Die Risiken des bidirektionalen Ladens

Künftig sollen E-Autos ihren Strom in nachfragestarken Zeiten auch wieder an das Stromnetz abgeben können. Doch die damit entstehenden virtuellen Kraftwerke sind ein Einfallstor für Hacker, warnen Experten.

Die zunehmende Anzahl an Elektroautos lässt die Nachfrage nach Strom steigen. In Zukunft sollen die emissionsarmen Fahrzeuge deshalb nicht nur Energie aus dem Stromnetz aufnehmen, sondern auch wieder zurück speisen können, um mögliche Lastspitzen auszugleichen. Doch das birgt Risiken. Das sogenannte netzdienliche Laden ist auf dem Vormarsch. Der Übertragungsnetzbetreiber Tennet hat gemeinsam mit dem deutschen Batteriehersteller Sonnen gezeigt, dass sich die E-Autobatterien verschiedener Hersteller aus der „Sonnen-Community“ zusammenschalten lassen – und als virtuelles Kraftwerk angesteuert werden können. Sie können so überschüssige Grünstrommengen schnell und sicher aufnehmen. Im Fall einer Lastspitze kann entsprechend runtergeregelt werden. Steht viel Strom im Netz zur Verfügung, wie dies beispielsweise bei viel Wind bei Nacht der Fall ist, können die E-Fahrzeuge bevorzugt geladen werden. Strom in Zeiten hoher Nachfrage wieder in das Netz zurück einspeisen, das können die E Auto-Besitzer aus der Sonnen-Community allerdings noch nicht. Es gibt nach wie vor regulatorische und technische Herausforderungen (Background berichtete). Doch die Energie- und Automobilwirtschaft arbeitet daran, Elektroauto-Akkus tatsächlich bidirektional ent- und beladen zu können. Kürzlich hat die Bundesregierung einen Plan vorgelegt, wie die Markteinführung gelingen könnte. Ab 2027/28 könnte es demnach zu einem Hochlauf von interoperablen und standardisierten Lösungen für die Rückspeisung von Strom aus E-Autobatterien ins Netz kommen.

Virtuelle Kraftwerke und ihre Risiken

Damit entstehen zunehmend virtuelle Kraftwerke. Diese bestehen aus einer Vielzahl an dezentralen Elementen – wie etwa E-Autobatterien, Stromspeichern, Windpark- und PV-Anlagen. Diese Einheiten werden dann wie ein herkömmliches Kraftwerk mit einem zentralen Betriebssitz behandelt. Sie können zukünftig auf intelligente Art und Weise an- und abgeschaltet werden, sodass die  Energieerzeugung und Stromverteilung optimiert werden kann. Fällt diese Kontrolle allerdings in falsche Hände, sind große und koordinierte Angriffe auf das Stromnetz nicht auszuschließen, warnt Andreas Rohr, Gründungsmanager und Geschäftsführer bei der Deutschen Cyber-Sicherheitsorganisation DCSO, im Gespräch mit Tagesspiegel Background. Er sieht Deutschlands Stromnetze nicht ausreichend für die Digitalisierung und zunehmende Einbindung virtueller Kraftwerte gerüstet. „Grundsätzlich besteht die Möglichkeit, durch gezielte Überlastung das Netz zu destabilisieren und zum Zusammenbruch zu bringen“, sagt der Experte. Ein Blackout wäre die Folge. „Mit Blick auf die steigende Anzahl von zugelassenen Elektroautos und den damit entstehenden Geschäftsmodellen für das bidirektionale Laden ist es wichtig, schon heute darüber nachzudenken, wie sich diese Teile unserer kritischen Infrastrukturen schützen lassen“, mahnt Rohr an.

