Herbert Saurugg, MSc, Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Folgen steigender Vernetzung und Komplexität, insbesondere mit dem Szenario eines europaweiten Strom- und Infrastrukturausfalls („Blackout“). Er betreibt dazu einen umfangreichen Fachblog (www.saurugg.net) und ist über die Grenzen Österreichs hinaus als weitsichtiger Querdenker und Referent bekannt.

Die amerikanische Stadt Baltimore wird seit Anfang Mai erpresst. Die Daten von tausenden Computern der Stadtverwaltung wurden durch eine Schadsoftware verschlüsselt. Wichtige Systeme der Verwaltung stehen seither still. Notwendige Dienstleistungen können nur sehr eingeschränkt erbracht werden. Der/die Erpresser verlangen Geld, um die Dateien wieder zu entschlüsseln. Diese Forderung – es geht um 13 Bitcoins (ca. 90.000 Euro) – wird jedoch vom Bürgermeister der Stadt abgelehnt. Der durch den Hackerangriff aufgelaufene Schaden beläuft sich bereits auf über 15 Millionen Euro.

Ungewöhnlich ist, dass der/die Erpresser versucht haben, die Stadtverwaltung über Twitter zur Zahlung zu bewegen. Ungewöhnlich, wenn nicht gar bedenklich ist jedoch erst recht, dass es der Stadtverwaltung und den hinzugezogenen Behörden und Dienstleistern bisher nicht gelungen zu sein scheint, die verschlüsselten Daten von entsprechenden Datensicherungen wiederherzustellen. Schließlich wurde die Stadt erst kürzlich im Rahmen der „Smart Cities Readiness Challenge“ ausgezeichnet. Hier würde man doch das Vorhandensein einer entsprechenden Sensibilität und von Prozessen erwarten, um mit derartigen Zwischenfällen souveräner umgehen zu können. Primär natürlich, um Schwachstellen, die einen solchen Angriff erst ermöglichen, rasch zu schließen. Sollte dennoch etwas schief gehen, wären Abläufe wünschenswert, die den Schaden begrenzen und rasch wieder beheben. Aber wie so oft, scheint auch in der Stadtverwaltung Baltimores die Kluft zwischen Schein und Wirklichkeit groß zu sein.

Baltimore ist überall

Nun stellt sich natürlich die Frage, ob so etwas auch in europäischen oder deutschen Städten passieren könnte. In der Regel wird man darauf rasch die Antwort bekommen: „Nein, bei uns ist so was undenkbar. Wir haben unsere Hausaufgaben gemacht.“

Ein Blick in die Vergangenheit beweist das Gegenteil. Und es waren nicht nur die Verwaltungsstrukturen einzelner Städte betroffen, sondern die vitalen Infrastrukturen ganzer Länder und Regionen. 2003 – Blackout an der US-Ostküste; nicht Europa. Aber wenige Wochen später war ganz Italien finster; Blackout. Oder der Stromausfall am weltgrößten Flughafen in Atlanta im Dezember 2017, den der deutsche Flughafenverband sinngemäß kommentierte, so etwas sei in Deutschland völlig unmöglich. Ein halbes Jahr später stand der fünftgrößte Flughafen Deutschlands, der Flughafen Hamburg, aufgrund eines mehrstündigen Stromausfalls still.

Störungen unserer modernen Infrastrukturen können überall auftreten, auch wenn es massig Vorschriften gibt, die sie eigentlich verhindern sollten. Kriminelle, die diese Strukturen angreifen, sind dabei nur eine mögliche Ursache.

Gefahrenpotenzial Komplexität

Vernetzung („Digitalisierung“) schafft viele Vorteile und ganz neue Möglichkeiten. Die Vernetzung steigert jedoch auch die Komplexität von Systemen. Damit entstehen oft wenig beachtete Nebenwirkungen: Kleine Ursache, große Wirkung; exponentielle Entwicklungen; steigende Dynamik; Nichtlinearität oder zeitverzögerte Wirkungen. Das sind Dinge, mit denen wir noch schlecht umgehen können, weil wir es bisher hauptsächlich mit wenig komplizierten Maschinen zu tun hatten. Dementsprechend ist unsere Ausbildung noch in „Silos“ (Instituten, Disziplinen) organisiert. Wir bräuchten jedoch viel mehr vernetztes Denken, um mit den Auswirkungen der von uns geschaffenen komplexen Systeme Schritt halten zu können; nicht nur in Spezialbereichen, sondern im gesamten Bildungssystem.

