Wie sich Wirtschaft und Gesellschaft auf massive Strom-, Infratruktur- und Versorgungsausfälle in Folge eines Blackouts vorbereiten können, erklären Experten im Talk.
it&t business: Herr Saurugg, was versteht man unter einem Blackout?
Herbert Saurugg: Wenn ich von einem Blackout spreche, spreche ich von einem plötzlichen, überregionalen – das heißt, weite Teile Europas betreffenden – länger andauernden Strom-, Infrastruktur- und vor allem Versorgungsausfall. Es geht hier um mehr als nur einen Stromausfall. Ein Blackout bedeutet einen weitreichenden Versorgungszusammenbruch.
In Österreich sollte es klappen, die Stromversorgung binnen eines Tages weitgehend wiederherzustellen. Auf europäische Ebene ist die Erwartung rund eine Woche, bis das System wieder steht. Das hat natürlich auch massive Auswirkungen auf unsere Versorgung in Österreich, besonders hinsichtlich der Logistik.
Und auch wenn der Strom wieder da ist, wird es wahrscheinlich noch Tage dauern, bis die ganze Informationstechnologie und Telekommunikation – Handy, Festnetz, Internet – wieder funktionieren. Ohne diese Basisinfrastruktur gibt es keine Produktion und keine Logistik.
Welche Auslöser könnte ein Blackout haben?
Saurugg: Das Grundproblem ist, dass die Notwendigkeit von Eingriffen in die Stromnetze seit Jahren stark steigt. Das hängt einerseits mit den erneuerbaren Energien zusammen, andererseits aber auch mit dem Marktdesign. Wir haben 2011 in Österreich 2 Mio. Euro für Engpassmanagement aufgewandt, 2018 waren es bereits 346 Mio. Euro. Es muss aktuell an rund 300 Tagen im Jahr eingegriffen werden, damit nichts passiert. Wenn nun ein zusätzliches Ereignis auftritt, wie etwa ein Extremwetterereignis oder auch ein Cyberangriff, bei dem Teile der Infrastruktur ausfallen, kann es schnell zur Überforderung kommen. Meine Einschätzung ist, dass wir binnen der kommenden fünf Jahre einen Blackout erleben werden.
Wer sind die Player, dass das nicht passiert?
Saurugg: Wir haben ein gesamteuropäisches Verbundsystem, das von Dänemark bis Portugal, von Griechenland bis Polen geht. Deshalb kommt es bei einem Blackout zu einem Systemcrash in weiten Teilen Europas und nicht nur in einzelnen Nationalstaaten.
Durch die Strommarktliberalisierung zur Jahrtausendwende wurde das systemische Herangehen zerschlagen, um günstigere Preise zu schaffen. Es gibt die Aufteilung zwischen Kraftwerksbetreibern, Netzbetreibern und dem Vertrieb. Jeder ist angehalten, mit dem anderen möglichst wenig zusammenzuarbeiten, damit keine Absprachen stattfinden. Somit fehlt die Gesamtsicht. Die Regulatoren, wie die E-Control in Österreich oder die ACER auf europäischer Ebene, haben primär die Regulation der Preise im Blick. Der Markt steht im Zentrum, Redundanzen und Reserven werden als totes Kapital gesehen. Dass das System heute überhaupt noch funktioniert, hängt auch damit zusammen, dass Vorgängergenerationen sehr viel in Reserven investiert haben. Diese Reserven sind heute leider großteils aufgebraucht.
Es sind also verschiedene Dinge, die hier zusammenspielen, um das Problem zu schaffen und wahrscheinlich zur Eskalation bringen werden. Niemand ist für das Gesamtbild verantwortlich. Das müsste auf europäischer Ebene geschehen. Zurzeit macht jedes Land seine eigene Energiepolitik.
Wie kann man sich einen Blackout konkret vorstellen? Wie können wir für mehr Resilienz in den Netzen sorgen?
Saurugg: Ich spreche hier lieber von Robustheit als von Resilienz. Natürlich leisten die Netzbetreiber hervorragende Arbeit, sonst wäre der Blackout schon längst passiert. Und es gibt auch laufende Erweiterungen, etwa Simulationen, die in Echtzeit durchgeführt werden, das war vor fünf Jahren technisch noch gar nicht möglich. Die Schere geht allerdings trotzdem auseinander, was man einerseits machen kann und wie die Probleme steigen.
Wir wissen von einem Vorfall im Jahr 2006, bei dem es im Rahmen einer geplanten Abschaltung einer Leitung in Norddeutschland nur 19 Sekunden gedauert hat, bis 10 Mio. Haushalte in Westeuropa ohne Strom waren. Man kann also davon ausgehen, dass bei einem Blackout innerhalb von Sekunden der Strom in weiten Teilen Europas weg ist und die kritische Infrastruktur ausfällt.
