Aufgrund der aktuellen Berichte habe ich folgende Zuschrift erhalten, die einmal mehr aufzeigt, welches Gefahrenpontial in unserer Kritischen Infrastruktur lauert und vor allem nach einem möglichen Blackout erhebliche Folgekrisen auslösen wird.
Sehr geehrter Herr Saurugg,
ich verfolge seit einiger Zeit ihre Versuche eine Leserschaft für ein brennend heißes Thema wachzurütteln.
Zur Ergänzung Ihrer Beispiele möchte ich Ihnen ein selbst erlebtes Desaster aus dem Thema Stromversorgung erzählen:
Der Vorfall aus Sicht der Presse:
Der Vorfall aus interner Sicht:
Das Rechenzentrum ist mehrfach abgesichert. Softwaretechnisch zum Beispiel durch Staging-Konzepte, Vorgehensweisen STRENG nach ITIL, sehr hohe Qualitätskontrollen. Hardwaretechnisch auch durch redundante Notstromversorgung. Die Diesel werden auch in kurzen Abständen getestet und auf permanente Einsatzmöglichkeit bereit gehalten. Aufgrund der hohen Sicherheitsmaßnahmen hat natürlich nicht Kreti und Pleti Zugang zu den technischen Anlagen in einem Bunker vor dem Gebäude.
Als der Strom ausfiel sind natürlich die Batterien für die Pufferung zuständig gewesen und solche „Kleinschwankungen“ von geringer Zeit können sie auch überbrücken. Aber nach einiger Zeit, meiner Erinnerung nach hat man von etwa 10 Minuten gesprochen hat man gemerkt, dass der Notstromdiesel nicht angesprungen ist. Da zu diesem Zeitpunkt nur die Leitwarte mit etwa 10 Operatoren besetzt war, aber kein Hardwaretechniker vor Ort, der Zugang zum Diesel hatte (Sicherheit im Bunker) konnte man den Diesel auch nicht händisch starten.
Man hat versucht mit dem verbleibenden Batteriestrom die Platten-Subsysteme und die Rechner kontrolliert runterzufahren.
Aber es kommt, wie es kommen muss: Der Strom reicht nicht … Plattensubsysteme haben bei einem Stromausfall einen undefinierten Zustand und müssen durch den Techniker des Herstellers wieder angefahren werden.
Wir bewegen uns im Banken- und Landesbankenumfeld, eine einzelne falsche Buchung kann enormen Schaden anrichten.
Also wurde kurz nach dem ungeplanten Runterfahren der Rechner vom produktionsverantwortlichen Schichtleiter die „geplante Katastrophe“ ausgerufen. Die geplante Katastrophe ist ein festgelegtes Prozedere, bei dem alle relevanten Personen – koste es was es wolle – schnellstmöglich im Rechenzentrum zu sein haben. Und wenn es nicht anders geht werden sie mit Helikopter eingeflogen (wirklich!).
Der Ausfall betraf alle angeschlossenen Sparkassen, die gesamten Sparkassen-Geldautomaten und den regulären Bankbetrieb. Dass die Sparkassenmitarbeiter einige Stunden nach Haus geschickt werden ist verschmerzbar. In Deutschland bezahlen sie als Sparkassenkunde, der bei einer anderen Bank Geld behebt um die 5 Euro. Die Kunden, die nicht in der Lage sind bei der Hausbank zu beheben stellen dafür Regressionsansprüche. Dieses Prozedere zieht sich dann über Wochen und sie ersetzen als Institut in dubio mehr als dem tatsächlichen Ausfall entspricht.
Alles sehr lästig. Aber: Es verlässt kein Schiff den Hamburger Hafen. Bevor ein Schiff den Hafen in Hamburg verlässt wird über diese Infrastruktur kontrolliert, ob die Liegegebühren für das Schiff bezahlt sind. Wenn keine Kontrolle erfolgen kann kommt einer der größten Häfen Europas zum Erliegen.
Und was war schuld:
Ein einfaches Relais sollte bei einem totalen Spannungsausfall automatisch die Diesel starten. Dieses einfache Relais – der Schalter, der angeht wenn der Strom ausgeht – konnte natürlich nicht getestet werden (Geht ja nur, wenn man 3 armdicke Kabel vom Netz nimmt und das tut man in einem laufenden Betrieb nicht sooo oft). Und es erwies sich als die schwächste Stelle: Ein Bauteil für 10 Euro hat nicht korrekt geschaltet, weil es an einer Stelle im System sitzt deren Nichtfunktion kaum überprüft werden kann.
Ich hoffe Ihnen mit einem kleinen Fallbeispiel geholfen zu haben die Probleme kritischer Infrastruktur Dritten erklären zu können.
Kommentar
Ein hervorragendes Beispiel aus der Praxis, das keinen Einzelfall darstellt und aufzeigt, wie in komplexen Systemen kleine Ursachen, verheerende Folgen auslösen bzw. wo systemische Risiken zu strategischen Schocks („Schwarzen Schänen“) führen können. Einen ähnlichen Vorfall gab es etwa vor einem Jahr bei der Bahnsteuerung in Wien. Im Einzelfall sind solche Vorfälle verschmerzbar und fallen nicht weiter auf. Sollte es jedoch zu einem weitreichenden dominoartigen Infrastrukturausfall kommen, dann kumulieren diese Einzelereignisse – nicht linear, sondern exponentiell. Die tatsächlichen Auswirkungen sind nur schwer abschätzbar. Die einzige Chance, die wir dabei als Gesellschaft haben, sind entsprechende Rückfallebenen und Eigenvorsorgemaßnamen (Notration im Keller: Sind Sie wirklich krisenfest?) und die Einstellung und Gelassenheit, dass es einfach keine 100%ige Sicherheit gibt.
