Digital Life
09/11/2015

Blackout: "Wahrscheinlichkeit geringer als vor 10 Jahren"

E-Control-Vorstand Walter Boltz über Cybersicherheit in der E-Wirtschaft, mögliche Blackouts und die Risiken von Smart Metern.

Mit dem zunehmenden Einsatz von Informationstechnologie steigt die Komplexität der Energieversorgungssysteme. Für die Sicherheit der Stromnetze ergeben sich daraus Herausforderungen. Großflächige, länger andauernde Blackouts seien aber nicht zu befürchten, sagt Walter Boltz, Vorstand der Regulierungsbehörde E-Control. Die futurezone hat mit Boltz über Blackouts, mögliche Cyberangriffe auf Stromunternehmen und die Sicherheit der Systeme gesprochen.

futurezone: Wie lange war jeder Österreicher im Schnitt im vergangenen Jahr ohne Strom?
Walter Boltz:Durchschnittlich 67 Minuten. 33 Minuten davon waren auf ungeplante Störungen zurückzuführen. Das sind kleinere Ereignisse, wenn etwa ein Bagger eine Leitung zerreißt oder ein Baum umfällt. 16 Minuten gehen auf geplante Arbeiten zurück. Da werden die Kunden vorher benachrichtigt. Der Rest der Stromausfälle wurde durch Großereignisse verursacht. 2014 hat es etwa heftige Schneestürme in Kärnten gegeben. Aus der langjährigen Statistik rechnen wir das raus, weil es wenig über die Netzqualität aussagt. Relevant sind die ungeplanten Störungen. Da sind wir seit zehn Jahren nicht schlecht unterwegs.

IT- und Strom-Infrastruktur wachsen zunehmend zusammen, die Systeme werden komplexer. Was bedeutet das für die Sicherheit der Stromnetze in der Zukunft?
Natürlich haben wir heute viel mehr Informatik in der Steuerung. Das hat Vor- und Nachteile. Auf europäischer Ebene hat es etwa dazu geführt, dass wir in den vergangenen Jahren eine bessere Stabilität des Hochspannungsnetzes hatten als davor, obwohl die Netzbelastung durch erneuerbare Energie und die Schließung von Kraftwerken stärker geworden ist. Auf der Kehrseite ist die IT auch ein möglicher Schwachpunkt. Man muss darauf achten, dass sie gegen technische Gebrechen und Attacken von außen geschützt ist.

Nehmen Sie das Szenario eines Blackouts als Bedrohungsszenario ernst oder halten Sie das für Panikmache?
In der langjährigen Statistik gibt es in Europa alle 25 Jahre ein Blackout. In den vergangenen Jahrzehnten haben solche Blackouts meistens nur ein paar Stunden gedauert. Die Wahrscheinlichkeit dafür ist heute geringer als vor zehn Jahren. Ausschließen kann es aber niemand. Das Szenario, dass wir tagelang ohne Strom sind, halte ich für Panikmache.

Warum?
Wenn es keine großflächige Naturkastrophe gibt, ist das eigentlich unmöglich. Wenn es einen großflächigen Ausfall geben sollte, sind wir fast überall in einigen Stunden wieder mit Strom. Auch weil wir sehr viele Kraftwerke haben, etwa Speicherkraftwerke, die ohne hohen Energieaufwand wieder hochgefahren werden können.

Haben Sie eigentlich privat Vorkehrungen für ein Blackout getroffen?
Eigentlich nur im Umfang von ein paar geladenen Taschenlampfen. Ich glaube nicht, dass Vorkehrungen für ein längeres Blackout notwendig sind.

In Deutschland konnte ein Angreifer im vergangenen Jahr die Stadt Ettlingen lahmlegen. Wäre das auch hierzulande möglich?
Wir haben in Österreich eine sehr vielfältige Infrastruktur. Bei 140 Netzbetreibern gibt es sicherlich auch den einen oder anderen, der nicht gut gesichert ist. Wir können nicht alle Netzbetreiber überprüfen. Dass einige Regionen längere Zeit ohne Strom sind, ist also möglich. Es wäre auch unverhältnismäßig teuer, das verhindern zu wollen. Wir müssten 140 IT-Systeme auf den Standard heben, den wir bei großen Unternehmen haben.

Wie viele Cyberangriffe auf Stromnetz-Betreiber haben Sie im vergangenen Jahr registriert bzw. wurden Ihnen gemeldet?
Es gibt noch keine Meldepflicht, das wird sich aber im nächsten Jahr ändern. Die Firmen melden nur, wenn es erkennbare Auswirkungen nach außen gibt. Es kommt aber immer wieder zu Internetattacken, DDoS-Angriffen (Anm.: Distributed Denial of Service), Hunderttausende Abfragen auf die Website eines Unternehmens. Dann gehen die Server in die Knie und Kunden können keine Zählerdaten eingeben. Es gibt auch Unternehmen, die Probleme mit Viren haben. Das betrifft eher die kommerzielle EDV. Dann können die Firmen vielleicht für drei Tage keine Rechnungen ausstellen. Das sind aber keine Angriffe auf die Stromversorgung. Solche Attacken sind uns nicht bekannt. Die technische EDV ist bei den meisten Firmen vom Internet komplett getrennt. Da kommt man mit einem Rechner von außen gar nicht rein. Gegen Insider kann man sich aber nur schwer schützen.

