Früher war die Welt einfach und übersichtlich: Als es noch kein Internet gab, reichte das Schloss vor der Wohnung und vorm Betriebstor. Rein sinnbildlich gesprochen. Heute ist die Sache etwas komplexer. Die Annehmlichkeiten des digitalisierten Zeitalters bergen neue Gefahren. Denn Diebe und Schurken kommen neuerdings durchs Kabel ins Haus.
Angriffe sind Realität
Kein Witz, dafür müssen sie nicht einmal besonders kleinwüchsig oder gelenkig sein. Der Zugriff über Datenkabel, Router und IT ist mittlerweile gang und gäbe. Das ist kein Bedrohungsszenario, das ist Realität.
Dass russische Hacker im Auftrag des Kremls die Stromnetze und Kraftwerke in der Ukraine ins Visier nehmen, ist nur die Spitze des Eisbergs. Es braucht keinen erklärten Krieg wie im Osten Europas, denn der Cyberkrieg ist in vollem Gange.
Bombenlabor der Mullahs, Pager der Hisbollah
Weiteres Beispiel: Im Konflikt zwischen dem Iran und Israel wurden Hacker angesetzt, um das Atomprogramm der Mullahs zu stoppen oder zumindest zu verzögern. Schon 2010 setzten israelische Spezialisten den Computervirus Stuxnet an, um die Zentrifugen in Natans unbrauchbar zu machen.
Es war der erste bekannte Cyberangriff auf eine Industrieanlage. Dass er öffentlich bekannt wurde, war vermutlich ein Lapsus des Mossad. Der Virus wurde übrigens von den USA und Israel gemeinsam entwickelt.
Im April 2021 provozierte ein weiterer Cyberangriff, dass im Bombenlabor in Natans der Strom ausfiel. Dieses Mal hüllte sich Israel in Schweigen. Auch die gezielte Zerstörung Zehntausender sogenannter Pager der Hamas im Sommer 2024 wurde durch Fernsteuerung ausgelöst.
Varta im Visier der Hacker
Im Februar 2024 legte eine schwere Attacke alle fünf Werke von Varta lahm. Rund vier Wochen dauerte es, bis die Herstellung von Batteriezellen wieder anlief. Es dauerte Monate, bis die Varta-Speicher und der Datencenter wieder erreichbar waren.
Die Täter waren über die IT eingedrungen. Zwar schrillte sofort der Alarm bei den Experten für Cybersicherheit im Konzern. Um den Angriff abzuwehren, wurden die IT und die Produktion komplett abgeschaltet und vom Internet getrennt. Aber in Ellwangen, Dischingen, Nördlingen sowie in den Werken in Indonesien und Rumänien ging nichts mehr. Zahlreiche Mitarbeiterinnen und Mitarbeiter wurden zwangsweise in den Urlaub geschickt, andere widmeten sich der Wartung und Instandhaltung.
Attacke auf Rheinmetall
Im Frühjahr 2025 wurde Rheinmetall zum Ziel von Angriffen. Das entstandene Leck in der Datensicherheit erlaubte den Zugriff auf vertrauliche Informationen über Waffensysteme und ihre Produktion. Offenbar ging es hier um Sabotage und Spionage.
Die Hacker erhielten Zugang zu rund 750 Gigabyte internen Daten. Die Gruppe veröffentlichte einen Link zum Download von 1.400 Dokumenten. Die Sache wurde publik, weil Experten für IT-Sicherheit das Darknet beobachteten. Dort wurden die Dokumente feilgeboten. Auch Rheinmetall informierte die Behörden.
Zwei Gesichter von KI
Daraufhin startete die Firma DXC Technology eine Umfrage in der Industrie, um die Anforderungen und den Handlungsbedarf zur Cybersicherheit zu ermitteln. DXC ist ein spezialisierter Dienstleister, der den Unternehmen bei Sicherheitskonzepten unter die Arme greift. Rund 300 IT-Entscheider zur Cybersicherheit in Deutschland, Österreich und der Schweiz wurden befragt. Sie schätzen ein, dass künstliche Intelligenz (KI) das Risiko für Angriffe durch kriminelle Hacker und Terrorgruppen deutlich erhöht.
