Anmelden
Energieversorger · KRITIS · § 11 EnWG · NIS-2

Office-Posteingang.Stadtwerke-tauglich.KRITIS E-Mail Energie nach § 11 EnWG.

MailGuard, DMARC, SecureMail und SecureFiles für ÜNB, VNB, Stadtwerke und Energiedienstleister im KRITIS-Sektor Energie. NIS-2-fähig, EU-Hosting, ISMS-Anschluss, ohne Eingriff in Leit- oder Netzleittechnik.

Demo anfragenMailGuard im Detail
Auf einen BlickStand 2026

KRITIS-Schicht für den Office-Posteingang, ohne Berührung der Leittechnik.

  • Phishing aus Lieferanten- und Marktpartner-Domains landet im PostfachDMARC-, SPF- und DKIM-Prüfung plus BEC-Heuristik filtern Marktpartner-Spoofing
  • Markenmissbrauch in Endkunden-Phishing ohne VisibilityDMARC-Reports mit Reject-Policy, Forensik für die Versorger-Marke
  • KRITIS-Audit ohne dokumentierte Maßnahmen für Mail und DateitransferISMS-fähige Maßnahmen-Beschreibung mit Audit-Log für § 8a BSIG
Conbool schützt die Office-IT eines Energieversorgers vor Phishing aus Lieferanten- und Marktpartner-Domains, BEC-Angriffen auf Kämmerei und Einkauf sowie Markenmissbrauch im Endkunden-Bereich. Die Plattform sitzt als MX vor Microsoft 365, lässt SCADA, Prozessleitsysteme, Fernwirktechnik und die EDIFACT-Marktkommunikation unangetastet und liefert die Mail- und Datentransfer-Schicht, die der BSI-IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG, die NIS-2-Umsetzung und der B3S Energie auf der Maßnahmen-Ebene erwarten.
Geeignet für Sie wenn:ÜNB, VNB, StadtwerkeKRITIS-Sektor EnergieNIS-2 wesentliche Einrichtung
100 %
EU-Hosting, Rechenzentrum Deutschland
§ 11 EnWG
Bezug zum BSI-IT-Sicherheitskatalog
NIS-2
wesentliche Einrichtung Energie
30 Min.
MX-Switch im Pilot-Stadtwerk

Regulatorische Anker für die Energiebranche

§ 11 Abs. 1a EnWG und BSI-IT-Sicherheitskatalog der BNetzABSI-KritisV, § 8a BSIG, KRITIS-Sektor EnergieNIS-2-Richtlinie (EU) 2022/2555 und nationale UmsetzungB3S Branchenstandard Energie, ISO 27001 und IT-Grundschutz

Conbool deckt Maßnahmen auf Mail- und Datenebene ab. Die KRITIS-Einstufung trifft das Versorgungsunternehmen selbst anhand der Schwellenwerte der BSI-KritisV. Conbool greift nicht in OT-, Leit- oder Fernwirksysteme ein.

Vier Bausteine für ÜNB, VNB und Stadtwerke.

MailGuard gegen Phishing aus der Marktpartner-Kommunikation, DMARC gegen Markenmissbrauch, SecureMail für BNetzA und Aufsicht, SecureFiles für Netzpläne und Lieferantenpakete.

MailGuard

MailGuard

BEC- und CEO-Fraud-Schutz für Kämmerei, Einkauf und Projektabwicklung, Sandboxing von Anhängen aus Lieferanten- und Marktpartner-Mails, URL-Reputation gegen Spear-Phishing auf Leitwarte, Netzführung und Engineering-Plätze. Mehrstufige Erkennung vor Microsoft 365 mit dokumentiertem Befund pro Vorfall.

MailGuard im Detail
DMARC

DMARC Reports

Aggregat- und Forensik-Reports zur eigenen Versorger-Marke und allen Vertriebs- und Marken-Domains. Schrittweise von p=none über p=quarantine zu p=reject, mit dokumentiertem Pfad für die Berichterstattung im ISMS, das § 8a BSIG-Audit und die NIS-2-Nachweisführung.

