Diese Arbeit wurde vorgelegt am

Institut für Elektrische Anlagen und Netze, Digitalisierung und Energiewirtschaft

Bewertung der lokalen Auswirkungen von Cyberangrif-

fen auf die Stabilität von Verteilnetzen - Manipulation
der Anlagenregelung von Windenergieanlagen

Assessment of the local Impact of Cyberattacks on the Stability of Distribution

Grids - Manipulation of the local Control of Wind Power Plants

Bachelorarbeit
von
Herrn Mohamed Youssef Allouche

1. Prüfer: Univ.-Prof. Dr.-Ing. Albert Moser

2. Prüfer: Univ.-Prof. Dr.-Ing. habil. Dr. h. c. Kay Hameyer

Betreuer: Herr Philipp Linnartz, M. Sc.

Herr Dominik Willenberg, M. Sc.
Aachen, 24. August 2020
 Eidesstattliche Versicherung

Allouche, Mohamed Youssef _______374258______

Name, Vorname Matrikelnummer

Ich versichere hiermit an Eides Statt, dass ich die vorliegende Masterarbeit mit dem
Titel

Deutscher Titel

selbständig und ohne unzulässige fremde Hilfe erbracht habe. Ich habe keine anderen
als die angegebenen Quellen und Hilfsmittel benutzt. Für den Fall, dass die Arbeit zu-
sätzlich auf einem Datenträger eingereicht wird, erkläre ich, dass die schriftliche und
die elektronische Form vollständig übereinstimmen. Die Arbeit hat in gleicher oder ähn-
licher Form noch keiner Prüfungsbehörde vorgelegen.

Aachen, 24.08.2020 ___________________

Ort, Datum Unterschrift

Belehrung:
§ 156 StGB: Falsche Versicherung an Eides Statt
Wer vor einer zur Abnahme einer Versicherung an Eides Statt zuständigen Behörde eine solche Versiche-
rung falsch abgibt oder unter Berufung auf eine solche Versicherung falsch aussagt, wird mit Freiheitsstrafe
bis zu drei Jahren oder mit Geldstrafe bestraft.
§ 161 StGB: Fahrlässiger Falscheid; fahrlässige falsche Versicherung an Eides Statt
(1) Wenn eine der in den §§ 154 bis 156 bezeichneten Handlungen aus Fahrlässigkeit begangen worden
ist, so tritt Freiheitsstrafe bis zu einem Jahr oder Geldstrafe ein.
(2) Straflosigkeit tritt ein, wenn der Täter die falsche Angabe rechtzeitig berichtigt. Die Vorschriften des §
158 Abs. 2 und 3 gelten entsprechend.

Die vorstehende Belehrung habe ich zur Kenntnis genommen.

Aachen, 24.08.2020______________ ___________________

Ort, Datum Unterschrift

Kurzfassung v

Kurzfassung

Im Rahmen der Energiewende werden Informations- und Kommunikationssysteme im-

mer mehr auf Verteilnetzebene eingesetzt. Ein Beispiel sind sogenannte Fernwartungs-
zugänge durch die u.a. Schutz- und Regelparameter der Windenergieanlagen eines
Windparks angepasst werden können. Wegen der Möglichkeit von Cyberangriffen auf
diese Systeme, werden in dieser Arbeit Szenarien zur Nachbildung eventueller Mani-
pulationen der lokalen Anlagenregelung von mehreren Windenergieanlagen identifi-
ziert, nachgebildet sowie anhand dynamischer Zeitbereichssimulation mit MATLAB si-
muliert. Dazu werden die Auswirkungen dieser Angriffe auf die Stabilität eines Verteil-
netzes anhand Kriterien wie das Auslösen der Schutzfunktionen und die Überschrei-
tung der zulässigen Bereiche für Spannung und Frequenz bewertet.

Tatsächlich wird bei einem Cyberangriff auf die Windenergieanlagen eines Verteilnet-
zes die Frequenz stabil bleiben, während die Spannung stark belastet wird. Sowohl
Über- als auch Unterspannung werden durch die Manipulation der Wirk- und Blindleis-
tung sowie die Schutzfunktionen verursacht, indem hohe und unzulässige Spannungs-
abweichungen auftreten. Außerdem werden durch das Ausschalten der Schutzfunktio-
nen der Windenergieanlagen Kaskadenfehler provoziert, indem alle anderen Anlagen
in einem Verteilnetzgebiet durch das Auslösen ihrer Schutzfunktionen getrennt werden,
und dadurch das Netz geschwächt.
Abstract vii

Abstract

The energy transition results in a growing use of information and communication sys-
tems in the distribution grids. The control and protection parameters of wind turbines as
an example could be managed through the remote maintenance connections. Because
of the existing risks of Cyberattacks on these systems, this paper proposes scenarios
in which the local plant control systems of wind turbines will be manipulated with the
aim of causing voltage and frequency instability in a middle voltage distribution grid.
The scenarios will be simulated in a time domain simulation with MATLAB. Moreover,
the consequences of these attacks on the grid will be evaluated using criteria like the
activation of the protection functions or the exceeding of permissible voltage and fre-
quency ranges.

In fact, cyberattacks on a group of wind turbines in a middle voltage distribution grid are
not likely to cause frequency instability, however the voltage could be heavily impacted.
The voltage can easily exceed the permissible ranges and over- and undervoltage can
occur. Moreover, shutting off the protection function of wind turbines and manipulating
its power can results in a cascading failure of all other generators in an area of the
power grid induced with the activation of their protection functions.
Inhaltsverzeichnis ix

Inhaltsverzeichnis

Seite

Kurzfassung v

Abstract vii

Inhaltsverzeichnis ix

Abbildungsverzeichnis xi

1 Einleitung 1
1.1 Motivation .............................................................................................1
1.2 Zielsetzung ...........................................................................................1

2 Grundlagen 3
2.1 Stabilität ................................................................................................3
2.2 Einfluss der Leistung auf die Spannung................................................4
2.3 Technische Richtlinie für Erzeugungsanlagen am Mittelspannungsnetz
5
2.3.1 Anforderungen an die Abgabe und Aufnahme der Blindleistung 6
2.3.2 Anforderungen an die Leistungsgradienten................................7
2.4 Windenergieanlagen .............................................................................8
2.4.1 Grundlagen der Windenergieanlage...........................................8
2.4.2 Art der Netzanbindung von Windenergieanlagen .....................10
2.4.3 Vollumrichter der Windenergieanlagen ....................................11
2.5 Cyberangriffe auf Windenergieanlagen...............................................11
2.5.1 Informations- und Kommunikationsmodell ...............................12
2.5.2 Cyberangriffe ............................................................................13

3 Methodisches Vorgehen 15
3.1 Simulationsumgebung ........................................................................15
x

3.2 Netzmodell und Annahmen ................................................................ 15

3.2.1 Netzmodell .............................................................................. 15
3.2.2 Annahmen ............................................................................... 16
3.3 Kriterien für die Bewertung der Auswirkungen von Cyberangriffen .... 17
3.3.1 Zulässige Bereiche für die Spannung und Frequenz ............... 18
3.3.2 Auslösen von Schutzfunktionen .............................................. 19
3.4 Erstellung der Manipulationsszenarien .............................................. 20
3.4.1 Manipulierte Parameter ........................................................... 20
3.4.2 Erstellung der Szenarien ......................................................... 20

4 Ergebnisse und Diskussion 22

4.1 Szenario 1 .......................................................................................... 22
4.2 Szenario 2 .......................................................................................... 23
4.3 Szenario 3 .......................................................................................... 25
4.4 Frequenz in den Szenarien ................................................................ 26