Außerdem führt der betriebswirtschaftliche Druck mit der damit einhergehenden Effizienzsteigerung dazu, dass Systeme immer fragiler designt werden. Überlebenswichtige Reserven und Redundanzen stellen totes Kapital dar. Sie werden oftmals vernachlässigt oder gleich ganz eingespart. Das merkt man dann erst zeitverzögert, wenn es kracht. Dann ist es aber bereits zu spät.

Diese Effizienzsteigerung betrifft natürlich auch und insbesondere die Personalressourcen, vor allem in der IT und der IT-Sicherheit. Immer mehr Technik, immer weniger Personal. Daher gilt allzuoft der Grundsatz: „Never touch a running system“. Das Einspielen von Patches kostet Zeit und geht auch des Öfteren schief. Nun werden aber zunehmend mehr Infrastruktur-IT-Systeme (IT) mit Office-IT-Systemen (OT) vernetzt, damit mehr Daten generiert werden können. Die bestehende OT-Infrastruktur ist jedoch nicht für derartige Anforderungen ausgelegt. Diverse Sicherheitslösungen würden deren Funktionalität sogar beeinträchtigen oder stören. Womit wir wieder beim Bildungsthema wären.

Der nächste Punkt ist, dass wir zwar zunehmend mehr Wert auf den Schutz unserer Systemen legen, aber kaum über Rückfallebenen verfügen, sollte wirklich einmal etwas fundamental aus dem Ruder laufen. Es ist auch allzu menschlich, echte Horrorszenarien nicht wahrhaben zu wollen oder auszublenden. Sie ernst zu nehmen würde außerdem unsere Effizienzsteigerungsbemühungen unterlaufen. Dieser gefährlichen Denkweise unterliegen aber nicht nur Fachleute und -bereiche. Die Frage ist vielmehr, ob die gesamte Organisation oder wir als Gesellschaft mit größeren Störungen oder sogar Versorgungsunterbrechungen umgehen könnten. Klar ist – es gibt keine zu hundert Prozent sicheren Systeme. Nirgends. Aus der Komplexitätsforschung ist sogar bekannt, dass der Kollaps von komplexen Systemen kein Fehler, sondern ein Designmerkmal ist. Dieses sorgt für ihre Regeneration und Weiterentwicklung. In der Wirtschaftslehre ist dies auch als „Schöpferische Zerstörung“ bekannt. Diese Erkenntnis gilt jedoch nicht nur für natürliche, sondern auch für komplexe Systeme, wie wir sie derzeit schaffen.

Zentrale vs. dezentrale Strukturen

Das Ganze wäre nicht so schlimm, gäbe es ein paar sinnvolle Reichweitenbegrenzungen und dezentrale funktionale Einheiten. In der Natur ist alles Lebendige, also komplexe Systeme, zellulär organisiert. Das hat sich im Laufe der Evolution bewährt und durchgesetzt. Im technischen Bereich machen wir jedoch genau das Gegenteil. Aus Effizienzgründen werden immer mehr Dinge voneinander abhängig und damit auch verwundbarer gemacht. Nicht aus böser Absicht, sondern aus Unwissenheit und aufgrund kurzsichtiger betriebswirtschaftlicher Überlegungen.

Besonders beunruhigend sind die Entwicklungen im Bereich der lebenswichtigen („kritischen“) Infrastrukturen. Auch deren Betrieb unterliegt einem zunehmenden Marktdruck. Die Leistungen müssen weiterhin stimmen. Daher muss im Hintergrund eingespart werden, was zu Lasten der Robustheit geht. So kommen etwa auch im Infrastruktursektor zunehmend mehr „Commercial off the shelf“-Produkte (COTS) zum Einsatz, was sich auf die Lebensdauer und damit auf die Langzeitkosten auswirken wird („zeitverzögerte Wirkungen“). Zum anderen führt die Digitalisierung dazu, dass immer mehr Prozesse und Infrastrukturen voneinander wechselseitig abhängig werden. So lange alles funktioniert, gibt es viele Vorteile. Kommt es jedoch zu einer unvorhergesehenen Störung, können selbstverstärkende Kaskadeneffekte auftreten („kleine Ursache, große Wirkung“, „Nichtlinearität“). Wie etwa 2017 in Ludwigshafen. Ein Bauarbeiter hatte eine falsche Versorgungsleitung durchtrennt. Es kam zu einer Explosion. In deren Folge mussten zwei Dutzend Industrieanlagen unplanmäßig gestoppt werden. Der Schaden kumulierte sich auf 500 Millionen Euro.

