Endbericht des Projekts „Strom-Resilienz“: „Vulnerabilität und Resilienz des digitalen Stromsystems“
Quelle: www.strom-resilienz.de (Endbericht zum Download)
Für nahezu alle Lebens- und Arbeitsbereiche hat eine zuverlässige Stromversorgung einen hohen Stellenwert. Vor dem Hintergrund der weitreichenden, katastrophalen und somit ökonomisch und sozial kaum tragbaren Folgen eines langanhaltenden flächendeckenden Stromausfalls ist die Frage der Vulnerabilität und Resilienz des Stromversorgungssystems sehr zentral. Der nun veröffentlichte Bericht beschäftigt sich mit Vulnerabilitäten in einem zunehmend „digitalen“ Stromsystem und benennt Strategien für ein resilientes Stromsystem.
In einer empirisch untersetzten Untersuchung analysierte das Projektteam die Verwundbarkeiten eines zunehmend mit Informations- und Kommunikationstechnik (IKT) ausgestatteten Stromsystems. Die mit der Digitalisierung verbundenen Verwundbarkeiten werden in der Debatte über die Energiewende bisher nur am Rande diskutiert und nehmen neben anderen Faktoren wie einzelnen Kostenfragen oder der Problematik des Netzausbaus nur eine untergeordnete Rolle ein. Das Projekt entwickelte auf der Basis der Vulnerabilitätsanalyse Resilienzstrategien und leitete in der Folge Empfehlungen für Rahmenbedingungen ab, die helfen können, die IKT-bedingten Vulnerabilitäten zu mindern und die Resilienz im gesamten, zukünftig stark gekoppelten Energiesystem zu erhöhen.
Neue Rahmenbedingungen für das Stromsystem
Die Rahmenbedingungen für das Stromsystem werden derzeit in vielen für die Resilienz relevanten Gebieten fundamentalen Veränderungen unterzogen. Neue Marktformen und Rollen von Marktakteuren werden diskutiert, Sektorkopplung und Flexibilität auf unterschiedlichen Ebenen, ebenso wie das Zusammenspiel von zentralen und dezentralen Strukturen generell. Hier bietet sich grundsätzlich die einmalige Chance, frühzeitig auch das Thema Verwundbarkeit und Resilienz stärker zu berücksichtigen und entsprechende Strategien zu implementieren. Das Projektteam hat Vorschläge für Rahmenbedingungen zur Vermeidung eines langanhaltenden Blackouts entwickelt, welche die IT-Sicherheit, aber auch Anforderungen an Betriebsmittel sowie die Zusammenarbeit der Netzbetreiber umfassen. Darüber hinaus werden grundlegende Hinweise mit Blick auf die Resilienzerhöhung im Krisenfall auf Seiten der Bevölkerung gegeben sowie Empfehlungen mit Auswirkungen auf die Architektur des Stromsystems, beispielsweise zur zellularen Versorgung von kritischen Infrastrukturen (KRITIS) im Falle eines Blackouts.
6.3.2 Resilienzsteigerung der Bevölkerung
Grundsätzlich besteht das Problem, dass staatliche Strukturen ebenfalls von kaskadierenden Infrastrukturausfällen betroffen sein werden. Paradoxerweise wurden parallel zur zunehmenden Vernetzung die Redundanzen und Vorratshaltungen auf staatlicher Seite aus ökonomischen Gründen im Kontext einer nach dem kalten Krieg veränderten Bedrohungswahrnehmung eher zurückgefahren (sog. Friedensdividende). Der Stromausfall im Münsterland 2005 hat jedoch gezeigt, wie schnell der an sich leistungsstarke deutsche Katastrophenschutz in einem einzigen betroffenen Landkreis an seine Grenzen stoßen kann. Grundsätzlich gilt, dass eine lückenlose Ersatzversorgung der Bevölkerung bei größeren Infrastrukturausfällen für den Katastrophenschutz eine unlösbare Aufgabe bleiben wird. In letzter Konsequenz würde dies erfordern, für jedes Infrastruktursystem und seine leistung entsprechende Redundanzen vorzuhalten, was sowohl logistisch als auch ökonomisch unmöglich sein dürfte.
Solange wechselseitig unrealistische Erwartungen hinsichtlich Vorratshaltungen und Notfallplänen bestehen, kann nicht gesellschaftlich verhandelt werden, wie viel Aufwand betrieben werden soll, um zumindest eine Basisversorgung sicherzustellen, welche Aufgabenteilung zwischen Infrastrukturbetreibern, staatlichem Katastrophenschutz und privaten Haushalten besteht und in wessen Verantwortung das Wohlergehen besonders vulnerabler Gruppen liegt. Kurz, es mangelt gegenwärtig an einer grundlegenden gesamtgesellschaftlichen Risikokommunikation über Infrastrukturrisiken und Bewältigungsstrategien sowie der Angleichung der Erwartungen unterschiedlicher Akteure.
