Uri Sadot, gewählter Vorsitzender der Digitalisierungsgruppe von Solarpower Europe und Cybersecurity Program Director bei Solaredge, erklärt, warum Photovoltaik-Anlagen zunehmend von Hackern ins Visier genommen werden, was Regierungen in Bezug auf Rechtsvorschriften unternehmen und worauf Hausbesitzer und Unternehmen mit Solaranlagen achten sollten, um sich besser zu schützen.
Große Energieanlagen wie Gas- und Kernkraftwerke werden seit Langem durch strenge Cybersicherheitsverordnungen geschützt. Neue Systeme im Energiemix wie Offshore-Windparks und Solaranlagen unterliegen aufgrund ihrer Größe ähnlich strengen Vorschriften, zumindest bis zu einem gewissen Grad. Die Energieinfrastruktur wird jedoch immer dezentraler und Millionen von Solaranlagen auf den Dächern von Privathaushalten und Unternehmen bringen zahlreiche mit dem Internet verbundene Komponenten ins Spiel, die alle ihre eigenen Schwachstellen aufweisen. Dadurch ergeben sich völlig andere Herausforderungen für die Cybersicherheit als bei den großen Energieanlagen, mit denen wir es bisher zu tun hatten.
Der Wechselrichter, der oft als „Gehirn“ einer Solaranlage bezeichnet wird, ist für die Umwandlung der Energie aus den Solarmodulen in nutzbaren Strom verantwortlich. Bei gewerblichen und privaten Aufdach-Solaranlagen ist der Wechselrichter direkt mit dem Internet verbunden und wird dadurch zu einem Ziel für Cyberangriffe, die schwerwiegende Folgen für die Solaranlage haben können. Wir haben bereits gesehen, dass sich Hacker durch die Übernahme von Administratorrechten die Fernsteuerung eines installierten Solarsystems aneignen können. Dadurch sind sie in der Lage, Wechselrichter zu deaktivieren oder zu beschädigen, sie gegen Lösegeld zu sperren oder auf sensible Bereiche des Kundennetzwerks zuzugreifen. Bei Unternehmen können davon auch Kundendatenbanken und Finanzsysteme betroffen sein. Auch Energieverbrauchsdaten können für Hacker von Interesse sein, da sie ihnen detaillierte Einblicke in Haushaltsroutinen oder die Geschäftsleistung bieten.
Noch besorgniserregender ist, dass Hacker die zentralen Server, die diese Solarsysteme verwalten, anvisieren können. Oftmals werden Tausende, manchmal sogar Millionen von Systemen von einem einzigen Punkt aus gesteuert. Diese Server können das Ziel von Hackern werden, die das gesamte Netz lahmlegen wollen. Stromnetze sind darauf ausgelegt, ein ständiges Gleichgewicht zwischen Angebot und Nachfrage aufrechtzuerhalten. Wenn dabei eine kritische Lücke entsteht, können Teile des Netzes in den Notbetrieb versetzt werden. Nach aktuellem Fachkonsens hat die von privaten Solaranlagen erzeugte Energie den maximalen Schwellenwert für diese Lücke längst überschritten. Diese Situation und die Tatsache, dass weltweit Millionen von Solaranlagen installiert sind, haben dazu geführt, dass die Cybersicherheit von Solaranlagen nun einer genaueren Prüfung unterzogen wird.
Die gezielten Angriffe haben bereits begonnen
Im Mai 2024 rief der europäische Solarverband (ESMC) zu größeren Anstrengungen bei der Verbesserung der Cybersicherheit von Wechselrichtern auf. Im selben Monat verkündete Vangelis Stykas – ein „ethischer Hacker“, der Cyberschwachstellen aufdeckt, damit sie behoben werden können – dass er nichts anderes als ein Mobiltelefon und einen Laptop brauchte, um sich uneingeschränkten Fernzugriff auf die Solarsysteme von sechs globalen Wechselrichterherstellern zu verschaffen. Damit hatte er Zugriff auf eine Energiemenge, die mehr als dreimal so hoch war wie die des gesamten deutschen Stromnetzes. Er führte zwar keinen Angriff auf den Netzbetrieb aus, hatte aber Zugriff auf eine Strommenge, mit der er in der Lage gewesen wäre, weitreichende Stromausfälle zu verursachen.
