Österreichische Leittechnikstörung 2013

Die Leittechnikstörung im österreichischen Übertragungs- und Verteilernetz vom 02.05.-07.05.2013 ist kaum öffentlich bekannt. Sie bietet jedoch einige wichtige Erkenntnisse, die auch für andere aktuelle Betrachtungen und Akteure wichtig sind. Sie ist auch ein Musterbeispiel für ein systemisches Risiko, dass auch zu einem strategischen Schock führen hätte können. Daher haben wir (Herbert Saurugg und Franz Hein) unsere Erkenntnisse hier zusammengefasst. Ganz im Sinne von: „Von anderen lernen“ (siehe auch Das Unerwartete managen).Wir waren damals mehr oder weniger zufällig voneinander unabhängig involviert.

Die Kommentare von Franz Hein sind in blau gehalten. Seine Kommentare rühren von seiner 19-jährigen Erfahrung (1973 – 1992) mit der Erstellung und dem Betrieb der Prozessleittechnik in der ehemaligen Lastverteilung und Schaltleitung der Energie-Versorgung Schwaben in Wendlingen her, eine der Leitzentralen des europäischen Stromverbundes, jetzt Koordinierungsstelle des Netzregelverbundes in Mitteleuropa.

Ausgangslage und offizieller Bericht von Oesterreichs Energie

Die zentrale Netzbetriebsführung der Übertragungs- und Verteilernetze erfordert für die Datenanbindung der Hochspannungsanlagen an die zentralen Netzführungssysteme der einzelnen Betreibergesellschaften ein weit verzweigtes Leittechniknetzwerk. Dieses Leittechniknetzwerk ist auch mit Leittechniknetzwerken der Kraftwerke verbunden.

Künftig muss von einem umfassend ausgebauten Energieinformationsnetz ausgegangen werden, das sämtliche Netzebenen im Strom- und im Gasnetz wie auch Leittechniken der übrigen Marktbeteiligten und sogar auch lokale Leittechniken bei den Energienutzern einbezieht. Störungen wie diese, könnten sich damit im schlimmsten Fall europaweit ausdehnen und das gesamte Energieversorgungssystem lahmlegen. Die eigentliche Ursache ist die Zulässigkeit von Befehlen bzw. Meldungen „an alle“. Mit einer damit erreichten automatischen Vervielfachung ggf. kombiniert mit fehlerhaften Reaktionen bei empfangenden Leittechnik-Komponenten wird eine Art von Selbstbeschäftigung des Energieinformationsnetzes bewirkt, das dann keine Nutzdaten mehr übertragen kann.

Am 2. Mai 2013 trat eine Störung des Leittechniknetzwerkes bei einzelnen Verteilernetz- und Kraftwerksbetreibern auf. Als Störungsauswirkung wurden Einschränkungen und teilweise Ausfälle von Datenübertragungen festgestellt.

Als Störungsauslöser wird ein Zählerabfrage-Telegramm im süddeutschen Raum vermutet. Dieses wurde wahrscheinlich im Rahmen einer Inbetriebnahme bei einem Gasnetzbetreiber durch einen Techniker in ein fremdes Netzwerk eingebracht und über Datennetze nach Österreich übermittelt. Eine gesicherte Analyse der Störungsquelle ist auf Grund der erheblichen Datenmengen und Datenüberläufen nicht möglich.

Weder Fehler in Einrichtungen noch Fehler, verursacht durch Menschen (unbeabsichtigte, aber auch bei kriminellen oder terroristischen beabsichtigte Handlungen) können verboten oder ausgeschlossen werden. Die Vermeidung solcher Vorgänge erfordert das generelle Weglassen der Befehle und Meldungen „an alle“ als inhärente Sicherheit. Werden nur Einzelbefehle an einzeln adressierte Empfänger vorgesehen, dann kann bei jeder Einrichtung eine solche Weiterung wie bei dem beschriebenen Vorgang ausgeschlossen werden. Wenn durch Fehler trotzdem solche unzulässigen Informationsströme entstehen, würden sie sich „totlaufen“, weil dann davon auszugehen ist, dass kein „Common Failure“ vorliegen kann. Das dann noch verbleibende Problem ist eine Fehlervervielfachung durch gleichartige Komponenten, bei denen trotz Tests ein solcher Fehler nicht entdeckt wird.

