Standort: fm4.ORF.at / Meldung: " Blackout-Gefahr in Österreichs Stromnetzen "

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

16. 5. 2013 - 16:23

Blackout-Gefahr in Österreichs Stromnetzen

Eine simple Zählerabfrage im süddeutschen Erdgasnetz, die ins Steuerungssystem der europäischen Stromnetze geriet, brachte Österreich Anfang Mai an den Rand eines Blackouts.

"Dieser Vorfall am zweiten Mai im Strommnetz war ein Weckruf, die Sicherheitsmaßen der IT-Informationssysteme bei den Stromversorgern hochzufahren", sagte der Geschäftsführer der Regulationsbehörde E-Control, Walter Boltz, auf eine Anfrage von ORF.at.

Anfang Mai war Österreich nur knapp an einem Totalabsturz vorbeigeschrammt, der halb Europa mitgerissen hätte. Die Ursache dafür war mit hoher Wahrscheinlichkeit ein regulärer Steuerungsbefehl eines Energieversorgers aus Süddeutschland, der ein neues Leitsystem für Erdgas in Betrieb genommen hatte.

Umspannwerk Strom

cc by Flickr-User liebeslakritze

Ein solcher, "Telegramm" genannter, Steuerungsbefehl für das Gasleitungsnetz hatte sich ins Leitsystem des europäischen Stromnetzes verirrt, in dem dieselben Steuerungsprotokolle verwendet werden wie bei Gas.

Abfragen an alle Zähler

Es handelte sich dabei um eine an sich triviale Abfrage der Zählerstände aller Komponenten eines regionalen Gasleitungsnetzes in Bayern. Diese Abfrage "an alle" zum Test eines neuen Segments im süddeutschen Gasnetz war allerdings in die Steuerung des europäischen Stromnetzes gelangt und hatte sich dort multipliziert.

Die Zählerstandsabfrage an ein paar Dutzend Komponenten des Erdgasnetzes wurde vom Stromleitsystem in Folge als Steuerungsbefehl akzeptiert. Die Folge war eine Datenflut, die das europäische Steuerungssystem regional für Stunden lahmlegte.

Informations- und Leitsysteme

Diesen Sachverhalt wollte der Chef der österreichischen Stromregulatons-behörde E-Control unter Verweis auf die laufende Untersuchung weder bestätigen noch dementieren. Die Informationssysteme der Energieversorger hätten mit der schnellen und immer engmaschigeren Quervernetzung der Netze zum Energietransport nicht Schritt gehalten, sagte Boltz zu ORF.at.

Mit "Informationssystem" ist nichts anderes als die zentrale Steuerung des europäischen Stromverbunds gemeint, die am zweiten Mai stundenlang nicht erreichbar war, nachdem in Bayern ein neues Leitsystem für die Gasversorgung getestet worden war.

Maschen und Kreisläufer

Mindestens eines der in der europäischen Stromnetzsteuerung zusammengeschlossenen Subnetze war so konfiguriert, dass eine solche Abfrage "an alle" mit einer Bestätigung "an alle" beantwortet wurde. Der Datenverkehr in diesem "Fernwirknetz", wie es die Energieversorger nennen, begann zu eskalieren und sprang auf die benachbarten Stromnetze über.

Diese Abfragen und Bestätigungen "an alle" fingen sich nämlich in den "Maschen" der benachbarten Stromnetze und wurden dort zu "Kreisläufern", wie es im Jargon der Energieversorger heißt. Aufgrund des explodierenden Datenverkehrs gingen weder Informationen über den Status dieser Netzknoten durch, noch kamen Steuerungsbefehle an.

DDoS Im Stromnetz

Die Wirkung kam dabei einer "Distributed Denial of Service"-Attacke (DDoS) im Internet gleich, bei der die Server eines Informationsnetzes durch eine Flut an Abfragen lahmgelegt werden.

Seitdem sich IT-Security-Forscher weltweit mit der Sicherheit von Steuerungsanlagen beschäftigen, kommen immer neue sicherheitsrelevante Aspekte zum Vorschein. Die letzten der durchwegs schlechten Nachrichten sind, dass seit 2012 auch Smartphone-Apps für industrielle Steuerungssysteme angeboten werden.

Binnen kürzester Zeit hatte sich das durch einen regulären Steuerbefehl ausgelöste Chaos dann ins eng mit Süddeutschland vernetzte Österreich fortgepflanzt. Die Nachrichtenlage wurde völlig unübersichtlich, weil eben das "Fernwirknetz" zur Früherkennung und Behebung genau solcher Probleme nicht mehr verfügbar war.

