Angesichts zunehmender Angriffe auf die europäische Infrastruktur wird Cybersicherheit zur zentralen Anforderung an die moderne Energieversorgung. Derzeit konzentrieren sich die Bemühungen auf traditionelle Strukturen der zentralisierten Großkraftwerke.
Ein neuer Bericht von Solar Power Europe mit dem Titel „Solutions for PV Cyber Risks to Grid Stability“ zeigt Defizite bei Photovoltaikanlagen auf und gibt Empfehlungen, um die Risiken zu mindern. Wenn nicht gegengesteuert wird, könnten insbesondere Lücken bei Solarwechselrichtern die Netzstabilität und die Versorgungssicherheit gefährden. „Die Digitalisierung bietet enorme Chancen, darunter Einsparungen im Energiesystem von 160 Milliarden Euro pro Jahr bis 2040“, erklärt Walburga Hemetsberger, Geschäftsführerin von Solar Power Europe. „Sie bringt jedoch auch neue Herausforderungen mit sich, wie beispielsweise die Sicherheit gegen unbefugten Zugriff durch Fremde.“
Internet als Einfallstor
Der Bericht hebt hervor, dass Photovoltaikanlagen zunehmend digitalisiert und vernetzt sind. In der Regel basieren sie auf Wechselrichtern, die über das Internet angesteuert werden und Betriebsdaten auslesen. Anders als konventionelle Großkraftwerke verhalten sie sich wie IT-Geräte.
Zur Verwaltung und Steuerung der Anlage sind sie per Fernzugriff zugänglich, beispielsweise für die Hersteller, Installateure, Dienstleister und Netzbetreiber. Zu diesem Zweck werden Informationen, Daten und bestimmte Funktionen von Clouddiensten gehostet.
Die steigende Zahl von Akteuren mit direktem oder indirektem Zugriff auf die Wechselrichter erhöht das Risiko von unbefugtem Zugriff. Der schnell wachsende Sektor wird daher zu einem bevorzugten Ziel von sogenannter Ransomware. Sie sperrt den Zugriff und gibt ihn erst nach der Zahlung von Lösegeld wieder frei. Auch die Fernabschaltung und schwere Störungen der Technik und Infrastruktur sind möglich
Bündel von Schwachstellen
Zu den wichtigsten Schwachstellen gehören ungesicherte Zugriffspunkte auf die Wechselrichter oder sehr einfache Passwörter, die sich leicht entschlüsseln lassen. Weit verbreitet ist die Unsitte, Updates der Firmware ohne Verifizierung aufzuspielen. Cloud-Server für die Betriebsdaten stehen außerhalb der EU, unterliegen also nicht den strengen Vorgaben der Europäischen Union. Und oft werden Prozesse zur Cybersicherheit schlecht vorbereitet, dokumentiert oder missachtet.
Besonders gering ist das Sicherheitsniveau von Anlagen für Privathaushalte und Gewerbe, obwohl diese mittlerweile zu fast 70 Prozent mit dem Internet verbunden sind. Oft verfügen Installationsbetriebe oder Dienstleister nicht über das Personal und die Ressourcen, um Cyberrisiken angemessen zu erkennen oder zu bewältigen.
Kritis-Vorschriften greifen nicht
Während Solarparks am Stromnetz meist von erfahrenen Betreibern und strengeren Sicherheitsstandards profitieren, fehlt es kleinen Anlagen häufig an Schutz und Überwachung. Ihre Komponenten wie beispielsweise Wechselrichter sind zu klein, um als kritische Infrastruktur (Kritis) eingestuft zu werden.
Deshalb sind sie vom Cyber Resilience Act (CRA), dem Network and Information Systems Code on Cybersecurity (NCCS), der NIS2-Richtlinie oder der Datenschutz-Grundverordnung (DSGVO) ausgenommen. Entsprechend unterliegen Hersteller, Installateure und Dienstleister kaum Vorschriften zur Cybersicherheit.
Chinesen dominieren das Geschäft
Das Problem wird durch die Marktkonzentration verschärft: Im Jahr 2023 dominierten zwölf große Wechselrichterhersteller, davon neun aus China. Etwa 70 Prozent aller Wechselrichter, die 2023 in Europa installiert wurden, stammten von chinesischen Anbietern.
Sieben Hersteller (Huawei, Sungrow, SMA, Solaredge, Goodwe, Fronius und Growatt) hatten im Jahr 2023 das Potenzial, mehr als zehn Gigawatt installierte Leistung fernzusteuern. Ein gezielter Cyberangriff, der diese Zugangspunkte ausnutzt, könnte weitreichende Störungen verursachen.
