szenarien sind nicht mehr rein theoretisch, sondern realistische Bedrohungen, die eine effektive Notfall­planung und resiliente Infrastruktur erfordern.
• Compliance-Risiken. Die zunehmende Regulierungsdichte führt dazu, dass EVUs neue Vorschriften oft nicht rechtzeitig erkennen und unbewusst dagegen verstossen. Besonders Umweltauflagen, Netzregulierung und Datenschutz unterliegen ständigen Anpassungen, deren Missachtung finanzielle oder reputative Folgen haben kann. Auch mutwillige Verstösse wie Korruption oder Interessenkonflikte bleiben ein Risiko. Sie können rechtliche Konsequenzen nach sich ziehen und das Vertrauen von Kunden und Behörden schädigen. Klare Compliance-Regeln und Schulungen helfen, sowohl unbeabsichtigte als auch vorsätzliche Verstösse zu vermeiden.

Diese fünf Risikofelder, die jeweils von über 50% der befragten Unternehmen als zentral eingestuft wurden, machen deutlich, dass die Energiebranche mehr denn je auf flexible und dynamische Kontroll­systeme angewiesen ist. Nur so lassen sich sowohl bestehende als auch neu entstehende Risiken effektiv bewältigen.

Viele EVUs verfügen über ein internes Kontrollsystem (IKS), das oft nicht mit der Weiter­entwick­lung des Unter­nehmens Schritt hält. Prozesse, Verant­wort­lichkeiten und Strukturen verändern sich, während das IKS unverändert bleibt. Dadurch entstehen Schwachstellen, die erst bei Problemen offensichtlich werden.

Die vier Phasen eines dynamischen IKS

Ein dynamisches internes Kontroll­system (IKS) basiert auf einem kontinuier­lichen Prozess, der in vier zentrale Phasen unterteilt ist (Bild 2). Diese Phasen helfen EVUs dabei, Risiken systematisch zu erfassen, zu bewerten, zu steuern und kontinuierlich zu überwachen. Anders als statische Kontrollsysteme wird ein dynamisches IKS regelmässig an neue Bedingungen angepasst und durchläuft diesen Prozess zyklisch.

Identifizieren: Den Umfang bestimmen und Risiken aufspüren. Die erste Phase beginnt mit dem sogenannten Scoping, also der Festlegung des Anwen­dungs­bereichs des IKS. Dabei wird entschieden, welche Geschäfts­pro­zesse und Kontroll­bereiche in das System einbezogen werden. Die Granularität der Analyse hängt von der Komplexität und der Wesentlichkeit der Prozesse ab. Mittels Wesentlichkeitsanalysen werden die kritischen Prozesse priorisiert.

Beispiel: In der Identifi­kations­phase wird bei einem EVU der Prozess Energie­beschaf­fung aufgrund seiner finanziellen Relevanz meist als Schlüssel­prozess identifiziert und genauer untersucht. Dabei werden die internen Abläufe, Schnittstellen zu anderen Prozessen wie Netzsteuerung oder IT sowie externe Abhängigkeiten von Lieferanten und schwankenden Marktpreisen erfasst. Da die IT und ihre Systeme mittlerweile bei fast jedem Arbeitsschritt eine Rolle spielen, wird die IT-Umgebung per se heutzutage als IKS-Schlüsselthema verstanden.

Bewerten: Risiken analysieren und Schwerpunkte setzen. In der Bewertungs­phase erfolgt eine detaillierte Analyse der identifizierten Prozesse. Dabei werden potenzielle Schwachstellen identifiziert, und es wird abgeschätzt, wie wahr­scheinlich das Eintreten eines bestimmten Risikos ist und welche Auswirkungen es auf das Unternehmen haben könnte. Die wichtigsten Risiken werden als sogenannte Schlüsselrisiken klassifiziert.

Beispiel: Im Bereich der IT-Sicherheit eines EVUs wird im Rahmen der Bewer­tungs­phase festgestellt, dass veraltete Zugangsrichtlinien und unzureichend geschulte Mitarbeitende ein hohes Risiko für Cyberangriffe darstellen. Die Eintritts­wahr­schein­lichkeit eines solchen Angriffs wird als hoch eingestuft, und die potenziellen Auswir­kungen reichen von finanziellen Verlusten bis zur Beeinträchtigung der Stromversorgung.

Steuern: Massnahmen zur Risiko­minderung entwickeln. Basierend auf den identifizierten und bewerteten Risiken werden gezielte Kontroll­mass­nahmen entwickelt und implementiert. Für jedes Schlüssel­risiko wird mindestens eine spezifische Kontrolle definiert, die darauf abzielt, das Risiko zu minimieren oder zu eliminieren. Dabei können sowohl technische als auch organisatorische Mass­nahmen zum Einsatz kommen.

