BlinkenCity begann ursprünglich als eine spannende Idee, inspiriert von der bekannten Projekt Blinkenlights Kunstinstallation im Berliner Alexanderplatz. Das Ziel war einfach: die Lichter einer ganzen Stadt als gigantisches Display zu nutzen, mit dem man etwa ein Spiel wie Pac-Man oder Doom auf den Straßenlampen spielen könnte. Doch was wie ein harmloses, kreatives Experiment begann, entwickelte sich im Laufe der Zeit zu einer komplexen technischen Untersuchung und brachte eine große Sicherheitsbedrohung ans Licht – die Gefahr eines europaweiten Stromausfalls. Im Zentrum der BlinkenCity-Forschung steht ein seit Jahrzehnten eingesetztes Funksteuerungssystem, das in vielen europäischen Ländern verwendet wird. Konkret handelt es sich dabei um eine unverschlüsselte und nicht authentifizierte Langwellenfunktechnologie, die Energieunternehmen einsetzen, um Steuerbefehle an verschiedene Geräte zu senden.
Diese Geräte kontrollieren unter anderem Straßenbeleuchtungen, Solaranlagen, Windkraftanlagen, Biogasanlagen, sowie Verbraucher wie Wärmepumpen oder Ladestationen für Elektroautos. Das System wird von einer einzigen Firma betrieben, der Europäische Funkrundsteuerung (EFR), die mit nur wenigen Sendern weite Teile von Deutschland, Österreich, Tschechien, Ungarn und der Slowakei abdeckt. Die verbundene Infrastruktur umfasst über 1,6 Millionen von Funkrundsteuerempfängern (FREs). Die übertragenen Telegramme werden zwar über proprietäre Protokolle wie Versacom und Semagyr versendet, sind jedoch weder verschlüsselt noch können sie auf Echtheit überprüft werden. Das bedeutet, dass jeder mit geeigneter Technik – selbst mit relativ einfachen Geräten – diese Steuerbefehle abfangen, nachbauen und aussenden kann.
Eine Schwachstelle, die bedeutende politische und technische Konsequenzen birgt. Ausgangspunkt des Forschungsprojekts war der Zufallsfund bei einem kaputten Straßenlaternenmasten in Berlin. Das offenliegende Steuergerät bot den Forschern Zugang zur Funktechnik, die sie zunächst nur für die Steuerung von Straßenbeleuchtung hielten. Schnell stellte sich jedoch heraus, dass das System viel mehr steuert als nur Licht – nämlich wichtige Segmente der Stromversorgung und der Netzstabilisierung, insbesondere die sogenannten Redispatch-Maßnahmen, mit denen Netzbetreiber regionale Ungleichgewichte in der Stromproduktion und im Verbrauch ausgleichen. Die erforschten Protokolle sind technisch interessant.
Die Versacom-Technologie erlaubt eine differenzierte Adressierung von Steuerbefehlen, sodass Befehle an einzelne oder Gruppen von Endgeräten geschickt werden können – etwa alle Windparks über 10 Megawatt oder einzelne Postleitzahlregionen. Die Semagyr-Technologie ist etwas komplexer und erlaubt sogar das Kombinieren mehrerer Befehle in einem Telegramm. Diese Vielseitigkeit macht sie für verschiedene Einsatzzwecke attraktiv. Besonders beunruhigend ist, dass die gesamte Kommunikation ungesichert abläuft. Die Zeit- und Schaltsignale werden in Klartext ausgestrahlt und können beliebig wiederholt oder verändert werden.
Mittels einer einfachen Funknachbildung gelingt es sogar mit erschwinglichen Geräten wie dem Flipper Zero, Textbefehle zu generieren und an die Steuerempfänger zu senden. So kann man nicht nur Laternen an- und ausschalten – in Versuchen gelang es, Photovoltaik-Anlagen gezielt vom Netz zu nehmen. Die Möglichkeit, durch ausgesendete Telegramme einzelne oder sogar zusammenspielende Anlagen vom Netz zu nehmen, eröffnet die Vorstellung eines Angriffsszenarios, bei dem große Teile der erneuerbaren Energieversorgung in einem Land oder sogar über mehrere Länder hinweg manipuliert oder kurzfristig abgeschaltet werden könnten. Die Forscher schätzen das Potenzial der über das Funkrundsteuerungssystem kontrollierten Leistung auf bis zu 60 Gigawatt, allein in Deutschland. Das entspricht einem erheblichen Anteil an der installierten regenerativen Leistung und ist stark genug, durch das anhaltende und plötzliche Ein- oder Ausschalten dieser Anlagen die Netzfrequenz empfindlich zu beeinflussen.