Auf welche Zeiträume muss man sich einstellen?
Saurugg: Im Best Case – Systemkollaps durch Überlastung ohne große Hardwareschäden – dauert der Stromausfall in Österreich etwa einen Tag. Wenn Hardwareschäden oder ein dezidierter Angriff – etwa ein Cyberangriff oder organisierter Terror – dazukommen, ist die Dauer je nach Schwere nach oben hin offen. Die Schweiz rechnet etwa damit, dass man über Wochen immer wieder Teilabschaltungen machen muss, wie wir es jetzt gerade auch in Kalifornien gesehen haben. Größere Teile des Netzes müssen abgeschaltet werden, was vor allem für die Logistik fast genauso schlimm ist, wie ein Totalausfall.
Frau Macho, was raten Sie Ihren Kunden?
Gerlinde Macho: Mit der zunehmenden Digitalisierung hängt alles von einer funktionierenden IT ab und diese ist wiederum auf eine sichere Stromversorgung angewiesen. Es gibt branchenspezifische Unterschiede. Wir sind stark im Gesundheitsbereich tätig, da ist es klar, dass hier Menschenleben am Funktionieren der Systeme hängen. Dort ist auch das Bewusstsein vorhanden. In anderen Branchen, die vielleicht nicht so stark von der IT abhängen, merken wir schon, dass das Risikobewusstsein teilweise fehlt und wir immer wieder auf die Thematik hinweisen müssen. Vorsorgemaßnahmen müssen bei der Chefetage ansetzen. Es muss die Frage geklärt werden, wer ist überhaupt gesamtverantwortlich?
Saurugg: Das Thema Stromausfall ist in der Gesundheitsbranche grundsätzlich auf dem Radar. Es gibt dort eine vorgeschriebene Notstromversorgung für zumindest 24 Stunden. Meiner Erfahrung nach ist es aber so, dass das in puncto Blackout-Vorsorge immer noch eine Themenverfehlung ist. Selbst Musterschülern, die mit 72 Stunden Notstromversorgung kalkulieren, muss man sagen: Das ist im Falle eines Blackouts das kleinste Problem. Es gilt da auch mitzubedenken: Wie kommt das Personal in die Arbeit? Wie lange bleibt das Personal? Wie schaut es mit der Versorgung etwa mit Lebensmitteln und Medizingütern aus? Man muss ganzheitlich auf die Risikolage zugehen und ganz klar eine Top-Down-Strategie verfolgen. Wenn die Verantwortung nicht von oben getragen wird, dann versucht jeder Teilbereich zwar das Beste zu machen, aber ein Gesamtkonzept fehlt.
Foto: EPS
Technik und Notfallpläne müssen regelmäßig getestet werden
Machen wir uns zu abhängig von der Technik?
Saurugg: In Österreich haben wir eine sehr hohe Versorgungssicherheit und gehen daher meiner Meinung nach sehr leichtfertig mit der Thematik um. Wir haben keine Erfahrungswerte, wie lange es dauert, die Systeme nach einem Ausfall wieder hochzufahren, bis der Warenverkehr und die Telekommunikation wieder funktionieren.
Das geordnete Herunterfahren muss auch vorbereitet und geübt worden sein, sonst geht es ziemlich sicher in die Hose. Meine Erfahrung ist, dass gerade der IT-Bereich es meidet wie der Teufel das Weihwasser, solche Szenarien auf Herz und Nieren zu testen. Es gibt zwar teilweise Redundanzen, aber das Prinzip „Never touch a running system“ ist stark im Denken verankert. Ob alles so funktioniert wie es soll, zeigt sich leider nur bei Tests unter realen Bedingungen.
Was können Unternehmen konkret tun, um sich vor einem Blackout zu schützen?
Stefanie Gutleder: Eine entsprechende Strategie muss top-down geplant werden. Es muss jemanden geben, der entsprechende Prozesse beauftragt, der auch dahintersteht und davon überzeugt ist, dass Prävention wichtig ist. In der Praxis sehen wir leider sehr oft, dass erst etwas passieren muss, bevor die Chefetage Budget locker macht. Leider muss die Relevanz entsprechender Sicherungssysteme oft erst am „eigenen Leib“ erfahren werden, damit auch der CEO sagt: „Das ist es mir wert“.
