Mit dem Zuwachs der Photovoltaik im Stromsystem wird die Solarstromtechnologie auch mehr und mehr für kriminelle Hacker interessant. Sie können darüber möglicherweise auf das Stromnetz zuzugreifen. Dass diese bei elektronischen Bauteilen wie Wechselrichtern oder Ladestationen tatsächlich auch potenzielle Einfallstore vorfinden und so die Cybersicherheit bedrohen, zeigt eine Reihe von Analysen der letzten Wochen und Monate.

Gateways und Cybersicherheit

So hatte das niederländische Fachinstitut DIVD (Dutch Institute for Vulnerability Disclosure) zuletzt Sicherheitslücken bei Gateways von Enphase-Wechselrichtern entdeckt. Gate­ways sind Übergänge ins Datennetz. Von dort aus könnten Hacker die Kontrolle über die Wechselrichter und die angeschlossenen Solarsysteme übernehmen. Die Gefahr bestehe zwar nur bei unsicheren Netzwerken, so DIVD. Doch das sei trotzdem für die Sicherheit des Stromsystems im Ganzen gefährlich, insbesondere je umfangreicher die Energiewende Gestalt annehme. Die Organisation hatte die Probleme vor Veröffentlichung mit Enphase besprochen. Das Unternehmen habe die Sicherheitslücken behoben.

Die Bundesnetzagentur (BNetzA) hat das Thema Cybersicherheit von PV-Anlagen auf dem Schirm. „Wiederkehrende Hinweise auf Sicherheitslücken in unterschiedlichen Produkten (PV-Wechselrichter, PV-Batteriesysteme usw.) sind Anlass zur Sorge“, erklärte ein Sprecher der Behörde auf Anfrage der Solarthemen. Zwar lasse die Heterogenität der Produkte, Hersteller, Softwareversionen und Betreiber die koordinierte Steuerung einer ausreichenden Menge von kleineren Anlagen durch Hacker derzeit noch unwahrscheinlich erscheinen. „Doch das Risiko wächst“, so die ­BNetzA.

Risiko durch kleine Anlagen wächst

Bisher müssen lediglich größere Energieerzeugungseinheiten ab einer Leistung von 104 Megawatt (MW) die Vorgaben der Kritischen Infrastruktur erfüllen. Dazu zählen neben großen Kraftwerken auch Direktvermarkter, die zum Beispiel Photovoltaikanlagen bündeln und die Größenordnung von 104 MW erreichen. Die Betreiber müssen laut § 11 (1b) EnWG „einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme […] gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind“. Die BNetzA habe dazu in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Sicherheitskatalog erarbeitet, so das BSI auf Anfrage. Der besteht aus einer Reihe von Sicherheitsnormen und -vorkehrungen, die alle per Zertifikat nachzuweisen sind.

Für kleinere Energieerzeugungsanlagen wie das Gros der in Deutschland installierten PV-Systeme gilt dieser Katalog aber nicht – eine Sachlage, die die BNetzA offensichtlich gerne ändern würde. So sollten die „technischen und organisatorischen Maßnahmen der IT-Sicherheitskataloge neben Betreibern großer Anlagen auch von Herstellern und Inverkehrbringern von PV-Anlagen, PV-Batterie-Systemen, Home-Energy-Managementsystemen, Wärmepumpen oder Ladesäulen eingehalten“ werden, findet die Behörde. Das gelte auch „für digitale Energiedienste wie virtuelle Kraftwerksbetreiber, Fernwartungsdienstleister und Energiehandelsplattformen“.

Anfang August hatte das Cybersecurity-Unternehmen Bitdefender über ernste Sicherheitsgefahren bei Wechselrichtern des chinesischen Herstellers Deye in Kombination mit der Monitoring- und Steuerungsplattform Solarman berichtet. Im Januar hatte das Sicherheitsunternehmen Trend Micro auf seine Analyse von Produkten der Hersteller Enphase, Outback, Phocos, Sol-Ark und Victron hingewiesen. Lediglich bei Outback und Phocos seien keine Sicherheitslücken festgestellt worden. Ansonsten stellten neben fehlender Verschlüsselung bei der Datenübertragung und Problemen mit Stan­dard­­passwörtern vor allem große Cloud­anbieter, an die Daten von PV-Systemen übertragen werden, ein Risiko dar.

Quelle: Oliver Ristau | www.solarserver.de © Solarthemen Media GmbH