Elektrischer Strom – unser Lebenselixier

Durch die Digitalisierung werden immer mehr Systeme und Prozesse von der Stromversorgung abhängig. Gleichzeitig steigt der Stromverbrauch massiv an, was bisher nicht genügend gewürdigt wird. Kleinvieh macht Mist, der häufig unterschätzt wird. Man denke nur an die Standby-Verbräuche.

Viele mögen sich denken: „Alles kein Problem, haben wir doch in Mitteleuropa die höchste Versorgungssicherheit weltweit.“ Der Schein trügt. Er könnte sich sogar als zerstörerische Truthahn-Illusion herausstellen. Ein Truthahn, der Tag für Tag von seinem Besitzer gefüttert wird, nimmt aufgrund seiner täglichen positiven Erfahrungen (Fütterung) an, dass es der Besitzer nur gut mit ihm meinen kann. Im fehlt nämlich die wesentlichste Information, dass die Fütterung nur einem Zweck dient. Am Tag vor Thanksgiving, bei dem die Truthähne traditionell geschlachtet werden, erlebt er dann eine fatale Überraschung.

Das europäische Stromversorgungsystem unterliegt einem fundamentalen Wandel. Der sichere Betrieb erfordert zunehmend mehr Aufwand und wird seit Jahren schwieriger. Das wird in der Öffentlichkeit kaum wahrgenommen. Der Strom kommt doch aus der Steckdose – basta. Es gibt jedoch mittlerweile eine Reihe von großen Stressfaktoren. Der Strommarkt spielt dabei eine ganz zentrale Rolle. Dieser muss per Definition keine Rücksicht auf physikalische Rahmenbedingungen nehmen („Energy-only-Market“). Es gibt jedoch keine europäische Kupferplatte, die Strom zu jeder Zeit, in jeder Menge und überall hin verteilen könnte. Der Markt agiert aber genau so. Die betriebswirtschaftliche Optimierung des Marktes kann sogar mehrmals täglich an der Netzfrequenz abgelesen werden, bei der es regelmäßig in den Morgen- und Abendstunden zu größeren Abweichungen kommt.

Am 10. und 24. Januar 2019 wurde dadurch sogar die Grenze des Normalbetriebes erreicht. Das ist das letzte Mal 2006 passiert, wobei diese noch weiter unterschritten wurde und es dann zum Glück zur rechtzeitigen Notabschaltung von 10 Millionen Haushalten in Westeuropa kam, um einen Totalkollaps („Blackout“) zu verhindern. Am 03. April 2019 wurde die gewöhnliche Schwankungsbreite erneut deutlich unterschritten. Am 20. Mai 2019 kam es in der Schweiz zu einer schweren Sicherheitsverletzung, nachdem das Marktverhalten kurzfristige, nicht prognostizierte Lastflüsse verursachte. Eine Häufung von unerwarteten Ereignissen, wie wir sie bisher nicht kannten.

Wir haben zudem ein europäisches Verbundsystem, das nur im Ganzen funktioniert. Jedes Mitgliedsland verfolgt jedoch seine eigene Energie- und vor allem Strompolitik. Auf EU-Ebene hat der Markt höchste Priorität. Ein weiterer Stressfaktor ist die deutsche Energiewende. Hier fehlt es offenbar an grundlegendem physikalischen Wissen bzw. wird dieses ignoriert und durch Wunschvorstellungen ersetzt.

Die Energiewende ist mit Sicherheit notwendig. Mit den derzeitigen einseitigen und nicht systemischen Eingriffen in unsere überlebenswichtigste Infrastruktur riskieren wir jedoch alles. Kein System verträgt auf Dauer einseitige und vor allem der Physik zuwiderlaufende Eingriffe. Trotzdem agieren wir immer noch wie der oben zitierte Truthahn.