5 Zusammenfassung und Ausblick 27

Literaturverzeichnis 29
Abbildungsverzeichnis xi

Abbildungsverzeichnis

Seite

Abbildung 2 1 a) Einphasiges Ersatzschaltbild im Verbraucherzählpfeilsystem b)

Zeigerdiagram [Cor15] .................................................................................... 5

Abbildung 2 2 P/Q Diagramm der Erzeugungsanlage im Netzanschlusspunkt im

Verbraucherzählpfeilsystem [VDE18] .............................................................. 7

Abbildung 2.3 Beispiel des Regelverhaltens bei einem normierten Sollwertsprung und eine
Zeitvorgabe 3 von 10s [VDE18] ..................................................................... 8

Abbildung 2.4 Leistungsbeiwert Cp in Abhängigkeit der Schnelllaufzahl und Pitch-Winkel ..... 9

Abbildung 2 5 Windkraftanlage mit variabler Drehzahl und mit einem Teilumrichter [Bla12] 10

Abbildung 2.6 Windkraftanlage mit variabler Drehzahl und mit einem Vollumrichter [Bla12] . 11

Abbildung 2.7 Konzept des Kommunikationsmodells nach Normenreihe DIN 61400-25

[DIN16] ......................................................................................................... 12

Abbildung 3. 1 Das betrachtete Mittelspannungsnetz ........................................................... 16

Abbildung 3. 2 Die vier Betriebsbereiche einer WEA [Sch15] ............................................... 17

Abbildung 3. 3 Anforderungen an den quasistationären Betrieb von Erzeugungsanlagen

[VDE18]........................................................................................................ 18

Abbildung 3. 4 Low Voltage Ride-Through kurve für Typ 2 Anlagen [VDE18]........................ 19

Abbildung 4. 1 Ergebnis vom Szenario 1…………………………………………….………….…22

Abbildung 4. 2 Ergebnis vom Szenario 2……………………………………………………….….24

Abbildung 4. 3 Ergebnis vom Szenario 3…………………………………………………………..26

Einleitung 1

1 Einleitung

1.1 Motivation

Im Rahmen der Energiewende wird immer mehr „grüne“ Energie dezentral bei den Ver-
teilnetzen erzeugt. Die Windenergie gehört in Deutschland zu den wichtigsten regene-
rativen Energiequellen und betrug im Jahr 2018 16,3 % der gesamten erzeugten Ener-
gie, davon ungefähr 88 % an der Verteilnetzebene angeschlossen [Bun18].

Dazu führt der Bedarf an zuverlässige- und Echtzeit-Informationen beim Netzmanage-

ment zum vermehrten Einsatz von Informations- und Kommunikationstechnik (IKT) auf
Verteilnetzebene. Durch die IKT wird die Energieerzeugung optimiert, die Wartung der
Anlagen vereinfacht und Kosten eingespart. Insbesondere bei den Windenergieanla-
gen spielt IKT für die Wartung und Steuerung der Schutz- und Regelparameter dieser
riesigen voneinander entfernten Erzeugungsanlagen eine große Rolle.

Jedoch dienen diese Informations- und Kommunikationssysteme (IKS) nicht nur der
Netzführung, sondern auch als Ziel für eventuelle Cyberangreifer. Tatsächlich können
Angreifer durch das Nutzen und Entdecken von Sicherheitsschwachstellen bei den IKS
[Joh10] beispielsweise die Regel- und Schutzparameter der Erzeugungsanlagen mani-
pulieren, um das Netz zu destabilisieren. Solche Angriffe fanden in der Vergangenheit
schon statt, wie z. B. in der Ukraine im Jahr 2015 [Rob16]

Diese Cyberangriffe auf elektrische Netze stellen nicht nur die IT-Sicherheit vor neuen
Herausforderungen, sondern auch den Netzbetreiber aufgrund ihrer Auswirkungen auf
einen sicheren und stabilen Netzbetrieb.

1.2 Zielsetzung

Die zentrale Aufgabe dieser Arbeit ist, die Untersuchung der Auswirkungen von den
Manipulationen der lokalen Anlagenregelung von Windenergieanlagen auf die kurzfris-
tige Stabilität eines Verteilnetzgebietes. Dafür werden die Normen der Kommunikation
für die Überwachung und Steuerung der Windenergieanlagen (DIN 61400-25-1 bis 3)
betrachtet. Dazu werden eventuelle Manipulationsszenarien von Cyberangriffen identi-
2

fiziert, sowie nachgebildet und mit dynamischer Zeitbereichssimulation simuliert. Damit

sollen die Auswirkungen auf die Stabilität für jedes Szenario analysiert und bewertet
werden. Die geschieht anhand von Kriterien, wie z.B. das Auslösen der Schutzfunktio-
nen oder die Überschreitung der von der Norm (VDE 4110) bestimmten zulässigen Be-
reiche für Spannung und Frequenz.
Grundlagen 3

2 Grundlagen

2.1 Stabilität

Hier ist eine wörtliche übersetzte Definition der Stabilität eines elektrischen Energiesystem:

„Unter der Stabilität eines elektrischen Energiesystems versteht man dessen Fähigkeit (bei
gegebenem Anfangs-Betriebszustand), nach einer physikalischen Störung ein Gleichgewicht
im Betriebszustand wiederzuerlangen, wobei die meisten Variablen beschränkt sind und prak-
tisch das gesamte System intakt bleibt.“ [Hat20]

Bei elektrischen Energiesysteme könnten physikalische Störungen entstehen, z. B. in Form

von Laständerungen. Diese Störungen unterscheiden sich in der Stärke und Dauer und führen
zu Abweichungen mit verschiedenen Intensitäten und Dauern bei den Systemgrößen, bei-
spielsweise bei der Spannung und Frequenz.

Ein Ausfall bei einer Komponente im Netz, beispielsweise beim Transformator oder Genera-
tor, führt nicht unbedingt zur Instabilität des elektrischen Energiesystems.
So können, bei einem Ausfall eines Generators, die benachbarten Generatoren im Netz mehr
elektrische Energie produzieren, um die verlorene Erzeugungskapazität des ausgefallenen
Generators zu kompensieren [P. 04]. Das könnte aber zu Überlastungen bei diesen Genera-
toren führen, insbesondere wenn die Generatoren schon mit Volllast betrieben waren. Diese
Überlastungen können wiederum zu anderen Ausfällen von anderen überlasteten Erzeu-
gungskapazitäten führen, und daher verbreitet sich der Fehler auf die benachbarten Knoten
oder auf andere Teilnetzgebiete, indem eine Serie von überlasteten Generatoren an verschie-
denen Knoten nacheinander vom Netz getrennt werden. Das Phänomen wird Kaskadeneffekt
genannt und hat in der Geschichte schon mehrere Blackouts verursacht [Hin09], indem das
Trennen von überlasteten Generatoren zusätzliche akute Variationen bei den Systemgrößen
verursacht, die ihrerseits die Instabilität verlängern und vergrößern.