DMARC Reports im Detail
SecureMail

SecureMail

S/MIME, OpenPGP und Web-Reader für Korrespondenz mit Bundesnetzagentur, Landesregulierungsbehörden, Übertragungsnetzbetreibern, kommunalen Aufgabenträgern und Konzern-Gesellschaften. Outlook-Add-in für Classic, New und Web, ohne Bruch im Posteingang des Sachbearbeiters.

SecureMail im Detail
Disclaimer

SecureFiles und Disclaimer

SecureFiles für Netzpläne, Schaltbilder, Messdaten, Genehmigungsanlagen und Lieferantenpakete jenseits üblicher Mail-Limits, mit Passwort- oder Empfänger-Authentifizierung. Disclaimer für Pflichtangaben pro Stadtwerk, Tochter oder Marke server-seitig, mit AD- oder Entra-ID-Mapping.

Module ansehen
Typische Workflows im Versorger

Vier Szenarien aus dem Alltag von Stadtwerken und Netzbetreibern.

Von der Lieferanten-Mail über Marktkommunikation bis zum KRITIS-Audit.

1

Lieferanten-Phishing in der Kämmerei abfangen

Ein angeblicher Anlagenbauer eines Großprojekts schickt der Kämmerei eines Stadtwerks per E-Mail eine geänderte Bankverbindung für eine sechsstellige Abschlagsrechnung. MailGuard prüft SPF, DKIM und DMARC der Absender-Domain, erkennt das Display-Name-Spoofing per BEC-Heuristik, gleicht die Bankverbindung gegen den bisherigen Verkehr ab und blockiert die Nachricht, bevor sie im Posteingang der Buchhaltung des Versorgers landet. Der Vorgang wird im Audit-Log dokumentiert und kann als Beleg für das ISMS-Reporting genutzt werden.

2

Marktkommunikation nach BNetzA-Festlegung flankieren

Die regulierte Marktkommunikation zwischen Lieferant, Verteilnetzbetreiber und Messstellenbetreiber läuft prozessual über definierte EDIFACT-Nachrichten und ist nicht E-Mail-basiert. Die begleitende Korrespondenz zu Klärfällen, Wechselprozessen, Bilanzkreis-Themen und GPKE oder GeLi Gas läuft hingegen per E-Mail. MailGuard und DMARC sichern diese Begleitkorrespondenz gegen Spoofing aus Marktpartner-Domains ab, ohne in die EDIFACT-Kette einzugreifen.

3

Korrespondenz mit BNetzA und Aufsicht verschlüsseln

Anfragen zu Netzentgelten, Anreizregulierung, Versorgungssicherheit und Netzzugang gehen verschlüsselt per S/MIME oder OpenPGP an die zuständigen Beschlusskammern der Bundesnetzagentur und an Landesregulierungsbehörden. SecureMail liefert Empfangsbestätigung, Verschlüsselungsnachweis und Audit-Log als Beleg für das interne Vorgangsmanagement und für spätere Verfahrensschritte.

4

Nachweisführung im § 8a BSIG-Audit

Im Zwei-Jahres-Rhythmus prüft eine prüfende Stelle nach § 8a Abs. 3 BSIG die Umsetzung des Stands der Technik beim KRITIS-pflichtigen Versorger. Conbool stellt eine Maßnahmen-Beschreibung nach BSI-Prüfschema, Konfigurations-Exporte zu DMARC- und Mail-Sicherheits-Settings sowie Audit-Log-Auszüge bereit, die in den Prüfbericht an das BSI eingebunden werden können.

Architektur

KRITIS-Schicht für die Office-IT, ohne OT-Berührung.

Conbool sitzt als MX vor Microsoft 365 in der Office-IT eines Versorgers. Leitstelle, Netzleitsystem, Fernwirktechnik und das prozessuale EDIFACT-Routing der Marktkommunikation bleiben in eigenen Zonen mit eigener Härtung. Das entspricht dem Zonenkonzept aus dem B3S Energie und der IT-OT-Trennung, die der BSI-IT-Sicherheitskatalog der BNetzA und die ergänzenden Anforderungen aus § 11 Abs. 1a EnWG erwarten.

