Sicherheitsexperte Mirko Ross erklärt, unter welchen Umständen Stromausfälle wie in Spanien auch in Deutschland passieren können und wie plausibel ein Hackerangriff wäre.
Mirko Ross ist Geschäftsführer und einer der Gründer der Stuttgarter Cybersecurity-Firma Asvin. Er beschäftigt sich mit der Sicherheit vernetzter Systeme, kritischer Infrastrukturen und den Gefahren für unser Stromnetz – und damit, wie sie sich minimieren lassen.
Herr Ross, gestern kam es in Spanien und Portugal zu einem großflächigen Stromausfall, der hunderttausende Haushalte betroffen hat. Bereits Stunden danach wurde ein möglicher Hackerangriff als Ursache diskutiert. Nun scheint diese Spur aber bereits ausgeschlossen zu sein.
Grundsätzlich ist es immer noch nicht ausgeschlossen. Es wird trotzdem untersucht, aber es ist nicht die wahrscheinlichste Erklärung für das Problem. Es gibt andere Erklärungen, die vielleicht plausibler sind als ein Hackerangriff. Die derzeitige offizielle Darstellung ist, dass eine 400-Kilovolt-Leitung dieses Problem erzeugt hat. Das sind die großen Stromtrassen, die sehr viel Strom von einem Netzbereich in ein anderes Teilnetz transportieren.
Wie wahrscheinlich ist denn ein Cyberangriff und wäre so etwas auch bei uns möglich?
Zunächst ist die Frage, wie hoch die Leistung war, die das Problem in Spanien ausgelöst hat. Das waren glaube ich um die zwei Gigawatt. Die sind ausgefallen. Vielleicht weil die Leitung an der entsprechenden Stelle eine Störung hatte, die nicht von einer anderen Trasse ausgeglichen werden konnte. Das hat dann dazu geführt, dass die Hertz-Rate abgefallen ist. Das Gleichgewicht zwischen Verbraucher und Erzeuger war in diesem Segment also vollständig unausgeglichen.
Das führt dann zu einer sogenannten Entkopplung. Die Verbindungen zwischen Netzbereichen wurden getrennt und das hatte dann einen Dominoeffekt zur Folge. Das ist kein unrealistisches Szenario. So etwas ist auch schon vorgekommen, nicht nur in Spanien. In Netzen gibt es bestimmte Schwachstellen und wenn diese angegriffen oder gestört werden, kann es zu Dominokaskaden von Blackouts kommen.
Einen Cyberangriff halte ich eher für unwahrscheinlich. Das europäische Stromnetz ist sehr robust gebaut und einen direkten Angriff, in dem diese ganzen Transformatoren in Verteilernetzen koordiniert attackiert werden, halte ich nicht für plausibel. Denn wenn zum Beispiel Russland das europäische Stromnetz so weit infiltriert hätte, dass sie es ausknipsen könnten – warum sollten sie das dann preisgeben. Das würde ich doch eher machen, wenn ich sage, ich greife Europa jetzt in einem direkten militärischen Konflikt an.
Eine Frage, die sich viele Leute gestellt haben, ist, wie so viele Dinge gleichzeitig zusammenkommen können, dass plötzlich das ganze Netz ausfällt. Aber wenn ein Entkoppeln eine solche Kettenreaktion auslöst, dann ist das ja nicht mehr so ein unwahrscheinliches Ereignis, oder?
Genau. Das war ja keine kleine Leitung, sondern eine 400-Kilovolt-Trasse. Das sind die großen Stromautobahnen, vergleichbar mit der Art von Trasse, die Windstrom aus der Nordsee nach Bayern transportiert. Wenn so eine massive Trasse ausfällt, hat das Auswirkungen auf das gesamte Netz. Und wenn das nicht schnell ausgeglichen werden kann, sondern wie in Spanien sogar Atomkraftwerke abgeschaltet werden müssen, dann entsteht ein massives Ungleichgewicht, was zur Abschaltung der Versorgungsnetze führte.
Wie anfällig ist das deutsche Stromnetz für solche Ereignisse? Cyberangriff oder nicht – welche Risiken gibt es?
Es gibt Studien, die davon ausgehen, dass die kritische Grenze für Europa und damit Deutschland eigentlich bei drei – anstatt wie in Spanien bei zwei – Gigawatt liegt. Wobei auch hier zusätzlich Störungen bei der Regelung der ausgefallenen Versorgung auftreten müssen.
Aber auch diese drei Gigawatt sind schnell erreicht. Wenn ich es zum Beispiel schaffen würde, Solaranlagen auf deutschen Dächern abzuschalten, dann komme ich locker auf drei Gigawatt. Dafür bräuchte ich nicht einmal unbedingt eine Cyberwaffe. Der Großteil der deutschen Solaranlagen ist mit Wechselrichtern aus China ausgestattet, die über einen Internetanschluss verfügen.