Stabilität eines elektrischen Energiesystems wird in mehreren Kategorien unterteilt, beispiels-

weise Frequenz-, Spannungs- oder Resonanzstabilität [P. 04]. Jedoch wird in dieser Arbeit
nur die kurzfristige Frequenz- und Spannungsstabilität betrachtet, d. h. die Stabilität der Span-
nung und Frequenz im Zeitbereich von Millisekunden bis mehrere Sekunden.
4

2.2 Einfluss der Leistung auf die Spannung

Das einphasige Ersatzschaltbild (ESB) und Zeigerdiagram in der Abbildung 2 1 werden näher
betrachtet, um den Einfluss der Wirk- und Blindleistung auf die Spannung herzuleiten.

v1 undv2 seien die Phasenspannungen und es gilt 𝐼1 = 𝐼2 = 𝐼 , wegen der Abwesenheit
von Shunt Admittanz im Zweig.  ist der Winkel zwischen dem StromI und der Spannung
v2, dann könnteI in einem Wirkstrom 𝐼𝑤 = I cos(φ) auf der reellen (oder horizontalen)
Achse und einen Blindstrom I𝑏 = I sin(φ) auf der imaginären Achse (oder Vertikalen) geteilt
werden. [Cor15]

Angenommen, dassv1 konstant ist undv2 die Spannung mit der Phase gleich null ist, hat die kom-
plexe Spannungsvariation  eine Querkomponente u und eine Längskomponente u wobei:

𝑢 = R𝐼𝑤 + 𝑋𝐼𝑏 , 𝑢 = 𝑋𝐼𝑤 − R𝐼𝑏 1.1

Angegeben ist auch die Drehstromscheinleistung 𝑆 = 3𝑆2 = 3(𝑃2 + 𝑗𝑄2 ), wobei

𝑆2 = 𝑣2 𝐼∗ = 𝑉2 (𝐼𝑤 + 𝑗𝐼𝑏 ) = 𝑃2 + 𝑗𝑄2 mit 𝐼 = 𝐼𝑤 − 𝑗𝐼𝑏 für induktive Lasten. Dann wird aus der
Gleichung 1.1

𝑅𝑃2 + 𝑋𝑄2 𝑋𝑃2 − 𝑅𝑄2 1.2

𝑢 = , 𝑢 =
𝑉2 𝑉2

Die Längs- und Querkomponente der Spannung hängen dann von der Wirk- und Blindleis-
tung, und der Zusammenhang zwischen die Spannung und die Leistung ist in Gleichung 1.2
deutlich. [Cor15]
Grundlagen 5

Abbildung 2 1 a) Einphasiges Ersatzschaltbild im Verbraucherzählpfeilsystem b) Zei-

gerdiagram [Cor15]

2.3 Technische Richtlinie für Erzeugungsanlagen am Mit-

telspannungsnetz

Das betrachtete Netz in dieser Arbeit ist ein Mittelspannungsnetz und sollte nach den
Vorgaben der VDE 4110 betrieben werden. Die Norm ist gültig für Netzspannungen
zwischen 1 kV und 60 kV und für Erzeugungsanlagen, die im Mittelspannungsnetz an-
geschlossen werden und eine installierte Leistung zwischen 135 kW und 36 MW auf-
weisen (z.B. Onshore-Windenergieanlagen) [VDE18].

Die Norm legt unter anderem Vorgaben fest, um einen stabilen Betrieb und die Zuver-
lässigkeit des Netzes zu sichern. Dazu wird in der Norm zwischen zwei Typen von Er-
zeugungsanlagen unterschieden. Typ 1 Anlagen beinhaltet Erzeugungseinheiten, die
einen Synchrongenerator besitzen, der direkt oder über einen Maschinentransformator,
mit dem Netz gekoppelt ist. Erzeugungsanlagen vom Typ-2 sind alle andere Anlagen,
die nicht die Definition der Typ-1 Anlagen erfüllen [VDE18]. Beispielsweise sind Wind-
kraftanlagen, deren Synchrongeneratoren mit einem Umrichter gekoppelt ist, Typ-2 An-
lagen. Daher wird im folgenden Absatz auf die Typ-2 Anlagen fokussiert.
6

2.3.1 Anforderungen an die Abgabe und Aufnahme der Blindleis-

tung

In VDE 4110 werden auch Vorgaben bezüglich der Blindleistungsbereitstellung in Ab-

hängigkeit der Wirkleistung und der Spannung angegeben.
𝑃𝑚𝑜𝑚
In Abbildung 2 2 ist erkennbar, dass für 𝑃𝑏 𝑖𝑛𝑠𝑡
≥ 0,2 𝑝𝑢 der Betrag der Blindleistung
1
𝑃
3 𝑏 𝑖𝑛𝑠𝑡
auf keinen Fall überschreiten darf (mit Pmom der momentane Wert der einge-

speisten Wirkleistung).
𝑃𝑚𝑜𝑚 |𝑄|
Ab < 0,2 sinkt der zugelassene schrittweise und erreicht 0,05 im unterer-
𝑃𝑏 𝑖𝑛𝑠𝑡 𝑃𝑏 𝑖𝑛𝑠𝑡

regten Betrieb und 0,02 im übererregten Betrieb für Pmom nah zu null. Mit unter- und
übererregtem Betrieb wird Blindleistungsbezug bzw. Blindleistungsabgabe gemeint.
[VDE18]

Die Blindleistungsanforderungen unterliegen auch bestimmte Bedingungen bezüglich

der Spannung. So darf keine Blindleistung aufgenommen werden, wenn die Spannung
unter 0,9 pu ist. Analog darf keine Blindleistung abgegeben werden, wenn die Span-
nung über 1,1 pu ist. Die Nichteinhaltung dieser Anforderung wirkt sich negativ auf das
Unter- bzw. Überspannungsszenario aus.
Grundlagen 7

Abbildung 2 2 P/Q Diagramm der Erzeugungsanlage im Netzanschlusspunkt im Verbrau-

cherzählpfeilsystem [VDE18]

2.3.2 Anforderungen an die Leistungsgradienten

Schnelle Variationen bei der Wirk- und Blindleistung führen zu großer Schwankung und
Volatilität unter anderem bei der Spannung. Deswegen gibt die Norm auch Anforderun-
gen für den Wirk- und Blindleistungsgradient bei einer Sollwertvorgabe, d. h. ihre Än-
derungsgeschwindigkeit.
𝑃𝑏 𝑖𝑛𝑠𝑡
Der Wirkleistungsgradient (P’t) sollte im Bereich zwischen 0,33% 𝑠
=< 𝑃𝑡′ =<
𝑃𝑏 𝑖𝑛𝑠𝑡
0,66% 𝑠
liegen, mit Pb inst die in Betrieb befindliche installierte Leistung.

Das Regelverhalten der Blindleistung sollte nach dem PT1-Verhalten erfolgen, wie ge-
zeigt in der . Das Netzbetreiber gibt eine Zeitvorgabe vor, die 3 mit 2𝑠 < 𝜏 < 20𝑠 ent-
pricht, während derer 95% des Sollwertes erreicht werden soll [VDE18].

Das Regelverhalten der Blindleistung sollte nach dem PT1-Verhalten erfolgen mit einer
3-Zeitkonstante zwischen 6 s und 60 s, wie in Abbildung 2.3 gezeigt. Die Zeitkonstante
beschreibt die benötigte Zeit um 95 % des Sollwertes zu erreichen. [VDE18]
8

Abbildung 2.3 Beispiel des Regelverhaltens bei einem normierten Sollwertsprung und eine
Zeitvorgabe 3 von 10s [VDE18]

2.4 Windenergieanlagen

Windkraftanlagen (WEA) wandeln einen Teil von der im Wind enthaltenden kinetischen
Energie in elektrische Energie um. Der Wind führt zur Bewegung der Rotorblätter und
mechanische Energie wird produziert. Mit einem Generator wird diese Energie danach
in elektrische Energie umgewandelt, die in das elektrische Netz eingespeist wird.

