Die sichere Versorgung mit Strom ist heutzutage für Industrie und Privatpersonen wesentlich. Aber was, wenn es doch zum Ernstfall kommt und plötzlich einfach nichts mehr so läuft, wie es sollte? Können wir uns auf ein Worst-Case-Szenario vorbereiten?

Die Experten Eckehard Bauer, Prokurist Business Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport, Quality Austria und Klaus Veselko, Geschäftsführer CIS - Certification & Information Security Services GmbH, stehen bei unserem virtuellen Roundtable Rede und Antwort!

Blackouts – plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle – sind Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen, dennoch auch in einem versorgungssicheren Land wie Österreich durchaus möglich sind. Nahezu alle technischen Hilfsmittel, bei TV und Handy angefangen bis zu öffentlichen Verkehrsmitteln und zur Versorgung kritischer Infrastrukturen und lebenswichtiger Einrichtungen, sind von Strom abhängig. Bei einem Stromausfall fallen somit viele Faktoren auf Anhieb weg, Produkte und Dienstleistungen können nicht mehr geliefert werden, Infrastrukturen stehen still.

Wie real sind Blackouts denn wirklich?

Eckehard Bauer: In unserem Land ist ein Blackout mit einem Einhorn vergleichbar, fast jeder hat davon schon gehört aber zu Gesicht bekommen hat es wohl noch niemand. Während das Einhorn im Bereich der Mythen angesiedelt ist, ist der Blackout aber ein reales Bedrohungsbild, welches uns treffen kann.

Das Themenfeld „Blackout" besteht aus meiner Sicht aus einem „präventiven Ansatz – um den Blackout zu verhindern" und einem „operativen Blickwinkel – dann, wenn der langfristige und flächendeckende Stromausfall eingetreten ist". Erst Anfang des Jahres konnten wir einem europaweiten Blackout aufgrund eines Frequenzabfalls knapp entgehen – dank regelmäßig geübter Sicherheitsmaßnahmen und stetiger Kommunikation.

Dennoch ist die Wahrscheinlichkeit also hoch, dass wir uns in den nächsten Jahren damit konfrontiert sehen. Für die Prävention ist von den Energieversorgungsunternehmen über die Netzbetreiber bis hin zu den Verbraucher*innen eine Vielzahl von technischen und organisatorischen Aktivitäten möglich, um einen Blackout zu verhindern oder ihn in seiner Dauer und Örtlichkeit zu limitieren.

Mit der zunehmenden Vernetzung unserer Gesellschaft steigt auch die Komplexität, die uns tagtäglich begleitet. Dadurch kommt es zu nicht-linearen Entwicklungen und gewisse Szenarien sind einfach nicht vorhersehbar. Gibt es dennoch Möglichkeiten für Unternehmen, sich für den Ernstfall unvorhergesehener Ereignisse, abzusichern?

Eckehard Bauer:
Wenn der Blackout trotz aller Vorkehrungen eintrifft, ist neben der Öffentlichkeit auch jedes Unternehmen und jede Privatperson herausgefordert, mit der Situation umzugehen, so dass keine Panik entsteht und die Situation durch abgestimmte Aktionen in einem maximal möglichen Maße beherrscht wird. Eine Beherrschung einer solchen Ausnahmesituation funktioniert nur mit geeigneten Konzepten und vorhandenem Bewusstsein, um dem Blackout den Schrecken und ein hohes Schadensausmaß zu nehmen.

Durch die große und dynamische Veränderung in Technik und Organisation ist eine kontinuierliche Anpassung der Präventionsmaßnahmen aber auch der Notfallkonzepte unabdingbar, um erfolgreich zu sein. Managementsysteme unterstützen dabei durch ihre Systematik, wie sie sich auf verändernde Umstände „systematisch" ausrichten (Kontext der Organisation) und mittels gezielter Risikobewertung (Risiko und Chancen) priorisierte Maßnahmen erstellen lassen, welche dann operativ umgesetzt werden können. Dabei wirkt die Systematik des Plan – Do – Check – Act in voller Stärke, da die erstellten Konzepte und Szenarien geprüft werden (z. B. durch Simulation oder realitätsnahe Übungen, usw.) und die Übungserkenntnisse im Sinn einer kontinuierlichen Verbesserung (KVP) direkt in die Präventionsmaßnahmen bzw. in die bestehenden Maßnahmenpläne einwirken. Es ist sehr wichtig, die Übungen als Instrument zu sehen, um die Notfallreaktionsfähigkeit der Beschäftigten aufzubauen, welche im Ereignisfall wiederum entscheidend ist, wie groß ein Schaden sein kann bzw. wie stark das Schadensausmaß reduziert werden kann.

