Der Sicherheitsexperte Willem Westerhof von der niederländischen IT-Sicherheitsfirma ITsec veröffentlichte Anfang August eine Studie, in der er zum Teil schwere Sicherheitslücken in weltweit installierten Photovoltaik-Anlagen identifiziert haben will. Diese könnten Hacker nutzen, um mit gezielten Cyber-Attacken auf Solarwechselrichter ganze Stromnetze lahmzulegen. Im schlimmsten Fall könnte dies zu weiträumigen Ausfällen im gesamten europäischen Verbundnetz führen. Seine Ergebnisse präsentiert Westerhof auf einer eigenen Webseite mit der Adresse www.horusscenario.com.
In seiner Studie hat Westerhof explizit Sicherheitslücken bei Geräten des Wechselrichterherstellers SMA untersucht. „Geräte dieser Marke werden im Allgemeinen als Mercedes unter den PV-Wechselrichtern angesehen“, schreibt der Sicherheitsexperte. SMA sei zudem seit mehreren Jahren der Marktführer unter den Wechselrichterherstellern. Bei seinen Untersuchungen habe er mehrere Sicherheitslücken gefunden, die Cyber-Angreifer ausnutzen könnten. 14 davon benennt er auf seiner Webseite konkret. Bereits im Dezember 2016 habe er SMA auf die Lücken hingewiesen und kurz danach auch niederländische Behörden informiert. Letztere haben daraufhin Ermittlungen aufgenommen, wie niederländische Medien berichten.
SMA weist Vorwürfe zurück
Der deutsche Wechselrichterhersteller SMA hat mittlerweile reagiert und ein Whitepaper veröffentlicht, in dem es viele der Vorwürfe zurückweist. Zunächst seien nur Geräte aus den Modellreihen Sunny Boy TLST-21 und TL21 sowie Sunny Tripower TL-10 und TL-30 betroffen. Alle anderen Geräte entsprächen den neuesten Sicherheitsstandards gegen Cyber-Angriffe. Zudem würden auch die genannten Geräte einen umfassenden Schutz vor Hacker-Attacken bieten, wenn die Maßnahmen der von SMA veröffentlichten Cyber-Security-Richtlinien sorgfältig eingehalten werden.
Grundsätzlich könnten ohnehin nur Anlagen attackiert werden, die mit dem Internet verbunden sind, und auch nur dann, wenn sie nicht durch einen Router hinter einer Firewall geschützt sind, was bei den meisten Geräten nicht der Fall sei. Tatsächlich überschätze Westerhof zudem die potentiell betroffene Anschlussleistung von SMA-Wechselrichtern im privaten Hausanlagen-Segment deutlich, die er mit rund 17 Gigawatt angibt. Dabei handele es sich um die gesamte Wechselrichter-Leistung, die SMA in diesem Segment auf den Markt gebracht hat. „Die Leistung, die von den betroffenen Geräten produziert wird, betrifft hiervon nur einen Bruchteil“, so der deutsche Hersteller. Zudem seien diese Wechselrichter weltweit installiert. „Daher sehen wir in keiner Weise das Risiko möglicher Instabilitäten bezüglich des öffentlichen Netzes, selbst im höchst unwahrscheinlichen Fall einer zeitgleichen Attacke der betroffenen Geräte.“
Das Whitepaper, in dem SMA zu den von Westerhof genannten potentiellen Sicherheitslücken Stellung nimmt, können Interessierte auf der Webseite des Herstellers herunterladen. Aus Sicht von SMA reichen die von Westerhof genannten Schwachstellen reichen nicht aus, um die von ihm dargestellte „Kill-Chain“ zu erzeugen. Die faktisch vorhandene Pluralität von Geräten, Herstellern und Sicherheitsmechanismen mache einen solchen Angriff extrem aufwändig. Vor diesem Hintergrund schätze SMA die Wahrscheinlichkeit eines erfolgreichen Angriffs als gering ein.