2.4.1 Grundlagen der Windenergieanlage

Einfluss des Gier- und Pitch-Winkels auf die Leistung

Damit eine WEA elektrische Energie produzieren kann, muss sie in der Lage sein, die
Windenergie zu wandeln. Dafür muss die Gondel der WEA, je nach dem Typ der WEA,
in einer bestimmten Ausrichtung sein, d.h. einen bestimmten Gier-Winkel haben, und
die Rotorblätter einen bestimmten Neigungswinkel haben. Das Befinden der Gondel
einer Anlage in einer anderen Ausrichtung vermindert die Stromerzeugung und könnte
ihr sogar verhindern [Dar17], [Hei18a].

Der Pitch-Regelung dient normalerweise dazu, die Leistungserzeugung und den Wir-
kungsgrad zu optimieren, Reserveleistung zu schaffen und die Anlage bei starkem
Grundlagen 9

Wind zu schützen. Diese Funktionen werden durch die Änderung des Pitch-Winkels
erfüllt, dessen engen Zusammenhang mit der Leistung deutlich ist. So führt die Steige-
rung der Pitch-Winkel zu einer Senkung der Leistungsbeiwert und daher der erzeugten
Leistung, dazu WEA können ausgeschaltet werden, indem der Pitch-Winkel auf 90°
gesetzt wird. [Rol02], [Cho12], [Hei18a].

Physikalische Grundlagen

Das aerodynamische Modell einer Pitch-geregelte WEA wird gekennzeichnet mit den
bekannten Kurven für den Leistungsbeiwert Cp(,), gezeigt in Abbildung 2.4.  ist der
Pitch-Winkel und  ist der Schnelllaufzahl gegeben mit der Gleichung

R𝑡 1.3
=
𝑣𝑤

wobei R der Rotorradius in m, t die Winkelgeschwindigkeit des Rotors in rad / s und

vw die Windgeschwindigkeit in m / s. [Hei18a]

Abbildung 2.4 Leistungsbeiwert Cp in Abhängigkeit der Schnelllaufzahl und Pitch-Winkel

Cp(,) Kurven unterscheiden sich bei den WEA je nach der Bauform der Rotorblätter.
Für einen gegeben Leistungsbeiwert berechnet sich die mechanische Leistung P m wie
folgend

1 1.4
𝑃𝑚 =  𝐴𝑟 𝑣𝑤3 𝐶𝑝 (, )
2
10

wobei  die Luftdichte in kg / m³, Ar die Querschnittsfläche des Rotors in m². [Sch15]

2.4.2 Art der Netzanbindung von Windenergieanlagen

Windenergieanlagen können entweder indirekt durch einen Umrichter oder direkt mit
dem Netz verbunden werden.

Die WEA mit Umrichter sind aktueller, am meisten vorhanden und werden immer mehr
verwendet [Bla12]. Dazu werden sie noch in zwei Typen unterteilt, und zwar die mit
einem Teilumrichter gezeigt in Abbildung 2 5 und die mit einem Vollumrichter wie in
Abbildung 2.6.

Abbildung 2 5 Windkraftanlage mit variabler Drehzahl und mit einem Teilumrichter

[Bla12]

Von den Anlagen mit einem Teilumrichter ist die doppelt gespeiste Asynchrongenera-
tor, gezeigt in am bedeutendsten. Bei denen wird nur ungefähr das Drittel der erzeug-
ten Leistung durch den Umrichter gespeist, während 2/3 der Leistung direkt ins Netz
eingespeist wird. [Hei18a]

Bei den Anlagen, die mit einem Vollumrichter verbunden werden, wird 100 % der Leis-
tung durch den Umrichter ins Netz eingespeist (siehe Abbildung 2.6) Als Generator wird
z.B. in diesem Fall ein permanentmagnet-erregter Synchrongenerator genutzt. [Sch15]
Grundlagen 11

Abbildung 2.6 Windkraftanlage mit variabler Drehzahl und mit einem Vollumrichter [Bla12]

2.4.3 Vollumrichter der Windenergieanlagen

Umrichter müssen sowohl die Anforderungen des Netzes als auch die des Generators
erfüllen und bestehen aus zwei Teilen, und zwar einen netz- und einen generatorseiti-
gen Teil.

Das Hauptziel des generatorseitigen Teils ist das Produzieren der maximal möglichen
Leistung und die Leistung stabil zu halten. Dafür werden die Ströme, die in den Gene-
rator fließen, gesteuert. Der netzseitige Teil muss die Netzanschlussrichtlinien unab-
hängig von der Windgeschwindigkeit erfüllen. Hierfür müssen Wirk- und Blindleistung
durch Sollwerte gesteuert werden. Die Vorgabe der Sollwerte geschieht über Leitsys-
teme des Netzbetreibers oder virtuellen Kraftwerksbetreibers oder automatisch
[VDE18]. Außerdem besitzen die Umrichter Schutzfunktionen und beteiligen sich an
der dynamischen Netzstützung im Netzfehler, wie z.B. den Low-Voltage Ride Through.
[Bla12], [Teo11], [VDE18]

2.5 Cyberangriffe auf Windenergieanlagen

Windenergieanlagen (WEA) werden durch so genannte SCADA-Systeme (Systeme für

Überwachung, Steuerung und Datenerfassung) fernüberwacht. Unter SCADA-System
wird die Datenerfassung, das Überwachen und Steuern technischer Prozesse mittels
eines Computer-Systems verstanden. [Dan99]

Um das Geschehen von Cyberangriffen zu erklären, wird zunächst den Informations-

und Kommunikationsmodell der WEA mit dem SCADA-System, Anhand der Norm DIN
61400-25, betrachtet.
12

2.5.1 Informations- und Kommunikationsmodell

Eine WEA erfasst verschiedene Informationsarten, die auf zwei Typen unterteilt werden
können.
Der erste Typ umfasst Informationen wie die historischen, statistischen und Prozessin-
formationen, die nur gelesen werden dürfen. Die stellen nur Informationen der WEA,
beispielsweise die Ausrichtung der Gondel oder den Status des Rotors, zur Verfügung.
Der zweite Typ umfasst Steuerungsinformationen, wie die Sollwerte für Schein- und
Regelleistung oder auch die Prioritätssetzung für die Wirk- und Blindleistungsabgabe
[DIN16]. Steuerungsinformationen werden geschrieben und dienen normalerweise die
Wartung, Steuerung oder die Optimierung der WEA. [DIN18]

Die Kommunikation ist der Informationenaustauch. Bei dem Kommunikationsmodell

von einem SCADA-System sind zwei Ebenen zu erkennen, und zwar die „Client“- und
die „Data Server“ Ebene wie in Abbildung 2.7 dargestellt ist. Die „Client“ Ebene erfüllt
die Interaktionen zwischen das SCADA-System und den „Data Server“, während die
„Data Server“ Ebene für die Prozessdatensteuerung verantwortlich ist [Dav06].