MX-Switch im Stadtwerk

Eingehender SMTP-Verkehr läuft über Conbool und wird dort gefiltert, sandboxed und auf BEC geprüft. Microsoft 365 bleibt Backend. Outbound über M365 oder über Conbool, je nach DMARC- und DKIM-Strategie.

Office- und OT-Zonen sauber getrennt

Office-Postfächer der Verwaltung, des Kunden-Centers und der Netzplanung laufen über Conbool. Leitstellen- und Wartungs-Postfächer bleiben in separaten Zonen. Keine Berührung von SCADA, PLS, Fernwirkstrecken oder ICS-Komponenten.

ISMS-Anschluss nach ISO 27001 und B3S

Mail- und Datentransfer als technische und organisatorische Maßnahme im ISMS dokumentierbar, mit Mapping auf ISO 27001, IT-Grundschutz-Bausteine und die ergänzenden Anforderungen des B3S Energie.

SIEM- und SOC-Anbindung

Audit-Log und Vorfallsdaten per Syslog, CEF oder Standard-Connector ans Versorger-SOC, an einen dienstleistenden MSSP oder an ein gemeinsam betriebenes Konzern-SOC. Ereignis-Korrelation mit Netzleit- und Endpoint-Daten bleibt zentralisiert.

Compliance-Mapping

BSI-IT-Sicherheitskatalog und NIS-2 auf Maßnahmen-Ebene.

Der BSI-IT-Sicherheitskatalog der BNetzA gem. § 11 Abs. 1a EnWG fordert ein ISMS nach ISO 27001 mit branchen-spezifischen Ergänzungen für Strom- und Gasnetzbetreiber. NIS-2 erweitert das auf wesentliche Einrichtungen der Energiebranche mit Meldepflichten innerhalb von 24 Stunden Frühwarnung, 72 Stunden Erstmeldung und einem Monat Abschlussbericht sowie persönlicher Haftung der Geschäftsleitung. Conbool liefert die Bausteine auf der Mail- und Datenschicht und die belegbaren Nachweise für die Aufsicht.

Schutzbedarfsfeststellung Office-IT

Conbool als technische Maßnahme im Schutzbedarf der Office-IT, mit hohem bis sehr hohem Bedarf für Vertraulichkeit der Korrespondenz mit BNetzA, Kommunen, Marktpartnern und Konzern-Töchtern.

Vertraulichkeit und Integrität

S/MIME- und OpenPGP-Verschlüsselung mit Web-Reader-Fallback, Manipulationsschutz im Audit-Log, signierte Outbound-Mails per DKIM und durchgesetzte DMARC-Policy. Anhang-Sandbox gegen Office-Macro- und PDF-Exploits.

Verfügbarkeit und Wiederanlauf

Geo-redundante Mail-Filterung in EU-Rechenzentren mit Spool und Continuity bei M365-Ausfall. RTO und RPO in den Notfallplan des Versorgers integrierbar, mit dokumentierter Wiederanlauf-Reihenfolge nach BSI-Standard 100-4 oder 200-4.

Meldepflichten NIS-2 und § 8b BSIG

Audit-Log- und Vorfallsdaten-Exporte als Nachweis für Vorfallsmeldungen an BSI und zuständige Aufsicht innerhalb der NIS-2-Fristen (24 Stunden Frühwarnung, 72 Stunden Erstmeldung, ein Monat Abschlussbericht).

Migration

Pilot im Stadtwerk, dann Konzern-Rollout.

Versorger-Konzerne mit mehreren Stadtwerken, Netzbetreibern und Energiedienstleistern starten typischerweise in einer Tochter. Der Pilot validiert MX-Switch, DMARC-Politik und ISMS-Anschluss. Danach Konzern-Rollout über das Microsoft-365-Admin-Center mit zentralem Tenant oder mehrmandantenfähigem Setup.

Pilot in einer Tochter oder einem Stadtwerk

Eine kleinere Tochter, ein Stadtwerk oder die Vertriebsgesellschaft migriert MX, DMARC und Outlook-Add-in, der Rest des Konzerns bleibt unverändert. Validierung von Filterquote, False-Positive-Rate und ISMS-Anschluss in vier bis acht Wochen.

