Tesvolt beschäftigt sich schon länger mit dem Thema Cybersecurity. Was macht diese für Sie so dringlich?
Simon Schandert: Wir haben es in Spanien gesehen, dass das Stromsystem der Zukunft nicht nur Erzeugungsanlagen, sondern auch Flexibilitäten benötigt. Hier spielen Speicher eine entscheidende Rolle. Wir sind im gewerblichen und industriellen Speicherbereich tätig und bedienen auch das Segment der Großspeicher – mit Systemen, die teilweise direkt an der kritischen Infrastruktur hängen. Unsere Tochtergesellschaft Tesvolt Energy betreibt diese Speicher und handelt mit der gespeicherten Energie. Da ist es essenziell, dass wir die Systeme absichern – technisch und organisatorisch. Dies wird umso wichtiger, je mehr Komponenten von nichteuropäischen Herstellern eingesetzt werden.
Was genau macht die Speicherinfrastruktur so anfällig?
Simon Schandert: Es geht nicht nur um einzelne Geräte. Alles, was direkt mit dem Netz verbunden ist, kann grundsätzlich ferngesteuert werden. Mit dem Vormarsch chinesischer Komponenten – etwa im Wechselrichterbereich oder auch bei den Batteriemanagementsystemen (BMS) – wächst die Abhängigkeit von ausländischer Technologie. Und damit auch das Risiko, dass Daten abfließen oder Systeme manipuliert werden können. Das ist keine Theorie mehr. Es gibt konkrete Vorfälle, bei denen nachgewiesen wurde, dass Systeme Daten nach China übertragen haben. Aber es gibt auch noch die Bedrohung von außen. Auch unsere Speicher werden regelmäßig angegriffen. Dagegen müssen wir uns dringend schützen. Denn die Speicher und auch die Solaranlagen hängen direkt an der kritischen Infrastruktur. Doch wir müssen auch sicherstellen, dass die Daten der Gewerbe- und Industriebetriebe, in deren Netzwerken unsere Speicher installiert sind, sicher sind und nicht missbraucht werden.
Cybersicherheit ist also nicht nur ein Thema der Steuerung der Systeme von außen, sondern auch, dass keine Daten abfließen. Warum ist dies so wichtig?
Simon Schandert: Potenzielle Angreifer können anhand der Daten sehen, wie der Speicher gefahren wird. Er braucht diese Daten, um zu sehen, wo er das System infiltrieren kann.
Sie sprechen von chinesischen Komponenten. Ist das wirklich so dramatisch?
Simon Schandert: Der Marktanteil chinesischer Hersteller in der Leistungselektronik liegt bei rund 90 Prozent. Das Problem ist: Diese Komponenten sind meistens günstiger – und viele Kunden kaufen nach Preis. Dabei wird oft vergessen, dass billig eben nicht gleich sicher bedeutet. In Spanien zum Beispiel wurden Funkmodule in chinesischen Anlagen entdeckt, die möglicherweise zur Datenübertragung genutzt wurden. Solche Vorfälle zeigen, wie real die Bedrohung ist.
Sind Kunden also zu sorglos?
Simon Schandert: Es gibt zwei Lager. Die einen – etwa Investoren – wollen schnellen Return on Investment und achten weniger auf Datensicherheit. Die anderen – Netzbetreiber oder Energieversorger – sind sehr viel sensibler, weil sie für Netzstabilität verantwortlich sind. Da spielt Sicherheit eine größere Rolle.
Müssten dann nicht Netzbetreiber stärker regulierend eingreifen?
Simon Schandert: Absolut. In den USA gibt es klare Vorgaben: keine chinesischen Batteriemanagementsysteme mehr in netzgebundenen Anwendungen. Sobald ein Gerät direkt oder indirekt mit dem Netz verbunden ist, sollte es höchsten Sicherheitsanforderungen genügen. Bei Batteriemodulen ist dies kein Problem. Denn diese haben keine eigene Steuerung, sondern werden von den BMS gesteuert. Aber auch in Deutschland sind die Netzbetreiber deutlich sensibler beim Thema Cybersicherheit als die Endkunden. Deswegen raten auch sie verstärkt, Komponenten zu verwenden, die eine deutlich höhere Sicherheitsverfügbarkeit mitbringen. In der kritischen Infrastruktur – wie bei Schiffen oder im maritimen Kontext – ist das übrigens schon Standard. Das bekommen wir über unsere Tochterfirma Tesvolt Ocean mit, die ja Speichersysteme für die Schifffahrt entwickelt.