Ist die Meldepflicht, die mit dem Cybersicherheitsgesetz kommen wird, aus Ihrer Sicht eine gute Lösung?
Ich halte diese Meldepflicht an Behörden und staatliche Stellen für gut. Das ist ein wichtiges Instrument, das auch anderen Sektoren die Möglichkeit gibt, zu reagieren. Viele Firmen haben die gleichen Hard- und Software-Komponenten. Die Veröffentlichung wird aber eher allgemein und mit zeitlichem Abstand erfolgen.

Die E-Control hat eine eigene Cybersicherheits-Arbeitsgruppe für die Energiewirtschaft gegründet. Was macht diese Gruppe konkret?
Wir haben eine Risikoanalyse über sämtliche Bereiche, die mit Cybersicherheit zu tun haben, gemacht. Dabei wurden 73 Risiken identifiziert, die reichen von der Hard- und Software, über die Zugriffskontrollle bis hin zur Krisenkommunikation. Es wurden auch konkrete Handlungsempfehlungen gegeben.

Welche?
Wir sind jetzt dabei, die Sicherheitsvorkehrungen bei Unternehmen auf ein einheitliches Niveau zu bringen. Das System ist nur so sicher wie das schwächste Glied. Es wird auch der Informationsaustausch zwischen Energiefirmen koordiniert. Dafür wird ein E-CERT (Anm.: Computer Emergency Response Team für den Energiesektor) geschaffen. Es gibt eine Fülle von Maßnahmen, die auch gemeinsame Schulungen und den Personalaustausch, um ein gemeinsames Bewusstsein für die Probleme zu bekommen.

Mit Smart Metern, intelligenten Stromzählern, steigt die Komplexität. Bis 2019 müssen 95 Prozent der Haushalte damit ausgestattet sein. Manche Experten sprechen von einem “Einfallstor für Hacker”. Ist das Humbug oder eine ernstzunehmende Gefahr?
Ich halte das für Humbug. So wie jedes technische System sind auch Smart Meter nicht total sicher. Auch heutige Zähler können manipuliert werden. In Zukunft sind für Manipulationen deutlich mehr Fachkenntnisse erforderlich. Heute kann das jeder Elektriker, künftig brauchen Sie ein Informatikstudium.

Wie sind die Systeme gesichert?
Die Systeme sind ordentlich gesichert. Das Szenario, dass jemand eindringt und die Zähler abschaltet, ist fast unmöglich. Es gibt keinen Befehl, der es ermöglichen würde, alle Zähler auf einmal abzuschalten. Es ist also eine naive Vorstellung, zu sagen, da gibt es Hacker in China die alle Stromzähler in Niederösterreich abschalten. Das wird nicht funktionieren.

Welche Risiken sehen Sie?
Die Kommunikation zwischen dem Zähler und der Zentrale ist verschlüsselt. Die Verwaltung der Schlüssel muss von den Netzbetreibern abgesichert werden. Wenn die Schlüssel kompromittiert würden, müssen sämtliche Schlüssel an sämtlichen Zählern ausgetauscht werden. Das hat es früher nicht gegeben. Es gibt neue Risiken, die sind aber nicht dergestalt, dass sie eine großflächige Versorgungsunterbrechung wahrscheinlicher machen.

futurezone sucht Sicherheits-Start-ups

Gemeinsam mit dem Bundesministerium für Inneres (BMI) sucht die futurezone im Rahmen des Wettbewerbs „Start Secure 2015“ Start-ups und Ideen aus dem Cybersicherheitsbereich. Einreichungen für den Wettbewerb sind noch bis zum 30. September möglich. Teilnehmen können Start-ups in der Gründungsphase aber auch Unternehmen, die Ideen und Konzepte für Cybersecurity-Lösungen entwickelt haben, und in der Europäischen Union ihren Sitz haben.

Teilnahmebedingungen

Für die Teilnahme erforderlich ist

  • eine detaillierte Beschreibung des Projekts/der Idee inklusive eines technischen Konzepts,
  • kurze Informationen zu den Initiatoren bzw. dem Start-up,
  • falls vorhanden ein Business-Plan

Die Einreichungen können in deutscher oder englischer Sprache erfolgen.

Der Gewinner des Wettbewerbs erhält 10.000 Euro Preisgeld, für den zweiten Platz gibt es 5000 Euro, der dritte Platz ist mit 3000 Euro dotiert und die Ränge vier und fünf erhalten je 1000 Euro.

Präsentation der Sieger im Oktober

Anfang Oktober wählt eine Jury die fünf besten Ideen aus. Den dahinter stehenden Start-ups oder Personen werden Workshops zur Weiterentwicklung ihrer Ideen und zur Finanzierung ihres Projekts angeboten. Die Sieger werden Ende Oktober bei einem Abschlussevent präsentiert.

Der Wettbewerb "Start Secure 2015" ist eine entgeltliche Kooperation zwischen dem Innenministerium und der futurezone. Als Organisationspartner fungieren SBA Research, das die Sieger-Start-ups auf Wunsch auch als Inkubator bei der Investorensuche berät, sowie das Kuratorium Sicheres Österreich.