So werden Phishing-E-Mails von einfachen Täuschungsmails zu wesentlich glaubwürdigeren Anschreiben entwickelt: Angreifer setzen beispielsweise sogenannte Deepfakes ein, um gefälschte Texte, Bilder oder Töne zu erstellen. „Unternehmen sollten die neuen Risiken von KI-unterstützten Angriffen sehr ernst nehmen und die Cyberabwehr entsprechend anpassen“, kommentiert Bruno Messmer, KI-Experte von DXC Technology. „Es empfiehlt sich, KI-Werkzeuge systematisch in die Sicherheitsstrategie des Unternehmens einzubauen und für die Analyse und die Detektion von Angriffen, aber auch die Auswahl und die Schulung von Personal einzusetzen.“
Die gute Nachricht: KI kann Cyberkriminalität effektiv bekämpfen. Allerdings verzichtet aktuell gut jedes dritte Unternehmen in Deutschland darauf, selber KI in die Abwehr von Hackerangriffen einzubinden. In Österreich und der Schweiz ist es sogar rund jedes zweite.
Einfallstore weit offen
Die Installateure von Solaranlagen arbeiten mittlerweile standardmäßig mit Smartphones, Tablets oder Laptops. Berufliche Nutzung vermischt sich leicht mit privaten Aktivitäten. Für Hacker entstehen ganz neue Einfallstore, um auf sensible Daten zuzugreifen. Dazu gehören alle Apps, SMS und Social Media. Das beginnt mit dem Abruf von Live-Updates und setzt sich über die scheinbar harmlose Weiterleitung von Links auf Whatsapp fort. Auch Job-Updates auf Linkedin sind potenziell unsicher.
Niemandem zu trauen, ist die richtige Antwort auf solche Bedrohungen. Dieses Zero-Trust-Modell setzt konsequent darauf, dass sich Anwender auf jeder Ebene eines Netzwerkzugriffs autorisieren. Selbst wenn ein bestimmtes Gerät angegriffen wird, lassen sich sensible Ressourcen am Arbeitsplatz schützen.
Kaum Pläne für den Notfall
Dafür muss man Mitarbeiterinnen und Mitarbeiter zunächst sensibilisieren. In Deutschland führt jedoch nur gut jedes zweite Unternehmen regelmäßige Übungen für Cyberangriffe durch (56 Prozent). In Österreich sind es 63 Prozent und in der Schweiz 66 Prozent der Firmen.
Die Zahl der Cyberangriffe auf kritische Infrastrukturen wird zunehmen. Dabei geraten digitale Steuerungen von Fabriken, Kraftwerken oder Krankenhäusern ins Fadenkreuz der Hacker. Immerhin, der Trend zu höherer Sicherheit kommt in der Wirtschaft schrittweise voran.
Beispielsweise verfügen 76 Prozent der Unternehmen in Deutschland inzwischen über einen Notfallplan für Hackerangriffe. Vor zwei Jahren lag die Quote bei 52 Prozent. In Österreich und der Schweiz sind es der DXC-Umfrage zufolge knapp 70 Prozent.
Lieferketten bedroht
Cyberkriminelle greifen gezielt Lieferketten an. Statt nur Endnutzer zu attackieren, wird das Netzwerk von Unternehmen, ihren Zulieferern und Kunden ins Visier genommen. Bedroht sind alle Arten von Daten: Interna, Zugänge und Passwörter, Informationen über Kunden.
Weil Lieferketten digital vernetzt sind, müssen Zulieferer ins Risikomanagement eingebunden werden. Dazu brauchen die Unternehmen ein Lagebild, mit wem sie Geschäfte machen. Hierauf wird das Kritis-Dachgesetz besonderes Augenmerk legen, das in Deutschland die Richtlinie NIS-2 der EU umsetzen wird.
In Deutschland prüfen bislang nur 76 Prozent der Firmen ihre Lieferanten regelmäßig auf Attacken und Angriffe. In der Schweiz sind es gerade 62 Prozent und in Österreich 54 Prozent.
Solarstrom sichert Netzversorgung
Neben der Sicherheit von Unternehmen rückt die Sicherheit von Infrastruktur stärker in den Blick. Zunächst einmal: Die Stromnetze werden sicherer, je mehr Solaranlagen und Windräder ins Netz einspeisen. Das beweisen die jährlichen Berichte der Bundesnetzagentur, die Störungen und Blackouts akribisch auswertet. Durch die Energiewende sinken die Schwankungen von Spannung und Frequenz in der Stromversorgung.
