Thesen und Handlungsbedarf
Wie schon von Elsberg und im SZ-Magazin beschrieben, hängen alle andern Kritischen Infrastrukturen (Transport, Wasserversorgung oder auch die medizinische Versorgung) unmittelbar von der Stromversorgung ab. So wäre der finanzielle Schaden durch einen großräumigen Stromausfall gewaltig: Ein einstündiger deutschlandweiter Stromausfall an einem Werktag im Winter sei erst jüngst auf 0,6 – 1,3 Milliarden Euro Schaden geschätzt worden4. Dies führe zu zwei zentralen Anforderungen:
- Absicherung des heutigen Standes bei Robustheit und Resilienz und
- Beibehalten des Tempos oder besser noch Beschleunigung der Energiewende. Aus ihnen müssen und können Priorisierungen der notwendigen Maßnahmen zur Erreichung von (Cyber-)Resilienz abgeleitet werden.
These 1:
Die Resilienz des zukünftigen Energiesystems steht und fällt mit der Digitalisierung der Funktionen zur Systemstabilisierung. Als neue Herausforderung beruhen notwendige Maßnahmen, etwa das Wiederhochfahren des Systems nach einem Blackout, wegen der dezentralisierten Installation vor allem kleiner Anlagen auf vielen Einzelmaßnahmen. Die Koordination dieser Einzelmaßnahmen ist ohne Digitalisierung nicht möglich.
Ob Nutzen oder Gefahren überwiegen, entscheidet sich insbesondere an den folgenden Punkten:
- Digitalisierung hilft, Komplexität zu beherrschen. Anlagen können durch gemeinsame Steuerung zusammengefasst werden („virtuelle Kraftwerke“), um Systemdienstleistungen zu erbringen, Netzbetreiber können Informationen zu Marktgeschehen und (physischen) Netzzuständen zusammenführen und analysieren, um bei Netzproblemen schnell die richtigen Maßnahmen zu treffen. Auf der anderen Seite schafft die Digitalisierung zusätzliche Komplexität. Schließlich wird eine unüberschaubar große Zahl miteinander vernetzter IKT-Komponenten, von den Smart Homes über smarte Elektroautos bis zu an das Internet angeschlossenen Kühlschränken, zu systemkritischen Bestandteilen des Energiesystems. Diese Bestandteile müssen in ihrem Zusammenspiel und der Wirkung auf das Energiesystem ausreichend abgeschätzt und gesteuert werden können. Damit bilden sie aufgrund der erhöhten Komplexität, die in das System eingeführt wird, eine neue potenzielle Fehlerquelle.
- Risikomanagement: Geringstmögliche Digitalisierung des Energiesystems könne als bester Garant der Versorgungssicherheit angesehen werden, denn: was nicht digitalisiert ist, kann auch nicht „gehackt“ werden. Das stimmt einerseits, andererseits würde dadurch aber voraussichtlich ein weniger sicheres System entstehen, da die Digitalisierungs-Möglichkeiten zu wenig zur Resilienzverbesserung genutzt würden. Schließlich wird von einigen vertreten, dass uneingeschränkte Digitalisierung das Energiesystems besser kontrollierbar macht – doch das ist zweischneidig.
- Organisation der verteilten Verantwortlichkeiten: Unterschiedliche Akteure – wie Gesetzgeber und Regulierer, Netzbetreiber, Normierungsgremien und neue Institutionen – sind für die sichere Digitalisierung des Energiesystems verantwortlich, mit dem Risiko, dass die Verantwortlichkeiten des IKT-Einsatzes und der Absicherung ineffektiv auf Akteure verteilt werden oder ungewollte Akteurskonflikte entstehen.
- Absicherung durch vorhandenes Know-How: Alle Maßnahmen müssen auf solidem Fundament entwickelt werden, das durch die Kenntnisse und die Erfahrung der Expertinnen und Experten vorgegeben wird – und darüber hinaus, denn die Energiesysteme werden immer vernetzter und dynamischer.
- Rigidität versus Flexibilität: Um mögliche Fehler bei der Regulierung, den Grid Codes oder dem Marktdesign abzufangen, werden frühzeitig zu bedenkende Flexibilitäten benötigt.
Resilienz bedeutet laut Mayer auch, nach Störfällen eine „Lernschleife“ einzubauen: Eine Analyse des Vorfalls zur Erarbeitung verbindlicher Maßnahmen soll fürs nächste Mal den Schaden minimieren. Dies setzt einen einheitlichen Stand von Sicherheitsmaßnahmen voraus.
These 2:
In einem hoch vernetzten Energiesystem können Risiken für Resilienz und Robustheit durch die Digitalisierung nur auf Systemebene ausreichend verstanden werden, da sich lokale Fehler auf das ganze System auswirken können. Dieser Aspekt ist jedoch unterbelichtet.5
Was müsste passieren?
- Maßnahmen zu IT-Sicherheit: Es finden sich in der Praxis kaum systemisch gedachte Maßnahmen.6 Viele neue Entwicklungen (Backdoors in Hardware und Software, Cloud, „Internet of Things“) sind noch nicht auf dem Radar. Der Einsatz von Cloud-Lösungen im Bereich Kritischer Infrastrukturen kann die nationale Souveränität in Frage stellen, ohne dass dies bekannt ist.
- Aufgabenverteilung: Das Wissen über erfolgreiche oder abgewehrte Attacken muss zwischen allen Akteuren geteilt werden. Zwar besteht hier bereits die Initiative UP KRITIS, in der (deutsche) Betreiber Kritischer Infrastrukturen, ihre Verbände und zuständige Behörden zusammenarbeiten.
- Internationalisierung: Supranationale Abstimmung ist zwingend nötig. Denn Angriffe auf die IKT des Stromsystems können sogar als kriegerischer Akt von anderen Staaten erfolgen. Dann muss eine komplexe Gemengelage von Organisationen (nationale Regierungen, EU, ENTSO-E, NATO) auf das Problem reagieren. Die Mitglieder dieser Organisationen sind bei weitem nicht deckungsgleich, es existieren nicht einmal Gremien zur gemeinsamen Absprache. Einem grenzüberschreitenden Angriff, dessen Schäden erst in Summe systemrelevant sind, könnte heute nicht angemessen begegnet werden.
- Systemische Sicht: Es muss untersucht werden, wie Vorgänge in der digitalen Welt Robustheit und Resilienz des (physischen) Energiesystems beeinflussen. So könnten Marktmanipulationen oder Fehlinformationen über Markttransaktionen im Strombereich zu Fehlern bei der Planung von Reservekapazitäten mit der Folge von Ausfällen bei der Stromlieferung führen.
Folgt: Fazit