Aber kann es denn absolute Sicherheit geben?
Simon Schandert: Nein. Sicherlich können wir eine hundertprozentige Sicherheit nicht herstellen. Aber wir können viele Maßnahmen treffen, um das Risiko zu minimieren und weniger anfällig für Angriffe zu sein. Genau das steht bei uns im Vordergrund.
Sie haben die Probleme mit größeren Speichersystemen schon angesprochen, wo ein Angriff potenziell größeren Schaden anrichten kann. Wie sieht es mit kleineren Systemen aus – etwa Heimspeichern hinter dem Zähler?
Simon Schandert: Grundsätzlich sind alle Systeme angreifbar – ob privat oder industriell. Netzbetreiber sind meist sensibler, aber auch private Betreiber müssen verstehen, dass sie Teil einer größeren Infrastruktur sind. Vor allem, wenn sie an Aggregatoren angeschlossen sind, die die Speicher bündeln und am Markt handeln.
Wächst durch die Vielzahl kleiner Speicher nicht auch die Komplexität der Absicherung?
Marcus Ulbricht: Exakt. Deshalb setzen wir auf ein mehrstufiges Sicherheitskonzept – mit technischen, aber auch organisatorischen Maßnahmen. Ein Beispiel: Selbst wenn ein Angreifer in ein System eindringt, greift die sogenannte Safety – also eine Art Notabschaltung, die physikalische Schäden verhindert. Aber das funktioniert nur, wenn alle Komponenten im System auch sicher sind – vom Speicher über das Energiemanagement bis zum Wechselrichter.
Kann man die Systeme nicht so gestalten, dass sie von außen überhaupt nicht mehr angreifbar, also gleichermaßen abgeschlossen sind?
Simon Schandert: Das geht nicht. Denn die Entwicklung im Speicherbereich geht immer weiter. Es gibt immer wieder Updates der Software, etwa um Fehler zu beheben oder neue Funktionen zu ermöglichen. Diese Updates müssen von außen aufgespielt werden. Deshalb muss auch der Zugriff von außen gewährleistet bleiben. Zudem müssen die Netzbetreiber und Aggregatoren auf die Anlagen zugreifen. Deshalb setzen wir ein mehrstufiges Sicherheitskonzept um.
Was sind die Stufen?
Marcus Ulbricht: Die erste Stufe ist, zu sehen, dass keine Unbefugten in die Systeme eindringen können. Die zweite Stufe ist, wenn tatsächlich jemand eindringt, dass das System nicht zerstört wird, sondern sich vielleicht kontrolliert abschaltet. Diese mehrstufigen Systeme sind natürlich von Projektlösung zu Produkt unterschiedlich. Das heißt, an einem Containerpark setzen wir VPN-Firewall-Systeme ein. Das heißt, die Netzbetreiber machen über die Regelleistungs-Mindestanforderungen Vorgaben, dass die Systeme ab einer bestimmten Leistung vom Netz und Internet separiert werden. Dadurch ist ein solcher Netzspeicher mit mehr Sicherheitsmaßnahmen ausgestattet als ein kleinerer Hausspeicher. Dennoch müssen auch Gewerbebetriebe und Hauseigentümer aufpassen, wie sie den Speicher am Netz betreiben.
Simon Schandert: Deshalb sensibilisieren wir unsere Kunden, auf das Thema Datensicherheit zu achten. Solange nichts passiert, ist das Thema bei Industrie- und Gewerbekunden nicht so präsent. Denn es geht nicht direkt um die eigene Produktion, sondern „nur“ um eine Energieanlage. Deshalb machen wir sie darauf aufmerksam, dass auch diese ein potenzielles Einfallstor für Hacker sein kann, was sich direkt auf den Gewerbebetrieb auswirkt.
Die Fragen stellte Sven Ullrich.
Wie Tesvolt die Informationssicherheit bei seinen Anlagen und Projekten konkret umsetzt und welche Vorgaben hierbei eine Rolle spielen, lesen Sie im zweiten Teil des Interviews, der am kommenden Montag erscheint.
Einen ausführlichen Bericht über die Informationssicherheit beim Betrieb von Solaranlagen und Speichern lesen Sie in der nächsten Ausgabe von ERNEUERBARE ENERGIEN. Falls Sie noch kein Abo haben, können Sie hier reinschnuppern.