Die klassische ISO 9001 bietet durch ihren risikobasierten Ansatz ein Fundament, um die Lieferfähigkeit einer Organisation aufrecht zu erhalten. Mit einer ÖNORM D 4901 (Anm.: Risikomanagement) und einer ISO 22301 (Anm.: BCM - Vermeidung von Betriebsunterbrechungen) werden die Vertiefungen in Richtung Ausfallsicherheit und rasche Wiedererlangung der Betriebsfähigkeit stark optimiert und zum wirtschaftlichen Vorteil der Organisation genutzt. Das neue Konzept der High Level Structure kommt hier voll zur Anwendung, da alle drei Normen auf der High Level Structure beruhen und sich sinnvoll und harmonisch ergänzen. Durch diese Ergänzung wird die Effektivität und Schnelligkeit des Nutzens durch die Normen stark gefördert.

In letzter Zeit häufen sich auch Cyberattacken auf Betriebe – also Angriffe auf die IT-Infrastruktur von Unternehmen in Form von Beispielen wie Datendiebstahl, Industriespionage oder Cybersabotage. Woher kommt dieser rasante Anstieg in den letzten Jahren und kann durch Cyberkriminalität ein Blackout ausgelöst werden?

Klaus Veselko:
Die Entwicklung der letzten Jahre kann man nicht an einem Einzelereignis festmachen – da spielen mehrere Einflussfaktoren eine Rolle.

Zum einen steigt die Komplexität der IT-Infrastrukturen nicht nur kontinuierlich sondern exponentiell – insbesondere auch durch die Weiterentwicklung und Einbindung von OT-Systemen (Anm.: Operational Technology) und IOT-Vernetzung (Anm.: Internet of Things). Ohne ein wirksames Informationssicherheitsmanagementsystem und einen kontinuierlichen Verbesserungsprozess kann eine Organisation mit dieser rasant wachsenden Komplexität nicht Schritt halten. Andererseits hat sich in gewissen Kreisen herumgesprochen, dass heutzutage fast jedes Unternehmen ohne eine funktionierende IT und den aktuellen Echtdaten bzw. Informationen nicht produktiv sein kann.

Gestohlene oder verschlüsselte Daten bedeuten System- bzw. Produktionsstillstand – sozusagen ein „Unternehmensblackout". Da entstehen innerhalb weniger Stunden Schadenssummen in Millionenhöhe. Diese Aspekte motivieren Menschen mit hoher krimineller Energie immer öfter, Daten zu stehlen und zu verschlüsseln, um Unternehmen auf der Basis „Geld gegen Entschlüsselung" zu erpressen.

Ich möchte nicht den Teufel an die Wand malen aber spinnen wir den Gedanken weiter. Was bedeutet es, wenn ein oder zwei große Energielieferanten Europas auf diese Weise gehackt werden und deren Energielieferungen ausfallen? Eine stabile Energieversorgung kann nicht mehr gewährleistet werden, das Netz bricht zusammen, in weiten Teilen Europas bleibt es dunkel und alles steht still – ein echter Blackout ausgelöst durch Cyberkriminalität.

Es sind nicht immer nur IT-Ausfälle, auch die Unaufmerksamkeit von Mitarbeiter*innen, Fehler aufgrund mangelnder Produktwartung oder extreme Naturereignisse wie Hochwasser, Erdbeben oder Stürme können Blackouts verursachen. Welchen Tipp können Sie Unternehmen geben?

Klaus Veselko:
Im Wesentlichen sehe ich zwei Aspekte: Blackout-Vermeidung hat absolute Priorität, denn im Ernstfall geht es um zielgerichtete Blackout-Sofortmaßnahmen.