Im August wurden zwei Solarunternehmen von dem renommierten Cybersicherheitsunternehmen Bitdefender gehackt, das dadurch Zugriff auf 195 Gigawatt Solarenergie erhielt – 20 Prozent der weltweiten Solarstromproduktion. Die niederländische ethische Hacking-Gruppe DIVD deckte bei einem großen Hersteller von Solarwechselrichtern sechs neue Cybersicherheitslücken auf, durch die vier Millionen Systeme in über 150 Ländern gefährdet waren.
Aber nicht alle Hackerangriffe auf Solarsysteme verlaufen glimpflich. Anfang Februar 2024 verschaffte sich eine russische Cyberkriminellen-Gruppe Zugang zu dem litauischen Versorgungsunternehmen Ignitis. Die Hacker legten Videobeweise für die Sperrung von Benutzerkonten vor und forderten Lösegeld, um ihre Angriffe einzustellen. Dies gelang ihnen durch gezielte Angriffe auf die Solarüberwachungssoftware und den Zugriff auf Daten von 22 Einrichtungen, darunter Krankenhäuser und Militärakademien.
Ein weiterer böswilliger Cyberangriff machte in Japan Schlagzeilen. Hacker verschafften sich Zugriff auf 800 japanische Solar-Fernüberwachungsgeräte und nutzten sie zum Diebstahl von Bankkonten. Im Gegensatz zu den meisten Sicherheitslücken kann dieses Problem nicht behoben werden: Es gibt keinen Mechanismus zur Durchführung von Remote-Updates, sodass eine dauerhafte Schwachstelle besteht.
Das Cybersicherheitsunternehmen DERSec veröffentlichte vor Kurzem eine Analyse von 54 Cyberangriffen und Schwachstellen bei privaten Solarenergiesystemen. Der Bericht kam zu dem Schluss, dass der Aufwärtstrend bei Cyberangriffen wahrscheinlich anhalten wird, da immer mehr Bedrohungsakteure versuchen, in kritische Infrastrukturen auf der ganzen Welt einzudringen und diese zu sabotieren. Dies hat zu einem Umdenken bei Branchenverbänden und Regierungen geführt und verdeutlicht, dass die Cybersicherheitsrisiken durch Solarenergie eine sehr reale Gefahr darstellen.
Die Reaktion von Branchenverbänden und Regierungen
Angesichts dieser Vorfälle erklärte der führende Solarverband Europas, SolarPower Europe, vor Kurzem, dass die EU jetzt handeln müsse, um hohe Cybersicherheitsstandards für Hersteller von Solarwechselrichtern durchzusetzen und eine sichere Energieversorgung zu gewährleisten. Dieser Forderung schloss sich auch der European Solar Manufacturing Council an. In den Vereinigten Staaten warnte das FBI kürzlich vor Hackerangriffen auf kritische Infrastrukturen, insbesondere auf anfällige Systeme zur Erzeugung erneuerbarer Energien. Dabei wurde auf die zunehmende Abhängigkeit von diesen Energiequellen und den Mangel an ausreichenden Cybersicherheitsprotokollen und -vorschriften verwiesen.
Regierungen sind nun unter Zugzwang und müssen das Problem dringend und direkt angehen. In den USA hat das Office of the National Cyber Director (ONCD) des Weißen Hauses kürzlich eine Roadmap veröffentlicht, in der die kritischen Technologien, deren Cybersicherheit angesichts der beschleunigten Umstellung auf saubere Energie gewährleistet werden muss, aufgeführt sind. Darin wurden einzelne Produktkategorien wie Solarwechselrichter und Ladegeräte für Elektrofahrzeuge aufgeführt. Diese erfordern besondere Aufmerksamkeit. Andere Stellen wie die niederländische Regierungsbehörde RDI und das Forschungsunternehmen SECURA haben dieses Risiko ebenfalls erkannt und auch die Australian Cybersecurity Cooperative ging in ihrem Bericht „Power Out“ darauf ein.
In einigen Gebieten haben wir gesehen, wie erste Regulierungen zur Handhabung dezentraler Energieressourcen Gestalt annahmen. Die britische Verordnung für intelligente Ladestationen für Elektrofahrzeuge, Smart Charge Points, verlangt beispielsweise die Integration von Verzögerungs-Timern in EV-Ladegeräten, um Massenausfälle zu verhindern und dem Stromnetz im Falle eines Cyberangriffs Zeit zur Anpassung zu geben. Dadurch ließe sich zwar das schlimmste Szenario entschärfen, doch ein Hackerangriff auf dezentrale Energieressourcen kann dadurch nach wie vor nicht verhindert werden.
Die Europäische Kommission versucht, dieses Problem durch strengere Vorschriften zu lösen. Für einige könnte es jedoch zu spät sein. Litauen hat die Angelegenheit als erstes Land selbst in die Hand genommen. Kurz nach dem Cyberangriff auf das litauische Versorgungsunternehmen im Februar beschloss das örtliche Parlament, den als Bedrohung für die nationale Sicherheit Litauens eingestuften Ländern den Fernzugriff auf Solar-, Wind- und Batteriespeicher zu verbieten. Das bedeutet, dass Solarwechselrichter aus Ländern, die nach litauischem Recht als problematisch gelten, ab dem 1. Mai 2025 nicht mehr zugelassen sind und bestehende Anlagen bis zur gleichen Zeit im darauffolgenden Jahr nicht konforme Wechselrichter abschalten müssen.
Wie können wir dieses Problem lösen?
Mangels einer wirksamen Verordnung müssen sich Hersteller von Solarwechselrichtern ihrer Verantwortung als Entwickler kritischer Infrastrukturen deutlicher bewusst werden und diese auch als solche behandeln. Um die Stabilität und Sicherheit der Solarindustrie auch in Zukunft zu gewährleisten, müssen sie Investitionen in Cybersicherheitstechnologien den Vorrang vor Kostensenkungen und höheren Gewinnspannen einräumen.
Darüber hinaus sollten Unternehmen, die in Solarenergie investieren, für Cyberrisiken sensibilisiert werden und die Cybersicherheitsmaßnahmen einzelner Anbieter bewerten, um die Sicherheit ihrer Systeme zu gewährleisten. Sie sollten Installateuren zum Beispiel Fragen stellen wie: Wer hat Fernzugriff auf mein Solarsystem? Wo werden meine Daten gespeichert und wie werden sie geschützt? Hat die Marke eine gute Erfolgsbilanz im Hinblick auf Cybersicherheit? Andernfalls kann es passieren, dass das System nicht funktionsfähig ist oder die Solaranlage bald nicht mehr den geltenden Vorschriften entspricht und lange vor ihrer Amortisationszeit ersetzt werden muss.
Im Wettlauf um eine schnelle Einführung sauberer Energietechnologien ist es unerlässlich, Cybersicherheit von Anfang an zu integrieren. Die rasante Ausbreitung des Internets vor drei Jahrzehnten ging mit erheblichen Kompromissen im Bereich der Cybersicherheit einher, für die wir noch heute zahlen. Um diese Fehler der Vergangenheit nicht zu wiederholen, sollten wir uns einen einfachen Grundsatz vor Augen halten: Vorbeugen ist besser als heilen.
— Der Autor Uri Sadot ist Cybersecurity Programm Director beim Wechselrichterhersteller Solaredge Technologies. Zuvor arbeitete er als Berater bei McKinsey & Company und besitzt einen Abschluss in Sicherheitsstudien von der Princeton University. In seiner Rolle bei Solaredge setzt er sich dafür ein, dass die Einführung erneuerbarer Energien von Anfang an cybersicher gestaltet wird, um kostspielige und störende nachträgliche Korrekturen zu vermeiden. Als gewählter Vorsitzender der Digitalisierungsgruppe von Solarpower Europe begleitet er den Weg zu mehr Cybersicherheit in der Solarbranche auch in politischer Lobbyarbeit. —