Herr Berens, wir haben uns verabredet, um über den Blackout in Spanien und Portugal zu sprechen, der sich am Montag ereignet hat. Sie sind mit Ihrem Hintergrund und der Tätigkeit beim Bundesverband für den Schutz Kritischer Infrastrukturen (BSKI) eine der besten Ansprechpersonen, da Energie schließlich einer der KRITIS-Sektoren ist. Wie kann es denn passieren, dass ein gesamter KRITIS-Sektor so plötzlich und so flächendeckend über längere Zeit ausfällt?

Eine gute Frage. Die Ursache für den Stromausfall in Spanien, Portugal, teilweise Andorra und Frankreich kennen wir noch nicht: Es kann ein Cyberangriff sein, es könnte Sabotage sein oder schlichtweg eine Überlastung des Netzes sein. Man hört teilweise sogar, dass ein Waldbrand den Schaden verursacht haben sollte – verifiziert wurde das aber von öffentlichen Stellen nicht. Durch all diese Bedrohungsszenarien – Cyber, Sabotage, Überlastung und so weiter – kann schlussendlich ein Blackout herbeigeführt werden.

Man muss nun vor allem festhalten, dass das, was wir in Spanien und Portugal gesehen haben, tatsächlich der Definition eines Blackouts entspricht: Von einem Blackout sprechen wir, wenn mindestens landesweit bzw. länderübergreifend für einen längeren Zeitraum der Strom ausfällt. Alles andere sind Brownouts, also kurzfristige Ausfälle. Nur beim Blackout haben wir einen Kaskadeneffekt, der sich über die Ländergrenzen hinweg auf die Energieversorgung auswirkt.

Könnte eine Situation wie in Spanien und Portugal auch in Deutschland eintreten?

Aus meiner Sicht kann ein Blackout immer passieren und wir müssen in Bezug auf solche Szenarien daher präventiv denken. Das bedeutet, wir sollten die Möglichkeiten und denkbaren Bedrohungen in Bezug auf die Stromversorgung in den Blick nehmen. Was wir aber neben dem präventiven Denken noch dringender benötigen, ist ein reaktives System: Wir müssen, wenn es zu einem Blackout kommt, der nie hundertprozentig ausgeschlossen ist, so schnell wie möglich wieder zurück in die Versorgung gelangen.

Das Augenmerk sollte auf dem reaktiven Business Continuity Management, der Geschäftsfortführung, liegen. Dazu gehört, dass alle Netzbetreiber, Stadtwerke, Energieversorger deutlich wissen, welche kritischen Prozesse in den jeweiligen Organisationen vorliegen, was im Ernstfall in Bezug auf diese geschehen könnte und welche Maßnahmen zu deren Wiederherstellung vorhanden sind.

Ich denke da vor allem an die Implementation von Redundanzen, mit denen wir in Deutschland relativ gut ausgestattet sind. Die Bundesnetzagentur hat dazu mitgeteilt, dass eine Situation wie in Spanien und Portugal in Deutschland nicht passieren könnte – dieser Aussage stimme ich allerdings nicht ganz zu.

Was ist Ihre persönliche Einschätzung zu dem Blackout von Spanien und Portugal?

Was mir der Fall von Spanien und Portugal gezeigt hat, ist, wie abhängig wir Menschen vom Strom sind. Die Geschehnisse von Montag sind ein deutlicher Beweis dafür, dass ohne Elektrizität und ohne Strom nichts mehr funktioniert, gar nichts mehr. Wir können nicht mehr tanken, wir haben keine Kommunikation, keine Notrufmöglichkeiten. Zuhause ist es kalt, wir können nicht ins Internet. Da darf jeder Einzelne einmal überlegen, wofür er Strom braucht, und man wird feststellen, dass wirklich alles stromabhängig ist.

Ich finde es stark, innerhalb einer relativ kurzen Zeit zumindest 99 Prozent der Stromversorgung wieder ins Laufen zu bringen. Das zeigt, dass Spanien und Portugal sich bereits mit dem Thema Blackout auseinandergesetzt haben und gut vorbereitete Maßnahmen zur Hand hatten, um möglichst schnell wieder zurück in die Versorgungssituation zu gelangen. Sie waren sehr resilient.

