Cybersicherheit europäischer Solarkraftwerke

Der Bericht des europäischen Solarverbands SolarPower Europe weist auf Herausforderungen im Bereich der Cybersicherheit von Photovoltaikanlagen in der Europäischen Union hin. Die Hauptprobleme sind die Anfälligkeit der angeschlossenen Wechselrichter und die Verwaltung der Daten über Cloud-Dienste außerhalb Europas.

Da Solarenergie zu einem strategischen Pfeiler der Energiewende in Europa wird, taucht eine weitere, weniger sichtbare, aber ebenso kritische Herausforderung auf: die Cybersicherheit von Photovoltaikanlagen.

Ein am 29. April von SolarPower Europe in Zusammenarbeit mit DNV und dem European Inverter Forum veröffentlichter Bericht weist auf besorgniserregende Lücken in der digitalen Sicherheit dieser Branche hin. Das Dokument mit dem Titel „Solarbranche schlägt Lösungen zur Minderung kritischer Cybersicherheitsrisiken“ kommt zu einem klaren Ergebnis: Intelligente Wechselrichter, ein wichtiger Bestandteil von Solarkraftwerken, stellen eine Schwachstelle für immer raffiniertere Cyberangriffe dar.

Nach wie vor unzureichender Rechtsrahmen und Verwaltung
Im Gegensatz zur traditionellen Energieinfrastruktur werden Solarwechselrichter häufig als vernetzte Objekte konzipiert und eingesetzt. Sie sind für mehrere an der Verwaltung der Anlage beteiligte Akteure fernzugänglich: Hersteller, Installateure, Energieaggregatoren, Netzbetreiber usw. Zu diesem Zweck werden Informationen, Daten und bestimmte Funktionen online über Cloud-Dienste gehostet. Die wachsende Zahl von Akteuren mit direktem oder indirektem Zugriff auf diese Wechselrichter erhöht das Risiko von Sicherheitsverletzungen. Dieser schnell wachsende Sektor wird daher zu einem primären Ziel für Ransomware (die den Zugriff gegen Lösegeld sperrt) oder andere Bedrohungen, manchmal sogar physischer Art, wie z. B. die Fernabschaltung oder Störung der Infrastruktur.

Obwohl die Europäische Union in den letzten Jahren ihre Rechtsvorschriften durch die NIS2-Richtlinie, das Gesetz über Cyberresilienz (CRA), den Netz- und Informationssicherheitskodex (NCCS) oder, einfacher, die Datenschutz-Grundverordnung (DSGVO) verschärft hat, sind diese Vorschriften für alle kritischen Infrastrukturen bestimmt und berücksichtigen nicht immer die spezifischen Anforderungen der Solarenergie. So erfüllen beispielsweise kleine Photovoltaikanlagen in Wohngebäuden oder Gewerbebetrieben häufig nicht die in den Vorschriften festgelegten Schwellenwerte. Darüber hinaus erschwert das Fehlen eines einzigen für die Sicherheit verantwortlichen Betreibers die Anwendung robuster Standards in einzelnen Projekten.

Während fast 70 % der privaten und gewerblichen Anlagen mittlerweile mit dem Internet verbunden sind, sind die Kenntnisse der Installateure und Dienstleister im Bereich der Cybersicherheit angesichts der Raffinesse potenzieller Angriffe nach wie vor begrenzt. Schlechte Praktiken – Standardpasswörter, fehlende Firewalls, unsichere Konfigurationen – sind weit verbreitet. Schlecht informierte Endnutzer sind sich oft nicht der Risiken bewusst, die mit dem Fernzugriff oder der Speicherung von Daten in Rechenzentren außerhalb der EU, manchmal in weniger geschützten Rechtsräumen, verbunden sind.

Notwendigkeit angemessener Maßnahmen
Die Situation ist noch besorgniserregender, wenn man das Ausmaß der betroffenen Kapazitäten berücksichtigt. Im Jahr 2023 hatten sieben Wechselrichterhersteller das Potenzial, mehr als 10 GW installierte Leistung fernzusteuern. Die Gefährdung nur eines dieser Akteure könnte potenziell die Stabilität des europäischen Stromnetzes beeinträchtigen. Sensible Daten, sei es in Echtzeit oder in Form von Nutzerinformationen, können ebenfalls dem Risiko von Spionage oder Sabotage ausgesetzt sein, insbesondere wenn die Server außerhalb der EU gehostet werden.

Angesichts dieser Erkenntnisse drängt SolarPower Europe auf die Verabschiedung eines „harmonisierten Cybersicherheitsrahmens für Photovoltaikanlagen“, insbesondere für intelligente Wechselrichter. Der Bericht betont die Notwendigkeit, dezentrale Solaranlagen entsprechend ihrem tatsächlichen Risikoniveau zu bewerten, eine klare Sicherheitsverwaltung über die gesamte Lebensdauer der Anlagen zu definieren, das Bewusstsein der Verbraucher zu schärfen, Systeme zu fördern, die von Haus aus sicher sind, und das Fehlen einer europäischen Norm für das gesamte dezentrale System, einschließlich seiner digitalen Infrastruktur, zu beheben.