Die Sicherheit der Daten wird wichtiger für Betreiber von großen Speichersystemen. Wie funktioniert die Cybersicherheit technisch und organisatorisch?
Marcus Ulbricht: Zunächst beschränken wir uns nicht nur auf Cybersicherheit, sondern schauen auf die gesamte Informationssicherheit. Informationssicherheit wiederum ist für uns ein Managementsystem – ähnlich wie das Qualitätsmanagement. Wir orientieren uns am internationalen Standard ISO 27001.
Was beinhaltet die ISO 27001?
Marcus Ulbricht: Sie definiert den Standard für die Informationssicherheit und die entsprechenden Anforderungen. Dieser umfasst technische und organisatorische Maßnahmen, von Zugriffsschutz bis Schulung der Mitarbeiter. Wichtig ist: Sicherheit ist kein Zustand, sondern ein Prozess.
Dieser Prozess betrifft alle Ebenen?
Marcus Ulbricht: Genau. Wir betrachten nicht nur den Cyberraum, sondern auch die physische Sicherheit – etwa, ob eine Batterie in einem abgeschlossenen und abgesicherten Raum steht. Denn wenn jeder an den Speicher herankommt, nützt die ganze Sicherheit gegenüber dem Cyberraum wenig. Auch Compliance, Risikomanagement und eine gelebte Sicherheitskultur gehören dazu. Hier ist wichtig, wie das Unternehmen die Zugangskontrolle regelt und die eigene Sicherheitsarchitektur aufbaut. Dabei muss natürlich der Betreiber mitziehen. Ein sicheres Produkt nützt nichts, wenn der Kunde das Standardpasswort auf das Gerät klebt. Hier müssen die Unternehmen auch ihre eigenen Sicherheitskonzepte umsetzen und die Speicher und Solaranlagen in diese integrieren. Sie müssen unter anderem genau definieren, wer sich im System anmelden darf, und entsprechende Hürden gegen fremden Zugriff errichten. Solche Zugangskontrollen sind nicht nur für das eigene Unternehmensnetzwerk, sondern auch für die Energieinfrastruktur und die Speicher wichtig.
Wie können Kunden erkennen, wie sicher ein Produkt ist?
Marcus Ulbricht: Das hat etwas damit zu tun, wie umfangreich der Anbieter die Informationssicherheit umsetzt. Wir dokumentieren, welche Maßnahmen wir ergreifen – etwa Verschlüsselung, Patch-Management, Penetrationstests. Wir entwickeln zudem eine Strategie zur Informationssicherheit. Wir erklären konkret, was wir wie schützen wollen und welche Anforderungen wir bei diesem Schutz anlegen. Aber viele Kunden müssen erst lernen, was das konkret bedeutet. Das ist wie bei Autos: Nur weil ein Auto TÜV hat, heißt das nicht, dass der Fahrer automatisch sicher fährt.
Das heißt, wenn die Speicher oder auch andere Systeme entsprechend der ISO 27001 aufgebaut sind, ist alles in Ordnung?
Marcus Ulbricht: Die ISO 27001 ist ein technischer und organisatorischer Maßnahmenkatalog, um ein Sicherheitsniveau in einer Organisation einzurichten. Hier ist eine umfangreiche Risikoanalyse wichtig. Auf die Durchführung einer solchen Risikoanalyse zielt die IEC 62443 ab. Dabei steht unter anderem der Einsatzzweck des Speichers im Mittelpunkt. Wir führen für alle unsere Produkte eine solche Risikoanalyse durch. Dabei geht es auch darum, welche potenziellen Bedrohungen mit diesem Einsatzzweck einhergehen und mit welchen Maßnahmen diese abgewehrt werden können.
Welche konkrete Zertifizierung gibt es mit Blick auf die Informationssicherheit konkret für die Geräte?
Marcus Ulbricht: Am Speicher selbst ist eine Zertifizierung für Informationssicherheit schwierig. Man muss dies auf die einzelnen Komponenten herunterbrechen. Das ist der Ansatz, den auch wir verfolgen. Das heißt, wir betrachten eine Kommunikationseinrichtung, wir betrachten ein Batteriemanagementsystem, wir führen Analysen durch und wir führen Penetrationstests durch. Dabei setzen wir bestimmte Komponenten einem kontrollierten Angriff aus, um eine solche Situation zu simulieren. Wir schauen dabei, was wir noch tun müssen, um zu einem Maximum an Sicherheit zu kommen. Damit reduzieren wir die Möglichkeiten eines Angreifers auf ein Niveau, auf dem es ihm schon deutlich schwerer fällt, überhaupt in die Systeme einzudringen. Wenn die Kunden dann den Speicher noch in ihre eigene Sicherheitsarchitektur integrieren, reduzieren sich die Möglichkeiten für die Hacker weiter.
Offene Schnittstellen sind immer dann notwendig, wenn es um die Kompatibilität zu anderen Systemen geht, also wenn etwa ein Tesvolt-Speicher an ein fremdes Energiemanagementsystem angeschlossen wird. Wie setzen Sie das sicherheitstechnisch um?
Simon Schandert: Wir achten sehr genau darauf, mit welchen Systemen wir kompatibel sind. Wir liefern auch eigene Energiemanagementsysteme mit, um die Kontrolle zu behalten. Denn ein unsicheres Drittsystem kann ein ansonsten sicheres Gesamtsystem angreifbar machen. Deshalb prüfen wir auch unsere Kooperationspartner auf deren Sicherheitsstandards.
