Alles beginnt mit manipulierten Smart Metern, die eine Kettenreaktion auslösen. Binnen Stunden fallen Kommunikation und Verkehr aus, Wasser- und Abwassersysteme brechen zusammen. Krankenhäuser und Sicherheitskräfte sind überfordert. Nach wenigen Tagen fehlt es an Nahrungsmitteln, Unruhen brechen aus. So beschreibt Marc Elsberg in seinem Roman »Blackout« die Folgen eines anhaltenden Stromausfalls. Der österreichische Schriftsteller ließ sich dabei nicht nur von seiner Fantasie leiten, sondern stützte sich auf eine wissenschaftliche Studie des deutschen Büros für Technikfolgen-Abschätzung.

Ein solches Bedrohungsszenario ist keine bloße Fiktion. Bereits 2015 verursachten russische Hackergruppen großflächige Stromausfälle in der Ukraine. Durch Cyberangriffe manipulierten sie die Systeme von Energieversorgern, übernahmen Leitwarten und schalteten Umspannwerke ab. Das zeigt, wie verwundbar moderne Stromnetze gegenüber digitaler Kriegsführung sind. Und auch Westeuropa könnte künftig Opfer solcher Angriffe sein – zumal die dortigen Stromnetze aktuell besonders verwundbar sind.

Das liegt vor allem am Umstieg auf erneuerbare Energien. Das komplexe Stromnetz muss die Lasten flexibel verteilen und wird dabei digital gesteuert, was viel Angriffsfläche bietet. Wegen des Konflikts zwischen Russland und den westlichen Demokratien wachsen die technischen Schwachstellen zu einem strategischen Risiko heran, das weit über bloße wirtschaftliche Schäden hinausgeht. Angesichts dessen scheint unsere Infrastruktur nicht gut genug geschützt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte Ende Januar 2025 davor, dass chinesische Hersteller auf systemkritische Teile der deutschen Stromversorgung zugreifen könnten. Die potenzielle Schwachstelle sei die Cloudanbindung von Solaranlagen, durch welche diese aus der Ferne angesteuert werden können. So soll es bei einer Überversorgung mit Strom möglich sein, die Anlagen abzuschalten, um das Stromnetz zu entlasten. Werden diese über eine ausländische Cloud gesteuert, so die Befürchtung, könnten staatliche Akteure ihre Macht ausnutzen und auf die Solarparks zugreifen.

Diese Systeme bergen eklatante Sicherheitslücken, mit denen Hacker das Stromnetz gezielt destabilisieren könnten

Während solche Gefahren ausführlich diskutiert werden, hört man nur selten von den Sicherheitsrisiken bestehender Systeme. Wir haben uns mit einer anderen Fernsteuerungsmöglichkeit beschäftigt, die bereits seit Jahrzehnten im Einsatz ist: die auf Langwelle basierende »Funkrundsteuerung«. Neben Erneuerbaren-Energie-Anlagen (EE-Anlagen) werden auch größere Verbraucher wie Kühlanlagen, Nachtspeicherheizungen, Wärmepumpen und Wallboxen über diese Technik gesteuert.

Wie wir herausfanden, bergen diese Systeme allerdings eklatante Sicherheitslücken, mit denen Hacker das Stromnetz gezielt destabilisieren könnten. Erstaunlicherweise sind einige der bestehenden Schwachstellen schon seit Jahren bekannt – und doch geht ihre Behebung nur schleppend voran.

Eine Straßenlaterne bringt Licht ins Dunkel

Unsere Forschung begann mit einem Zufall. Vor fast zehn Jahren liefen wir in Berlin an einer Straßenlaterne vorbei, bei der die Wartungsklappe fehlte. Aus Neugier sahen wir hinein und entdeckten eine Box mit der Aufschrift »Funkrundsteuerempfänger«. Offenbar werden in einigen Orten die Straßenbeleuchtungen über Funk angesteuert. Das machte uns neugierig.

