Cyberfit statt Blackout | KPMG | AT

Cyberfit statt Blackout

Cyberfit statt Blackout

Die Abhängigkeit unserer Gesellschaft von elektrischem Strom ist enorm. Gleichzeitig war auch das Risiko eines großflächigen Stromausfalls nie größer als heute. Die zunehmende Vernetzung mit dem IT-Bereich macht unsere Stromnetze noch verwundbarer. Die NIS-Richtlinie soll hier Abhilfe schaffen.

Verwandte Inhalte

Glühbirne mit Energie

Blackout 2006

Es war kurz nach 22:00 Uhr, als am 4. November 2006 in großen Teilen Europas das Licht ausging. Der Blackout, der fast zwei Stunden dauerte, erfasste Teile Deutschlands, Frankreichs, Belgiens, der Niederlande, Österreichs, Italiens und Spaniens. Insgesamt waren mehr als zehn Millionen Menschen vorübergehend ohne Strom. Auslöser war die planmäßige zeitweilige Abschaltung zweier 400 kV Hochspannungsleitungen über der Ems, um die Ausschiffung des Kreuzfahrtschiffes Norwegian Pearl zu ermöglichen.

Aufgrund vorhandener Strom-Überkapazitäten im Norden Deutschlands, welche nicht mehr ausreichend auf das europäische Stromnetz verteilt werden konnten, zerfiel das Netz in drei „Inseln“ mit jeweils unterschiedlicher Frequenz (siehe Abbildung Seite 10, Area 1–3). Im Osten entstand ein Überangebot und auf der westlichen sowie der südöstlichen „Insel“ ein Mangel an Strom. Um den völligen Zusammenbruch der Versorgung zu verhindern und das Gleichgewicht zwischen Erzeugung und Verbrauch wieder herzustellen, kam es auf der unterversorgten westlichen „Insel“ zur Abschaltung von Millionen Industrie- und Haushaltskunden. Erst nach rund zwei Stunden konnten das fragile Spannungsgleichgewicht wiederhergestellt und alle Verbraucher ans Netz genommen werden.

Hochkomplexes Netzwerk

Dieser Vorfall zeigt, wie sensibel das Stromversorgungssystem ist: ein hochkomplexes Netzwerk aus Erzeugern, Verbrauchern, Netzbetreibern und Verteilstationen, die permanent dafür sorgen müssen, dass sich Angebot und Nachfrage die Waage halten und die Netzfrequenz konstant bei 50 Hz gehalten wird. Fehlende 400 kV Leitungen, welche die Spannung über Europa verteilen können, verschärfen die Situation.

Eine bindende Festlegung bzw eine Definition für einen nennenswerten Stromausfall in Österreich gibt es bis dato nicht. In Deutschland wurde ein Worst Case-Szenario vom Bundestag in der Drucksache 17/5672 definiert. Forscher der Johannes Kepler Universität Linz untersuchten die volkswirtschaftlichen Schäden eines signifikanten Stromausfalls. Bei der Annahme eines fünfstündigen Stromausfalls, der bspw in Wien um 8:00 Uhr beginnt, entsteht ein volkswirtschaftlicher Schaden von EUR 122 Mio.

Die Abhängigkeit unserer Gesellschaft von der kritischen Infrastruktur Strom rückte in den letzten Jahren vor allem durch die Einführung der Smart Meter in den Fokus der öffentlichen Wahrnehmung. Jede Informations- und Kommunikationstechnologie, auch die für den Einsatz von intelligenten Messgeräten (Smart-Meter), ist grundsätzlich verwundbar und angreifbar, wie nicht zuletzt im Mai 2017 der großflächige „WannaCry“ Cyberangriff gezeigt hat.

Verbesserung von NIS

Aufgrund der gestiegenen Vernetzung ist auch die Gefahr, Ziel krimineller Attacken zu werden, gestiegen. Bereits 2009 wurde ein Programm zum Schutz kritischer Informationsinfrastrukturen (CIIP) begonnen, in deren Mittelpunkt der Schutz Europas vor Cyberstörungen steht. Parallel zur Veröffentlichung der Europäischen Cybersicherheitsstrategie hat die Europäische Kommission Anfang 2013 einen Richtlinienentwurf vorgestellt. Ziel der vorgeschlagenen Richtlinie ist, die Netzwerk- und Informationssystemsicherheit (NIS) in der EU zu verbessern. Dazu sollen private Betreiber von Netzwerk- und Informationssystemen stärker in die Pflicht genommen werden.

Die entsprechende NIS-Directive wurde im August 2016 durch das Europäische Parlament beschlossen. Entsprechende nationale Cybersicherheitsgesetze müssen bis spätestens Mai 2018 in Kraft treten. Betroffen sind alle Betreiber kritischer Dienste, wie die Elektrizitätswirtschaft aber auch Finanzdienstleister, Gesundheits- und Wasserversorger, Transport-, Entsorgungs- und Lebensmittelversorgungsbetriebe und Infrastrukturbetreiber. Jeder dieser Betreiber wird zukünftig die Einhaltung von Mindeststandards im Bereich IKT-Sicherheit nachweisen müssen. Die Kontrolle obliegt der dafür berufenen NIS-Behörde. Auch die Meldung von Vorfällen und Störungen in Netzen kritischer Betreiber werden zukünftig wesentlich strenger geregelt.

Initiative der E-Wirtschaft

Die österreichische Elektrizitätswirtschaft hat bereits 2012 in Kooperation mit den zuständigen Behörden sowie der Energie-Control Austria eine Risikoanalyse gestartet. Fokus der Analyse war die Betrachtung der zur Sicherstellung der Versorgungssicherheit systemrelevanten IKT-Systeme und –Bereiche der Energiewirtschaft. Als Grundlage wurde der Worst Case-Fall herangezogen, die sogenannte „Großstörung“ oder Blackout. Der Gefahrenidentifikationsprozess der Risikoanalyse beruhte darauf, dass alle Kommunikationsbeziehungen technisch-organisatorischer Natur dargestellt und analysiert wurden. In Summe wurden 92 Risiken und daraus 19 Aggregationsrisiken identifiziert und dafür 78 Maßnahmenvorschläge ausgearbeitet.

Eine der Maßnahmen sieht etwa die Schaffung eines eigenen E-CERTs vor, welches bei der Früherkennung und auch bei der Behandlung und Abwehr von Cyberangriffen gegen die Elektrizitätsbranche tätig ist; dieses E-CERT wird betrieben von CERT.AT, dem österreichischen Computer Emergency Response Team, Ansprechpartner für IT-Sicherheit im nationalen Umfeld. Diese Initiative der Elektrizitätswirtschaft stellt einen wichtigen ersten Schritt zur Umsetzung der notwendigen Mindeststandards in dieser kritischen Branche dar, um gemäß der Vorgaben der NIS-Directive die Resilienz der Energiewirtschaft gegenüber IKT-Attacken und -Fehlern bei Stromerzeugern und Netzbetreibern zu erhöhen und somit die Wahrscheinlichkeit für das Szenario „Blackout“ durch Cyberangriffe zu minimieren. Weitere Branchen haben bereits begonnen, nach dem Vorbild der Elektrizitätswirtschaft analoge Branchen-Risikoanalysen durchzuführen mit dem Ziel, die kritischen Infrastrukturen Österreichs spätestens 2018 „cyberfit“ zu machen.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden