In letzter Zeit häufen sich Berichte über Sicherheitsrisiken bei Solaranlagen, die mit dem Internet verbunden sind. Was dahintersteckt und wie Eigentümer reagieren können.
Mehr als vier Millionen Solaranlagen mit einer Leistung zwischen einem und 30 Kilowatt sind bei der Bundesnetzagentur inzwischen registriert. Mittlerweile setzt sich die Ansicht durch, dass diese wachsende Flotte von Minikraftwerken ein Ziel für Hacker darstellt – um das Stromnetz aus dem Takt zu bringen. Im schlimmsten Fall droht ein Blackout.
Nach der Werbung weiterlesen
Derzeit kann niemand verlässlich sagen, wie groß das Risiko eines solchen Angriffs ist. Doch allein die Drohung, das Stromnetz abzuschalten, wäre ein enormes Druckmittel etwa für einen Staat wie China, Russland, Iran oder Nordkorea. Diese Länder werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit in einem Papier zum Thema erwähnt.
Wie könnte ein Angriff über private Solaranlagen ablaufen? Was ist über die Risiken bekannt und was wird dagegen unternommen? Die wichtigsten Fragen und Antworten.
Sie machen in der Summe mittlerweile einen erheblichen Teil der Stromproduktion aus. Ob wenige große oder viele kleine Anlagen angegriffen werden, ist unerheblich.
Das Prinzip eines angenommenen Angriffs ist immer das Gleiche: An einem sonnigen Tag zur Mittagszeit speisen die Anlagen typischerweise viel Strom ins Netz ein. Wenn sie plötzlich abgeschaltet werden, gerät das Stromnetz aus dem Takt und schwingt nicht mehr mit 50 Herz. Wenn die Schwankung zu stark wird, müssen die Netzbetreiber gegensteuern. Können die Schwankungen nicht aufgefangen werden, reichen die Folgen bis hin zur Abschaltung von Teilen des Stromnetzes, einem Blackout.
Wechselrichter wandeln den auf dem Dach erzeugten Strom um und speisen ihn ins Netz ein. Die meisten dieser Geräte sind mit dem Internet verbunden – etwa, um die Stromerzeugung zu messen oder um Softwareupdates einzuspielen. Weil sie online sind, können sie auch gehackt werden – einzeln, aber auch über die Systeme einzelner Hersteller oder Komplettanbieter wie Enpal oder 1Komma5°.
Wie sicher Ihr Wechselrichter ist, können Sie in unserem interaktiven Tool abfragen:
Experten der Stuttgarter Cybersicherheitsfirma Asvin haben eine Onlineübersicht zu Sicherheitslücken analysiert und geben auf dieser Grundlage eine Einschätzung zu vielen in Deutschland populären Wechselrichtern.
Der Vor-Ort-Besuch bei einem Enpal-Kunden in Mainz hat erhebliche Sicherheitslücken bei einem Sungrow-Wechselrichter ans Licht gebracht. Doch es gibt zahlreiche weitere Hersteller – manche sind auffällig, manche unauffällig.
Enpal oder 1Komma5° betreiben keine eigenen Cloudsysteme etwa für Sicherheitsupdates, sondern „kaufen das alles als Service ein und sind daher an vielen Stellen abhängig von funktionierenden Cybersicherheitsprozessen dieser Anbieter“, sagt der Stuttgarter Cybersicherheitsexperte Mirko Ross. Eine Sicherheitslücke etwa in der Microsoft-Cloud könnte daher Zugriff auf Zehntausende Solaranlagen ermöglichen.
Auch einzelne große Hersteller können zum Ziel von Angriffen werden. Mehr als ein Dutzend Hersteller hat so viele Wechselrichter am Markt, dass Angreifer Zugriff auf mehr als drei Gigawatt Leistung erhalten können. Das ergab im Frühjahr eine Studie von Solar Energy Europe. Schon der erfolgreiche Angriff auf einen dieser Hersteller könnte ausreichen, um das Stromnetz zu sabotieren. In den vergangenen Monaten wurden Sicherheitslücken in Wechselrichtern weltweit führender Hersteller bekannt (etwa bei Deye und anderen Herstellern wie Sungrow, Growatt und SMA).
Im Mai dieses Jahres fanden US-Sicherheitsforscher zudem rätselhafte, nicht dokumentierte Kommunikationsgeräte in chinesischen Wechselrichtern. Ob bewusst oder unbewusst – dabei könnte es sich um eine Art Hintertür handeln, mit der die Hersteller oder der chinesische Staat die Anlagen manipulieren können.
Nein, bisher sind Angriffe auf das Stromnetz über private Solaranlagen nur ein Szenario. Doch das BSI nimmt es offenbar sehr ernst. Dass das Energiesystem zum Ziel von Angriffen werden kann, zeigte unmittelbar nach dem Überfall auf die Ukraine ein mutmaßlich von russischen Hackern durchgeführter Angriff auf drei deutsche Windenergie-Unternehmen.
Breit diskutiert wurde auch ein Verbot chinesischer Bauteile im 5G-Funknetz. Vergangenes Jahr entschied die Bundesregierung, dass bis Ende 2026 im 5G-Kernnetz „keine Komponenten von Huawei und ZTE eingesetzt werden“ dürfen. Man wolle nur noch „auf vertrauenswürdige Hersteller setzen“.
Sicherheitsexperten suchen und dokumentieren regelmäßig Schwachstellen in Wechselrichtern – veröffentlichen sie aber erst, nachdem sie Hersteller darüber informiert und diese sie behoben haben. Das geschieht typischerweise über Softwareupdates. Privatleute sollten sicherstellen, dass sie selbst – oder ihr Anbieter, beispielsweise Enpal oder 1komma5° – diese Updates regelmäßig einspielen.
Vor dem Kauf einer Anlage empfiehlt es sich, die Hersteller auch unter dem Aspekt Cybersicherheit zu bewerten. Größere Sicherheitsprobleme traten laut Experten der Firma Asvin in der jüngeren Vergangenheit bei Modellen der Hersteller Ecoflow, Fox Ess und Sungrow auf. In wenngleich technischer Sprache sind Sicherheitsprobleme auf dieser Seite dokumentiert.
Außerdem sollten Passwörter etwa für Geräte wie Wechselrichter nach der Installation geändert werden. Immer noch werden viele Geräte mit Standardpasswörtern ausgeliefert. Das ist ein Sicherheitsrisiko.
Das heimische WLAN für den Internetzugriff sollte möglichst vom Netzwerk der Solaranlage getrennt werden. So reduzieren Betreiber das Risiko, dass bei einem Cyberangriff private Daten ausgelesen werden.
Mit vom BSI zertifizierten Steuerboxen und Smart Meter Gateways soll die Einspeisung privater Solaranlagen ins Stromnetz künftig besser gesteuert werden.
Cybersicherheit
Das Stromnetz und die privaten Solaranlagen geraten zunehmend in den Blick von Hackern und von Sicherheitsbehörden. Dieser Beitrag ist Teil einer Recherche zu Sicherheitsrisiken bei kleinen PV-Anlagen, wie man sie typischerweise auf Wohnhäusern findet.
Recherche
Unsere Redaktion hat die Recherche gemeinsam mit der „Zeit“ sowie der Stuttgarter Cybersicherheitsfirma Asvin geleistet.