Wir wollten verstehen, wie diese Systeme funktionieren. Daher kauften wir zunächst ein gebrauchtes Empfangsgerät, das wir genauestens untersuchten. Und schon bald häufte sich ein ganzes Sammelsurium an unterschiedlichen, gebrauchten Geräten bei uns an. Die meisten haben eine abnehmbare Antenne, die man abseits platzieren kann, um die Funksignale besser empfangen zu können.

Wir untersuchten die Signale, welche die Geräte über das Antennenverbindungskabel übertragen. Überrascht stellten wir fest, dass die Daten unverschlüsselt waren. Es dauerte nicht lange herauszufinden, welche Signale die aktuelle Uhrzeit übertragen. Deshalb versuchten wir, selbst solche Uhrzeitsignale zu verschicken. Dafür entwickelten wir einen einfachen Signal-Emulator, indem wir einen Mikrocontroller mit einem Wellenformgenerator verbanden. Und tatsächlich: Unsere Funkrundsteuerempfänger übernahmen die simulierte »aktualisierte Zeit«.

Das Entschlüsseln anderer Signaltypen gestaltete sich schwieriger, da die Geräte zwei veraltete Protokolle nutzten, die kaum dokumentiert sind. Wir kauften die relevanten DIN-Normen und versuchten, sie mit den beobachteten Daten abzugleichen. Bei der Protokollvariante »Versacom« gelang uns das weitgehend: Wir fanden schnell heraus, wie Ein- und Ausschaltbefehle aussehen. Die größte Herausforderung bestand darin, die Adressierungen zu entschlüsseln. Jedes Signal ist durch eine EVU-Adresse den Geräten eines bestimmten Energieversorgungsunternehmens zugeordnet. Zusätzlich können die Signale aber auch an bestimmte Untergruppen oder sogar einzelne Geräte gesendet werden.

So entdeckten wir einen interessanten Angriffspunkt: Die Adressierung erlaubt es, mit einer Nachricht sämtliche Geräte eines Energieversorgungsunternehmens zu erreichen. Das heißt, ein Angreifer könnte mit nur wenigen Nachrichten alle betreffenden Anlagen gleichzeitig ansteuern. Die EVU-Adressen sind nicht schwer herauszubekommen. Offenbar gibt es nur zirka 300 verschiedene – und diese sind teils in öffentlichen PDFs zu finden oder lassen sich aus aufgezeichneten Signalen ableiten.

Um das zweite Protokoll namens Semagyr zu analysieren, nutzten wir eine online erhältliche Software. Ähnlich wie intelligente Stromzähler verfügen auch Rundsteuerempfänger über einen Infrarotanschluss (in diesem Fall, um die Geräte bei der Installation zu konfigurieren). Mit der Software konnten wir gespeicherte Daten wie Geräte-ID und EVU-Adresse auslesen. Unsere Recherchen ergaben, dass jedes Energieversorgungsunternehmen beim Semagyr-Protokoll eigene Programme definieren kann, um die zugehörigen Geräte zu steuern.

Diese Programme konnten wir aber nicht direkt aus den empfangenen Signalen rekonstruieren. Deshalb entwickelten wir einen Code, der zufällige Nachrichten aussendet. Nach wenigen Stunden Laufzeit steuerten wir mit einer der Botschaften erfolgreich ein erstes Gerät an. Wir machten so weiter, bis wir alle Programmadressen und Parameter ermittelt hatten und so sämtliche Geräte gezielt steuern konnten.

Damit waren wir in der Lage, die Funkrundsteuerempfänger beider Protokollvarianten – und die daran angeschlossenen Geräte wie EE-Anlagen oder Straßenlampen – zu kontrollieren. Um abzuschätzen, wie realistisch ein solcher Angriff auf unser Stromnetz ist, mussten wir herausfinden, wie viel Leistung insgesamt über die Funkrundsteuerung ansprechbar ist. Reicht sie aus, um das europäische Stromnetz zu destabilisieren oder gar einen Blackout zu verursachen?

Welches Ungleichgewicht schadet dem Stromnetz?