DMARC-Pfad mit dokumentierter Eskalation

Stufenweise von p=none über p=quarantine zu p=reject, mit Aggregat- und Forensik-Reports in jeder Phase. Subdomains der Vertriebsmarken und Töchter werden separat behandelt, fehlende Drittsysteme über SPF-Includes oder DKIM-Selectoren nachgezogen.

Konzern-Rollout über Entra ID

Outlook-Add-in für Classic, New und Web über das Microsoft-365-Admin-Center, AD- oder Entra-ID-gestützte Bereitstellung. Mehrmandantenfähigkeit pro Konzern-Gesellschaft, getrennte Mandate für Netzbetrieb und Vertrieb gem. Entflechtungspflichten nach EnWG.

Auslauf der Altlösung

Bestehende SEG-, Hornetsecurity-, Proofpoint- oder NoSpamProxy-Strecke läuft parallel aus, ohne Postfach-Migration. Kein Doppel-Lizenz-Druck, Wechsel pro Tochter oder pro Domain möglich.

Häufige Fragen aus der Energiebranche

Greift Conbool in OT, Leitstelle oder Fernwirktechnik ein?
Nein. Conbool sitzt vor Microsoft 365 in der Office-IT und schützt ausschließlich die Mail- und Datentransfer-Ebene. SCADA, Prozessleitsysteme, Fernwirkstrecken, Leitstellen-Netzwerke und das prozessuale EDIFACT-Routing der Marktkommunikation bleiben in ihren bestehenden Zonen. Die IT-OT-Trennung, die der BSI-IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG und der B3S Energie fordern, bleibt vollständig intakt. Auch der Standardbus-Schutz nach Whitelist und Zonenkonzept wird nicht angetastet.
Wie passt Conbool zum BSI-IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG?
Der BSI-IT-Sicherheitskatalog der Bundesnetzagentur verlangt ein ISMS nach ISO 27001 mit branchen-spezifischen Ergänzungen für Strom- und Gasnetzbetreiber. Conbool liefert dokumentierte Maßnahmen für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit auf der Mail- und Datenschicht und stellt die Nachweise für das § 8a BSIG-Audit bereit. Die Einstufung als KRITIS-Anlage trifft das Versorgungsunternehmen selbst anhand der Schwellenwerte der BSI-KritisV.
Welche Pflichten kommen mit NIS-2 auf Energieversorger zu, und wo hilft Conbool?
Die NIS-2-Richtlinie (EU) 2022/2555 stuft Strom-, Gas-, Fernwärme- und Wasserstoff-Unternehmen sowie Betreiber von Ladepunkten meist als wesentliche Einrichtungen ein. Pflichten umfassen Risikomanagement nach Stand der Technik, Sicherheits-Vorfälle melden innerhalb von 24 Stunden Frühwarnung, 72 Stunden Erstmeldung und ein Monat Abschlussbericht, Schulungen, Lieferketten-Sicherheit sowie persönliche Haftung der Geschäftsleitung. Conbool unterstützt die Maßnahmen-Seite und die Nachweisführung per Audit-Log.
Wie verhält sich Conbool zur Marktkommunikation nach BNetzA-Festlegung (GPKE, GeLi Gas, MaBiS)?
Die Marktkommunikation läuft über definierte EDIFACT-Prozesse zwischen Lieferanten, Netzbetreibern, Messstellenbetreibern und Bilanzkreisverantwortlichen und ist nicht E-Mail-basiert. Conbool greift in diese Kette nicht ein. Die begleitende Korrespondenz per E-Mail zu Klärfällen, Eskalationen, Stammdatenprüfungen und Bilanzkreis-Themen wird gegen Spoofing aus Marktpartner-Domains durch DMARC und MailGuard abgesichert. Damit bleibt die Prozess-IT unberührt und die Office-IT trotzdem gehärtet.
Welche Phishing- und BEC-Vektoren sind typisch für Stadtwerke und Netzbetreiber?
Häufig sind IBAN-Manipulationen in Lieferanten-Rechnungen Richtung Kämmerei und Bauprojekt-Buchhaltung, gefälschte Anweisungen vermeintlicher Geschäftsleitung an Buchhaltung und Einkauf, Phishing über vermeintliche Wartungs- oder Software-Updates Richtung IT und Spear-Phishing auf Mitarbeiter mit Zugang zu Leitwarten-, Engineering- oder Fernwartungs-Accounts als APT-Vorstufe. MailGuard kombiniert SPF-, DKIM- und DMARC-Prüfung mit BEC-Heuristik, Anhang-Sandbox und URL-Reputation gegen diese Vektoren.
Wie sieht der Konzern-Rollout in einem Stadtwerks-Verbund mit mehreren Gesellschaften aus?
Versorger-Konzerne mit Holding, mehreren Stadtwerken, Netzgesellschaft, Vertriebstöchtern und Erzeugung können Conbool als zentralen Tenant oder mehrmandantenfähig pro Gesellschaft betreiben. Disclaimer pro Marke und Pflichtangabe, getrennte DMARC-Policies pro Domain, gemeinsame Audit-Auswertungen und getrennte Mandate für Netzbetrieb und Vertrieb entsprechend der Entflechtungspflichten nach EnWG sind abbildbar. Pilot in einer Tochter ist Standard, der Rollout dauert üblicherweise drei bis sechs Monate.
Welche Module sind für die Kommunikation mit BNetzA, Landesregulierungsbehörden und Kommunen relevant?
SecureMail mit S/MIME oder OpenPGP für vertrauliche Stellungnahmen, Anhörungen und Klärungen mit den Beschlusskammern der Bundesnetzagentur, mit Landesregulierungsbehörden und mit Aufgabenträgern der kommunalen Eigentümer. SecureFiles für umfangreiche Anlagen, Netz- oder Kostenprüf-Unterlagen jenseits üblicher Mail-Anhang-Limits, mit konfigurierbarer Aufbewahrung und Audit-Log pro Vorgang. Beide Module liegen vollständig in EU-Rechenzentren.