Gibt es denn ein besonderes Interesse aus russischer oder chinesischer Seite, diese Wechselrichter abzuschalten?
Bisher ist das vor allem ein theoretisches Bedrohungsszenario – einfach aus der Gegebenheit heraus, dass der Großteil der Wechselrichter aus China kommt. Die könnten die Chinesen zum Beispiel ausschalten, indem sie ein Update aufspielen, das das Gerät lahmlegt. Das wäre durchaus denkbar in einem militärischen Konflikt um Taiwan, in welchem die Bundesrepublik Stellung beziehen müsste. Aber wenn es so weit kommt, ist die Eskalationsspirale bereits sehr weit fortgeschritten.
Also ein Punkt, an dem wir uns noch ganz andere Sorgen machen müssen.
Genau. Die Cyberkriegsführung ist ja nicht als losgelöst von der konventionellen Kriegsführung zu betrachten. Wenn wir uns zum Beispiel den Krieg in der Ukraine anschauen, sehen wir ja, wie stark das zusammenhängt. Das Stromnetz in der Ukraine wird nicht nur durch Cyberangriffe attackiert, sondern es fliegen auch Bomben auf Kraftwerke.
Was könnte man denn tun, um Schwachstellen wie die der chinesischen Wechselrichter zu schließen?
Wenn ich Gefahren nicht ausschließen kann, dann ist es wichtig, für Resilienz zu sorgen. Ich muss die Netze so ausbauen, dass sie einem Angriff standhalten. Für die Wechselrichter bedeutet das, dass ich von dieser kritischen Grenze von drei Gigawatt durch einen Anbieter wegkomme. Das gilt aber auch für andere Arten der Stromerzeugung. Da muss ich für mehr Heterogenität in der Infrastruktur sorgen.
Welche Rolle spielt der Cyber Resilience Act der EU? Verbessert er tatsächlich die Sicherheit unserer Infrastruktur?
Gegen das Bedrohungsszenario, dass jemand aus der Ferne mit einem Update ganze Anlagen außer Gefecht setzen kann, schützt der Cyber Resilience Act überhaupt nicht. Der schützt uns nur davor, dass eine dritte Partei – ein Hacker oder staatlich motivierter Hacker – eine Anlage durch einen Angriff von außen ausschalten kann. Der Cyber Resilience Act fordert nämlich, dass eine Anlage mit Softwareupdates versorgt werden kann. Und das schafft wiederum einen Angriffsvektor. Zum Beispiel, wenn ein Staat einen Hersteller in seinem Land dazu zwingt, ein schadhaftes Update einzuspielen.
Sehen Sie derzeit ein erhöhtes Bewusstsein für solche Gefahren? Gibt es bereits Initiativen, um die benötigte Resilienz aufzubauen, oder ist das in der Politik noch nicht angekommen?
Die Sicherheitsbehörden, wie zum Beispiel das BSI, haben tatsächlich konstant ein Auge darauf. Das BSI hat das bei Windkraft und Solaranlagen auch schon eindeutig formuliert und gesagt, dass es Problematiken mit den Herstellern der Anlagen gibt. Aber sie können nur warnen. Die Frage ist, ob es bei den politischen Entscheidungsträgern angekommen ist. Und da wird es komplizierter. Das sind schließlich keine offensichtlichen Gefahren, sondern finden in einem abstrakten Raum statt, was sie schwer greifbar macht. Das ist ein generelles Problem im Cyber-Bereich.
Welche konkreten Maßnahmen würden Sie sich für die nächsten Jahre wünschen?
Ich glaube, dass das Thema digitale Souveränität eine große Rolle spielt. Und da ist jetzt die Frage, ob aus Worten auch Taten werden. Es ist wichtig, dass wir uns schrittweise aus diesen Abhängigkeiten lösen und eigene souveräne Lösungen aufbauen. Sowohl im Hardware- als auch im Softwarebereich.
Gibt es denn – spezifisch in Baden-Württemberg – schon eine industrielle Basis dafür?
Wir haben kein schlechtes Ökosystem in Baden-Württemberg. Vor allem im Software- aber auch im Hardwarebereich kann man feststellen, dass relativ viel da ist. Wir haben die Puzzlesteine, um uns souverän aufstellen zu können. Das Problem ist, dass Souveränität bei vergangenen Ausschreibungen nicht das Hauptthema war. Da war das oft eher eine Preisfrage. Aber diese Wahrnehmung verschiebt sich, meiner Meinung nach in die richtige Richtung. Man muss die Pflänzchen, die man hat, gut pflegen und das Bewusstsein muss da sein.
Wir haben zum Beispiel Nextcloud, ein Open-Source Projekt mit Ursprung in Stuttgart. Das passt doch. In einzelnen Sektoren wird man feststellen, dass wir genug Player haben. Das muss man richtig zusammenschalten und Synergien wecken. Dann wird das was.