Über Verbindungen zum Austausch von Betriebsdaten wurden die Telegramme an die Systeme der Stromnetzbetreiber und Kraftwerksbetreiber übermittelt. „KreisläuferTelegramme“ führten zur Überlastung von Leittechnikkomponenten und führten in Folge in einzelnen Unternehmen zur Beeinträchtigungen bei der Erfassung von Zähl-, Mess- und Schalterstellungsdaten. Die aktuelle Firmware des Geräteherstellers bot bei einigen Unternehmen keinen ausreichenden Schutz.

Die ausgezeichnete Zusammenarbeit zwischen den Unternehmen war Grundlage dafür, dass die Störung rasch in den Griff bekommen werden konnte. Die Stromnetzversorgung war zwar in keiner Phase der Störung gefährdet, allerdings konnte die Netzregelung nur unter hohem Aufwand und Regelungenauigkeiten sichergestellt werden. Durch Trennen der Datennetze konnte die Datennetzstabilität umgehend wieder hergestellt werden.

Die Störung der Netzregelung war eine sehr schwerwiegende Störung. Dass es zu keiner großflächigen Störung des Energieversorgungssystemes kam, ist der raschen und überlegten Reaktion zu verdanken. In einem Energieinformationsnetz müssen offenbar ähnliche Mechanismen zum Tragen kommen, die z. B. im Stromnetz die automatische Lokalisierung von Störungen bewirken, die dann durch Kurzunterbrechung oder vollständigem Herauslösen der weiterhin betroffenen Komponenten zu einem nicht mehr störungsbehafteten Netz führen.

Die Darstellung der Situation stellt natürlich einen Rückblick dar – wo nichts passiert ist. Die Situation/Lage war zum Zeitpunkt der Störung bei weitem nicht so klar. Eine solche Störungen hätte wahrscheinlich unter den heutigen (2015) Rahmenbedingungen (siehe Auswertung Redispatching & Intradaystops) verheerend geendet. Daher kann man durchaus auch von Glück sprechen, dass dieser Vorfall bereits 2013 passiert ist (siehe auch Was wir aus der Atomkatastrophe von Fukushima lernen sollten).

Die Umstellung auf den gesicherten Normalbetrieb erfolgte nach der Erstellung einer neuen Firmware durch den Gerätehersteller dank dem engagierten Einsatz und der fachlichen Kompetenz der Leittechniker sehr rasch.

Ein solcher Update der Firmware ist allerdings ähnlich problematisch wie Befehle „an alle“, da innerhalb sehr kurzer Zeit von Zentralen aus viele neue Quellen an Zielsysteme versandt werden und dort quasi gleichzeitig zu Reaktionen führen (siehe etwa auch aktuell Hacker schalten bei Jeep per Funk die Bremsen ab). Das Umschalten auf die neue Firmware muss ggf. lokal so zeitlich „verschmiert“ werden, dass insgesamt doch wieder ein stochastisches Vorgehen gesichert ist. Zudem muss die neue Firmware sicher genug sein, bevor damit der Betrieb fortgesetzt wird. Eine „Undo“-Funktion wird vermutlich hilfreich sein.

Die organisatorischen Verbesserungen und die Zusatzmaßnahmen zum Schutz der Datennetze vor einem ähnlichen Ereignis werden weiter ausgearbeitet und in den nächsten Wochen zur Anwendung gebracht.

Eine Wiederholung dieser Störung mit gleichem Störungsursprung kann damit ausgeschlossen werden.

