Moderne Energieerzeugungs- und -verteilungsstrukturen weisen durch hohe Dezentralisierung und den Einsatz fremdgesteuerter Hardware erhebliche cyber-physische Vulnerabilitäten auf. Der Anschlag auf die Berliner Strominfrastruktur im Januar 2026 hat gezeigt, dass rein reaktiver physischer Objektschutz unzureichend ist.
Diese Spezifikation beschreibt das Guardian Gateway als „Man-in-the-Middle"-Sicherheitsaktor, der direkt am strategischen Flaschenhals — der Zähleranschlusssäule (ZAS) — inline integriert wird, um die cyber-physische Härtung von Großanlagen (>100 kWp) normkonform zu realisieren.
Wissenschaftlich-technische Systemspezifikation
1Physische Schicht (Layer 1) & Hardware Root of Trust
Die Kernarchitektur basiert auf der strikten physischen, galvanischen Entkopplung der Datenpfade mittels separater Controller-Chips (keine logischen VLAN-Switches) auf einem industriellen Single Board Computer (SBC) mit NXP i.MX 8M Plus Applikationsprozessor:
- WAN-NIC (Rot / Untrusted): Interface zum ungesicherten Betreiber-Router. Deny-All für eingehenden Traffic, ausschließlich mTLS-gesicherte Reverse-Tunnel zum Backend.
- LAN-NIC (Grün / Trusted): Datenverbindung zur lokalen Steuerungsperipherie und den Datenloggern.
- DMZ-NIC (Gelb / Peripheral): Isoliertes Subnetz zur lokalen Anbindung der Peripheriesensorik (SSTDR-Kopplung, SDR, Hangar-Steuerung).
Integritätsschutz über TPM 2.0
Die kryptografische Identität des Gateways ist unveränderlich im Silizium eines dedizierten Trusted Platform Modules (TPM 2.0) verankert. Der Boot-Prozess erfolgt über eine kryptografisch signierte Secure-Boot-Chain. Schlägt der Integritätsabgleich der Partitionen fehl, verweigert das TPM den Signaturschlüssel und friert das System ein — Bricked for Safety.
Autarkie im Krisenfall (VDE-AR-N 4100)
Das Netzteil des Gateways wird im netzseitigen Anschlussraum (NAR) vor dem Kundenzähler und vor dem NA-Schutz (Kuppelschalter) an die ungeschaltete Netzseite (Dauerstrom) angebunden. Bei physischer Zerstörung der Netzanbindung überbrückt eine integrierte LiFePO₄-USV die Versorgung des Gateways und aller DMZ-Sensoren unter Vollast für mindestens 30–60 Minuten.
2Software-definierte Cyber-Defense & Sensor-Fusion
Deep Packet Inspection (DPI)
Auf Systemebene analysiert eine Modbus-TCP-Parsing-Engine den Payload des Datenverkehrs in Echtzeit (<1 ms). Steuerbefehle werden auf SunSpec-Registerebene verifiziert. Unsignierte oder unplausible Befehle zur Netzabschaltung (Function Code 0x10 auf kritische Abschaltregister) werden inline gedroppt.
Trassen- und Umkreisüberwachung via SSTDR & Passiv-RF
Spread Spectrum Time Domain Reflectometry (SSTDR): Das Stromkabel und in den Zaun integrierte Sensorleiter werden als Hochfrequenz-Wellenleiter betrieben. Das System injiziert kontinuierlich einen Pseudo-Noise-Code unterhalb des Rauschteppichs. Änderungen des Wellenwiderstandes Z₀ durch Kappen, Sägen oder Verformen verändern die Induktivität L′ und Kapazität C′. Eine Laufzeitmessung (TDR) lokalisiert den Schnittpunkt auf ±5 Meter genau.
Anlassbezogene RF-Forensik (SDR)
Nach Triggerung durch das SSTDR führt ein integriertes Software Defined Radio (SDR) im Frequenzbereich von 400 MHz bis 6 GHz einen passiven Breitbandscan durch, um transmittierte GSM/LTE/5G-Paging-Requests (TMSI/IMSI) sowie Wi-Fi Probe Requests von Endgeräten der Täter im Nahbereich (50–100 m) zu sichern.
Passive Drohnen-Klassifizierung
Der RF-Empfänger scannt permanent nach typischen Frequenzsprungmustern (FHSS) von Drohnensteuerungen (z. B. DJI OcuSync). Autonome Flüge ohne Remote ID (RID) werden detektiert und triggern die Abwehrkette.
Systemerweiterung „Aktiver Arealschutz"
Um großflächige Freifeldanlagen und Umspannwerke gegen die im Berlin-Szenario erprobten Sabotagemuster (Zaundurchtrennung, Brandstiftung) abzusichern, wird das Gesamtsystem um das automatisierte Modul Aktiver Arealschutz erweitert.
Technische Komponenten der Erweiterung
- Zaun-Sensorleiter: geschlossener, SSTDR-überwachter Signalleiter in der mechanischen Zaunstruktur zur kontinuierlichen Integritätsmessung.
- Bus-gekoppelte MEMS-Beschleunigungssensoren: 3-Achsen-Vibrationsaufnehmer an den Zaunpfosten. Die lokale Edge-KI filtert Wind- und Umweltrauschen und isoliert die Amplituden mechanischer Schnitte (Bolzenschneider, Winkelschleifer).
- Drone-in-a-Box (UAV-Hangar): autarker, klimatisierter Hangar, der eine KRITIS-spezifische Überwachungsdrohne (Thermo- und optische Sensorik) einsatzbereit hält — versorgt über den ungeschalteten Dauerstrom.