Beispiel: Um das Risiko eines IT-Ausfalls durch Cyber­angriffe zu verringern, imple­mentiert das EVU mehrere Massnahmen: eine Zwei-Faktor-Authenti­fizie­rung, regelmässige Pene­trations­tests und Schulungen der Mitarbeitenden zur Erhöhung des Sicherheitsbewusstseins. Im Bereich der Energiebeschaffung wird ein automati­siertes Monitoring-System eingeführt, das Preisänderungen und Lieferengpässe frühzeitig erkennt.

Überwachen: Kontrollen evaluieren und anpassen. In der letzten Phase wird sichergestellt, dass die implemen­tierten Kontroll­mass­nahmen wirksam sind und bleiben. Dies erfolgt durch eine regelmässige Überprüfung der Kontroll­durch­führung sowie Beurteilung der Kontrollwirkung. Klare Verantwortlichkeiten müssen definiert sein, um sicherzustellen, dass vom Zielwert abweichende Feststellungen frühzeitig erkannt und behoben werden können.

Beispiel: Ein Dashboard zur Echtzeit­über­wachung  der IT-Sicher­heits­mass­nahmen gibt dem Manage­ment einen umfassenden Überblick über den Status aller relevanten Kontrollen. Fällt eine Kontrolle aus oder wird eine Schwachstelle entdeckt, wird dies automatisch gemeldet, sodass sofortige Korrektur­mass­nahmen eingeleitet werden können.

Doch selbst ein gut strukturiertes IKS kann seine Grenzen haben. In vielen Unternehmen zeigt sich, dass Kontroll­mecha­nismen zwar vorhanden sind, aber nicht immer effektiv greifen.

Die Maturi­täts­stufen: Wo stehen Schweizer EVUs?

Ein modernes IKS entwickelt sich über mehrere Reifegrade, die sogenannten Maturi­täts­stufen (Bild 3). Diese beschreiben, wie gut die Kontroll­mecha­nismen in den operativen und strategischen Prozessen des Unternehmens verankert sind:

• Stufe 1: Wenig verlässlich – Es gibt kaum dokumentierte Kontrollen. Risiken werden situativ oder ad hoc behandelt. Entscheidungen hängen stark von individuellen Einschätzungen ab. Es fehlen klare Prozesse oder Leitlinien.
• Stufe 2: Informell – Es existieren Kontrollen, die jedoch nicht systematisch dokumentiert oder standardisiert sind. Die Umsetzung ist stark personen­abhängig. Es mangelt an Schulungen oder strukturierten Überprüfungen.
• Stufe 3: Standardisiert – Die wesentlichen Prozesse sind dokumen­tiert und Risiken werden systematisch identifiziert und bewertet. Kontroll­mass­nahmen sind zwar definiert, werden jedoch nicht immer umfassend überwacht.
• Stufe 4: Überwacht – Es gibt strukturierte Überwachungs­mecha­nismen, um die Wirksamkeit der Kontrollen sicherzustellen. Dabei werden Risiken und Massnahmen kontinuierlich evaluiert und bei Bedarf angepasst.
• Stufe 5: Optimiert – Das IKS ist vollständig integriert und automatisiert. Es arbeitet eng mit dem Risiko­manage­ment zusammen und passt sich dynamisch an veränderte Rahmen­bedin­gungen an. Die Kontrollen sind weitgehend digitalisiert und der Fokus liegt auf kontinuierlicher Verbesserung.

Die meisten Schweizer EVUs befinden sich derzeit zwischen Stufe 2 und 4 (Bild 3). Die Ergebnisse der aktuellen i-Risk-Studie zeigen, dass viele Unternehmen zwar über standardisierte und dokumentierte Prozesse verfügen, jedoch häufig Schwierigkeiten haben, diese kontinuierlich zu überwachen und anzupassen. Besonders im Bereich der IT-Sicherheit und der Beschaffung zeigt sich, dass dynamische Kontroll­mecha­nismen fehlen, um auf plötzliche Veränderungen oder überraschende externe Schocks schnell zu reagieren.

Fazit: Ein IKS, das mit den Risiken wächst

In einer zunehmend vernetzten Welt ist es unvermeidlich, dass sich die Risiken weiterentwickeln. EVUs, die darauf vorbereitet sind und ihr IKS kontinuierlich anpassen, werden nicht nur besser geschützt sein, sondern auch langfristig wettbewerbsfähig bleiben. Die Fähigkeit, Risiken zu kontrollieren, wird zu einem entscheidenden Erfolgsfaktor – nicht nur für die Sicherheit, sondern auch für die Zukunftsfähigkeit der gesamten Energiebranche. Denn in einer vernetzten Welt gewinnt nicht derjenige, der Risiken vermeidet – sondern derjenige, der sie beherrscht.

Referenz

[1] Eric Montagne et al., «Risiken der Energiebranche – in einer vernetzten Welt», Präsentation bei den Betriebsleitertagungen des VSE 2024.