Abbildung 2.7 Konzept des Kommunikationsmodells nach Normenreihe DIN 61400-25

[DIN16]
Grundlagen 13

2.5.2 Cyberangriffe

Die Eingabe von Steuerungsinformationen setzt eine erfolgreiche Authentifizierung des

Clients und eine Validierung der eingegebenen Befehle oder Sollwerte durch den Ser-
ver voraus [Zha15] [VDE16]. Aber wie bei jedem IT-System, gibt auch beim SCADA-
System Sicherheitsschwachstellen, sowohl bei der Client- oder Server Ebene als auch
bei dem Datentransfer zwischen den Beiden (siehe Abbildung 2.7). Beispiele für
Schwachstellen können fehlende sichere Authentifizierung oder auch hinkende Absi-
cherung der mobilen Endgeräte sein. [Joh10] [Lev14]

Diese Schwachstellen werden genutzt, um Cyberangriffe durchzuführen, indem bei-

spielsweise fehlerhafte Steuerungsinformationen, z. B. Wirk- und Blindleistungssoll-
werte oder Gier- und Pitch-Winkel, eingegeben werden können. [DIN16] So führt die
Manipulation der Gier- oder Pitch-Winkel beispielsweise dazu, dass die Anlage keine
elektrische Energie mehr produzieren kann, da die Gondel oder die Rotorblätter sich in
der falschen Ausrichtung bzw. Neigungswinkel befinden.

Zusammengefasst ist das Hacken einer WEA nicht unmöglich. Bekannte Sicherheits-
schwachstellen werden durch Ingenieure zwar behoben, aber neue Schwachstellen
werden immer herausgefunden und neue Methoden zum Hacken werden immer entwi-
ckelt. Kritische Parameter wie die Leistung können bei Cyberangriffen manipuliert wer-
den und deren Manipulation verursacht sowohl wirtschaftliche als auch netzbezogene
Schaden.
Methodisches Vorgehen 15

3 Methodisches Vorgehen

In diesem Kapitel wird die Vorgehensweise für die Erstellung der Manipulationsszena-
rien vorgestellt. Dazu werden auch die Kriterien, die zur Bewertung der Auswirkungen
der Szenarien dienen, untersucht.

3.1 Simulationsumgebung

Um die Zeitbereichssimulationen durchzuführen wird MATLAB R2019b, die Toolbox

MatPAT „Matpower based Power System Analysis Toolbox“ genutzt.

MatPAT und das Add-on für Cyberangriffe ermöglichen die Erstellung von Manipulati-
onsszenarien, indem stabilitätsbeeinflussende Schutz- und Regelparameter manipu-
liert werden. So können neue Sollwerte für die Wirk- und Blindleistung der WEA einge-
geben werden oder auch Schutzfunktion der WEA ein- und ausgeschaltet werden.

3.2 Netzmodell und Annahmen

3.2.1 Netzmodell

Das betrachtete Netz ist eine modifizierte Version des europäischen CIGRE-
Benchmark-Mittelspannungsnetz mit einer Spannungsebene von 20 kV. Das Netz und
seine Topologie werden in Abbildung 3. 1 gezeigt [Kai14]. Elektrische Energie wird vom
Übertragungsnetz mit Spannungsebene 220 kV über ein Leistungstransformator ins
Mittelspannungsnetz gespeist.

Dazu sind mehrere dezentrale Erzeugungsanlage von verschieden Typen mit einer ge-
samten Leistung von 18,7 MW im Netz installiert, und zwar Windenergieanlagen, PV-
Anlagen, Block-heizkraftwerken, Brennstoffzellen und Batteriespeicher. In blau darge-
stellt sind die im Rahmen dieser Arbeit hinzugefügten Windenergieanlagen.
CC2020
16

TS

220 kV/20 kV 220 kV/20 kV

20 kW 2 13
PV
2x1,414 MW
3 14
WEP
20 kW 1 MW 30 kW
4
PV PV PV

5 9 15

310 kW WEP

10 kW 1x1,414 MW
CHP
PV Legende:
212 kW
12 Lasten
FC
PV PV Anlagen
30 kW
40 kW PV
30 kW 600 kW
WEP
Windenrgiean-
PV 8 lage
PV BSS
11 Brennstoffzellen
FC
WEP
6 10
BSS FC 6x1,5 MW BSS Batteriespeicher
WEP FC 30 kW
200 kW 14 kW 7
1x1,414 MW 33 kW PV Blockheizkraft-
CHP
WEP
werken

1x1,414 MW

018 Institut für Hochspannungstechnik

Abbildung 3. 1 Das betrachtete Mittelspannungsnetz

3.2.2 Annahmen

Für die Analyse werden folgende Annahmen genutzt:

Bei der Betriebsführung von Windenergieanlagen (WEA) können vier Betriebsbereiche

in Abhängigkeit der Windgeschwindigkeit unterschieden werden (Siehe Abbildung 3.
2). WEA können ihre maximale Leistung erst erzeugen, wenn 𝑣𝑐𝑢𝑡−𝑖𝑛 < 𝑣𝑤 < 𝑣𝑐𝑢𝑡−𝑜𝑢𝑡 ,
wobei 𝑣𝑤 die Windgeschwindigkeit, 𝑣𝑐𝑢𝑡−𝑖𝑛 die Einschaltwindgeschwindigkeit und
𝑣𝑐𝑢𝑡−𝑜𝑢𝑡 die Ausschaltwindgeschwindigkeit [Sch15]. Zeil eines Cyberangriffs ist den
Schaden auf das Netz zu maximieren, dafür muss so viel Leistung wie möglich mani-
puliert werden, um eventuell Instabilität im Netz zu erzeugen. Aus diesem Grund wird
in den Simulationen angenommen, dass die WEA im Betriebsbereich 3 betrieben wer-
𝑚
den (Windgeschwindigkeit ab 12 𝑠 )
Methodisches Vorgehen 17

Abbildung 3. 2 Die vier Betriebsbereiche einer WEA [Sch15]

In dieser Arbeit wird außerdem angenommen, dass sowohl die installierten WEA als auch die
noch zu installierenden WEA durch einen Vollumrichter mit dem Netz verbunden sind.

Außerdem ändert sich der Lastenverbrauch bei den realen Netzen ständig, indem bei-
spielsweise Lasten ein- und ausgeschaltet werden. Jedoch wird in dieser Arbeit ange-
nommen, dass Lastenverbrauch fest während der Simulationszeitdauer konstant ist.
Wegen des ausschließlichen Betrachtens der kurzfristigen Stabilität, ist diese Annahme
auch akzeptabel.

Schließend wird auch angenommen, dass die WEA am Anfang des Angriffs reine
Wirkleistung abgeben, d. h. ohne Blindleistungsabgabe oder Aufnahme.

3.3 Kriterien für die Bewertung der Auswirkungen von Cy-

berangriffen

Ziel dieser Arbeit ist die Auswirkungen von Cyberangriffen auf die Netzstabilität anhand
von Kriterien zu bewerten. Deswegen werden die simulierten Szenarien so erstellt, um
das maximal mögliche Verletzen der Kriterien für die Netzstabilität zu erzielen.
Spannung und Frequenz sind die zu betrachtenden Systemgrößen. Das erste Kriterium
ist die Bewertung der Abweichungen der betrachteten Netzkenngrößen anhand ihren
zulässigen Bereichen, die für Erzeugungsanlagen im Mittelspannungsnetz in der Norm
VDE 4110 angegeben werden (siehe Abbildung 3. 3 und Abbildung 3. 4). Das zweite
Kriterium ist das Auslösen von Schutzfunktionen des Anlagenschutzes. Tatsächlich ist
18

das Auslösen von Schutzfunktionen kritischer als Kriterium. Das heißt, dass die Verlet-
zung des zweiten Kriteriums setzt die Verletzung des Ersten voraus, während die Ver-
letzung des ersten Kriteriums die Verletzung des Zweiten nicht voraussetzt.

3.3.1 Zulässige Bereiche für die Spannung und Frequenz

Im Allgemeinen werden die zulässigen und unzulässigen Bereiche für diese System-
größen durch Ober- und Untergrenzen beschränkt, wie in Abbildung 3. 3 für die Span-
nung am Anschlussknoten der Erzeugungsanlage gezeigt.