Das allerdings ist nur eine Hoffnung. Unbekannte Fehler werden immer wieder einmal zu unliebsamen Überraschungen führen. Wichtig sind deshalb Überlegungen, wie ein Energieinformationsnetz inhärent sicher gestaltet und betrieben werden kann. Deshalb müssen bereits bei der Normung Befehle und überhaupt Reaktionen „an alle“ wirksam ausgeschlossen werden. Es müssen allerdings auch die in Gesetzen und Verordnungen, die eine Fernsteuerung vorsehen oder verlangen, umgeändert werden. Fernsteuerungen müssen in Prozessführungen überführt werden, bei denen lokal und da immer nur stochastisch auf Führungsvorgaben reagiert wird. Eine zu große Gleichzeitigkeit darf es im Netz nicht geben. Meine Kommentare rühren von einer 19-jährigen Erfahrung mit der Erstellung und dem Betrieb der Prozessleittechnik in der ehemaligen Lastverteilung und Schaltleitung der Energie-Versorgung Schwaben in Wendlingen her, eine der Leitzentralen des europäischen Stromverbundes, jetzt Koordinierungsstelle des Netzregelverbundes in Mitteleuropa.

Die Sicht der Presse

Wie aus dem Nichts prasselte eine Flut von Messdaten aus dem Süden des Landes auf die Steuerungszentralen des Übertragungsnetzbetreibers APG ein. Nun war Panik angesagt. Denn Aufgabe des Unternehmens ist es, dafür zu sorgen, dass das sensible Gleichgewicht im Stromnetz erhalten bleibt. Und das ist schwierig, wenn aus einzelnen Bundesländern so viel Datenmüll kommt, dass die APG ihren direkten Draht zu den lokalen Stromnetzbetreibern verliert.

Dieser Satz in der Pressemeldung ist leider totaler Unsinn, denn die eigentliche Schwierigkeit war, dass keinerlei Nutzdaten mehr die Leitzentrale der APG erreichten. Durch die Leittechnikstörung war die Beobachtbarkeit des Netzes unterbunden.

Die übliche Ausbalancierung der Netze per Mausklick war nicht mehr möglich. Stattdessen liefen – wie vor Jahrzehnten – die Telefone heiß. Der Verbund schickte Nottrupps zu den Donaukraftwerken, um die Schleusen im Fall der Fälle händisch bedienen zu können. Auch in Kärnten wurden Mannschaften zu Umspannwerken und Kraftwerken beordert. Niemand wusste, woher das Problem kam und wie weite Kreise es noch ziehen sollte.

Dieser Satz in der Pressemeldung ist zwar richtig, denn es konnten auch von der Leitzentrale nach außen keine Nutzinformationen übertragen werden. Die Selbstbeschäftigung in der Leittechnik hat die Zentralen von ihren Unterstellen und die Unterstellen von ihren Leitzentralen informationstechnisch getrennt, obwohl ein ständiger Datenverkehr erfolgte – aber eben keine Nutzdaten, sondern nur Befehl an alle und Rückmeldung an alle.

Quelle: Die Presse vom 07.05.13, Stromnetz außer Kontrolle

Ursache des Störungsfalles war ein Telegramm „an alle“

Hauptursache für diesen Störungsfall war, dass ein (normkonformes) Telegramm mit Zieladressierung 255 versendet wurde. Zieladressierung 255 bedeutet „Telegramm an alle“. Ein Telegramm „an alle“ ist entweder ein Befehl an alle oder eine Rückmeldung an alle. Die Verteilung dieser Telegramme passiert in den Systemen per Routing, also automatisch. Das führte in diesem Falle wegen der Reaktion bei den empfangenden Einrichtungen zu einer automatischen Ausbreitung, damit zu einer Art von „Selbstbeschäftigung“ des Informationssystems, das dann keine Nutzdaten mehr transportieren konnte. Dies ist in der Wirkung wie ein Ausfall der betroffenen Informationssysteme.

