Kritische Infrastrukturen und die Risiken der Vernetzung

Stromabwärts geht das Licht aus

Naturkatastrophen, Hackerangriffe oder menschliches Versagen, wie ein Beispiel aus der Kreuzfahrt zeigt, fordern die komplexen Systeme Kritischer Infrastrukturen heraus. Erfahren Sie hier, wie Behörden sich vernetzen, damit das Leben für eine halbe Milliarde Menschen in Europa im Fluss bleibt.

Stromabwärts geht das Licht aus

Samstag, 4. November 2006. Das Kreuzfahrtschiff Norwegian Pearl fährt von der Papenburger Meyer Werft in die Nordsee. Doch da stört die Höchstspannungsleitung über der Ems: Sie muss abgeschaltet werden. Die E.on-Mitarbeiter schätzen die Lage als sicher ein. Sie nehmen um 21.38 Uhr die erste Leitung vom Netz, eine Minute später die zweite. Sofort läuft eine Überlastungswarnung ein. In einem Umspannwerk aktiviert sich der Netzschutz. Das löst eine fatale Kette von Abschaltungen aus, durch die um 22.10 Uhr rund zehn Millionen Haushalte in halb Europa ohne Strom sind. Es dauert Stunden, das europäische Verbundnetz neu zu synchronisieren. Gründe sind die Komplexität und der hohe Grad der Vernetzung. Sie machen anfällig für die Kaskaden- und Rückkopplungseffekte, durch die sich im November 2006 eine lokale Störung zu einem europäischen Problem aufschaukeln konnte.

Kritische Infrastrukturen hängen vom elektrischen Strom und von der Informationstechnik ab

Langfristige Stromausfälle können fatal werden. „Wenn man so will, hängen in einer hoch entwickelten Gesellschaft alle Kritischen Infrastrukturen von zwei ganz besonders kritischen ab: dem elektrischen Strom und der Informationstechnik. Ohne Computer und Kommunikationstechnologien läuft heute so gut wie nichts mehr“, erklärt Dr. Wolfram Geier, Abteilungsleiter Risikomanagement und Internationale Angelegenheiten beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Seine Behörde ist vor allem damit beschäftigt, Notfallpläne zu erarbeiten, damit das Land bei den unterschiedlichen Störfällen nicht im Chaos versinkt.

Wenn man so will, hängen in einer hoch entwickelten Gesellschaft alle Kritischen Infrastrukturen von zwei ganz besonders kritischen ab: dem elektrischen Strom und der Informationstechnik.
Quelle: Dr. Wolfram Geier

Ursachen für Störungen sind vielfältig

Auch die Liste der Ursachen für mögliche Störungen ist lang. Sie reicht von technischem oder menschlichem Versagen über Naturgefahren und Sabotage bis hin zu Cyberattacken. Von weltweit 25 großen Blackouts der vergangenen zehn Jahre, die in einer Studie untersucht wurden, waren nur zwei auf technisches Versagen zurückzuführen: „Von den übrigen ging ungefähr die Hälfte auf Naturgefahren zurück, etwa am ersten Adventswochenende 2005, als heftiger Schneefall dafür sorgte, dass im Münsterland 250.000 Menschen ohne Strom waren – manche von ihnen tagelang“, erläutert Professor Wolfgang Kröger, Systemanalytiker und Risikoforscher an der Eidgenössischen Technischen Hochschule (ETH) Zürich. Die andere Hälfte findet ihre Ursachen in organisatorischen Defiziten.

Einheit der Infrastrukturnetze ist gefährdet

„Über Jahrzehnte hinweg ist viel in Wasser-, Strom- und Gasleitungen investiert worden“, erzählt Geier. Im Strommarkt, in dem früher ein einzelnes Unternehmen Eigentümer und Betreiber der gesamten Lieferkette von der Erzeugung bis zum Verbraucher war, sind heute Wettbewerb und Regulierung eingezogen. Statt der Konzerne soll die staatliche Bundesnetzagentur dafür sorgen, dass der Strom fließt. Doch die Aufgliederung hat auch einen klaren Nachteil, urteilt Kröger: „Niemand fühlt sich mehr für das Gesamtsystem vom Erzeuger zum Verbraucher zuständig.“

Niemand fühlt sich mehr für das Gesamtsystem vom Erzeuger zum Verbraucher zuständig.
Prof. Wolfgang Kröger

Speziell für Kritische Infrastrukturen programmierte Schadsoftware

Dabei ist das System inzwischen komplexer denn je. Deutschland ist Teil des synchronisierten europäischen Verbundsystems, in dem 41 Übertragungsnetzbetreiber zusammenarbeiten. Sie versorgen mehr als eine halbe Milliarde Menschen in 34 Ländern mit Strom. Das lässt ahnen, welche Herausforderung allein schon der Normalbetrieb ist.

Außerdem gibt es noch einen wesentlichen Faktor, dessen Bedeutung den Beteiligten erst seit wenigen Jahren bewusst ist: Das Stromnetz ist untrennbar mit dem ebenso kritischen IT- und Telekommunikationsnetz verwoben. Das birgt Risiken.

Im Nationalen Cyber-Abwehrzentrum arbeiten alle Sicherheitsbehörden zusammen

Durch das IT-Sicherheitsgesetz gilt für die Betreiber Kritischer Infrastrukturen die explizite Verpflichtung, dem Bund diejenigen Cyberangriffe zu melden, die den sicheren Netzbetrieb gefährden. Zusätzlich müssen sie gegenüber der Bundesnetzagentur nachweisen, dass die Gefahrenabwehr organisiert werden kann. „Damit löst dieses Sicherheitsgesetz zwar noch lange nicht alle Probleme, weil das Thema sehr komplex ist“, erklärt Wolfram Geier. „Doch es ist ein wichtiger Schritt in die richtige Richtung.“

In Deutschland können sich die Unternehmen bei einem schwerwiegenden Hackerangriff an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden. Weiterhin ist das Nationale Cyber-Abwehrzentrum (NCAZ) zuständig, bei dem unter Federführung des BSI alle Sicherheitsbehörden, Nachrichtendienste, die Polizei, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und die Bundeswehr zusammenarbeiten. Auch auf EU-Ebene hat man die zentrale Bedeutung der Cybersicherheit erkannt. Deshalb trat 2016 die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die NIS-Richtlinie, in Kraft. Sie soll über ganz Europa hinweg die Sicherheit erhöhen. Danach müssen EU-Mitgliedsländer dafür sorgen, dass die von der jeweiligen Nation als unverzichtbar angesehenen Unternehmen verbindliche Sicherheitsbestimmungen und Berichtspflichten erfüllen.

Schutz der Netze erfordert internationales Risikomanagement

Für den Energiesektor reichen die Anforderungen jedoch nicht aus, urteilt Guido Gluschke, Co-Direktor des Institute for Security and Safety an der Technischen Hochschule Brandenburg: „Um die in Echtzeit arbeitenden Stromnetze zu schützen, bei denen ein Problem auf der einen Seite der EU innerhalb von Minuten oder Stunden Auswirkungen an der entgegengesetzten haben kann, brauchen wir ein nationalstaatenübergreifendes Bedrohungs- und Risikomanagement.“

Digitale Sicherheit

Für ein Quantum Sicherheit

Internet der Dinge

Bits, Bytes und Bodenwerte

Bits & Bytes auf dem Acker – wie die Digitalisierung die Landwirtschaft verändert

Digital Arbeiten

Die größte Transformation ist gar nicht digital

Warum Unternehmen in der Zeit von Supercomputern, künstlicher Intelligenz und Automatisierung ausgerechnet von der Romantik lernen können.