Peter Reisinger: Grundsätzlich ist es extrem wichtig, dass bei der Auswahl von Stromversorgungskomponenten bzw. betriebskritischen Systemkomponenten auf eine besonders hohe Qualität wert gelegt wird. Hohe Qualität auch dahingehend, dass Ersatzteile verfügbar sind. Das ist keineswegs bei allen Herstellern der Fall. Ein wichtiger Punkt ist auch das Vorhalten von Ersatzteilen vor Ort. Gerade bei einem Blackout mit mehrwöchigen Ausfällen kommt es natürlich schnell zu Lieferengpässen.
Ich empfehle auch, Systeme redundant auszuführen. Eine einzige USV-Anlage oder ein Dieselaggregat ist ein Single Point of Failure. Wenn ich verlässliche Verfügbarkeit haben will, muss ich das gesamte System redundant und am besten physikalisch getrennt ausführen.
Die Verfügbarkeit der betriebskritischen Systemelemente verlangt auch eine Betrachtung der organisatorischen Struktur. Dazu zählt der Abschluss von Wartungsverträgen. Es ist zentral, dass die Systemkomponenten permanent gewartet werden. In der Praxis sieht es leider oft so aus, dass ein Gerät im Keller steht, aber getestet wird es nicht. Wir empfehlen unseren Kunden jährliche Blackout-Tests, bei dem ein plötzlicher und vollständiger Ausfall simuliert wird, etwa durch Unterbrechung der Zuleitung zum Haus. Da zeigt sich meistens sehr schnell, ob jeder weiß, was im Falle des Falls zu tun ist.
Hat die Corona-Krise zu mehr Risikobewusstsein geführt?
Christoph Kitzler: Aus unserer Sicht nicht. Eher das Gegenteil ist der Fall: Es hat eh alles funktioniert. Die Lieferketten haben ja großteils funktioniert. Grundsätzlich muss man sagen, dass es leider kein Patentrezept gibt. Wir gehen bei jedem Projekt ganz individuell auf den jeweiligen Betrieb ein. Was braucht das Unternehmen unbedingt zum Leben, was ist nur „nice to have“? Da geht es nicht nur um eine gesicherte Stromversorgung, sondern da spielen eine ganze Menge Faktoren mit, etwa öffentliche Verkehrswege von Mitarbeitern, Verpflegung, wenn Mitarbeiter nicht nach Hause können, Medikamente, Treibstoffvorräte. Das ist alles in der Risikoanalyse mit zu bedenken. Nur so kann ich ein sinnvolles Gesamtkonzept erarbeiten.
Festzuhalten ist, dass sich niemand zu 100 Prozent auf einen Blackout vorbereiten kann. Das ist eine Illusion. Aber mit der 80/20-Regel fährt man ganz gut: Ich kann zu 80 Prozent gut vorsorgen mit vertretbaren Kosten, die letzten 20 Prozent Sicherheit kann ich entweder gar nicht oder nur mit viel Aufwand und Kosten schaffen. Es geht da immer auch um eine gewisse Verhältnismäßigkeit. Wichtig ist, dass man eine gewisse Grundbasis schafft, das gehört dann geübt, getestet und in ein Notfallhandbuch geschrieben, damit das nicht nur die fünf Leute, die das erarbeitet haben, wissen, sondern auch wirklich der ganze Betrieb weiß, was zu tun ist, wenn etwas passiert.
Ein Thema, das oft vergessen wird, ist, was mache ich, wenn der Strom zurückkommt? Was starten wir? In welcher Reihenfolge? Ab wann ist die IT wieder so verfügbar, dass ich Datenverlust oder Konsistenzprobleme ausschließen kann? Wer kümmert sich darum, dass die Daten, die während des Ausfalls produziert worden sind, den Weg ins System finden? Das alles gehört auch in den Notfallplan.
Macho: Man darf auch den organisatorischen Bereich nicht vergessen. Wichtig ist, dass es klare Zuständigkeiten und Verantwortungsbereiche gibt. Und eine Gesamtverantwortung, so etwas wie einen Krisenstab, damit sich jeder auskennt. Oft gibt es zwar digital abgelegt recht gute Dokumentation und Vorgehensweisen, die theoretisch recht gut funktionieren, wenn man sie aber in der Praxis anschaut, weiß nur ein kleiner Teil der Belegschaft wirklich Bescheid. Auch sehen wir häufig, dass die Unterlagen nur digital vorhanden sind, was im Falle eines lang andauernden Stromausfalls natürlich fatal ist.
Die GfKV hilft Menschen und Organisation, sich besser auf Krisen vorzubereiten. Die überparteiliche Plattform versteht sich als Ergänzung zum bestehenden Zivil- und Katastrophenschutz und will Gemeinden unterstützen, robuste kommunale Infrastrukturen zu schaffen und die Resilienz der Bürger zu verbessern. Die Unternehmen EPS und MP2 IT-Solutions sind Mitglieder der Plattform.