Netzregelung baut auf ein rein stochastisches Systemverhalten auf

Von Zentralen an viele Empfänger gegebene Befehle führen zu einer Gleichzeitigkeit von Reaktionen, die zu einem Informations-GAU und damit in der Folge zu einem Ausfall von Netzwerken führen können, die auf das stochastische Verhalten beteiligter Komponenten aufbauen. Im europäischen Stromnetz ist dies eine der Grundvoraussetzungen der Funktionsweise der Netzregelung. Unvermeidliche Abweichungen des Gleichgewichts zwischen einspeisender Energie und genutzter Energie (bei Energienutzern benötigte oder zum Bevorraten in Energiespeicher verwendete Energie) führen zur Veränderung des Energieinhalts der als Kurzzeitspeicher fungierenden rotierenden Massen der Synchrongeneratoren. Deren Umdrehungszahl ist immer synchron mit der Frequenz. Damit zeigt die im gesamten Netz messbare Frequenz überall den momentanen Stand des Leistungsgleichgewichts an (Frequenzschwebungen vernachlässigt. Diese werden durch die Verluste in den zwischen den Standorten der Synchrongeneratoren befindlichen Netzkomponenten in jedem Falle gedämpft). Die Einrichtungen zur Primärregelung verändern die Einspeisung (bzw. künftig auch über Lastmanagement die Entnahme) von Energie aufgrund der gemessenen Frequenz, um bei eingetretenen Abweichungen der Frequenz vom Sollwert einen neuen Gleichgewichtszustand wieder herzustellen. Die Summe des Energieinhalts aller am Netz befindlichen und damit mit der aktuellen Netzfrequenz synchron drehenden Synchrongeneratoren ist wie ein physikalisch wirkender Energiepuffer anzusehen. Die Änderungsgeschwindigkeit der Frequenz ist eine Funktion des Verhältnisses auftretende Leistungsabweichungen zum Inhalt dieses inhärent vorhandenen und rein physikalisch reagierenden Energiepuffers. Bei plötzlichen und großen, gleichzeitig auftretenden Leistungsabweichungen (z. B. durch einen großflächigen Ausfall von Erzeugungseinheiten, durch plötzliche Wiederkehr von Photovoltaik- oder Windeinspeisungen wie auch gleichzeitigen Laständerungen) kann sich in Zukunft die Frequenz sehr rasch ändern, wenn der inhärent in den drehenden Synchrongeneratoren vorhandene Energiepuffer zu gering ist. Ohne einen im Verhältnis zur Gesamtlast im Netz genügend großen Energiepuffer kann die Wirksamkeit der Netzregelung nicht garantiert werden. Es muss genügend Zeit zum Erkennen einer aufgetretenen Abweichung verbleiben. Wenn dann die Primärregelung nicht mehr rasch genug reagieren kann, ist ein Totalausfall des Netzes die Folge. Alle sonstigen, die Netzregelung unterstützenden Maßnahmen, auch mittels Lastmanagement, brauchen das beschriebene Verhalten der Frequenzverläufe.

Erstes Resümee:

Es darf keine Befehle bzw. Rückmeldungen „an alle“ geben, weil damit eine Gleichzeitigkeit von Reaktionen unvermeidlich ist.

Zweites Resümee:

Der inhärent in den drehenden Synchrongeneratoren vorhandene Energiepuffer muss jederzeit groß genug sein, um das rechtzeitige Eingreifen der Primärregelung gewährleisten zu können.

Weitere Anmerkungen zur Störungsnachbearbeitung durch Österreichs Energie

Die Nachbearbeitung des Ereignisses wurde am 22.05.2013 bei Österreichs Energie zwischen allen Netzpartnern (Netzbetreibern und Erzeuger) gestartet. Dabei wurden sowohl die organisatorischen Vorgänge als auch die technische Störungsbearbeitung ausführlich abgearbeitet und folgende erste Ergebnisse erzielt (diese werden nachfolgend kommentiert):

  • Das Austrian Awareness System (AAS) soll um ein Szenario „Fernwirkstörung“ erweitert werden. Die Arbeitsgruppe zum AAS wird sich der Anpassung annehmen.