Es wird trotz all der Unwissenheit zu den Ursachen vermutet, dass der Blackout von Spanien und Portugal nicht Auswirkung einer Cyberattacke war. Dennoch muss man sich bei der aktuellen geopolitischen Lage Gedanken über Ziele und Methoden hybrider Kriegsführung machen. Warum stellt ein Blackout ein hybrides Kriegsziel dar?

Wir haben so etwas eigentlich schon im Jahr 2015 gesehen: der erste russische Cyberangriff auf die Ukraine, der tatsächlich die ukrainische Stromversorgung als Ziel hatte.

Es ist sicher: Der Strom wird in einem hybriden Kriegsszenario immer Angriffsziel sein, denn davon hängt am Ende alles ab.

Man kriegt keinen Düsenjäger in die Luft, keine Flakgeschütze in den Einsatz und man könnte sie nicht steuern. Außerdem hätte man keine Künstliche Intelligenz (KI) im Hintergrund, die die Drohnenabwehr steuern könnte – denn alles ist, ich wiederhole mich, stromabhängig und damit ein riesiges Problem. Mit einem Blackout destabilisiert man zudem die Bevölkerung – nach einem bis zwei Tagen kommt es zu Plünderungen, zu Chaos und weiteren Unruhen.

Im Kriegsfall könnte auch aktiver Beschuss durch Drohnen die Energieinfrastruktur treffen und so zu einem langfristigen Ausfall der Versorgung führen. Wie unterscheidet sich Ihrer Meinung nach die Bedrohungslage durch einen solchen physischen Angriff von einem Cyberangriff?

Alle Steuerungsanlagen sind heutzutage computergestützt und werden über Software gesteuert – Cyberbedrohungen im Bereich der Energieversorgung sind also auf jeden Fall ein wichtiges Thema in einer allgemeinen Bedrohungssituation. Die meisten Energieversorger können aber auch noch analog schalten, sodass in der Regel auch bei einem Cyberangriff noch die Stromversorgung aufrechterhalten werden könnte. Noch gibt es dieses Wissen.

Ich sehe im Bereich Energieversorgung nicht so sehr die Cyberbedrohung, sondern vielmehr die physische Bedrohung: Sabotage, Vandalismus und weiteres haben deutlich größere Auswirkungen als informationstechnische Bedrohungen. Ein Beispiel: Was nützt denn noch die Möglichkeit zur händischen Schaltung des Energiewerks, wenn das Umspannwerk zerstört oder sabotiert wurde? Das sind Szenarien, die mir Sorge bereiten. Letztlich ist die Ursache aber fast egal – die Folge ist dieselbe: kein Strom.

Wie kann sich ein Land wie Deutschland denn aktiv gegen Cyberbedrohungen gegenüber Kritischer Infrastruktur wie der Stromversorgung schützen?

Besonders wichtig ist das Wissen der Spezialisten in den Versorgungsunternehmen. Das alte Wissen, wie man händisch umschaltet, wo Redundanzen liegen, wie die Ringversorgung funktioniert – dieses Wissen müssen wir halten. Leider gehen diese Experten langsam in Rente.

Vor 50 Jahren hatte niemand an Software oder KI gedacht, trotzdem hatten wir regelmäßig Strom, weil händisch geschaltet wurde. Ähnlich bei Weichenstellungen der Bahn – früher ging das mit Hebeln, heute per Software. Wenn der Strom weg ist, kann man auch keine Weichen mehr stellen. Man braucht das Wissen, wie es früher ging, und teilweise auch noch die entsprechende Technik.

Der BSKI setzt sich für die Vertretung von Interessen aus dem Bereich Kritischer Infrastruktur ein. Wie werden Ihre Empfehlungen denn politisch aufgenommen?

Die Sensibilisierung für den notwendigen Schutz von Kritischer Infrastruktur ist bei den Unternehmen angekommen. Ob dies bei den Politikern der Fall ist, bezweifle ich noch ein wenig, vor allem mit Blick auf den neuen Koalitionsvertrag. Es gibt darin das Thema Sicherheit, verpackt in den Nationalen Sicherheitsrat, aber wo bleibt die Unterstützung, der Blick auf die Resilienz, die finanzielle Förderung für die entsprechenden Unternehmen? Sicherheit kostet Geld und muss nicht nur geplant, sondern umgesetzt werden.

