Erstellt am: 16. 5. 2013 - 16:23 Uhr
Blackout-Gefahr in Österreichs Stromnetzen
"Dieser Vorfall am zweiten Mai im Strommnetz war ein Weckruf, die Sicherheitsmaßen der IT-Informationssysteme bei den Stromversorgern hochzufahren", sagte der Geschäftsführer der Regulationsbehörde E-Control, Walter Boltz, auf eine Anfrage von ORF.at.
Anfang Mai war Österreich nur knapp an einem Totalabsturz vorbeigeschrammt, der halb Europa mitgerissen hätte. Die Ursache dafür war mit hoher Wahrscheinlichkeit ein regulärer Steuerungsbefehl eines Energieversorgers aus Süddeutschland, der ein neues Leitsystem für Erdgas in Betrieb genommen hatte.
cc by Flickr-User liebeslakritze
Ein solcher, "Telegramm" genannter, Steuerungsbefehl für das Gasleitungsnetz hatte sich ins Leitsystem des europäischen Stromnetzes verirrt, in dem dieselben Steuerungsprotokolle verwendet werden wie bei Gas.
Abfragen an alle Zähler
Es handelte sich dabei um eine an sich triviale Abfrage der Zählerstände aller Komponenten eines regionalen Gasleitungsnetzes in Bayern. Diese Abfrage "an alle" zum Test eines neuen Segments im süddeutschen Gasnetz war allerdings in die Steuerung des europäischen Stromnetzes gelangt und hatte sich dort multipliziert.
Die Zählerstandsabfrage an ein paar Dutzend Komponenten des Erdgasnetzes wurde vom Stromleitsystem in Folge als Steuerungsbefehl akzeptiert. Die Folge war eine Datenflut, die das europäische Steuerungssystem regional für Stunden lahmlegte.
Informations- und Leitsysteme
Diesen Sachverhalt wollte der Chef der österreichischen Stromregulatons-behörde E-Control unter Verweis auf die laufende Untersuchung weder bestätigen noch dementieren. Die Informationssysteme der Energieversorger hätten mit der schnellen und immer engmaschigeren Quervernetzung der Netze zum Energietransport nicht Schritt gehalten, sagte Boltz zu ORF.at.
Mit "Informationssystem" ist nichts anderes als die zentrale Steuerung des europäischen Stromverbunds gemeint, die am zweiten Mai stundenlang nicht erreichbar war, nachdem in Bayern ein neues Leitsystem für die Gasversorgung getestet worden war.
Maschen und Kreisläufer
Mindestens eines der in der europäischen Stromnetzsteuerung zusammengeschlossenen Subnetze war so konfiguriert, dass eine solche Abfrage "an alle" mit einer Bestätigung "an alle" beantwortet wurde. Der Datenverkehr in diesem "Fernwirknetz", wie es die Energieversorger nennen, begann zu eskalieren und sprang auf die benachbarten Stromnetze über.
Diese Abfragen und Bestätigungen "an alle" fingen sich nämlich in den "Maschen" der benachbarten Stromnetze und wurden dort zu "Kreisläufern", wie es im Jargon der Energieversorger heißt. Aufgrund des explodierenden Datenverkehrs gingen weder Informationen über den Status dieser Netzknoten durch, noch kamen Steuerungsbefehle an.
DDoS Im Stromnetz
Die Wirkung kam dabei einer "Distributed Denial of Service"-Attacke (DDoS) im Internet gleich, bei der die Server eines Informationsnetzes durch eine Flut an Abfragen lahmgelegt werden.
Seitdem sich IT-Security-Forscher weltweit mit der Sicherheit von Steuerungsanlagen beschäftigen, kommen immer neue sicherheitsrelevante Aspekte zum Vorschein. Die letzten der durchwegs schlechten Nachrichten sind, dass seit 2012 auch Smartphone-Apps für industrielle Steuerungssysteme angeboten werden.
Binnen kürzester Zeit hatte sich das durch einen regulären Steuerbefehl ausgelöste Chaos dann ins eng mit Süddeutschland vernetzte Österreich fortgepflanzt. Die Nachrichtenlage wurde völlig unübersichtlich, weil eben das "Fernwirknetz" zur Früherkennung und Behebung genau solcher Probleme nicht mehr verfügbar war.
Bei den österreichischen Energieversorgern brach Hektik aus, die Kommunikationsverbindungen zu allen Partnernetzen mussten ebenso manuell auftrennt werden, wie die einzelnen Maschen des eigenen Netzes, um die "Kreisläufer" loszuwerden.
Blindflug
Messtechnisch gesehen passierte das im Blindflug, da stundenlang keine Statusmeldungen aus dem Stromnetz abgerufen werden konnten. Anders als die in dieser Hinsicht wesentlich weniger kritischen Gasnetze müssen Stromnetze ständig nahe an der Echtzeit geregelt werden. Steigt der Verbrauch schnell an, werden die kurfristig verfügbaren Pumpspeicherkraftwerke zugeschaltet.
Mittlerweile spielt auch das Einsetzen starker Winde oder ein jäher Wetterwechsel von bewölkt zu starker Sonneneinstrahlung eine Rolle, weil von Windrädern und Photovoltaikanlagen dann schlagartig mehr Strom ins Netz gespeist wird.
"Steuerung nicht mehr beherrschbar"
Bei einer Abweichung von plus oder minus zwei bis drei Prozent, auf die nicht reagiert wird, bricht das Stromnetz zusammen. Das ist exakt jenes Szenario, vor dem Sicherheitstechniker wie jene des Thinktanks "Cyber Security Austria" seit Jahren gewarnt haben. Die immer weiter um sich greifende Vernetzung und Komplexitätssteigerung in der Energieversorgung, sei mit den bisher üblichen Steuermöglichkeiten nicht mehr beherrschbar, sagte Sicherheitsexperte Herbert Saurugg zu ORF.at.
Wie der aktuelle Vorfall drastisch gezeigt habe, könne allein die "fehlende Reichweitenbegrenzung" der Steuerungsbefehle ein Blackout herbeiführen, mit dem kaum jemand gerechnet habe.
Im "Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur Cyber Security Austria sind vor allem Experten für Energieversorguzngsnetze versammelt.
"Systemische Instabilitäten"
"Aufgrund der systemischen und steigenden Instabilitäten im europäischen Verbundsystem kann ein solcher, nicht vorhersehbarer Systemfehler jederzeit wieder auftreten", so Saurugg weiter: "Was passiert erst, wenn so wie derzeit in den USA gezielte Angriffe auf Energieversorger stattfinden?"
Seitens der Stromregulationsbehörden wird nun bis Ende Mai der detaillierte Hergang des Fast-Blackouts ermittelt, warum "passiert ist, was angesichts der bestehenden Sicherheitsmaßnahmen nicht hätte passieren dürfen", so Regulator Boltz. Im Hinblick auf die steigende Vernetzung im europäischen Energiebereich sei ein solches Problem auf nationaler Ebene nіcht mehr lösbar.
Alle Netzbetreiber müssten dabei eingebunden werden, die Sicherheitsmaßnahmen wie der Informationsfluss unter den Netzbetreibern müssten vereinheitlicht werden.
Szenarien und Berechnungen
Mit einem solchen Szenario, dass eine simple Zählerstandsabfrage in einem Netzsegment eines regionalen Energieversorges das zentraleuropäische Hochspannungsnetz an den Rand eines totalen Blackouts bringen könnte, hatte tatsächlich kaum jemand gerechnet.
Und schon gar nicht damit, dass dieser Steuerungsbefehl, der zusammen mit der uneinheitlichen Konfiguration der Steuerungssysteme in der europäischen Stromversorgung beinahe eine Katastrophe ausgelöst hätte, mit hoher Wahrscheinlichkeit aus einem Netz für Erdgas kam.
Gegenmaßnahmen
Die Protokollfamilie IEC 60870 der International Electrotechnical Commission definiert einen offenen Kommunikationsstandard für industrielle Automation, Schaltanlagenleittechnik etc. Laut Wikipedia lässt das Protokoll jedoch "großen Spielraum für spezifische Applikationen".
Als erste Maßnahme wurden die Stromerzeuger angewiesen, die Funktion "Abfrage an alle" in den Steuerungen des europäischen Stromnetzes zu deaktivieren. Dieser Befehl ist auf der unteren Ebene eines regionalen Stromnetzes zwar sehr nützlich, im zentralen Steuererungssystem ist ein solcher Befehl nicht nur sinnlos, sondern kann - wie man gesehen hat - sehr leicht letale Folgen haben.
Derzeit kann niemand sagen, wieviele solcher versteckter Fehlfunktionen noch in den Protokollen lauern, die das Stromnetz steuern. Die gesamte Protokollfamilie IEC 60870 der 1906 gegründeten International Electrotechnical Commission stammt aus einer Zeit, als die Stromnetze noch auf nationaler Basis funktionierten und internationale Vernetzung nicht die Regel, sondern eine Ausnahme war.