Das Hauptproblem ist, dass wir wesentliche Systemelemente (konventionelle Kraftwerke) entfernen, ohne entsprechende Ersatzlösungen verfügbar zu haben. Die Stromerzeugung aus Wind und Sonne reicht bei weitem nicht, um die bisherigen Funktionalitäten zu ersetzen. Fossile Kraftwerke stellen eine funktionale Einheit dar. Sie können nachfrageorientiert Strom erzeugen, was PV- und Windkraftanlagen nicht können. Damit das Stromversorgungssystem jedoch funktioniert, muss permanent ein fragiles Gleichgewicht zwischen Erzeugung und Verbrauch sichergestellt werden. Die vorhandenen Flexibilitäts- und Speicherlösungen reichen bei weitem nicht aus, um diese Balance auch in absehbarer Zukunft sicherstellen zu können. Und es reicht nicht, wenn es auf dem Papier Lösungsansätze gibt, die sich noch dazu nicht rechnen. Was viele nicht wissen ist, dass diese Balance zu 100 Prozent sichergestellt werden muss. 99,999 Prozent führen bereits zum Kollaps!

Fazit

Was hat das nun alles mit dem Ursprungsthema, dem IT-Ausfall in Baltimore zu tun? Auf den ersten Blick vielleicht nicht viel, aus einer systemischen Perspektive jedoch eine ganze Menge. Es geht um unsere infrastrukturellen Abhängigkeiten und um unterschätzte Kaskadeneffekte. Wenn die Wiederherstellung von Systemen in einem sehr überschaubaren Bereich, wie in einer Stadtverwaltung, schon derart lange dauert, unterschätzen wir wohl völlig, wie lange der Wiederanlauf nach einem europaweiten Strom- und Infrastrukturausfall („Blackout“) dauern wird. Ganz abgesehen davon, dass mit dem Strom auch die Telekommunikationsversorgung ausfällt und damit so gut wie kein Krisenmanagement mehr möglich ist. Außer auf lokaler Ebene. Es muss sogar erwartet werden, dass der Wiederanlauf der Telekommunikationsversorgung nach dem Stromausfall noch wesentlich länger dauern wird. Damit funktionieren weder Produktion, noch Logistik oder Warenverteilung. Nicht einmal die Treibstoffversorgung. Gleichzeitig wissen wir, dass sich rund ⅓ der Bevölkerung maximal vier Tage und ⅔ maximal eine Woche selbst versorgen kann. Es ist sehr unwahrscheinlich, dass es gelingt, die Versorgung binnen dieser Frist wieder zum Laufen zu bringen.

Der Bericht „Gefährdung und Verletzbarkeit moderner Gesellschaften durch Stromausfall“ des Büros für Technikfolgenabschätzung beim Deutschen Bundestag hat bereits 2010 festgestellt: „Spätestens am Ende der ersten Woche wäre eine Katastrophe zu erwarten, d. h. die gesundheitliche Schädigung bzw. der Tod sehr vieler Menschen sowie eine mit lokal bzw. regional verfügbaren Mitteln und personellen Kapazitäten nicht mehr zu bewältigende Problemlage.“

Hat sich seither etwas geändert? Haben wir bessere Vorsorgemaßnahmen getroffen? Nein, überhaupt nicht. Die Verwundbarkeit ist in den letzten 10 Jahren noch stärker gestiegen. Wie wahrscheinlich ist ein Blackout? Das lässt sich aufgrund des sehr seltenen Eintritts nicht berechnen. So wie jedoch die Entwicklungen im europäischen Stromversorgungssystem in den vergangenen acht Jahren verlaufen sind und die Planungen für die nächsten fünf Jahre aussehen, geht der Autor fix davon aus, dass wir ein solches Ereignis in diesem Zeitraum erleben werden. Wir steuern daher auf die größte Katastrophe nach dem Zweiten Weltkrieg zu, ohne es zu ahnen. Vor allem auch, weil wir ignorant sind und seit dem Ende des Kalten Krieges sämtliche Vorsorgemaßnahmen zurückgefahren oder komplett eingestellt haben. Das betrifft jeden Einzelnen von uns, aber auch die Unternehmen und den Staat insgesamt. Wir leben in einer sehr komfortablen Truthahn-Illusion.

Strom aus – Wie sicher sind unsere Netze

Quelle: 3sat / © ORF/Peppo Wagner Filmproduktion