Experte: Gesamtsystem im Blick behalten

Eine Schwierigkeit seien dabei die verschiedenen Verantwortlichkeiten innerhalb des Ökosystems. So liege die Absicherung der Ladesteuerung in den Autos klar beim Fahrzeughersteller, an den bidirektionalen Ladesäulen dagegen eher beim Ladesäulenbetreiber, so der Experte. Wenn es um die Abwicklung der Lade-Transaktion gehe, komme häufig ein weiterer Betreiber ins Spiel, beispielsweise Dienstleister wie Charge Here oder Monta. Die Bewirtschaftung der Stromkapazität der bidirektional ladenden Autos wiederum obliege dem Betreiber des virtuellen Kraftwerks. Allerdings stelle dieser nur die indirekte Steuerung über den Stromnetzbetreiber zur Verfügung. „Es stellt sich also die Frage, wer das Gesamtsystem im Blick hat“, merkt Rohr an. Denkbar wäre, eine Behörde wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dieser Aufgabe zu betrauen.

Der Chaos Computer Club hat bereits vor acht Jahren verschiedene Angriffsszenarien auf das Stromnetz simuliert. Seitdem sind diese frei im Netz zugänglich. Dass die Gefahr eines Cyberkriegs durch Angriffe staatlicher Akteure auf die Stromnetze steigt, hält Stefan Hessel von der Kanzlei Reuschlaw jedoch für unwahrscheinlich, weil sie für Angreifer einen vergleichsweise hohen Aufwand bedeuten. „Die russischen Angriffe auf die Energieinfrastruktur in der Ukraine zeigen das enorme zerstörerische Potenzial konventioneller Waffen“, sagt Hessel. Ein Angriff von Hackern auf das Stromnetz sei dagegen aufwendig, insbesondere, wenn er darauf abziele, Hardware wie Turbinen zu zerstören. Ein latentes Risiko für einen Cyberangriff auf Energieinfrastrukturen bestehe jedoch durchaus, räumt Hessel ein. Vornehmlich, wenn sich zwei Staaten nicht in einem „heißen Krieg“ befinden. Anfang Februar gaben die USA an, Cyberangriffe aus China auf wichtige Infrastrukturen ihres Landes vereitelt zu haben. Denkbar sind laut Hessel zudem auch im Bereich der Energieinfrastruktur sogenannte Ransomware-Angriffe, mit denen Hacker Geld von Unternehmen oder Staaten erpressen wollen. Im Internet-of-Things, zu denen im weitesten Sinne auch vernetzte Elektroautos zählen würden, sei das bisher jedoch relativ selten vorgekommen.

Gesetzgeber reagiert mit zwei neuen Richtlinien

Der Gesetzgeber reagiert auf die neuen Bedrohungen. Um auf Cyber Attacken auf virtuelle oder physische Infrastruktur besser vorbereitet zu sein, wurden zwei EU-Richtlinien beschlossen. Diese verpflichten die Mitgliedsstaaten dazu, ihre Einrichtungen ab Oktober besser zu schützen. Dafür plant Deutschland das neue KRITIS-Dachgesetz und das NIS-2 Umsetzungsgesetz, die beide jedoch aktuell festhängen. Gleichzeitig hat die EU mit dem Cyber-Resilience-Act kürzlich neue Cybersicherheitsanforderungen an Produkte mit digitalen Elementen gestellt. „Damit sorgt der Gesetzgeber dafür, dass Cybersicherheit kein ‚nice-to-have‘ mehr ist, sondern zur Pflicht wird“, begrüßt Stefan Hessel die Initiativen. Darin würden grundlegende Prinzipien geregelt. Im nächsten Schritt komme es nun darauf an, einzelne Normen und deren technische Ausgestaltung zu definieren und einzuführen. Bei den Unternehmen beobachtet Hessel derzeit angesichts vieler neuer Auflagen für die Cybersicherheit und Lieferketten „eine Umsetzungsfatigue“. Die Herausforderung sei, die nötige Balance zwischen notwendigen Vorgaben und bürokratischer Überforderung zu finden, so Hessel.

Von Jana Kugoth, Redaktionsleiterin bei Tagesspiegel Background