Wie wird das praktisch umgesetzt?
Marcus Ulbricht: Kompatibilität heißt zunächst, dass Schnittstellen für den Datenaustausch definiert sind. Aber entscheidend ist, dass alle Systeme dieselben Sicherheitsprinzipien verfolgen. Ein Kunde sollte also im Betriebshandbuch lesen können, ob die Anmeldung verschlüsselt ist, ob die Komponenten geprüft sind und ob es regelmäßige Updates gibt. Am Ende entscheidet der Betreiber, welches Sicherheitsniveau er will: von einfachen Systemen ohne Verschlüsselung bis zu Lösungen mit zusätzlichem Sicherheitsservice wie einem VPN. Auch im Energiemarkt wird sich das entwickeln – so wie wir heute selbstverständlich VPN auf dem Smartphone nutzen.
Mit welchem VPN arbeiten Sie?
Marcus Ulbricht: Wir setzen bei Tesvolt auf offene Standards wie OpenVPN oder Linux, allerdings in gehärteten Versionen mit deaktivierten unnötigen Diensten. Denn Sicherheit hängt nicht nur vom Betriebssystem ab, sondern von dessen Konfiguration. Auch die Schlüssellängen und -tiefen müssen regelmäßig angepasst werden – hier orientieren wir uns an Empfehlungen etwa des Bundesamts für Sicherheit in der Informationstechnik BSI.
Als Hersteller informieren Sie also auch aktiv über sichere Konfigurationen?
Marcus Ulbricht: Ja. Unsere Informationssicherheitsstrategie richtet sich nach dem Stand der Technik – sowohl in der Organisation als auch in der Produktentwicklung. Das erwarten wir auch von Partnern. Wir halten außerdem prinzipiell viele Systemdetails zurück – je weniger ein Angreifer über Architektur, Schlüssel oder Zugriffspfade weiß, umso schwerer wird es. Informationssparsamkeit ist ein wichtiges Sicherheitsprinzip.
Wie gehen Sie mit Angriffen im laufenden Betrieb um? Gibt es Alarmmeldungen?
Marcus Ulbricht: Das hängt vom Einsatzszenario ab. In Großspeichern gibt es Benutzermanagement, Authentifizierung und Logging. Wir blockieren bei zu vielen Fehlversuchen den Zugriff – ähnlich wie bei Firmenlaptops. Im Heimbereich ist der Schutz klarer definiert, aber auch hier gilt: Sicherheit endet irgendwann beim Anwender. Wenn ein starkes Passwort auf dem Gerät klebt, kann auch der beste Schutzmechanismus nichts mehr verhindern.
Spielt der Hersteller des Wechselrichters oder Energiemanagementsystems eine Rolle für die Sicherheit?
Simon Schandert: Absolut. Wir wählen unsere Partner sehr gezielt aus – etwa SMA oder Siemens – und liefern oft das Energiemanagement gleich mit. Systeme mit hohen Risiken, beispielsweise aus Ländern mit anderer Datenschutzkultur, schließen wir bewusst aus. Natürlich ist das keine Garantie, aber ein wichtiger Grundstein für ein sicheres Gesamtsystem.
Wie schätzen Sie den allgemeinen Reifegrad im Markt ein?
Simon Schandert: Viele Betreiber und auch Planer stehen noch am Anfang und haben wenig Know-how bei Cybersecurity. Wir arbeiten mit Partnern wie dem TÜV Rheinland, schulen unsere eigenen Fachpartner in unserer Inhouse-Akademie und lassen nur zertifizierte Installateure an unsere Systeme. Aber der Bedarf an Schulungen und Sensibilisierung ist noch sehr groß.
Und für Privatanwender? Muss ein Hauseigentümer tief in ISO-Normen einsteigen?
Marcus Ulbricht: Nein, aber er muss verstehen, dass auch er eine Rolle spielt. Nutzerfreundliche Sicherheitsvorgaben sind im Heimspeicherbereich Standard, doch auch der Betreiber darf sie nicht umgehen oder verwässern. Cybersecurity und Safety greifen ineinander – am Ende verhindern zugelassene Sicherheitseinrichtungen, dass ein Worst-Case-Szenario eintritt.
Was bedeutet das für den Preis und die Kaufentscheidung?
Simon Schandert: Ein sicheres, in Deutschland entwickeltes System kann teurer sein als ein Importprodukt, weil mehr in Cybersecurity und funktionale Sicherheit investiert wird. Aber wie bei einer USV: Wenn der Ausfall oder Schaden einmal da ist, wünscht sich jeder, vorher in die sichere Lösung investiert zu haben.
Das Interview führte Sven Ullrich.
Warum die Datensicherheit auch bei Speichern wichtig ist und worauf Betreiber achten sollten, lesen Sie im ersten Teil des Interviews mit Simon Schandert und Marcus Ulbricht.
Einen ausführlichen Bericht über die Informationssicherheit beim Betrieb von Solaranlagen und Speichern finden Sie in der nächsten Ausgabe von ERNEUERBARE ENERGIEN. Falls Sie noch kein Abo haben, können Sie hier reinschnuppern.