Prozesskette bei Detektion
| Zeit | Vorgang |
|---|---|
| T = 0 ms | Die Täter setzen ein Werkzeug am Außenzaun an. Das SSTDR registriert den Impedanzbruch; die MEMS-Sensoren validieren die Frequenzsignatur der mechanischen Trennung. Das Gateway schaltet den Alarm auf Critical. |
| T < 50 ms | Das Gateway sendet über den DMZ-Port den verschlüsselten Startbefehl inklusive der TDR-berechneten GPS-Koordinaten des Zaunbruchs an den Hangar. |
| T + 2 s | Der Hangar öffnet sich autonom. Die Drohne startet ohne menschlichen Interventionszwang und fliegt die Schadstelle im High-Speed-Vorausflug an, um den Sektor auszuleuchten und visuell zu erfassen. |
| T + 5 s | Zeitgleich startet das SDR den passiven Nahbereichs-Mobilfunkscan zur Täteridentifikation. Sämtliche Telemetriedaten und der Vorfalls-Hash werden revisionssicher in die Permissioned Blockchain geschrieben, um Beweismittel vor lokaler Löschung zu schützen. |
| T + 10 s | Das Gateway initiiert den Alarm-Broadcast über das redundante LEO-Satellitenmodem und das ausfallsichere 450-MHz-Funknetz. Live-Videostream und ermittelte RF-Signaturen (IMEI/MAC) gehen via OPC UA an die Leitwarte des Netzbetreibers und die polizeilichen Lagezentren. |
Realistische ökonomische Vergleichsrechnung
Amortisations-Analyse auf Basis des Berliner Sabotage-Szenarios 2026. Die folgende betriebs- und volkswirtschaftliche Bilanz stellt die real dokumentierten Kosten des Berliner Stromausfalls den Implementierungs- und Betriebskosten des erweiterten SolarSecure-Systems gegenüber.
1 · Schadensbilanz des Anschlags (Ist-Zustand)
| Position | Kosten |
|---|---|
| Physische Primärschäden (Netzbetreiber) Zerstörte Starkstromleitung, Notleitungen, Reparatur von Endmasten und Kabelbrücken. | 2.100.000 € |
| Katastrophenschutz & Notstrom >1.700 mobile Aggregate, Treibstoff-Logistik durch THW & Bundeswehr über mehrere Tage. | 1.800.000 € |
| Wirtschaftliche Folgeschäden (Gewerbe & Institute) 2.200 Betriebe; Probenverlust/Anlagenstillstand (z. B. Adlershof/Landeslabor ~100.000 €), Umsatzausfälle & Warenvernichtung im Kleingewerbe. | 4.500.000 € |
| Staatliche Sofortmaßnahmen Hotel- & Evakuierungskosten, Aufklärungsprämie des Landes Berlin. | 1.200.000 € |
| Gesamtschadenssumme des Berlin-Szenarios | ≈ 9.600.000 € |
2 · Kosten der technischen Schutzmaßnahme
Kalkulation für die cyber-physische Vollausstattung eines kritischen Netzknotens (Umspannwerk oder Groß-PV-Anlage) inklusive einer Zaunlinie von 2.000 Metern.
Einmalige Investitionskosten (CapEx)
| 1× Guardian Gateway (Industrie-SBC, FPGA-DPI, TPM 2.0, Sat-Modem) | 3.500 € |
| LiFePO₄-Pufferungs-USV inkl. Installation im NAR | 2.500 € |
| 2.000 m Zaun-SSTDR-Sensorleiter inkl. Auswertungseinheit | 24.000 € |
| 100× bus-gekoppelte MEMS-Vibrationssensoren inkl. Verkabelung | 8.000 € |
| 1× Drone-in-a-Box-System (autonomer Hangar + Thermo-UAV) | 45.000 € |
| Systemintegration, mTLS-Leitstellenaufschaltung & Kalibrierung | 12.000 € |
| Summe CapEx | 95.000 € |
Jährliche Betriebskosten (OpEx)
| Rezertifizierung, Software-Updates, Mobilfunk- & Satellitengebühren | 2.400 €/J |
| Präventive Hardware-Wartung, Drohnen-Akkutausch (Zyklen-Verschleiß) | 3.600 €/J |
| Summe OpEx | 6.000 €/J |
3 · Return on Investment & Risikobewertung
Zur Berechnung des Erwartungswertes nutzen wir die jährliche Risikoexposition (Annual Loss Expectancy — ALE) bei einer moderaten Eintrittswahrscheinlichkeit p = 5 % pro Jahr für einen gezielten Sabotageversuch an der Trasse.
Risikoexposition OHNE SolarSecure
Risikoexposition MIT SolarSecure Active Defense
Durch die unmittelbare Erkennung am Zaun (<50 ms) und die sofortige Drohnen-Intervention wird Brandstiftung oder Kabelkappen im Ansatz unterbunden. Der Schaden begrenzt sich auf mechanische Zaunreparatur und einen Systemcheck (Restschaden ≈ 5.000 €).
Netto-Sicherheitsgewinn & Amortisation
G = 480.000 € − 250 € − 6.000 € = 473.750 € / Jahr
Das System hat sich betriebswirtschaftlich nach 73 Tagen amortisiert. Die Verhinderung eines einzigen erfolgreichen Sabotageaktes vom Ausmaß des Berliner Blackouts deckt die Hardware-Schutzkosten von mehr als 100 vergleichbaren KRITIS-Standorten deutschlandweit.