Einleitung und Problemstellung
Das heutige und noch mehr das zukünftige Leben und Wirtschaften beruht maßgeblich auf einer stabilen Stromversorgung. Von der Herstellung, Kühlung und Zubereitung von Lebensmitteln, über die Trinkwasserversorgung, das Gesundheitssystem, dem überwiegenden Teil aller Arbeitsplätze und Kommunikationssysteme bis hin zu sanitären Systemen wie der Toilettenspülung und Abwasserbehandlung sind praktisch alle Lebens- und Arbeitsbereiche von der Funktionsfähigkeit elektrischer und elektronischer Geräte und Systemkomponenten und somit von der Elektrizität abhängig. Damit bekommt die (weitgehend) störungsfreie Stromversorgung einen hohen Stellenwert. Die katastrophalen Folgen eines längeren großflächigen Stromausfalls wurden eindrücklich im TAB-Bericht „Was bei einem Blackout geschieht“ dargestellt (Petermann et al. 2011).
Vor dem Hintergrund solcher weitreichenden, katastrophalen und somit ökonomisch und sozial kaum tragbaren Folgen ist die Frage der Vulnerabilität und Resilienz des Stromversorgungssystems eine aus unserer Sicht zentrale, die in der gegenwärtigen Debatte der Transformation des Energie- und hier insbesondere des Stromsystems noch nicht hinreichende Beachtung findet. Sehr wohl wird der gemäß EnWG eingeforderte Tatbestand der Versorgungssicherheit thematisiert, u. a. bei der Frage der Harmonisierung des Ausbaus von Erneuerbaren Energien (EE) und Netzausbau oder der Forderung nach Kapazitätsmechanismen, um eine stabile Stromversorgung zu gewährleisten. Damit verbunden ist in der Regel die Schaffung von zusätzlicher Flexibilität im Energiesystem, um die Schwankungen der künftig das Energiesystem dominierenden dargebotsabhängigen und somit fluktuierenden EE aus Wind und Sonne ausgleichen zu können. Flexibilitätspotenziale werden dabei unter anderem in der Steuerung bzw. Abregelung von Stromerzeugungsanlagen, der Steuerung von Lasten im Rahmen von Demand-Response bzw. Demand-Side-Management (DSM), Energiespeichern unterschiedlicher Art und damit ggf. verbundenen Optionen zur Kopplung der Versorgungssysteme für Strom, Wärme, Gas sowie der Sektoren Mobilität und Industrie gesehen. All diese Maßnahmen erfordern in unterschiedlichem Maße die Einführung von Informations- und Kommunikationstechnik (IKT) in das Energiesystem, um diese bspw. über das Internet oder andere Kommunikationsinfrastrukturen zu vernetzen, was auch als „Smart Grid“ bezeichnet wird.
Die notwendige Vernetzung auf Kommunikations- und Steuerungsebene führt jedoch zu einer weiteren Dimension, welche in den bisherigen Debatten mit einem Fokus auf die Stabilität des Stromsystems „alter Prägung“ noch weitgehend unbeachtet blieb. Der ständige notwendige Ausgleich von Erzeugung und Verbrauch hat in einem von dezentralen und erneuerbaren Erzeugungseinheiten geprägten System einen per se erhöhten Koordinierungsbedarf zur Folge, der in der Smart Grid Variante über Kommunikations- und Steuerungssysteme auf unterschiedlichen Skalen gedeckt werden soll. Die zunehmende Einführung solcher Kommunikations- und Steuerungssysteme in das Energiesystem hat einerseits das Potenzial, die Stromversorgung resilienter zu machen, vor allem durch eine Erhöhung der Koordinationsfähigkeit und Reaktionsfähigkeit im Stromnetz, es erhöht aber gleichzeitig dessen Verwundbarkeit durch Fehler oder Ausfälle der IKT oder dessen Manipulation von außen. Es gilt also eine Balance zu schaffen zwischen Steuerbarkeit und Flexibilität einerseits und Eindämmung neuer Verwundbarkeiten andererseits.
Der Stromausfall von 2015 in der Ukraine war der erste öffentliche Zwischenfall im Energiesektor, der auf eine Cyber-Attacke zurückzuführen ist. Etwa 225.000 Verbraucherinnen und Verbraucher waren von dem mehrstündigen Ausfall betroffen. Der Vorfall macht zum einen die Verwundbarkeit durch IKT-Angriffe von außen deutlich, zum anderen zeigt er, dass komplexe Attacken dieser Art durchführbar sind (ICS-CERT 2016).