Drei Gigawatt als kritische Schwelle
Der Bericht von Solar Power Europe weist auf Simulationen hin, dass ein Angriff auf nur drei Gigawatt Solarleistung erhebliche Auswirkungen auf das europäische Stromnetz haben könnte. „Der Übergang zum dezentralisierten Energiesystem sorgt für Resilienz, indem er die Abhängigkeit von einzelnen Kraftwerken verringert“, erklärt Walburga Hemetsberger. „Diese Resilienz ist jedoch nur dann real, wenn neue Risiken proaktiv angegangen werden.“
Zwar war die Solarbranche bislang weniger Angriffen ausgesetzt als Sektoren wie Öl, Gas und Atomkraft. Doch die zunehmende Verbreitung der Photovoltaik im europäischen Energiemix könnte sie zum bevorzugten Ziel für künftige Angriffe machen, sei es aus finanziellen Gründen oder aufgrund geopolitischer Spannungen.
Spezielle Sicherheitsstandards nötig
Um die Risiken zu mindern, setzt Solar Power Europe vor allem auf spezifische Standards für den Solarsektor. „Die Gesetzgebung für Cybersicherheit muss den Anforderungen kleinerer Solaranlagen auf Hausdächern Rechnung tragen“, fordert Hemetsberger.
Aktuelle Cybersicherheitsstandards wie ISO 17001 oder IEC 62443 sowie Leitlinien wie IEE 15477.3 seien zwar hilfreich, aber nicht ausreichend. Ein solarspezifischer Rahmen sollte die sichere Konstruktion von Wechselrichtern, den Schutz von cloudbasierten Datenplattformen und obligatorische Zertifizierungssysteme für kritische Anlagen umfassen. Der Bericht empfiehlt: Entsprechende Anforderungen und Leitlinien sollen innerhalb der kommenden drei Jahre ausgearbeitet werden.
Kein Zugriff von außerhalb der EU
Zudem fordert Solar Power Europe, Fernzugriff und Datenspeicherung außerhalb der EU zu beschränken. Ähnlich wie bei der DSGVO sollte der Fernbetrieb aggregierter Endgeräte, wie kleiner Dachsolaranlagen, oberhalb kritischer Schwellenwerte nur in Ländern mit gleichwertigen Sicherheitsgarantien wie in der EU erlaubt sein.
Der Fernzugriff durch Unternehmen außerhalb dieser Regionen sollte verboten werden. Es sei denn, es werden nachweislich strenge Maßnahmen zur Cybersicherheit umgesetzt. Risikoreiche Unternehmen wären dann verpflichtet, Cyberlösungen zu entwickeln, die von den zuständigen Behörden überwacht und genehmigt werden.
Der Bericht verweist auf Litauen, wo Hochrisikobetriebe dazu aufgefordert werden, für die Fernwartung und Aktualisierung von Firm- und Software auf Drittanbieter zu setzen. „Wir müssen sicherstellen, dass die Kontrolle über die europäische Solarinfrastruktur fest in sicheren Rechtsräumen verbleibt“, fordert Hemetsberger.
Installateure besser schulen
Solar Power Europe fordert die Europäische Kommission auf, die Umsetzung dieser Maßnahmen durch den Netzcode für Cybersicherheit oder gleichwertige Mechanismen zu beschleunigen. Brüssel sollte Interessengruppen einberufen, um einen klaren Umsetzungsfahrplan festzulegen.
Darüber hinaus könnte eine Whitelist zertifizierter Geräte erstellt werden, um die Sicherheit der Lieferkette und der Stromversorgung zu stärken. Entscheidend sei die flankierende Sensibilisierung und Schulung von Endkunden und Installateuren. Walburga Hemetsberger drängt: „Um eine moderne, sichere und zuverlässige Energieinfrastruktur aufzubauen, muss Cybersicherheit von Grund auf integriert werden.“
Den Bericht von Solar Power Europe können Sie hier downloaden:
https://www.solarpowereurope.org/insights/thematic-reports/solutions-fo…
Litauen als Vorreiter
Strenges Gesetz zur Fernsteuerung
Litauens Gesetz zur Cybersicherheit für die Fernsteuerung von Wind- und Solaranlagen folgt einer klaren Strategie: Es verbietet Herstellern aus Ländern, die als risikoreich eingestuft werden, den Zugriff auf die von ihnen bereitgestellten Systeme, die an das Stromnetz angeschlossen sind und eine Leistung von 100 Kilowatt überschreiten. Dies schließt chinesische Hersteller von Wechselrichtern ein. Neue Anlagen müssen seit Mai 2025 dieser Anforderung entsprechen. Bestehende Anlagen müssen bis Mai 2026 umgerüstet werden.
Das Gesetz verbietet nicht den Verkauf oder die Installation dieser Komponenten in Litauen. Es betrifft lediglich den Fernzugriff des Herstellers, um Änderungen vorzunehmen, Wartung durchzuführen und Updates ohne Einbeziehung eines Drittanbieters durchzuführen.