Entscheidend für die Stabilität eines Stromnetzes ist die Netzfrequenz, die in Europa bei 50 Hertz liegt. Bei Über- oder Unterversorgung kann sie jedoch davon abweichen. In diesem Fall werden Maßnahmen eingeleitet, um die Frequenz schnellstmöglich wieder auf den Sollwert zu bringen.

• Mehr als 50,2 Hertz: Erzeugung wird verringert, etwa durch das Abschalten von Solaranlagen über das Funkrundsteuersystem
• Unter 49,8 Hertz: Aktivieren von Energiespeichern oder Abschalten von Industrieanlagen
• Unter 49 Hertz: automatischer Lastabwurf
• Unter 48,5 Hertz: bis zu 50 Prozent Lastabwurf: Ausfall des Stroms für mehr als 200 Millionen Menschen in Europa
• 47,5 Hertz: Kraftwerke schalten sich zum Selbstschutz ab, das Netz muss neu aufgebaut werden

Rein rechnerisch benötigt man für eine Veränderung von einem Hertz – das ist die Grenze, ab der auch bei Privathaushalten der Strom abgeschaltet wird – ein Ungleichgewicht von etwa 18 Gigawatt. Das wurde bisher noch nie verzeichnet. In der Vergangenheit gab es zwar ungeplante Ausfälle, die spielten sich aber in einer Größenordnung von 3 Gigawatt ab.

Ungleichgewichte wirken sich allerdings nicht nur auf die Netzfrequenz aus, sondern bringen auch mögliche Kaskadeneffekte mit sich. Fehlt eine größere Menge an Energie in einer Region, wird diese über Stromleitungen dorthin transportiert. Das kann die Leitungen überlasten und ein Abschalten erfordern, um Schäden zu verhindern. Dadurch werden aber wieder andere Leitungen belastet, was weitere Abschaltungen mit sich bringt.

Ein solcher Dominoeffekt ereignete sich 2006, als eine Stromleitung abgeschaltet wurde, um den Transport eines Kreuzfahrtschiffs zu ermöglichen. Die Aktion war nicht gut genug geplant gewesen, und es kam in mehreren europäischen Staaten zu mehrstündigen Ausfällen. Die theoretische Resilienz des Netzes spiegelt also nicht die tatsächliche wider.

Wie viel Leistung lässt sich per Funk ansteuern?

Laut deutschem Gesetz müssen alle Anlagen mit mehr als 25 Kilowatt fernsteuerbar sein, was oft über Funkrundsteuerung geschieht. Selbst große Solarparks werden teilweise noch über diese Technik gesteuert – beispielsweise einer der größten deutschen Solarparks mit mehr als 160 Megawatt Leistung, wie uns der Kraftwerksbetreiber auf Nachfrage bestätigte.

Um die Gesamtleistung aller Geräte abzuschätzen, die in Deutschland über Funkrundsteuerempfänger (FREs) adressierbar sind, haben wir das öffentlich einsehbare Marktstammdatenregister durchforstet. Es enthält allerlei Informationen zu deutschen Kraftwerken. Außerdem haben wir Anfragen an Energieversorger gestellt und statistische Daten ausgewertet. Demnach sind 40 Gigawatt von Energieerzeugern (je 20 Gigawatt Solaranlagen und Windkraftanlagen) sowie 20 Gigawatt von Verbrauchern über Funk steuerbar.

Insgesamt könnte ein Angreifer rein theoretisch bis zu 60 Gigawatt kontrollieren – eine beachtliche Zahl, zumal wir nur Wind- und Solarenergie und nur Deutschland berücksichtigt haben. Insgesamt sind in Deutschland rund 250 Gigawatt Nettonennleistung installiert. Mit einer Kontrolle über 60 Gigawatt ließe sich das Stromnetz stark schädigen. Aber wie realistisch ist ein solcher Angriff? Lassen sich die Geräte tatsächlich alle mit einem Funksignal erreichen?