Problembewusstsein vorhanden
Grundsätzlich scheint sich SMA des Problems allerdings bewusst zu sein. Das Unternehmen weist mehrfach darauf hin, dass Kunden die Cyber-Security-Richtlinien des Herstellers sorgfältig einhalten sollten. Darin nennt SMA auch die Risiken bei Nichteinhaltung. „Mit dem Internet verbundene Systeme, die nicht speziell gesichert sind, können genutzt werden, um in das Netzwerk des Kunden (hinter dem Internet-Router) einzudringen“, heißt es. Sollte dies passieren, könnten die Angreifer zum Beispiel Passwörter ausspionieren, Botnet-Agenten installieren oder das Geräteverhalten beziehungsweise die vom Gerät übermittelten Daten manipulieren. Um dies zu verhindern empfiehlt SMA in den Cyber-Security-Richtlinien eine ganze Reihe von Gegenmaßnahmen.
Dennoch räumt SMA im kürzlich veröffentlichten Whitepaper ein: „Absolute Sicherheit wird es niemals geben, das zeigen zahlreiche Beispiele anderer sicherheitsrelevanter Branchen.“ Deshalb setze das Unternehmen auf eine ständige Weiterentwicklung der Sicherheitsmaßnahmen. Alle neuen Kommunikationsmechanismen würden einer Kontrolle durch externe Sicherheitsfirmen unterzogen. „Ein solches ‚Horus‘-Szenario kann niemand komplett ausschließen“, so das Unternehmen. SMA stehe aber dafür ein, dass es so unwahrscheinlich wie möglich wird.
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
Unabhängig von der technischen Problematik, die vielleicht durchaus existiert, fühlt man sich bei dieser Meldung ein wenig in die Zukunft hineinversetzt. Wer „Blackout“ von Marc Elsberg gelesen hat, kennt dieses sehr realistische Szenario – ein Angriff von Hackern auf das europäische Verbundnetz – ja sogar das weltweite Netz.
Nur – was passiert denn jetzt? In diesen Szenarien sprach man bisher immer nur von den konventionellen Energien und Kraftwerken. Nur die waren wichtig und systemrelevant. Als Einfallstor für Hacker wurden neben den Kraftwerken insbesondere noch die SmartMeter gesehen. Und nun sind auf einmal PV-Wechselrichter das Ziel?
Unabhängig von allen technischen Zusammenhängen und der möglichen Gefahr eines Blackout zeigt diese Meldung eigentlich den Trend: Hacker sind kriminell, aber intelligent! Sie machen sich nicht mehr die Mühe, Schadsoftware für „alte Kraftwerke“ zu schreiben. Wozu? Das rentiert sich gar nicht mehr. Diese Leute haben erkannt, dass hier die Energie der Zukunft erzeugt wird! Bei PV-Anlagen, bei Windrädern, bei Speichern, bei virtuellen Kraftwerken und Schwarm-Netzen!
Das zeigt und zum einen, dass dieser Trend nun wirklich überall erkannt ist (außer vielleicht bei manchen Politikern…) und dass ihn keiner mehr umkehren kann!
Das zeigt uns aber zum anderen, wie wichtig es ist, jetzt die Zitronen zur Limonade, sprich: Das Risiko zur Chance zu machen! Der Umbau vom alten zum neuen Energiesystem kann und muss so gestaltet werden, dass die Energieversorgung in Zukunft zwar intelligent vernetzt, aber möglichst auch in kleinen dezentralen Einheiten betriebsfähig sein muss. Wir müssen es schaffen, die Energiewende gleichzeitig zur Systemwende zu machen, um zentralen Hacker- oder auch Terrorangriffen keine zentralen Angriffsflächen mehr zu bieten. Das Energiesystem muss erneuerbar, aber gleichzeitig dezentral gestaltet werden. Dann und nur dann wird „Blackout“ das bleiben, was der Autor schaffen wollte: Ein Roman. Ein guter Roman! Aber ein Roman eben und keine Realität!