Die Europäische Union erwägt, ausländische Windturbinen aus Gründen der Cybersicherheit zu verbieten. Dies erinnert an ähnliche Empfehlungen, die EU-Länder dazu veranlassten, die Technologie von Huawei aus ihren 5G-Netzen auszuschließen.
Brüssel arbeitet momentan daran, Maßnahmen zu ergreifen, um europäische Windturbinenhersteller vor chinesischen Konkurrenten zu schützen. Inmitten von Diskussionen über „Made in Europe“-Anforderungen und Überlegungen zu Anti-Dumping-Zöllen gewinnt ein Thema stillschweigend an Bedeutung: die Cybersicherheit.
Nachdem chinesische Windturbinen Ende 2023 eine serbische Ausschreibung gewonnen hatten, schrillten in der europäischen Windindustrie die Alarmglocken. Giles Dickson, CEO von WindEurope, betonte „breitere Sicherheitsinteressen“. Ebenso führte er wirtschaftliche Überlegungen an und erklärte, dass es nicht im Interesse Europas sein könne, „nichteuropäische Windturbinen auf unserem Kontinent zu installieren“.
Wenige Wochen später präsentierte die Europäische Kommission ein Paket mit Vorschlägen, die Windindustrie zu retten – das so genannte „Europäische Windenergiepaket“. Ein Schlüsselelement ist hierbei die Möglichkeit für EU-Staaten, ausländische Unternehmen aufgrund von Präqualifikationskriterien, einschließlich Cybersicherheit, potenziell auszuschließen.
Das bedeutet, dass Windturbinen, die bestimmte – derzeit noch nicht definierte – Cybersicherheitskriterien nicht erfüllen, von regulären öffentlichen Ausschreibungen für Windparks ausgeschlossen werden.
So warnt die Industrie beispielsweise vor einer Wiederholung der Huawei-Erfahrung.
Die Huawei-Erfahrung
Mehrere westliche Regierungen haben Bedenken geäußert, dass die chinesische Regierung die Technologie des chinesischen Technologiekonzerns Huawei nutzen könnte, um sensible Informationen aus dem öffentlichen und privaten Sektor zu sammeln.
Zehn EU-Länder folgten einer Empfehlung aus Brüssel und schlossen das chinesische Unternehmen beispielsweise beim 5G-Ausbau aus, was heimischen Unternehmen wie Ericsson aus Schweden oder Nokia aus Finnland zugute kam.
Europäische Turbinenhersteller hoffen auf einen ähnlichen Vorteil. EU-Regeln sollten „sicherstellen, dass sichere Anlagen“ in Europa installiert werden, sagte Juan Virgilio Marquez vom spanischen Windenergieverband AEE beim jährlichen Branchentreffen in Bilbao.
Die Industrie stellt zwei Szenarien vor. So könnten zum einen sensible Daten von Windturbinen-Sensoren über eine Satellitenverbindung an Drittländer übermittelt werden, oder China erhält die Möglichkeit, per „Knopfdruck“ Tausende von Turbinen abzuschalten und die Energiemärkte ins Chaos zu stürzen.
Auge im Himmel
Sensoren von Windkraftanlagen sammeln täglich Terabytes an Daten und Europa wäre nicht die erste Region, die sich Sorgen darüber macht, wohin diese Daten gesendet werden.
„Wir werden prüfen, ob technische Komponenten in China hergestellt werden“, sagt Edward Zakrajsek, Vizepräsident von DeTect Global, über ein Projekt zum Bau von Windturbinen vor der Küste Taiwans.
Doch nicht alle in der Branche sehen das so.
Rafael Mateo von Acciona Energia sagt, abgesehen von den üblichen Betriebsmetriken wie Windgeschwindigkeit, Energieertrag und Rotorblattwinkel gebe es „nichts Nennenswertes“, was man aus dem Zugang zu einer Turbine lernen könne.
Ausschalten der Lichter
Windenergieanlagen können in der Regel ferngesteuert werden. Kompromittierte elektronische Geräte könnten es daher Dritten ermöglichen, die Kontrolle zu übernehmen.
„In einem schwächeren Netz kann das Abschalten von 2-GW Turbinen zu einem Unterfrequenzereignis führen“, erklärt Rafael Mateo, CEO von Acciona Energia, einem spanischen Entwickler erneuerbarer Energien. Unterfrequenzereignisse treten auf, wenn nicht genügend Strom zur Verfügung steht, um die Nachfrage zu decken.
Allerdings müsse ein Angreifer in einem solchen Szenario „alle Windparks kontrollieren“, um das Netz ernsthaft zu gefährden.
Neue Regeln aus Brüssel
Am 23. April wird das neue EU-Gesetz zur Industriepolitik, der Net Zero Industry Act (NZIA), von den EU-Parlamentariern verabschiedet und kurz darauf von den EU-Ländern gebilligt.
Sobald es in Kraft tritt, kann die Umsetzungsphase beginnen: Ab 2026 müssen öffentliche Ausschreibungen, die erneuerbare Energien fördern, Anforderungen an die Cybersicherheit enthalten. Dies wird für die öffentliche Beschaffung von erneuerbaren Energien optional sein.
Die konkreten Anforderungen an die Cybersicherheit müssen jedoch noch festgelegt werden. Die Kommission wird im Laufe des Jahres einen Rechtsakt vorlegen, in dem weitere Einzelheiten festgelegt werden.
Todd Davis vom Turbinenhersteller Vestas sagte, dass die europäischen Hersteller „aktiv Seite an Seite lobbyieren“, um sicherzustellen, dass die Kriterien für Cybersicherheit „prozessbasiert und risikobewertungszentriert“ seien, anstatt einer „Checkbox-Liste“, um die sich schnell ändernde Bedrohungslandschaft widerzuspiegeln.
Lukasz Kolinski, Leiter des Referats Erneuerbare Energien in der Energieabteilung der Europäischen Kommission, sagte, dass Brüssel versuche, eine feine Balance zwischen „Konkretheit“ und „Flexibilität für die Mitgliedsstaaten“ zu finden.
Dickson von WindEurope ist zuversichtlich. Diese Vorqualifikationen seien zwar kein Allheilmittel für die gebeutelte Industrie, aber sie „werden helfen“.
Und er denkt weiter: „Man braucht sie nicht nur für Auktionsprojekte, sondern auch für Nicht-Auktionsprojekte“.
Immer mehr Windkraftprojekte entstehen ohne staatliche Unterstützung – sie würden nicht den industriepolitischen Regeln unterliegen.
Ein weiterer Konflikt zeichnet sich bereits ab.
[Bearbeitet von Donagh Cagney/Kjeld Neubert]