Verwandte Lösungen

Hornetsecurity-Alternative

Deutsche MailGuard-Alternative nach der Proofpoint-Übernahme.

Phishing-Schutz

BEC, Spear-Phishing und QR-Code-Phishing erkennen und entfernen.

Ransomware-Schutz E-Mail

Mehrstufige Anhang-Filter und URL-Reputation gegen Ransomware-Kampagnen.

Spam-Filter Unternehmen

Spam und unerwünschte Massenmail mit DACH-Heuristiken filtern.

CEO-Fraud-Schutz

BEC und CEO-Fraud-Attacken über Authentifizierungs-Layer abwehren.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Krankenhaus & Klinik

KRITIS-Schwester nach § 8a BSIG mit ähnlichem Meldewesen ans BSI.

Öffentliche Verwaltung

Kommunaler Träger, Stadtwerk und Gebietskörperschaft als Eigentümer-Anteilseigner.

Maschinenbau & Industrie

Anlagenbauer, Schaltanlagen-Lieferanten und Engineering-Partner im Netzbetrieb.

KRITIS E-Mail Energie nach § 11 EnWG, ohne OT-Eingriff.

Demo in 30 Minuten. Pilot in einer Tochter oder einem Stadtwerk. Modular pro Funktion und Postfach.

Demo anfragenMailGuard im Detail

Quellen und Stand

Aussagen zum BSI-IT-Sicherheitskatalog basieren auf der Veröffentlichung der Bundesnetzagentur nach § 11 Abs. 1a EnWG. Aussagen zu KRITIS-Pflichten und Audits basieren auf § 8a BSIG und der BSI-KritisV in der jeweils geltenden Fassung. Aussagen zu NIS-2 basieren auf der Richtlinie (EU) 2022/2555 und ihrer nationalen Umsetzung. Aussagen zu Branchenstandards basieren auf dem B3S Energie. Stand 2026.

BNetzA, BSI und BfDI sind Bezeichnungen der jeweiligen Behörden. Microsoft, Microsoft 365 und Outlook sind Marken der Microsoft Corporation. SAP und S/4HANA sind Marken der SAP SE. Conbool ist eine Marke der Conbool GmbH.