Auch in Deutschland wurde im Rahmen eines Sicherheitstests in einem Stadtwerk gezeigt, wie Hacker die Kontrolle über dieses und somit über die Strom-, Wasser- und Gasversorgung übernehmen können (Lindner 2014). Weitere Angriffsmöglichkeiten werden durch die zunehmende Verwendung „intelligenter“ Stromzähler („Smart Meter“) geschaffen. „Cyber-Angriffe auf die Infrastruktur sind zu einer Hauptsorge der Energiekonzerne […] geworden“, konstatieren daher auch die Deutschen Mittelstands Nachrichten (DMN 2014). Nach Ansicht des Bundesamts für die Sicherheit in der Informationstechnik (BSI) ist die Sicherheit von industriellen Steuersystemen (ICS, engl. Industrial Control Systems) in vielen Bereichen bisher vernachlässigt worden. Zum Messen, Steuern und Regeln von Abläufen, beispielsweise zur Automation von Prozessen und zur Überwachung von großen Systemen, kommen in vielen Bereichen der Industrie ICS zum Einsatz. Diese finden häufig Verwendung in der produzierenden Industrie und in Branchen, die zu den kritischen Infrastrukturen (KRITIS) gezählt werden, z. B. Energie, Wasser, Ernährung oder Transport und Verkehr. Das BSI nennt dabei explizit Energie als eine der Kritischen Infrastrukturen, in denen solche Automatisierungssysteme zunehmend zum Einsatz kommen (BSI 2013a; Scherschel 2013).
Das BSI hat einen Leitfaden zur Absicherung von ICS veröffentlicht. Im Hinblick auf die immer deutlicher werdenden Defizite beim Schutz vieler dieser Systeme hat dieses Thema in jüngster Zeit besondere Brisanz gewonnen. Der Superwurm Stuxnet zeigte eindrucksvoll, wie wichtige Infrastruktur zum Ziel für Cyber-Angriffe wird, trotzdem melden Expertinnen und Experten immer wieder gravierende Sicherheitslücken in ICS-Software. Mit seinem 124-seitigen Papier wendet sich das BSI sowohl an IT-Fachpersonal, das mit den besonderen Problemen von industriellen Kontrollsystemen noch nicht vertraut ist, als auch an die Hersteller dieser Systeme. Es versucht, die möglichen Probleme einzugrenzen und bewährte Methoden zur Risikominderung aufzulisten. Nach Ansicht der Behörde ist die Sicherheit von Steuersystemen in vielen Betrieben in der Vergangenheit vernachlässigt worden, da diese Infrastruktur oft nicht an öffentliche Netze angebunden war. Mit dem Einzug von Computerhardware in alle Bereiche eines Betriebes und der damit einhergehenden Vernetzung ist die schützende „Air Gap“1 aber nur noch in den wenigsten Fällen vorhanden. Und auch in Fällen, in denen kritische Hardware nicht direkt an das Internet angeschlossen ist, können Angreifer oft durch Spear Phishing andere Rechner in einer Firma übernehmen und als Brückenkopf benutzen. Sind sie erst einmal im internen Netz, kommen sie früher oder später meist auch an ihr Ziel. Eben aus diesem Grund muss die IT-Sicherheit eines Betriebes immer im Ganzen betrachtet werden, erklärt das BSI. Da ist es kein Zufall, dass das Amt ebenfalls in einem anderen Dokument dazu aufruft, alle Computer, die derzeit noch auf Windows XP laufen, schnellstmöglich auf neuere Windows-Versionen umzustellen.
Ausgangsthese des Vorhabens ist, dass die Vulnerabilität eines IKT-basierten „smarten“ Energiesystems gegenüber Ausfällen der IKT-Infrastruktur oder Angriffen auf diese von außen bisher nicht ausreichend untersucht worden ist. Der Fokus liegt bisher auf klassischen Sicherheitskriterien der Energieversorgung, welche durch die zunehmende Vernetzung durch teils Internet-basierte Kommunikations- und Steuereinheiten um eine neue Dimension erweitert werden müssen. Daraus ergeben sich folgende Forschungsfragen, die im Rahmen des Projekts maßgeblich untersucht worden sind:
- Welche Eigenschaften, Strukturen und Elemente von Stromversorgungssystemen sind entscheidend für ihre Vulnerabilität und Resilienz?
- Welche Resilienz-Anforderungen (insbes. IKT-seitig) müssen an ein künftiges IKT- und EE-basiertes Stromversorgungssystem gestellt werden?
- Welche Stromversorgungssysteme können diese erfüllen; wie wichtig ist hierfür die Granularität des Systems?
- Welche Rahmenbedingungen sind für ein solches resilientes Energiesystem erforderlich und welche Akteure müssen mit einbezogen werden, so dass künftige Innovationen die notwendigen Anforderungen erfüllen?