Bestehende Sicherheitsvorschriften für Photovoltaik-Anlagen bieten ungenügenden Schutz vor Cybersicherheitsrisiken. Zu diesem Fazit kommt ein neuer Bericht des norwegischen Test- und Qualitätsinstituts DNV. Er betont, dass die bestehenden Cybersicherheitsvorschriften nicht immer ausreichend sind, um die Sicherheitsanforderungen an die Energieinfrastruktur zu erfüllen.
Der Bericht identifiziert 14 Risikobereiche und stuft fünf als mittleres, sechs als hohes und drei als kritisches Risiko ein. Besonders gefährlich sei das Erlangen unbefugten Zugriffs auf Solaranlagen durch die Ausnutzung von Schwachstellen in Authentifizierungsmechanismen und das Eingreifen in den Betrieb von Wechselrichtern über API-Verbindungen. Dabei können die Wechselrichter sowohl von den Herstellern selbst als auch von dritten Akteuren schädlich eingesetzt werden. Eine plötzliche Abschaltung von sehr viel Leistung könnte zu einem Ungleichgewicht von Erzeugung und Verbrauch führen. Das Resultat wäre ein Stromausfall. DNV hält die Möglichkeit, dass die Hersteller eine solche Attacke selbst durchführen, möglicherweise nach Anordnung durch einen staatlichen Akteur, für eher unwahrscheinlich. Cybersicherheitsmaßnahmen sollten daher in den Blick nehmen, dass kleine Akteure, die mit Mitteln agieren, welche geringer als die von Staaten sind, die Möglichkeit zur Durchführung solcher Attacken haben.
Cybersecurity und Flexibität in unserer nächsten Ausgabe
In der kommenden Ausgabe unseres Magazins befassen wir uns auch mit dem Thema Steuerbarkeit und Cybersicherheit von kleinen Solaranlagen.
Außerdem in dieser Ausgabe:
- Marktübersicht Heimspeichern und Heimenergiemanagementsystemen
- Solarspitzengesetz im Überblick
- Flexibilität bei Großspeichern
- FAQ zu SMart-Meter und Steuerbox
- 25 Jahre EEG,
- 3-Quadratmetermodule kommen
Während große Solarprojekte, die meist von großen Unternehmen betrieben werden und unter die EU-Richtlinie NIS2 fallen, als sicher gelten, gibt es für kleinere Anlagen auf Wohngebäuden bislang keine strengen Cybersicherheitsvorgaben. Diese dezentralen Systeme sind in der Regel mit den Clouds von Herstellern oder Dienstleistern verbunden und könnten, wenn sie zu virtuellen Kraftwerken aggregiert werden, ein potenzielles Ziel für Cyberangriffe sein.
Lösungsvorschläge
Um die Sicherheit für die Solarbranche zu erhöhen, schlägt der Bericht eine Reihe von Maßnahmen vor: Erstens soll die bestehende Gesetzgebung an spezifische Anforderungen für den Solarsektor angepasst werden. Bisher sei die Gesetzgebung für zentralisierte Energieinfrastruktur konzipiert. In einer dezentralen Energiewelt seien die Regeln nicht mehr effektiv anwendbar oder bieten nur geringen Schutz.
Zusätzlich empfiehlt DNV die verpflichtende Ende-zu-Ende-Verschlüsselung der gesamten Solarinfrastruktur. Dafür sollten am besten neue Richtlinien und Standards festgelegt werden. Die bestehenden Standards wie ISO 27001, IEC 62443 oder IEEE 1547.3 seien nicht spezifisch genug und würden in einer heterogenen Anwendung der Standards resultieren, was zu Problemen mit der Interoperabilität führen kann.
pv magazine Event auf der The smarter E Europe
Wir widmen uns dem Thema Cybersecurity auch in einer Präsenzveranstaltung auf der Messe The smarter E Europe.
Datum: 8. Mai, 2025
Ort: The smarter E Europe, ICM Internationales Kongresszentrum München, Raum 13
Uhrzeit: 15 – 17 Uhr
Die Veranstaltung ist kostenfrei für alle Messesucher der The smarter E (Sie findet im Konferenzzentrum statt, es ist aber kein Konferenzticket notendig)
Im Fokus der Session stehen:
- Marktüberblick zu aktuellen HEMS-Lösungen §14a EnWG: Praxiserfahrungen und Lösungsvorschläge vom FNN
- Dynamische Tarife und zeitvariable Netzentgelte
- Wärmepumpen als Teil eines flexiblen Energiesystems
- Auswirkungen des Solarspitzengesetzes auf Photovoltaik-Heimanlagen und notwendige Maßnahmen Anforderungen an prognosebasierte Speicherbeladung
- Cybersecurity: Wie sicher sind verschiedene Schnittstellen?