Moderne und insbesondere systemrelevante Organisationen wie z. B. Energie-, Wasser- und Nahrungsmittelversorgung oder das Gesundheitswesen werden immer mehr Augenmerk auf ihre Cyber Security und damit ihre Unangreifbarkeit legen müssen. Es wird im Mittelpunkt stehen weder selbst ein lokales Blackout zu haben noch als schwächstes Glied einer vernetzten Welt das Einfallstor für Angriffe und daraus resultierend für weitreichende Blackouts zu sein. Darüber hinaus muss im Vorfeld für den Ernstfall geplant werden und für aktuelle Risiken bzw. Bedrohungsszenarien entsprechende Notfallpläne mit Maßnahmen der raschen Wiederherstellung aller Systeme und zumindest eines akzeptablen Notbetriebs gesorgt werden.

Neben der Planung sind regelmäßige Notfallübungen und -simulationen mit entsprechend geschulten Krisenteams ein wesentlicher Faktor zur erfolgreichen Bewältigung dieser Herausforderungen. Auch hier gilt: Wer schneller einen zumindest eingeschränkten Betrieb gewährleisten kann und schneller aus der Krise herauskommt, wird mittelfristig erfolgreicher sein.

Man muss Business Continuity sowie auch Informations- und Cyber Security ganzheitlich betrachten. Die relevanten Normen und Standards (Anm.: ISO 22301 für Business Continuity Management bzw. ISO 27001 für Informationssicherheit) geben hervorragende Anleitungen für notwendige technische und organisatorische Maßnahmen. So können sowohl Systeme und Organisationen vor einem Ausfall geschützt werden als auch personelle, physische und weitere Aspekte zur raschen Krisenbewältigung eingesetzt werden.

Können Mitarbeiter*innen für solche Extremsituationen sensibilisiert und geschult werden?

Eckehard Bauer:
Es ist wichtig, sich klar zu machen dass ein Blackout kein klassischer Stromausfall ist, bei dem ein Gebäude oder ein Straßenzug ohne elektrischen Strom ist. Bei einem Blackout haben ganze Regionen oder Länder für längere Zeit keinen elektrischen Strom. Das bedeutet, dass sämtliche betrieblichen Überlegungen immer im Zusammenhang mit der gesamtheitlichen Situation zu sehen sind.

Die Organisationen wie Zivilschutz, Rotes Kreuz, Innenministerium, Feuerwehren, Städte, usw. stellen sehr gute und hochwertige Informationen betreffend Blackout zur Verfügung. Diese Informationsmaterialien und jene des lokalen Energieversorgers sollten von den Firmen zur Erstellung der eigenen Konzepte genutzt werden. Wenn die Konzepte erstellt sind, ist es wichtig, bei den betroffenen Beschäftigten das Bewusstsein aufzubauen und durch gezielte Übungen in Wissen über den Umgang mit solch einer Situation in systematische Reaktionsfähigkeit umzuwandeln. Die kontinuierliche Verbesserung durch Feedbackgespräche mit den Beschäftigten ist ein wesentliches Element zur Effektivitätssteigerung der eigenen Notfall- und Maßnahmenkonzepte.

Organisationen, welche bereits Managementsystemnormen (z. B. die ISO 9001, ISO 14001, ISO 45001, usw.) nutzen, können sich die vorhandene Systematik über Rollen, Verantwortungen, interne und externe Kommunikation, usw. stark zu Nutze machen, da sie nichts Neues erfinden müssen, sondern auf bewährten Strukturen aufbauen können.

Wenn der Blackout eintrifft, kommt dieser mit hoher Wahrscheinlichkeit unvermittelt und nach Murphies Law zum denkbar ungünstigsten Moment. Es ist nicht nur der elektrische Strom, der mit dem Blackout abhandenkommt, sondern die nach und nach verschwindende Infrastruktur „Mobiltelefone" „Straßenbeleuchtung" „Ampeln" „Trinkwasser" „Strom aus USV und Notfallbatterien" usw.. Dies gilt es bewusst zu machen, um im Ereignisfall bei den Beschäftigten die richtigen Reaktionen auszulösen und so den Schaden durch den Blackout so gering wie möglich zu halten und nach dem Blackout so rasch ­als möglich wieder betriebsfähig zu werden.

Weiterführende Informationen

Überblick Produktgruppe: Risiko- und Sicherheitsmanagement

Norm ISO 22301: Business Continuity Management (BCM)

Norm ISO 27001: Informationssicherheit

Zur Website der CIS - Certification & Information Security Services GmbH

Bild: iStock