Über ENTSO-E und ENTSO-G sollte dies festgelegt werden und damit im Strom- und im Gasnetz überall, nicht nur innerhalb Österreichs erfolgen

  • Kraftwerksbetreiber werden von ihrem Anschlussnetzbetreiber über überregionale Störungen informiert.

Über ENTSO-E und ENTSO-G sollten besonders auch für überregionale Störungen (aber nicht nur für solche) einheitliche Vorgehensweisen innerhalb eines Krisenmanagements definiert werden. Dazu gehören dann auch die einheitliche Bildung und Benennung von Störungsmeldungen sowie deren automatische Verbreitung. Diese automatische Verbreitung muss zwar eine zeitnahe Informationsweitergabe sichern, aber einen stochastischen Charakter haben (siehe das erste Resümee aus dem Störungsfall)

  • Bereits aktiviertes Krisenmanagement in den einzelnen Unternehmen soll den Netzpartnern mittels Automatiken anzeigt werden.

Beginn und Ende eines aktivierten Krisenmanagements muss zumindest in den Leitstellen der Marktbeteiligten deutlich sichtbar sein und bei den zu treffenden Maßnahmen beachtet werden. Voraussichtlich wird es notwendig, die Energienutzer und künftig deren automatisch reagierenden Energieassistenzsysteme (die noch erstellt und eingebaut werden müssen!) in das Krisenmanagement einzubeziehen, damit die Reaktionen dort so erfolgen können, dass dies Bewältigung einer Krise unterstützt (also weitgehender Verzicht auf Energiebezug bei extremen Leistungsmangel oder Erhöhung der Energiebezugs bei extremen Leistungsüberschuss)

  • Die technische Ausführung der Vernetzungsart zwischen den einzelnen Netzbetreibern ist zu evaluieren.

Es bietet sich dafür an, in Energiezellen und in Netzebenen zu denken und zu handeln.

  • Es ist beim Hersteller zu hinterfragen, ob nicht benötigte Gerätefunktionen aktiv gesperrt werden müssen.

Befehle und Rückmeldungen „an alle“ sind zu eliminieren und das Nichtvorhandensein zu überprüfen (bei der Inbetriebnahme und bei jedem Update)

  • Eine mit den Partnern abgestimmte Netzebenen- und Energiezellenweite Vernetzungslandkarte mit den einzelnen Unternehmen ist zu erstellten und in das Änderungsmanagement einzubeziehen
  • Prüfung, ob Datennetze von unterschiedlichen Infrastrukturbetreiber (Strom/Gas/Wasser) höherwertiger abgeschottet werden müssen. Abschottung ist keine Lösung an sich.
  • Im Störfall muss die Trennung/Verbindung der Datennetze koordiniert ablaufen.

Im Grunde muss auch für das Energieinformationsnetz eine Schutzphilosophie erstellt und eingehalten werden (vergleichbar wie die Schutzphilosophie im heutigen Stromnetz mit den verschiedenen Schutzeinrichtungen, Schutzmeldungen und Schutzprüfungen).

  • Datenverbindungen sollen möglichst einfach aufzutrennen sein.

Es ist sogar an automatischen Abtrennungen, Prüfungen auf Wiederzuschaltbarkeit und automatischer Wiederzu­schaltung zu denken – vergleichbar mit den Kurzunterbrechungen im Stromnetz.

  • Bei überregionalen Störungen ist meist auch die APG davon betroffen. Inwieweit die APG eine noch koordinierendere Position über die Informationsausgabe hinaus einnehmen könnte ist noch zu prüfen.