Ein Signal, um sie alle zu kontrollieren

Dafür gibt es in der Praxis zwei Ansätze: Entweder man übersteuert die eigentlichen Signale, oder man übernimmt die Kontrolle der Sender. Beim ersten Szenario geht es also darum, ein stärkeres Signal zu senden als das eigentliche. Da wir keine Experten für Langwellenfunktechnologie sind, haben wir uns die Unterstützung von Fachleuten geholt. Diese stellten uns mehrere Formeln zur Verfügung, mit denen wir eine Antennenphysik-Simulationssoftware entwickelten.

Um das Signal zu übersteuern, benötigt man die passende Antenne. Bei so niedrigen Frequenzen, wie wir sie brauchen, würde eine ziemlich optimale Antenne etwa 500 Meter lang sein. Auch wenn das schwer umzusetzen ist, ließen sich dafür Drohnen und Drachen nutzen, wie es etwa Funkamateure oft machen. Wir testeten das am Tempelhofer Feld in Berlin mit einem Lastdrachen, was überraschend gut funktionierte – auch wenn der Versuch durch gesetzliche Vorgaben eingeschränkt war (geringe Sendeleistung, Nutzung einer Amateurfunkfrequenz und maximal 100 Meter Drachenschnurlänge).

Neben einer Antenne braucht man einen leistungsstarken Sender, etwa einen Zehn-Kilowatt-Sender. Dieser lässt sich mit einem selbst gebauten Verstärker und einem tragbaren Batteriesystem umsetzen und hätte damit etwa ein Zehntel der Sendeleistung eines EFR-Sendeturms (die Abkürzung EFR steht für die Europäische Funk-Rundsteuerung GmbH genannte Betriebsgesellschaft). Wir simulierten, welche Geräte ein solcher Sender ansteuern könnte.

Platziert man den selbst gebauten Sender etwa 300 Kilometer vom eigentlichen Sender entfernt, überstrahlt man das ursprüngliche Signal in einem Radius von zirka 70 bis 240 Kilometern. Die größere Distanz gilt auf der vom ursprünglichen Signal abgewandten Seite. Um das gesamte Land mit den eigenen Signalen abzudecken, wären mehrere Sender erforderlich. Das ist zwar mit einem gewissen Aufwand verbunden, aber durchaus umsetzbar.

Vermutlich würde ein feindlicher Staat aber wohl eher auf Cyberangriffe setzen oder die Infrastruktur eines Unternehmens direkt attackieren. Hacker könnten Sicherheitslücken in den Internetportalen der EFR ausnutzen oder Phishing-Angriffe starten, um auf die IT-Infrastruktur zuzugreifen. Alternativ könnten Angreifer auch in die recht ungesichert wirkenden Sendestationen eindringen und dort eigene Signale einspeisen.

Ablauf eines potenziellen Angriffs

Wir haben auch überlegt, wie ein Angreifer eine solche Operation planen könnte. Wenn er sich für das Überstrahlen der eigentlichen Signale entscheidet, muss er geeignete Standorte finden, die etwas weiter vom ursprünglichen Sender entfernt liegen und eine kontrollierbare Last im Umkreis haben. Wir haben hierzu beispielhaft öffentliche Kraftwerksdaten in unsere Antennenphysik-Simulationssoftware eingespeist, die uns die besten Sendepositionen ausgegeben hat.

Der ideale Zeitpunkt für einen Angriff lässt sich leicht ermitteln. Online finden sich fast in Echtzeit öffentliche Informationen über die Zusammensetzung des europäischen Stromnetzes. An sonnigen und windigen Tagen kann man auf der Netzampel-Website der Energieunternehmen nachsehen, wie viele EE-Anlagen bereits abgeschaltet wurden, um die Netzstabilität zu sichern.

Der Aufwand für so einen Angriff liegt in der Größenordnung bereits durchgeführter Sabotageakte, wie das Sprengen von Unterseepipelines

In diesem Fall könnte man alle Anlagen in Reichweite von bösartigen Sendern wieder einschalten, um die Netzfrequenz zu erhöhen. Dadurch würden Kraftwerke, die nicht über die Funkrundsteuerung kontrolliert werden (etwa Kohlekraftwerke), ihre Leistung reduzieren. Durch wiederholte gezielte Ein- und Abschaltung lässt sich der Schaden maximieren.