Bei den österreichischen Energieversorgern brach Hektik aus, die Kommunikationsverbindungen zu allen Partnernetzen mussten ebenso manuell auftrennt werden, wie die einzelnen Maschen des eigenen Netzes, um die "Kreisläufer" loszuwerden.

Blindflug

Messtechnisch gesehen passierte das im Blindflug, da stundenlang keine Statusmeldungen aus dem Stromnetz abgerufen werden konnten. Anders als die in dieser Hinsicht wesentlich weniger kritischen Gasnetze müssen Stromnetze ständig nahe an der Echtzeit geregelt werden. Steigt der Verbrauch schnell an, werden die kurfristig verfügbaren Pumpspeicherkraftwerke zugeschaltet.

Mittlerweile spielt auch das Einsetzen starker Winde oder ein jäher Wetterwechsel von bewölkt zu starker Sonneneinstrahlung eine Rolle, weil von Windrädern und Photovoltaikanlagen dann schlagartig mehr Strom ins Netz gespeist wird.

"Steuerung nicht mehr beherrschbar"

Bei einer Abweichung von plus oder minus zwei bis drei Prozent, auf die nicht reagiert wird, bricht das Stromnetz zusammen. Das ist exakt jenes Szenario, vor dem Sicherheitstechniker wie jene des Thinktanks "Cyber Security Austria" seit Jahren gewarnt haben. Die immer weiter um sich greifende Vernetzung und Komplexitätssteigerung in der Energieversorgung, sei mit den bisher üblichen Steuermöglichkeiten nicht mehr beherrschbar, sagte Sicherheitsexperte Herbert Saurugg zu ORF.at.

Wie der aktuelle Vorfall drastisch gezeigt habe, könne allein die "fehlende Reichweitenbegrenzung" der Steuerungsbefehle ein Blackout herbeiführen, mit dem kaum jemand gerechnet habe.

Im "Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur Cyber Security Austria sind vor allem Experten für Energieversorguzngsnetze versammelt.

"Systemische Instabilitäten"

"Aufgrund der systemischen und steigenden Instabilitäten im europäischen Verbundsystem kann ein solcher, nicht vorhersehbarer Systemfehler jederzeit wieder auftreten", so Saurugg weiter: "Was passiert erst, wenn so wie derzeit in den USA gezielte Angriffe auf Energieversorger stattfinden?"

Seitens der Stromregulationsbehörden wird nun bis Ende Mai der detaillierte Hergang des Fast-Blackouts ermittelt, warum "passiert ist, was angesichts der bestehenden Sicherheitsmaßnahmen nicht hätte passieren dürfen", so Regulator Boltz. Im Hinblick auf die steigende Vernetzung im europäischen Energiebereich sei ein solches Problem auf nationaler Ebene nіcht mehr lösbar.

Alle Netzbetreiber müssten dabei eingebunden werden, die Sicherheitsmaßnahmen wie der Informationsfluss unter den Netzbetreibern müssten vereinheitlicht werden.

Szenarien und Berechnungen

Mit einem solchen Szenario, dass eine simple Zählerstandsabfrage in einem Netzsegment eines regionalen Energieversorges das zentraleuropäische Hochspannungsnetz an den Rand eines totalen Blackouts bringen könnte, hatte tatsächlich kaum jemand gerechnet.

Und schon gar nicht damit, dass dieser Steuerungsbefehl, der zusammen mit der uneinheitlichen Konfiguration der Steuerungssysteme in der europäischen Stromversorgung beinahe eine Katastrophe ausgelöst hätte, mit hoher Wahrscheinlichkeit aus einem Netz für Erdgas kam.

Gegenmaßnahmen

Die Protokollfamilie IEC 60870 der International Electrotechnical Commission definiert einen offenen Kommunikationsstandard für industrielle Automation, Schaltanlagenleittechnik etc. Laut Wikipedia lässt das Protokoll jedoch "großen Spielraum für spezifische Applikationen".

Als erste Maßnahme wurden die Stromerzeuger angewiesen, die Funktion "Abfrage an alle" in den Steuerungen des europäischen Stromnetzes zu deaktivieren. Dieser Befehl ist auf der unteren Ebene eines regionalen Stromnetzes zwar sehr nützlich, im zentralen Steuererungssystem ist ein solcher Befehl nicht nur sinnlos, sondern kann - wie man gesehen hat - sehr leicht letale Folgen haben.

Derzeit kann niemand sagen, wieviele solcher versteckter Fehlfunktionen noch in den Protokollen lauern, die das Stromnetz steuern. Die gesamte Protokollfamilie IEC 60870 der 1906 gegründeten International Electrotechnical Commission stammt aus einer Zeit, als die Stromnetze noch auf nationaler Basis funktionierten und internationale Vernetzung nicht die Regel, sondern eine Ausnahme war.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • thomast | vor 1106 Tagen, 16 Stunden, 49 Minuten

    Naja,

    "letal" war der Fehler nicht, weder für Menschen, noch fürs Netz. ;)

    Auch wenn das dank Windows, dass die Menschen fälschlicher Weise daran gewöhnt hat, dass Computer "nun mal ausfallen", es nicht en vogue ist, stellen sich für mich nur wenige Fragen:

    1. Wer haftet?
    2. Wer bezahlt im Schadensfall?
    3. Wer wird wegen der Sauerei entlassen?
    4. Wer bezahlt sein Gehalt/Entgelt zurück, weil er Mist gebaut hat?
    5. Warum werden für die Anschaffung von EDV Systemen keine Berater engagiert? Wir bezahlen massig Beraterhonorare für Nicht-Leistungen, aber bei der Anchaffung und Einführung von EDV Systemen ziehen wir keine Berater zu rate, sondern trifft irgendwer Entscheidungen, die in einem Bereich liegen, wo derjenige oder diejenigen absolut Null Ahnung haben. Weil mit Combuda kenn ma uns eh alle aus.

    Auf dieses Posting antworten
    • tantejutta | vor 1106 Tagen, 16 Stunden, 43 Minuten

      nun ja, das Problem ist dabei, dass

      Infrastukurnetze andere Anforderungen haben, als IT-Netze. Die Stromexperten wissen alles über das Stromnetz, wie die IT-Security Leute über Rechnernetze Bescheid wissen. Wie beides dann zusammenspielt, ist wiederum eine andere Sache.

    • thomast | vor 1106 Tagen, 16 Stunden, 26 Minuten

      Korrekt.

      Deshalb wäre hier eben eine besonders Umfangreiche Beratertätigkeit nötig!

    • eierbär74 | vor 1105 Tagen, 21 Stunden, 47 Minuten

      Das erst seit Windows Computersysteme ausfallen ist ein unrichtiges Klischee. Einfach einmal über die Herkunft des Begriffes "Bug" nachdenken.

  • pezihaas | vor 1106 Tagen, 17 Stunden, 14 Minuten

    Spannend! Wahrscheinlich laufen ja in manchen ganz kleinen Kraftwerken sogar noch die Analogrechner aus den 70ern (und sind wahrscheinlich am wenigsten gefährdet) :-)

    Ist zwar für das Thema selbst nicht relevant, aber trotzdem zur Info:

    Bei auftretendem kurzfristigen Mehrverbrauch wie z.B. Ende der 9:00 Pause in der Industrie, werden sicher nicht kalorische Kraftwerke hochgefahren. Diese werden hauptsächlich zur Produktion von Bandstrom eingesetzt. Das Hochfahren eines kalorischen Kraftwerks dauert in der Grüßenordnung von Stunden. In diesen Fällen des kurzfristigen Bedarfs werden die Pumpspeicher-Kraftwerke zugeschaltet. Diese sind typischerweise nach ca. 90 Sekunden am Netz.

    Auf dieses Posting antworten
    • tantejutta | vor 1106 Tagen, 16 Stunden, 59 Minuten

      tnx 4 info!

      eh logisch, das wird oben in der Story noch geändert.

    • thomast | vor 1106 Tagen, 16 Stunden, 28 Minuten

      Naja,

      "Hochfahren" bedeutet nicht "Anfahren".

      Anfahren - also Betriebsstart bei abgeschaltetem Brenner - dauert abhängig davon, wie langer der Brenner abgeschaltet war, mehrere Stunden.

      Hochfahren - also die Erhöhung der Stromproduktion eines laufenden Kraftwerks - dauert Sekunden.

      Und das trifft auch nur auf Kohlekraftwerke zu. Zu den "kalorischen Kraftwerken" zählen auch AKW, Erdwärmekraftwerke und Gasturbinenkraftwerke. Letztere haben Kaltstartzeiten ("Anfahren" siehe oben) von wenigen Minuten. AKW haben idR. gar keine Kaltstartzeiten, weil sie nie "heruntergefahren" werden, ausser zur Wartung, und leisten idR. Lastwechsel von um die 5% der Nominalleistung pro Minute.

      Wenn man also nicht "kalorisches Kraftwerk" mit Kohle oder Ölkraftwerk assoziiert, war das so schon korrekt, denn auch der Strom bei uns kommt zum Teil aus AKW. ;)