Abbildung 3. 3 Anforderungen an den quasistationären Betrieb von Erzeugungsanlagen

[VDE18]

Bei der Spannung werden zulässige Bereiche auch Spannungsband genannt [BDE08],
und Abweichungen, nach unten und nach oben, bis zu 10 % vom Sollwert sind zulässig.
Hingegen sind Spannungsabweichung von über 10 % vom Sollwert kritisch. So dürfen
Abweichungen zwischen 10 % und 15 % nicht länger als 60 s andauern. Tatsächlich
werden nach 60 s alle Erzeugungsanlagen im Netz, wo das Spannungsband verletzt
ist, wegen Unter- oder Oberspannungsschutz getrennt.

Die Frequenz ist bei Abweichungen in den beiden Richtungen bis maximal 2 % vom
Sollwert (50 Hz) immer noch im zulässigen Bereich. Größere Sollwertabweichung bi zu
3 % nach oben und bis 5 % nach unten dürfen nicht länger als 30 min andauern. Wie
bei der Spannung führt die Überschreitung dieser Grenzen zur Trennung der Anlagen.
Methodisches Vorgehen 19

3.3.2 Auslösen von Schutzfunktionen

Bei der Überschreitung der zulässigen Ober- und Unterspannungsgrenzen werden Un-
ter- und Überspannungsschutz ausgelöst. Analog werden bei der Überschreitung der
zulässigen Ober- und Unterfrequenzgrenzen, Über- und Unterfrequenzschutz ausge-
löst. Zusätzlich werden Blindleistungsaufnehmende WEA beim Unterschreiten des
Spannungswertes von 0.85 pu nach 0.5 s durch QU-Schutz vom Netz getrennt.

Die „Low Voltage Ride-Through“ (LVRT) (siehe Abbildung 3. 4) definiert den Bereich,
wo sich die Anlagen nicht vom Netz trennen sollen, um dynamische Netzstützung zu
leisten [VDE18]. Dieser Bereich liegt zwischen der oberen und unteren FRT-grenzkurve
für 3-polige Fehler. Bei der Überschreitung dieses Bereiches werden Schutzfunktionen
ausgelöst. So sollen die in den Grundlagen definierten Typ-2 Anlagen bei einem Span-
nungseinbruch auf 0,5 pu mindestens ~1,6 Sekunden am Netz bleiben.

Abbildung 3. 4 Low Voltage Ride-Through kurve für Typ 2 Anlagen [VDE18]

Das ist dann merkbar, dass eine blindleistungsaufnehmende WEA bei einer Spannung
unter 0,85 pu mit dem Q-U Schutz nach 0,5 s getrennt wird, bevor der Unterspannungs-
schutz nach 3 s ausgelöst wird.
20

3.4 Erstellung der Manipulationsszenarien

Mit den Manipulationsszenarien werden die Auswirkungen erfolgreicher Cyberangriffe

nachzubilden. Ein mögliches Ziel eines Angriffs, ist die Ober- bzw. Untergrenzen der
Spannung und Frequenz zu verletzen oder durch Auslösen von Schutzfunktionen Er-
zeugungsanlagen vom Netz zu trennen. In diesem Abschnitt wird die Vorgehensweise
für die Erstellung von Manipulationsszenarien vorgestellt.

3.4.1 Manipulierte Parameter

Sowohl die Wirk- und Blindleistung als auch die Schutzfunktionen der Spannung und
Frequenz werden in diesen Szenarien manipuliert.

Die Schutzfunktionen der betrachteten Systemgrößen können durch das Kompromit-

tieren der lokalen Anlagenregelung deaktiviert werden. Das Ausschalten von Schutz-
funktionen ermöglicht, dass die WEA bei der Überschreitung der unteren bzw. oberen
Spannungs- oder Frequenzgrenzen nicht wegen des Auslösens der Schutzfunktionen
getrennt werden, sondern weiter Wirk- und Blindleistung aufnehmen bzw. abgeben
werden. Dadurch wird versucht, das Spannungs- und Frequenzniveau weiter nach un-
ten bzw. nach oben zu ziehen und eventuell eine Kaskade zu verursachen, indem die
anderen Erzeugungsanlagen im Netz wegen des Auslösens ihrer Schutzfunktionen ge-
trennt werden.

Die eingespeiste Wirk- und Blindleistung wird über die Vorgabe neuer Sollwerte mani-
puliert. Dabei werden verschiedene Leistungsgradienten und Blind- und Wirkleistungs-
faktoren, die nicht konform mit der VDE4110-Anwendungsrichtlinien sind, vorgegeben.
𝑘𝑊
Jedoch werden Leistungsgradienten von weniger als 100 𝑠
pro Anlage manipuliert,

um eine Stillsetzung oder Störabschaltung zu vermeiden [Hei18b].

3.4.2 Erstellung der Szenarien

Die Erstellung von Manipulationsszenarien könnte auf 3 Schritten unterteilt werden.

Zunächst werden die zu manipulierenden Parametern und die zu verletzenden Kriterien
gewählt, d. h. es wird auf die Fragen welche Parameter vom Angreifer manipuliert wer-
den, und wie und zu welchem Zweck werden sie manipuliert, geantwortet.
Methodisches Vorgehen 21

Dann werden verschiedene Szenarien implementiert, indem die gewählten Parameter

auf unterschiedlicher Art und Weise manipuliert werden, beispielsweise verschiedene
Leistungsgradienten oder unterschiedliche Wirk- und Blindleistungsfaktoren.

Schließlich werden die kritischen Szenarien gewählt, d. h. die Szenarien wo die Krite-
rien für die Bewertung der Stabilität der Systemgrößen verletzt sind. Dafür werden so-
wohl die Verletzung der zulässigen Bereiche für Spannung und Frequenz als auch die
Anzahl der getrennten Anlagen (und ihre zugehörige installierte Leistung) quantitativ
betrachtet.
22

4 Ergebnisse und Diskussion

In diesem Kapitel werden ausgewählte Ergebnisse vorgestellt und diskutiert. Für jedes
Szenario werden die Wechselspannung an den Knoten im Netz, der Wirkstrom und die
Wirk- und Blindleistung von den Erzeugungsanlagen gezeigt und analysiert.

4.1 Szenario 1

Im Szenario 1 (siehe Abbildung 4. 1 Ergebnis vom Szenario 1) werden sowohl die

Wirk- und Blindleistung manipuliert als auch die Schutzfunktionen ausgeschaltet. Die
von den WEA abgegebene Wirkleistung wird von 𝑡0 = 1 𝑠 bis 𝑡1 = 14,2 𝑠 mit einem Leis-
𝑃𝑖𝑛𝑠𝑡
tungsgradient von 5 % bis zum Erreichen 0,33 𝑝𝑢 gesunken. Ab 𝑡1 = 14,2 𝑠 wird
𝑠

die von den WEA aufgenommene Blindleistung gesteigert bis zum Erreichen von 1 𝑝𝑢
in 𝑡2 = 21 𝑠.

Abbildung 4. 1 Ergebnis vom Szenario 1

Das führt dazu, dass die Spannung in einem Teilnetzgebiet vom Verteilnetz gestiegen
ist und das Spannungsband ab 𝑡3 = 20𝑠 verletzt wird, und bleibt bis zum Ende des
Szenarios an allen Anschlussknoten der Erzeugungsanlagen im unzulässigen Span-
Ergebnisse und Diskussion 23

nungsbereich. Die Spannung im Knoten 15, wo sich auch eine manipulierte WEA be-
findet, wird wegen der Nähe des Knotens 15 zum Übertragungsnetz und wegen des
geöffneten Schalters zwischen den Knoten 9 und 15 stabil bleiben.