Im Koalitionsvertrag fehlen meiner Ansicht nach Fachwissen und folglich konkrete Maßnahmen zur verbindlichen Absicherung der Energie-, Gesundheits- und Kommunikationssysteme. Es wird von KI und Überwachungstechnologien gesprochen, aber das hat wenig mit der notwendigen Prävention und Absicherung in der Praxis zu tun.

Was ist mit den mittelständischen KRITIS-Betreibern? Nach den aktuellen Schwellenwerten fällt man ab etwa 500.000 Einwohnern unter die Resilienzrichtlinie, beziehungsweise das KRITIS-Dachgesetz, sobald dieses endlich in nationales Gesetz verpackt sein wird. Aber was ist mit den kleineren Versorgern, die 300.000 oder 400.000 Einwohner versorgen? Sie liegen unter dem Schwellenwert, aber sind die deshalb etwa nicht schützenswert?

In den verschiedensten Bereichen gibt es Übungen für den Ernstfall, sei es militärisch oder zivil. Gibt es denn vergleichbare Modelle und praktische Übungen für den Fall eines Angriffs auf kritische Infrastruktur wie die Energieversorgung?

Die Modelle für Übungen gibt es – von Table-Top-Übungen bis zu tatsächlichen Szenarien. Aber sie kosten Geld und erfordern die Beteiligung aller Stakeholder: Stadtwerke, Behörden und Organisationen mit Sicherheitsaufgaben, kommunaler Krisenstab, unter Umständen auch die Bundeswehr.

Im großen Rahmen funktioniert das, sei es bei LÜKEX (Länderübergreifende Krisenmanagement-Übung/Exercise) oder NATO-Übungen. Aber kleinteilig und flächendeckend ist es schwierig. Die großen Infrastrukturbetreiber wie E.ON führen Krisenstabsübungen und Simulationen durch, aber in mittelständischen Unternehmen fehlen oft Zeit und Geld. Ich weiß aber zum Beispiel von einem kleinen Stadtwerk, das gerade über ein langes Wochenende einen Stromausfall simulieren wird, um die Auswirkungen auf die Stadt zu prüfen.

Wenn wir eine Utopie zeichnen würden: Wie sähe ein ideales Vorgehen beim Schutz kritischer Infrastrukturen aus?

Zentralisiert gesteuert – nicht unzählige Behörden, die irgendwie involviert sind. Eine strikte Strategie und Vorgaben, an die man sich halten muss, ohne Auslegungsmöglichkeiten. Das ist vor allem eine Utopie wegen unseres föderalen Systems. In der Bundesrepublik sind für Gefahren die Länder zuständig, im Kriegs- oder Krisenfall dann wieder der Bund. Das ist doch viel zu kompliziert, wir brauchen etwas einfacheres.

Ich wünsche mir einen verbindlichen Krisen- und Notfallplan Deutschland. Wenn ich für einen weltweit tätigen Konzern mit Milliardenumsatz einen Krisen- und Notfallplan aufsetzen kann, warum nicht auch für einen Staat?

Was wir auch nicht vergessen dürfen, ist die Bevölkerung. Vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gibt es Checklisten, wie viele Lebensmittel man vorhalten sollte, was man an Wasser, Batterien etc. braucht. Wir müssen uns auch selbst resilient aufstellen. Aber kaum jemand macht das, und die meisten wissen nicht einmal, dass es das BBK gibt.

Wie könnte man diesem Mangel an Informationen und Wissen entgegenwirken?

Wir brauchen Social-Media-Kampagnen zur Vorbereitung der Bevölkerung, ohne Kriegsangst zu schüren. Das fehlt seitens der Bundesregierung. Sie gibt viel Geld für andere Dinge aus, aber eine vernünftige TikTok-Kampagne beispielsweise fehlt. BSI, BBK, Bundeswehr – all diese Institutionen müssen an die Menschen ran und ihnen in kleinen, verdaulichen Häppchen erklären, worum es geht.

Vielen Dank für das Gespräch, Herr Berens!