Intelligente Achillesferse

„Stell dir vor, es geht das Licht aus, sag, was würdest du dann tun“, heißt es in einem alten österreichischen Filmlied. 1952 sangen es Paul Hörbiger und Maria Andergast - Angst vor Stromausfällen sollte es nicht wecken. Dabei ist die Furcht vor großflächigen Blackouts laut Experten nicht unbegründet - gerade weil die Stromnetze immer intelligenter werden sollen.

Ein Angriff auf das Stromnetz - dafür habe man früher Leitungen durchtrennen oder Generatoren sprengen müssen, sagt Sujeet Shenoi im Gespräch mit ORF.at. Er ist Professor an der US-Universität Tulsa und Experte für Cybersicherheit. Das macht ihn mittlerweile auch zum Experten, wenn es um Angriffe auf unsere Energieversorgung geht. Denn die dazugehörige Infrastruktur wird zunehmend an das Internet angebunden. Und damit droht auch Gefahr aus dem Netz.

Für Schlagzeilen sorgten bisher vor allem Angriffe auf Kraftwerke und Großanlagen. Der Computerwurm „Stuxnet“ legte 2010 etwa das iranische Atomkraftwerk Buschehr lahm. Und auch der großflächige Stromausfall in der Westukraine vor einem Jahr war laut Experten die Folge eines Hackerangriffs auf ukrainische Energieversorger. Doch in Zukunft müssen sich die Angreifer vielleicht gar nicht mehr die großen Knotenpunkte der Energieversorgung ins Visier nehmen.

EU treibt Umtausch voran

„Smart Meter“ heißen die kleinen mit dem Internet verbundenen Geräte, die bald in fast jedem Haushalt ihren Dienst tun sollen. Anstelle der herkömmlichen Stromzähler messen sie nicht nur den Stromverbrauch, sondern senden auch regelmäßig Daten darüber an die Stromanbieter. Und sie ermöglichen den Kunden, ihren Verbrauch selbst anzupassen. Das soll die Umstellung auf alternative Energiequellen erleichtern. Schließlich liefern etwa Solarkraftwerke nur dann Strom, wenn die Sonne scheint. Und Windräder speisen dann Energie ins Netz, wenn sich ihre Rotoren drehen.

Daraus erklärt sich auch, dass Brüssel die Umstellung auf „Smart Meter“ vorantreibt. Bis 2020 sollten nach den ursprünglichen Plänen der Kommission 80 Prozent aller Stromzähler in Europa durch „Smart Meter“ ausgetauscht werden. Ganz wird sich das laut aktuellen Prognosen zwar nicht ausgehen, aber Experten rechnen bis 2020 zumindest mit mehr als 200 Mio. „Smart Metern“ in der Union.

Nicht ob, sondern wann

Bisher sei noch kein Massenangriff auf intelligente Strommesser gelungen, sagt Shenoi. Dass solche Attacken in Zukunft möglich sein werden, ist für den IT-Experten aber keine Frage des Ob, sondern des Wann. Und laut ihm lassen sich über einen derartigen Angriff Stromnetze nicht nur großflächig, sondern auch für längere Zeit lahmlegen.

Der US-Professor war im Oktober einer der Vortragenden bei einem Workshop im EU-Parlament, veranstaltet vom Forschungsprojekt SPARKS. Die Abkürzung steht für „Smart Grid Protection Against Cyber Attack“. Damit ist auch bereits der Fokus des Projekts benannt: der Schutz intelligenter Stromnetze vor Angriffen aus dem Internet. Gefördert wird die Forschung auch von der EU.

EU-weites Gesetz zu Cybersecurity

Die europäische Politik ist sich der Gefahr durchaus bewusst. Erst im August trat die EU-Richtlinie für Netz- und Informationssicherheit, kurz NIS, in Kraft. Es ist das erste EU-weite Gesetz zu Cybersicherheit und beschäftigt sich mit weit mehr als dem sicheren Surfen im Internet.

Einer der Kernpunkte der neuen EU-Vorschriften: „Betreiber wesentlicher Dienste“ sollen künftig höhere Sicherheitsauflagen erfüllen und „signifikante“ Sicherheitsverletzungen melden. Klar ist, dass damit kritische Infrastrukturbetreiber gemeint sind, also etwa Dienstanbieter im Energie-, Verkehrs-, Banken- und Gesundheitsbereich. Offen ist jedoch, wie weit oder eng die Definition gefasst wird.

Die Frage nach den „wesentlichen Diensten“

Auch bei dem Workshop in Brüssel drehte sich ein großer Teil der Diskussion um die Frage, wer denn nun im Bereich der Smart Grids als „Betreiber wesentlicher Dienste" zu gelten habe. Sollen auch die Hersteller der Geräte darunter fallen? Das empfiehlt etwa Sicherheitsexperte Shenoi. Oder reicht es, erst bei den Energieanbietern anzusetzen?

Hinter dieser Diskussion stehen handfeste wirtschaftliche Interessen. Unternehmen werden wohl versuchen, selbst nicht unter die neuen Vorschriften zu fallen. Höhere Auflagen bedeuten zumeist auch höhere Kosten - und an denen ist kein Betrieb interessiert. Den EU-Staaten wird in den kommenden Monaten also noch manche Diskussion mit Industrievertretern ins Haus stehen.

Umsetzung in der Hand der Staaten

Denn am Ende obliegt die Entscheidung den nationalen Regierungen. Wie es überhaupt an ihnen ist, die Vorschriften in nationales Recht umzusetzen. EU-Richtlinien müssen anders als Verordnungen in nationale Gesetze gegossen werden.

Einer der Gründe, warum sich die Kommission für eine Richtlinie entschieden hat, dürften auch die teils erheblichen Unterschiede zwischen den Ländern gewesen sein. Die Richtlinie solle nun dafür sorgen, dass Mindeststandards erreicht werden, heißt es aus Expertenkreisen in Brüssel. Es ist auch nicht gesagt, dass später nicht ohnehin noch eine Verordnung folgt. Ein Beispiel ist etwa der Datenschutz, wo erst im Vorjahr eine Verordnung die 21 Jahre alte Richtlinie ablöste.

Mehr europäische Vernetzung

So viel Geduld will allerdings nicht jeder aufbringen. Die NIS-Richtlinie sei zwar ein Schritt in die richtige Richtung, aber ein viel zu kleiner, sagt gegenüber ORF.at ein europäischer Experte für IT-Sicherheit. Cyberangriffe würden sich nicht um nationale Grenzen kümmern. Das Gleiche sollte auch für die gelten, die gegen sie vorgehen. Es sei ein Fehler, solche Fragen in der Hand der Mitgliedsstaaten zu belassen, so der Spezialist, der nicht namentlich genannt werden will.

Dabei setzt die NIS-Richtlinie durchaus auf internationale Zusammenarbeit. Sie sieht zum einen die Einrichtung eines europaweiten Netzwerks vor, in dem es ganz konkret um die operative Arbeit gehen soll. Zum anderen schreibt die Richtlinie die Einrichtung einer Kooperationsgruppe fest. In dieser sitzen Vertreter aller Mitgliedsstaaten, der EU-Kommission und der Europäischen Agentur für Netz- und Informationssicherheit.

Die Gruppe soll die EU-Länder zum einen bei der Umsetzung der Richtlinie unterstützen und dabei helfen, Kategorien für die Bestimmung „wesentlicher Dienste“ zu finden. Und sie soll zum anderen „die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedsstaaten unterstützen“, wie es im Text der Richtlinie heißt. In Brüssel spricht man in Bezug auf die Kooperation gar von einem „Game Changer“.

Blackout mit Folgen

Glaubt man dem US-Experten Shenoi, dann werden zukünftig noch mehr solcher „Game Changer“ nötig werden. Er sieht in Cyberangriffen auf Stromnetze eine der größten Gefahren unserer Zeit. Ein lange andauernder Stromausfall würde unsere Gesellschaft schnell an ihre Grenzen führen - ähnlich wie das der österreichische Autor Marc Elsberg in seinem Roman „Blackout“ beschreibt. Shenoi plädiert deshalb für ein Abkommen vergleichbar dem Atomwaffensperrvertrag, indem die Staaten sich verpflichten, gegeneinander keine Cyberangriffe zu führen.

Doch auch ohne apokalyptische Szenarien können die Folgen eines Blackouts Bauchweh bereiten. Das Energieinstitut an der JKU Linz - zugleich einer der SPARKS-Projektpartner - hat einen Stromausfallrechner entwickelt. Damit lassen sich die ökonomischen Schäden durch große Stromausfälle in Europa simulieren. Allein für Österreicher wären die finanziellen Folgen gewaltig. Über eine Milliarde Euro würde es kosten, sollte in Österreich nur einen Tag lang der Strom ausfallen.

Martin Steinmüller, ORF.at, aus Brüssel

Links:

• NIS-Richtlinie (PDF)
• SPARKS Projekt
• Blackout-Simulator