Insgesamt scheint ein solcher Angriff plausibel. Der Aufwand liegt in der Größenordnung bereits durchgeführter Sabotageakte, wie das Sprengen von Unterseepipelines.

Warnungen an Betreiber

Als wir all das herausgefunden hatten, informierten wir umgehend die Betreiberfirma EFR über die Schwachstellen. Diese teilte uns mit, dass viele davon bereits bekannt waren und sogar in einem 2013 gedruckten Konferenzband vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentiert sind. Schon 2015 hat die EFR eine verschlüsselte Version der Funkrundsteuerprotokolle entwickelt. Diese wurde jedoch nie ausgeliefert, da der Markt dies nicht gefordert habe, wie die EFR in ihrem Jahresabschluss des Jahres 2015 angibt.

Unsere Recherchen ergaben zudem, dass der Umstieg auf eine neue und sicherere Infrastruktur für die Energiemessung geplant ist (iMSys, intelligentes Messsystem), die ebenfalls die EE-Anlagen fernsteuern soll. iMSys nutzt moderne Verschlüsselung und zuverlässige Kommunikationskanäle wie LTE oder LAN. Nach mehrjährigen Verzögerungen gibt es nun auch endlich zertifizierte Geräte. Das mag zwar positiv klingen, aber es kann mehr als sieben Jahre dauern, die Systeme auf diese sichere Technik umzustellen. Außerdem müssen große Kraftwerke iMSys erst ab 2028 schrittweise ausrollen.

In unserer bisherigen Forschungslaufbahn sind wir immer wieder auf eklatante Sicherheitslücken in althergebrachter Technologie gestoßen

Während es etliche Debatten darüber gab, wie sicher Cloudanbindungen sind oder ob chinesische Firmen unsere Mobilfunkinfrastruktur ausbauen dürfen, sind die fehlenden Sicherheitsmechanismen in der bestehenden kritischen Steuerungstechnologie völlig unter den Tisch gefallen. Bei der Funkrundsteuerung könnte es daran liegen, dass diese Technik nur schleichend durch den unerwartet starken Ausbau an erneuerbaren Energien an Bedeutung gewonnen hat. In unserer bisherigen Forschungslaufbahn sind wir immer wieder auf eklatante Sicherheitslücken in althergebrachter Technologie gestoßen, die sich meist nicht durch einfache Updates beheben lassen. Im Rahmen der Digitalisierung darf man die mangelnde Sicherheit der älteren Technologien nicht vernachlässigen.

Um solche historisch gewachsenen Schwachstellen zu finden und zu beheben, müssen Sicherheitsforschende, Behörden, Wirtschaft und Politik zusammenarbeiten. Wenn Unternehmen Sicherheitslücken gemeldet bekommen, sollten sie verantwortungsbewusst damit umgehen – und nicht aus rein wirtschaftlichem Interesse handeln.

In der Vergangenheit und auch in diesem Fall wurden uns mit rechtlichen Schritten gedroht

In der Praxis ist das aber oft anders. Tatsächlich wurde uns in der Vergangenheit und auch in diesem Fall mit rechtlichen Schritten gedroht. Immer wieder gibt es Klagen gegen Sicherheitsforscher, die solche Lücken an Behörden und betroffene Parteien melden.

Ein solches Verhalten gefährdet die kritische Infrastruktur in Deutschland. Aus Angst vor Strafverfolgung werden Sicherheitslücken oft nicht mehr wie gewünscht über den »Responsible Disclosure«-Prozess veröffentlicht, bei dem man dem Betroffenen vor einer öffentlichen Bekanntmachung der Sicherheitslücke Zeit zur Behebung gibt. Stattdessen werden sie im Darknet verkauft, anonym veröffentlicht, oder einfach für sich behalten. Eine rechtliche Absicherung von Sicherheitsforschenden, die Lücken im Rahmen des Responsible-Disclosure-Prozesses melden, ist daher lange überfällig.