Quelle: Shutterstock / NicoElNino
Photovoltaikanlagen bieten Hackern ein potenzielles Einfallstor zur Manipulation des Stromnetzes, zeigen Expertenberichte. Auch die Bundesnetzagentur ist alarmiert.
Bei der Photovoltaik schaut mittlerweile auch das FBI genau hin.
Anfang Juli warnte der US-Geheimdienst, dass der Ausbau der erneuerbaren Energien das Risiko für kriminelle Cyberattacken erhöht. Die Behörde identifizierte eine Reihe von Sicherheitslücken, über die Hacker die Anlagen von Ferne steuern können und empfiehlt Gegenmaßnahmen.
Damit ist das FBI nicht allein. Auch die Cybersicherheit-Anbieter „TrendMicro“ und Bitdefender legten in diesem Jahr Analysen zur Anfälligkeit von PV-Anlagen gegenüber Hackerangriffen vor. Zuletzt hatte das niederländische Fachinstitut DIVD (Dutch Institute for Vulnerability Disclosure)
Sicherheitslücken bei Gateways von Enphase-Wechselrichtern entdeckt. Gateways sind die Übergänge ins Datennetz, von wo aus Hacker die Kontrolle über die Wechselrichter und die angeschlossenen Solarsysteme übernehmen könnten. Die Gefahr bestehe zwar nur bei unsicheren Netzwerken, so DIVD. Doch das sei trotzdem für die Sicherheit des Stromsystems im Ganzen gefährlich, insbesondere je umfangreicher die Energiewende Gestalt annehme. Die Organisation hatte die Probleme vor Veröffentlichung mit Enphase besprochen. Das Unternehmen habe die Sicherheitslücken laut DIVD mittlerweile behoben.
„Das Risiko wächst“Was durchaus im Sinne des Energiemarktes sein kann − nämlich die Steuerung der PV-Anlagen via Internet − stellt ein zunehmendes Sicherheitsrisiko dar, das auch der Bundesnetzagentur (BNetzA) zu denken gibt. „Wiederkehrende Hinweise auf Sicherheitslücken in unterschiedlichen Produkten (PV-Wechselrichter, PV-Batteriesysteme, usw.) sind Anlass zur Sorge“, sagte ein Behördensprecher auf Anfrage. Zwar lasse die Heterogenität der Produkte, Hersteller, Softwareversionen und Betreiber die koordinierte Steuerung einer ausreichenden Menge von kleineren Anlagen durch Hacker derzeit noch unwahrscheinlich erscheinen. „Doch das Risiko wächst“, so der Sprecher.
Im schlimmsten Fall könnten PV-Hacks Brown- und Blackouts auslösen. Voraussetzung sei der Zugriff auf eine elektrische Leistung in einer ausreichenden Größenordnung. Wie viele PV-Kapazitäten Hacker dafür in ihre Gewalt bringen müssten, ließ der Sprecher offen. „Das hängt von vielen Parametern ab wie Ort des Anschlusses, Situation im Netz, Tageszeit, Netzzustand und Geschwindigkeit der Steuerung.“
Um das Risiko zu minimieren, schlägt die Bundesnetzagentur vor, die Kriterien der Kritischen Infrastruktur auch auf die dezentrale Energieerzeugung auszuweiten. Bisher fallen lediglich größere Energieerzeugungseinheiten ab einer Leistung von 104 MW darunter. Dazu zählen neben großen Kraftwerken auch Direktvermarkter, die zum Beispiel Photovoltaikanlagen bündeln und die Größenordnung von 104 MW erreichen.
Künftig sollten die „technischen und organisatorischen Maßnahmen der IT-Sicherheitskataloge neben Betreibern großer Anlagen auch von Herstellern und Inverkehrbringern von PV-Anlagen, PV-Batterie-Systemen, Home-Energy-Management-Systemen, Wärmepumpen oder Ladesäulen eingehalten“ werden, findet die BNetzA. Das gelte auch „für digitale Energiedienste wie virtuelle Kraftwerksbetreiber, Fernwartungsdienstleister und Energiehandelsplattformen“. Damit würden vor allem Hersteller verpflichtet werden, ihre Produkte cyberfest zu machen.
Mit PV-Hack die USA steuernDass dies bisher vielfach nicht der Fall ist, hat Anfang August das Cybersecurity-Unternehmen
Bitdefender in einer Analyse öffentlich gemacht. Diese hatte ernste Sicherheitsgefahren bei Wechselrichtern des chinesischen Herstellers Deye in Kombination mit der Monitoring- und Steuerungsplattform Solarman festgestellt. Die Cyberspezialisten haben darüber laut eigenen Angaben auf ausreichend PV-Kapazitäten Zugriff bekommen, „um die USA zu steuern“.
Zuvor hatte das Sicherheitsunternehmen
Trend Micro auf Sicherheitsprobleme von PV-Produzenten hingewiesen. Von den Produkten der Hersteller Enphase, Outback, Phocos, Sol-Ark und Victron seien lediglich bei zweien keine Sicherheitslücken festgestellt worden. Vor Veröffentlichung hatten Bitdefener und TrendMicro die Hersteller informiert, die die Probleme mittlerweile gelöst haben.
Zu den größten Risikoquellen zählen einfach zu erratende Passwörter und eine fehlende Verschlüsselung bei der Datenübertragung. Laut Trend Micro kann aber auch die Sicherheitsarchitektur der großen Cloudanbieter (zum Beispiel Amazon, Microsoft, Alibaba) zum Problem werden. Denn viele zentrale PV-Daten fließen über deren Server. Wer also in der Lage ist, solche Großrechner zu knacken, könnte Zugriff auf eine Anlagengröße erhalten, die am Ende zu Brown- und Blackouts führen kann.
Dienstag, 3.09.2024, 14:00 Uhr
© 2024 Energie & Management GmbH