Eigentlich sollte jede Leitzentrale die unterlagerten Leitzentralen mit Informationen bedienen. Das müsste kaskadenartig bis zu den Einrichtungen der Energienutzer automatisch erfolgen. Die Weiterleitung ist eine Bringschuld und Ausdruck einer unabdingbaren Kooperation.

  • Die Technologie des AAS und die Redundanzen dafür sind zu evaluieren.

Besonders bei den Redundanzen ist auf Diversität zu achten, damit eine Fehlerursache sich nicht gleichzeitig in redundanten Einrichtungen gleich auswirkt (Common Mode Failure).

  • Das fachliche leittechnische Know How muss in den einzelnen Unternehmen erhalten bleiben. Die Auslagerung in externe Fachfirmen hat sich bei Störungsfällen nicht bewährt.

Diese Erkenntnis halte ich für ganz besonders für wichtig und wert, verbreitet zu werden. Das inzwischen übergewichtige, rein betriebswirtschaftliche Denken und Handeln berücksichtigt sehr selten auftretende, aber schadensträchtige Vorkommnisse nicht oder viel zu wenig. Allerdings muss dem eigenen Personal dann auch genügend Gelegenheit gegeben werden, immer wieder aus Vorgängen zu lernen, sich mit anderen auszutauschen und entsprechende Ausbildungen regelmäßig zu nutzen.

Die Weiterbearbeitung der aufgelisteten Punkte erfolgt bei Österreichs Energie in den Ausschüssen „Versorgungssicherheit, Großstörungen und Krisenszenarien“ und „Informationstechnik“. Hoffentlich nicht nur dort und hoffentlich hat das auch Folgen für bestehende Verordnungen, andere Unterlagen wie auch die künftige Gestaltung der Energieversorgung auf der Grundlage rein erneuerbarer Energien.

Ergänzende Kommentare

Dieses Ereignis war bis zum Mai 2013 in vielen Bereichen undenkbar, da man sich „sicher fühlte“, weil es keine Verbindung zum Internet gab/gibt und damit Angriffe auf die Leittechnik ausgeschlossen wurden. Dass jedoch eine Gefahr nicht nur von Angriffen ausgehen muss, und es auch bis dahin nicht/kaum beachtete Querverbindungen zu anderen Infrastrukturen gab/gibt, wurde erst durch dieses Ereignis richtig bewusst.

Ein Untersuchungsbericht kommt zu ernüchternden Erkenntnissen, die jedoch wohl nur die generelle Situation im Infrastruktursektor/Automatisierungswelt widerspiegelen:

Aufgrund der stark vermaschten Strukturen der Automatisierungsnetze entstanden Kreisläufer, welche zu Kommunikationsüberlasten und damit auch zu Betriebseinschränkungen führten.

Auf diese „Zählwertabfrage an ALLE“ wurde zumindest von einer angeschlossenen Station mit einer laut Norm unzulässigen „Confirmation an ALLE“ geantwortet, welche sich dann über die vermaschten Strukturen lawinenartig verbreitet hat und die eigentliche Ursache der großflächigen Kommunikationsüberlast war.

Dies führte in den letzten Jahren zu komplexen Strukturen mit multiplen netzübergreifenden Kommunikationsmaschen, welche jedoch für den einzelnen Netzbetreiber nicht transparent wurden.

Zu berücksichtigen ist auch, dass die Norm in ihren ursprünglichen Ansätzen auf hierarchisch strukturierte Netze aufbaut, wodurch für Kommunikationsmaschen zusätzliche Maßnahmen erforderlich sind.

Weiters konnte bisher von einem normkonformen Verhalten aller in einem Netz befindlichen Komponenten ausgegangen werden, einerseits da Anzahl und Typen der im eigenen Netz befindlichen Komponenten überschaubar sind, andererseits da zumeist Komponenten von namhaften Herstellern eingesetzt werden, welche mit von unabhängigen Prüfinstituten zertifizierten Schnittstellen gemäß IEC 60870-5-101/104 ausgerüstet sind.