Während des Spannungsanstiegs haben die PV, Brennstoffzellen, Batterien aber auch
WEA den abgebeben Wirkstrom reduziert, um trotz der Spannungssteigerung kon-
stante Wirkleistung abzugeben. Dazu wird von den Energiespeichersystemen, und
zwar von den Batterien und Brennstoffzellen, zunehmend Blindleistung aufgenommen,
was die Netzstabilität unterstützt, indem ein Teil der von den WEA abgegebenen Blind-
leistung kompensiert wird.

Im Zeitintervall von 𝑡4 = 31,21 𝑠 bis 𝑡5 = 32,52 𝑠 findet eine Kaskade statt, indem alle
Erzeugungsanlagen außer der WEA in einem Teilnetzgebiet wegen Überspannungs-
schutz vom Netz getrennt werden. Insgesamt werden 15 Anlagen mit einer gesamten
Leistung von 2,6 MW vom Netz getrennt. Die WEA mit ausgeschalteten Schutzfunktio-
nen (außer die WEA im Knoten 15) werden auch eventuell wegen technischen Gründen
oder Schaden bei den Erzeugungsanlagen nach einer Zeit 𝑡𝑥 ausgeschaltet bzw. vom
Netz getrennt.

4.2 Szenario 2

Im Szenario 2 (Siehe Abbildung 4. 2) werden auch sowohl die Wirk- und Blindleistung
als auch die Schutzfunktionen manipuliert. Die von den WEA abgegebene Wirkleistung
wird ab
𝑃𝑖𝑛𝑠𝑡
𝑡0 = 1 𝑠 bis 𝑡1 = 19 𝑠 mit einem Leistungsgradient von 5 % 𝑠
um 90 % reduziert und

die von den WEA aufgenommene Blindleistung wird mit demselben Leistungsgradient
ab 𝑡1 = 19 𝑠 bis zum Erreichen von 0,9 𝑝𝑢 in 𝑡2 = 35 𝑠 gesteigert. Dazu werden auch
Schutzfunktionen der WEA ausgeschaltet.

Das sukzessive Reduzieren der abgegebenen Wirkleistung und die Steigerung der
Blindleistungsaufnahme führen dazu, dass die Spannung in einem Teilnetzgebiet vom
betrachteten Netz gesunken ist. Die Variationen bei der Spannung im Knoten 15 (Siehe
Abbildung 4. 2), wo sich auch eine manipulierte WEA befindet, wird wie beim ersten
Szenario wegen der Nähe des Knotens 15 zum Übertragungsnetz und wegen des ge-
öffneten Schalters zwischen den Knoten 9 und 15 nur um 2 % gesunken und bleibt im
zulässigen Spannungsbereich.
24

Die Spannungssenkung führt dazu, dass das Spannungsband ab 𝑡3 = 25,5 𝑠 verletzt

wird und verursacht im Zeitintervall zwischen 𝑡4 = 28,91 𝑠 und 𝑡5 = 29,51 𝑠 eine Kas-
kade, indem alle Anlagen außer der WEA wegen Unterspannungsschutz vom Netz ge-
trennt werden. Insgesamt werden 15 Anlagen mit einer gesamten Leistung von 2,6 MW
vom Netz getrennt.

Abbildung 4. 2 Ergebnis vom Szenario 2

Die Wechselspannungsvariationen in diesem Szenario könnten in 3 Bereichen unter-

teilt werden, und zwar vor, während und nach der Kaskade. Der Bereich vor der Kas-
kade wird dazu in zwei Unterbereichen unterteilt, und zwar der erste Unterbereich, wo
die Wirkleistung reduziert wird, und der zweite Unterbereich wo die Blindleistungsauf-
nahme steigt. Tatsächlich fällt die Spannung im ersten Unterbereich mit einem Gradi-
𝑝𝑢
enten von ungefähr −0,005 𝑠
und im zweiten Unterbereich mit einem Gradienten von
𝑝𝑢
ungefähr −0,016 𝑠
, d. h. ungefähr 3-mal schneller. Am Schnellsten ist die Spannung
𝑝𝑢
nach der Kaskade mit einem Gradienten von −0,033 𝑠
gesunken, d. h. ungefähr 2

bzw. 6,6-mal schneller als im Unterbereich 1 bzw. 2. Die Kaskade in sich hat einen
Spannungssprung von ungefähr 0,05 pu verursacht.

Die unterschiedlichen Gradienten im Bereich 1 und 2 könnten durch die Netzstützung

der anderen Erzeugungsanlagen erklärt werden. Der abgegebene Wirkstrom von den
Erzeugungsanlagen steigt, um eine konstante Wirkleistung trotz fallender Spannung
Ergebnisse und Diskussion 25

weiter abzugeben. Batterien und Brennstoffzellen werden dazu Blindleistung zuneh-

mend abgeben, was die Netzstabilität unterstützt.

Schließlich werden auch die WEA mit ausgeschalteten Schutzfunktionen (außer die
WEA im Knoten 15) eventuell wegen technischen Gründen oder Schaden bei den Er-
zeugungsanlagen nach einer Zeit 𝑡𝑥 ausgeschaltet bzw. vom Netz getrennt

4.3 Szenario 3

Im Szenario 3 werden die Auswirkungen des Ausschaltens der WEA durch die Mani-
pulation von spezifischen Anlagenregelung wie den Gier- und Pitch-Winkel auf die
Netzstabilität approximiert und betrachtet. Da die WEA vor dem Angriff reine Wirkleis-
tung abgeben, werden diese Manipulation zu einer Senkung der Wirkleistung führen,
ohne Beeinflussung der Blindleistung oder Ausschalten von Schutzfunktionen. Aus die-
sem Grund werden die Auswirkungen dieser Manipulationen approximiert, in dem die
𝑃𝑖𝑛𝑠𝑡
Wirkleistung mit einem Leistungsgradient von 2,5 % 𝑠
in diesem Szenario gesunken

wird.

Das Ausschalten der WEA führt zwar zu einer Senkung der Spannung im Netz mit
Spannungsvariationen in der Höhe von 9 % bis 12 %, aber das Spannungsband wurde
nicht verletzt.
26

Abbildung 4. 3 Ergebnis vom Szenario 3

Obwohl die Spannung und Frequenz im zulässigen Bereich bleiben, können diese Ma-
nipulationen je nach ihren Häufigkeiten das Netz negativ beeinflussen, indem beispiels-
weise gleichzeitig große Verbraucher angeschaltet werden.

4.4 Frequenz in den Szenarien

Die Variationen bei der Frequenz bei allen Szenarien waren in der Größenordnung von
10−3 bis 10−5 . Die Manipulationsszenarien haben dann die Frequenzstabilität nicht o-
der nur wenig belastet, weil die vom Übertagungsnetz abgegebene Leistung viel größer
(mehr als 103 ) als die am Mittelspannungsnetz manipulierte Leistung ist.
Zusammenfassung und Ausblick 27

5 Zusammenfassung und Ausblick

Um eventuelle Cyberangriffe nachzubilden, werden im Rahmen dieser Arbeit mögliche

Manipulationsszenarien für die lokale Regelung von Windenergieanlagen identifiziert,
entwickelt und anhand dynamischer Zeitbereichssimulation mit MATLAB und MatPAT
simuliert. Dafür werden unter anderem gültige Normen sowohl für die Identifizierung
von möglichen Manipulationen der lokalen Regelung von den Windenergieanlagen als
auch für die Bewertung ihrer Auswirkungen auf die Verteilnetzstabilität betrachtet.