Die Zeiten von kurzen oder längeren Blackouts sind gleichfalls rückläufig. Das hängt damit zusammen, dass die Branchen der erneuerbaren Energien ihre Hausaufgaben gemacht haben. Abregelung bei Netzüberlastung oder netzdienliche Funktionen wie Fault Ride-Through wurden bereits entwickelt, als die Netzbetreiber noch mit dem Messschieber unterwegs waren.
Cybersicherheit für die Solarbranche
Das reicht aber nicht aus, denn die digitale Steuerung und Verwaltung der Betriebsdaten von Millionen Solaranlagen öffnet dem unbefugten Zugriff ein weiteres Tor. Solaranlagen und am Netz agierende Energiespeicher unterliegen der kritischen Infrastruktur (Kritis). Dazu bereiten die Bundesnetzagentur, das Bundesamt für Informationssicherheit und die Koalition in Berlin strengere Regeln vor, die letztlich europäische Vorgaben in deutsches Recht umsetzen. Gleiches geschieht in Österreich und der Schweiz.
Die europäischen Hersteller wollen darauf nicht warten: „Wir nehmen dieses Thema sehr ernst und arbeiten sehr intensiv daran, denn den Wechselrichtern kommt eine zentrale Bedeutung zu“, analysiert Dr. Harald Scherleitner.
Strategie von Fronius
Er ist Vertriebsleiter und Mitglied der Geschäftsführung von Fronius International. „Wir beschäftigen Expertinnen und Experten, die Vollzeit daran arbeiten, unsere Produkte sicher zu halten. Es geht um die technische Sicherung der Anlagen gegen unbefugten Zugriff. Es geht aber auch um die Sicherheit der Betriebsdaten. Die Systeme werden in Europa entwickelt und erfüllen strengste Sicherheitsanforderungen.“
Fronius lagert die Betriebsdaten ausschließlich auf eigenen Servern in Österreich und in europäischen Clouds. Bereits 2022 wurde Fronius nach dem internationalen Standard ISO 27001 zertifiziert.
Der österreichische Hersteller von Wechselrichtern schlägt für die EU vor, „nach dem Vorbild der 5G Security-Toolbox eine Inverter Security Toolbox zu implementieren“, wie Scherleitner sagt. „Dann könnte eine Whitelist von vertrauenswürdigen Herstellern den Zugang zur Einspeisung ins europäische Netz regeln.“ Das komplette Interview lesen Sie auf Seite 32.
Expertenteam bei SMA
Bei SMA ist Marek Seeger der Experte für IT-Sicherheit. Auch der Hersteller aus Kassel ist mittlerweile nach ISO 27001 zertifiziert, um Lücken in der Cybersicherheit zu schließen. Seeger ist seit 2015 bei SMA tätig. „Früher gab es isolierte Großkraftwerke, deren Steuerung von außen nicht zugänglich war“, erläutert er. „Heute ist das Netz ein bunter Zoo von dezentralen vernetzten Energieerzeugern.“
Beim PV-Symposium im Frühjahr in Bad Staffelstein hielt er einen vielbeachteten Vortrag. Dort berichtete er von einem Angriff im Sommer 2024 auf Solaranlagen in Beirut. Einen Tag nach der Explosion der Pager der Hisbollah gingen sie auf mysteriöse Weise vom Netz. „Das war ein gezielter Angriff, um die Anlagen abzuschalten“, urteilt Seeger. In Japan wurden 2024 die Monitoringsysteme von Solaranlagen gehackt. Die Erpresser drohten, die Anlagen zu zerstören.
Langfristig und punktgenau
Für ihn sind die kriminellen Hacker eine ernste Gefahr, sie wollen in der Regel Lösegeld erpressen. Viel gefährlicher seien jedoch staatlich gelenkte Hacker mit extrem hoher Expertise und nahezu unbegrenzten Ressourcen. „Deren Angriffe werden meist langfristig vorbereitet und punktgenau ausgeführt.“
Um Angriffe früh zu erkennen und den Schaden schnell einzugrenzen, empfiehlt Seeger das Zwiebelmodell der Cybersecurity: Es beginnt bei der Sicherung des Anschlusses der Anlage per BUS/LAN mit Verschlüsselung. Auch die interne Kommunikation in der Anlage ist zu verschlüsseln.