Alle Prüfungen (externe wie interne) zielten jedoch bisher primär auf funktional durchgeführte Tests. Prüfungen für Dysfunktionalität – wie im konkreten Fall eine unzulässige „Confirmation an ALLE“ – wurden bisher nicht durchgeführt, weshalb wir auch keinerlei Aussagen über das Verhalten von Produkten anderer Hersteller machen können.

Für eine zuverlässige Aussage über die Sicherheit eines bestehenden Automatisierungsnetzes, ist jedoch eine spezifische Analyse notwendig. Da Automatisierungsnetze sukzessiv über Jahre ausgebaut und adaptiert werden, sind selbige in der Regel strukturell heterogen durch

  • Einsatz unterschiedlicher Geräte verschiedener Hersteller
  • gleichzeitigem Betrieb unterschiedlicher Gerätegenerationen
  • Verwendung verschiedener Kommunikationsmedien für Datenübertragung und zu Wartungszwecken

Als wesentlicher Aspekt müssen bei einer Analyse dabei auch Datenhaltungskonzepte bzw. organisatorische Rahmenbedingungen beleuchtet werden, um in Summe eventuell notwendige Maßnahmen ableiten zu können.

Damit wird einmal mehr bestätigt, dass wir unsere Sicherheit oftmals nur auf Scheinsicherheiten und Glück aufbauen (siehe auch Was wir aus der Atomkatastrophe von Fukushima lernen sollten). So war etwa das Staatliche Krisenmanagement nur in einzelnen Bereichen über diesen Vorfall unterrichtet, womit ein wichtiger Zeitpuffer nicht genutzt wurde, wäre die Lage eskaliert. Hier schließt sich wiederum der Kreis zum Umgang mit Unerwartetem mit dem wichtigen Hinweis, dass Beinahe-Katastrophen dazu genutzt werden sollten, um sich besser darauf vorzubereiten und nicht das Glück mit Können verwechselt werden sollte, wie das etwa Karl Weik in „Das Unbekannte managen“ zum Ausdruck brachte:

Beinahe-Unfälle: In weniger effektiven High Reliability Organizations (HROs) geschieht genau das Gegenteil. Wenn dort erkannt wird, dass eine Aktion beinahe schiefgegangen ist, sieht man darin einen Beweis für den Erfolg und die Befähigung, Katastrophen abzuwenden. Und dies wiederum stärkt die Überzeugung, dass die derzeitigen Betriebsabläufe zur Eindämmung von Katastrophen ausreichen. S. 65f.

Positiv muss erwähnt werden, dass die österreichische E-Wirtschaft in Folge dieses Ereignisses einen umfassenden IKT-Sicherheitsprozess gestartet und sich in der Branche intensiv vernetzt hat. Siehe den Bericht RISIKOANALYSE FÜR DIE INFORMATIONSSYSTEME DER ELEKTRIZITÄTSWIRTSCHAFT. Wobei trotz allem angemerkt werden muss, dass das Risiko nicht nur von der IT ausgeht. Daher ist eine umfassende Robustheits- und Resilienzbetrachtung erforderlich, die nicht nur die Verhinderung von bekannten Ereignissen/Risiken adressiert, sondern auch die rasche Bewältigung einer möglichen unbekannten/unerwarteten Störung. Und dies erfordert – nachdem die Wiederherstellung der Stromversorgung nach einem Blackout viele Stunden oder Tage dauern kann – auch die gesamtgesellschaftliche Auseinandersetzung mit diesem Thema. Einmal mehr geht es dabei aber nicht nur um das Thema „Blackout“, denn auch ein weitreichender IT/Internet-Ausfall würde zu ähnlich schweren Folgen, wie ein Blackout führen. Auch dort wird derzeit vorwiegend auf die Verhinderung bzw. rasche Behebung des IT-Problems, aber kaum auf die möglichen anderen Dominoeffekte geachtet.