Die Manipulation der lokalen Regelung von Windenergieanlagen führt zu relativ kleinen
(Größenordnung von 10−3 bis 10−5 ) und zulässigen Variationen bei der Frequenz, aber
zu großer Abweichungen bei der Spannung (bis zu 45 %) in einem Gebiet des Verteil-
netzes. Bei der Manipulation der Wirk- und Blindleistung sowie das Ausschalten der
Schutzfunktionen wird das Spannungsband verletzt und Auslöse von Schutzfunktionen
werden verursacht. Außerdem können sowohl Über- als auch Unterspannungen im be-
lasteten Gebiet des Netzes auftreten. Insbesondere beim Ausschalten der Schutzpara-
meter von blindleistungsaufnehmenden Windenergieanlagen, werden durch Auslöse
des Unterspannungsschutzes der anderen Erzeugungsanlagen Kaskaden auftreten.
Das Auslösen der Schutzfunktionen der anderen Erzeugungsanlagen verursachen
Spannungseinbrüche und schwächen das Verteilnetzgebiet weiter, indem die Span-
nung, wegen fehlender Netzstützung von anderen Erzeugungsanlagen im Verteilnetz-
gebiet, nach der Kaskade schneller als vorher fällt.

Zusammengefasst können die Manipulationen der lokalen Anlagenregelung von Wind-

energieanlagen durch Cyberangriffe ein Verteilnetzgebiet destabilisieren, indem Unter-
und Überspannungen verursacht werden, die zu großer und unzulässiger Abweichun-
gen bei der Spannung und zur Trennung der anderen Erzeugungsanlagen wegen Aus-
löse der Schutzfunktionen im Netz führen.

Im Rahmen weiterer Arbeiten können Lastvariationen betrachtet werden. Je nach dem

Fall können Laständerungen das Netz unterstützen oder mehr destabilisieren, indem
beispielsweise in Unter- bzw. Überspannungsszenarien große Verbraucher ein- und
ausgeschaltet werden.

Schließlich können andere Simulationen auf verschiedene Netze mit verschieden Wer-
ten für die Reaktanz X und den Widerstand R, da diese beide Größe Einflüsse auf die
Auswirkungen von der Wirk- und Blindleistung auf die Spannung haben. Außerdem
28

könnte auch über die Einflüsse von mehreren parallelen Cyberangriffen auf Windener-
gieanlagen in verschiedenen Verteilnetzen auf deren Übertragungsnetz geforscht wer-
den. Dann können die Trennung von mehreren Erzeugungsanlagen in mehreren Ver-
teilnetzen die Energieversorgung gefährden, oder als Vorbereitung für einen größeren
Angriff auf das Übertragungsnetz dienen.
Literaturverzeichnis 29

Literaturverzeichnis

[BDE08] BDEW: Technische Richtlinie Erzeugungsanlagen am Mittelspannungs-

netz, 2008.

[Bla12] Blaabjerg, F.; Liserre, M.; Ma, K.: Power Electronics Converters for Wind
Turbine Systems. In IEEE Transactions on Industry Applications, 2012,
48; S. 708–719.

[Bun18] Bundesministerium für Wirtschaft und Energie: Erneubare Energien.

https://www.bmwi.de/Redaktion/DE/Dossier/erneuerbare-energien.html,
2018.

[Cao15] Cao, G.; Grigoriadis, K. M.; Nyanteh, Y. D.: LPV control for the full region
operation of a wind turbine integrated with synchronous generator. In
TheScientificWorldJournal, 2015, 2015.

[Cho12] Chowdhury, M. A.; Hosseinzadeh, N.; Shen, W. X.: Smoothing wind power
fluctuations by fuzzy logic pitch angle controller. In Renewable Energy,
2012, 38; S. 224–233.

[Cor15] Corsi, S.: Relationship Between Voltage and Active and Reactive Powers.
In (Corsi, S. Hrsg.): Voltage Control and Protection in Electrical Power
Systems. Springer London, London, 2015; S. 3–11.

[Dan99] Daneels A.; Salter W.: What is SCADA?, 1999.

[Dar17] Dar, Z.; Kar, K.; Sahni, O.; Chow, J. H.: Windfarm Power Optimization U-
sing Yaw Angle Control. In IEEE Transactions on Sustainable Energy,
2017, 8; S. 104–116.

[Dav06] Davis, C. M.; Tate, J. E.; Okhravi, H. et al.: SCADA Cyber Security Test-
bed Development: 2006 38th North American Power Symposium. IEEE,
2006 - 2006; S. 483–488.

[DIN16] DIN-user: DIN EN 61400-25-2, 2016.

[DIN18] DIN-user: DIN EN 61400-25-1, 2018.

[Hat20] Hatziargyriou N.: - PES-Technical-Report-TFSTABILITY DEFINITIONS

AND CHARACTERIZATION OF DYNAMIC BEHAVIOR IN SYSTEMS
30

WITH HIGH PENETRATION OF POWER ELECTRONIC INTERFACED

TECHNOLOGIES, 2020.

[Hei18a] Heier, S.: Windkraftanlagen. Springer Fachmedien Wiesbaden, Wiesba-

den, 2018a.

[Hei18b] Heier, S.: Windkraftanlagen. Seite 449-461. Springer Fachmedien Wies-

baden, Wiesbaden, 2018b.

[Hin09] Hines, P.; Apt, J.; Talukdar, S.: Large blackouts in North America: Histori-
cal trends and policy implications. In Energy Policy, 2009, 37; S. 5249–
5259.

[Joh10] Johann Schmölzer: IT-Sicherheit von SCADA-Systemen, 2010.

[Lev14] Lev L., D. Tanenbaum, L. Rozenblum, O. BenArush: Cybersecurity on

SCADA: risk prediction, analysis and reaction tools for Critical Infrastruc-
tures, 2014.

[P. 04] P. Kundur; J. Paserba; V. Ajjarapu et al.: Definition and Classification of

Power System Stability IEEE/CIGRE Joint Task Force on Stability Terms
and Definitions. In IEEE Transactions on Power Systems, 2004, 19; S.
1387–1401.

[Rob16] Robert M. Lee, S.; Michael J. Assante, S.: Analysis of the Cyber Attack on
the Ukrainian Power Grid. E-ISAC_SANS_Ukraine_DUC_5, 2016.

[Rol02] Rolf Hoffman: A comparison of control concepts for wind turbines in terms
of energy capture, 2002.

[Sch15] Schröder, D.: Elektrische Antriebe - Regelung von Antriebssystemen.

Springer Berlin Heidelberg, Berlin, Heidelberg, 2015.

[Teo11] Teodorescu, R.; Liserre, M.; Rodríguez, P.: Grid converters for photovol-
taic and wind power systems. IEEE; Wiley, Piscataway N.J., Chichester
West Sussex, Hoboken N.J., 2011.

[VDE16] VDE-user: VDE 0127-25-3, 2016.

[VDE18] VDE-user: VDE4110, 2018.

Literaturverzeichnis 31

[Zha15] Zhang, Y.; Wang, L.; Xiang, Y.; Ten, C.-W.: Power System Reliability
Evaluation With SCADA Cybersecurity Considerations. In IEEE Transac-
tions on Smart Grid, 2015, 6; S. 1707–1721.