- Direktvermarktung & Flexibilisierung der Einspeisung – lohnt sich das?
DNV fordert zudem, dass Wechselrichter künftig als „kritische Produkte“ im Bereich Cybersicherheit eingestuft werden, ähnlich wie Smart Meter. Das würde dazu führen, dass bestimmte Gesetzgebungs- und Regulierungsprozesse in Gang gesetzt werden können. So könnten dann nur noch Wechselrichter zugelassen werden, die europäischen Cybersicherheitsstandards entsprechen.
Ein weiterer Schwerpunkt liegt auf der Notwendigkeit einer Fernsteuerung der Wechselrichter, die in einem sicheren Umfeld betrieben und überwacht werden müssen. Dazu gehört auch die Entwicklung technischer Barrieren wie Gateways oder Steuerboxen, um den Netzbetreibern im Falle eines Angriffs die Möglichkeit zu geben, schadhafte Steuerbefehle zu blockieren.
Der Bericht schließt mit der Empfehlung, dass die europäische Gesetzgebung einen Netzwerkkodex für Nachfragesteuerung anpassen und harmonisieren sollte, um ein einheitliches Sicherheitsniveau zu gewährleisten und die Infrastruktur gegen zukünftige Bedrohungen abzusichern.
Obwohl DNV die Gefahr als gering einschätzt, dass ein Drittstaat sich Zugriff auf die Dateninfrastruktur verschafft und so Steuerbefehle ausführt, schlagen die Autoren des Berichts vor, die Infrastruktur und die Befehlskette zum Steuern von Photovoltaik-Anlagen über Wechselrichter vollständig in der EU oder in sicherheitsgeprüften Regionen aufzustellen. Server, auf denen kritische Daten ausgewertet werden, sollen so besser geschützt werden können.
Der Bericht wurde von DNV verfasst und von Solarpower Europe in Auftrag gegeben. Er lässt sich hier nachlesen.
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
🤔 DNV (Den Norske Veritas)
Mich würde mal interessieren, warum gerade DNV von Solarpower Europa so eine Beurteilung in Auftrag gegeben wurde.
„Der Bericht wurde von DNV verfasst und von Solarpower Europe in Auftrag gegeben.“
DNV ist u.a. ein Zertifizierungsorgan.
Alle hier angesprochenen Themen sind ja nicht neu.
Ich habe hier in N diese Themen schon mehrfach vor ca 10 Jahren angesprochen. Außer Gelächter, Besserwisserei/ Querulant habe ich nichts weiter geerntet.
Und nun ein Bericht von DNV mit genau diesen Themen / Erscheinungsdatum April 2025.
Bin ja jetzt mal gespannt, ob sich dieser Bericht hier in N an die Öffentlichkeit „verirrt“.
Ob man dann den Inhalt hier in N verstehen/ verarbeiten kann oder will,
steht wieder mal wie so oft auf einem anderen Blatt.
Med vennlig hilsen fra Norge
Das BSI SIcherheitskonzept mit der zertifizierten Lösung der Steuerung über SMGw und Stb stellt eine sichere Kommunikationsbasis um Steuerungen vom Netzbetreiber, als auch Wartungs- und Monitoring Kommunikation zu ermöglichen. Der Rollout dieser Lösung ist im vollem Gange.
Eine Europäisch zentralistische Lösung bringt entweder die hochwertige deutsche Lösung, oder aber die in der Art der Implementierung nicht staatlich geprüften Verfahren der Nachbarländer nach vorne. Der Förderalismus im europäischen Wettbewerb sollte daher nicht durch eine zentrale und ggf. schwächere technische Vorgabe ersetzt werden.
Wahrscheinlich lässt sich daraus ein gutes Geschäft entwickeln.
Jedoch: Die Angelegenheit hat 2 Seiten. Für die Vereinheitlichung von Sicherheit Standards spricht der Artikel. Man kann aber auch genau entgegengesetzt argumentieren: Gerade die Vereinheitlichung sorgt dafür, dass das komplette System lahmgelegt werden kann. Die Natur macht es anders.