Muster von Attacken erkennen
SMA setzt Hardware und Software ein, um Angriffe mit bestimmten Mustern zu erkennen. Das wird von Fachleuten als Anomaly Detection bezeichnet. Selbst bei der Programmierung der Software für die Wechselrichter und Solarspeicher lassen sich Lücken schließen. So wird das Betriebssystem auf ein funktionales Minimum reduziert. „Es geht darum, die Ansatzpunkte für Angriffe zu minimieren“, wie Seeger sagt.
SMA unterhält mittlerweile ein Team von Fachleuten, das Meldungen über Angriffe und Schwachstellen bearbeitet. Laufend wird die Firmware aktualisiert, um Lücken dicht zu machen. Diese Updates sind ein wichtiges Tool, um nicht nur die technische Funktionalität der Geräte zu verbessern. Allerdings: Das Update durchzuführen, ist Sache der Servicetechniker und Installateure. Seeger betont: „IT-Sicherheit ist ein Teamspiel von Herstellern, Installateuren, Betreibern und Wartungstechnikern.“
Kunden sensibilisieren
Ihm liegt besonders am Herzen, die Kundinnen und Kunden für das Thema zu sensibilisieren. „Beim Kauf von Wechselrichtern sollte daher nicht nur auf den Preis geachtet werden“, empfiehlt er. „Entscheidend ist, dass Geräte in Europa entwickelt und geprüft wurden. Hersteller sollten bevorzugt werden, die sichere und regelmäßig geprüfte Software-Updates bereitstellen.“
Er schlägt vor, Monitoring-Plattformen, Apps und die darin verarbeiteten Daten vollständig in der EU zu hosten. Das sorgt für hohe Sicherheit, weil die Datenschutzstandards in der EU zu den strengsten weltweit zählen.
Zertifizierung nach ISO 27001
Was für kleine Anlagen gilt, ist erst recht fürs Projektgeschäft von essenzieller Bedeutung. Alle Cloud- und App-Dienste für den Betrieb der Anlagen sollten vom TÜV nach ISO 27001 zertifiziert sein. Die Zertifizierung härtet die IT-Infrastruktur gegen Angriffe, indem Lücken systematisch aufgespürt und geschlossen werden.
Michael Silvan ist Experte für IT-Sicherheit beim TÜV Rheinland in Köln. Er verweist darauf, dass die strengen Regeln der EU-Richtlinie NIS-2 bis spätestens Sommer 2025 in deutsches Recht übernommen werden.
Ab November 2027 verpflichtend
Grundlage ist der Cyber Resilience Act der EU, der Ende 2024 verabschiedet wurde. Er definiert Anforderungen an Produkte mit digitalen Steuerungen, zum Beispiel Energiemanager in Wechselrichtern oder Batteriemanagementsysteme in Speicheranlagen. Dazu zählen auch Smart Meter oder Home-Manager in Gebäuden. Spätestens ab November 2027 muss jeder Anbieter in der EU die Konformität nachweisen.
In der aktuellen Folge unseres Podcasts erklärt Michael Silvan die rechtlichen Grundlagen und geht auf die ISO 27001 ein. Die Zertifizierung ist ein wichtiger Ausweis für den Aufwand, den Unternehmen zur Sicherung ihrer IT betreiben – für ihre Kunden und die Energieversorgung in Europa.
Foto: Heiko Schwarzburger
Foto: Heiko Schwarzburger
AKTUELLER PODCAST
Solaranlagen und Speicher gegen Cyberangriffe schützen
Seit Jahren nehmen Angriffe auf Energieversorger und Kraftwerke zu. Auch die Solarbranche bleibt davon nicht verschont. Kriminelle oder von ausländischen Staaten gelenkte Hacker nutzen Schwachstellen in der IT-Anbindung, um sich unbefugten Zugriff zu verschaffen.
Dabei drohen nicht nur Ertragsausfälle und finanzielle Einbußen, sondern schwere Schäden an der Technik. Michael Silvan ist IT-Experte beim TÜV Rheinland. Er erklärt, wie man Risiken erkennt und eliminiert.
Zudem gibt er Einblick in die Anforderungen, die sich aus dem Kritis-Dachgesetz, dem IT-Sicherheitsgesetz und der NIS2-Richtlinie der EU ergeben. Die Zertifizierung nach IEC 27001 erlaubt es, Lücken systematisch zu finden und zu schließen, um die Anlagen gegen fremde Eingriffe zu sichern.
https://www.photovoltaik.eu/podcast
Foto: TÜV Rheinland