In einem sensiblen Stromnetz wie dem europäischen, das auf eine konstante Frequenz von 50 Hertz angewiesen ist, können derartige Veränderungen zu Dominoeffekten, instabilen Netzverhältnissen und schlimmstenfalls zu regionalen oder gar europaweiten Ausfällen führen. Ein solcher Blackout wurde bisher zwar nicht beobachtet – die Gefahr steigt jedoch mit der zunehmenden Abhängigkeit von erneuerbaren, aber weit verteilten und flexiblen Kraftwerken, deren Steuerung zu einem großen Teil noch auf diesem betagten und unsicheren Funkprotokoll basiert. Ein weiteres Problem ist die vergleichsweise geringe Reichweite der vorhandenen legalen Sender, die meist nur wenige hundert Meter wirksam sind. Theoretisch wäre dennoch möglich, das System durch Überlagerung mit stärkerer Sendeleistung zu übertönen. Für einen Angreifer hieße das, eigene, dezentrale Sender an strategischen Punkten zu installieren, die mit Hilfe von Kites, Wetterballons oder Drohnen Antennen in hohen Luftschichten positionieren.
Damit könnte man das offizielle Signal überdecken und die Empfänger mit manipulierten Telegrammen steuern. Die technische Umsetzung ist anspruchsvoll, aber nicht unrealistisch – und könnte vor allem von gut ausgestatteten staatlichen Akteuren oder anderen professionellen Angreifern durchgeführt werden. Ergänzend existiert die Option, die Infrastruktur der Betreiberfirma direkt anzugreifen. Die Funkstationen sind offenbar nur unzureichend gesichert, was physische Angriffe oder Manipulationen ermöglichen könnte. Ebenfalls finden sich Hinweise auf Sicherheitsschwächen in den Webportalen, über die Steuerbefehle ausgelöst werden.
Hier könnten Hacker via Internet mit etwas Glück direkten Zugriff auf die Sende- und Steuerzentrale erlangen. Interessant ist, dass der Betreiber des Systems bereits seit Jahren von den technischen Grenzen und Sicherheitsproblemen weiß. Schon 2013 wurden akademische Arbeiten und Publikationen verfasst, die auf diese Risiken hinwiesen. Tatsächlich existiert seit 2015 ein verschlüsselter und moderner Protokollnachfolger, der jedoch nie flächendeckend eingeführt wurde, da aus Kostengründen kein Interesse bestand. Die vollständige Umstellung hin zu modernen, verschlüsselten Steuerungssystemen steht zwar bevor, wird jedoch voraussichtlich erst in einigen Jahren die kritischen Großanlagen erreichen.
Die Konsequenzen eines erfolgreichen Angriffs reichen über temporäre Blackouts hinaus. Kurzfristige Manipulationen der Energieversorgung beeinflussen auch den Energiehandel und die Netzstabilität und können das öffentliche Vertrauen in das Stromnetz erschüttern. Dies wäre gerade in Zeiten geopolitischer Spannungen und hybrider Bedrohungsszenarien ein unerwünschtes Einfallstor. Die BlinkenCity-Forscher appellieren daher an die Netzbetreiber und Regulierungsbehörden, die Umstellung auf moderne, verschlüsselte und authentifizierte Steuerungstechnologien zu beschleunigen und die existierenden Systeme zumindest vorübergehend besser abzusichern. Gleichzeitig gelten die Erkenntnisse als Mahnung für die gesamte Branche, alte Infrastrukturen umfassend auf Sicherheitslücken zu überprüfen und potenzielle Angriffsflächen nicht zu unterschätzen.
Glücklicherweise lässt sich aus der ursprünglich künstlerisch geprägten Idee dennoch etwas Positives ziehen. Die Möglichkeit, Städte mittels Funkrundsteuerung zu dynamischen Lichtinstallationen mit öffentlichen Interaktionen zu verbinden, bietet spannende Perspektiven für urbane Kunst und interaktive Medien. So ließe sich noch heute auf spielerische Weise etwa eine Pac-Man-Partie auf Straßenlaternen realisieren – allerdings nur mit sorgsamer Sicherung und Kontrolle. Zusammenfassend zeigt BlinkenCity eindrucksvoll, wie durch sorglose Nutzung veralteter Funktechnologien empfindliche Infrastrukturen angreifbar werden. Was früher als kreative Spielerei begann, entpuppt sich unter sicherheitstechnischer Betrachtung als Warnruf für die digitale Transformation der Energienetze.
Nur durch zügiges Handeln, Transparenz und Zusammenarbeit von Sicherheitsexperten, Netzbetreibern und Regierungen kann das Risiko eingedämmt und der Weg für eine sichere und vernetzte Energiezukunft geebnet werden.
