Digitale Sicherheitsmaßnahmen für Photovoltaik und Energie-Systeme
Cybersecurity als tragende Säule der Energiewende
Im Sommer 2022 wurde die europäische Solarbranche durch einen sicherheitsrelevanten Vorfall erschüttert, als ein Hacker aufgrund einer Sicherheitslücke in der Monitoring-Plattform des chinesischen Unternehmens Solarman Zugang zu etwa 42.000 Solar-Wechselrichtern in den Niederlanden erhielt. Auch der Solarspezialist SMA befasst sich mit der Thematik und gibt im folgenden Beitrag Einblicke in die eigene Vorgehensweise, Vorkehrungen zu treffen.
Der Solarman-Vorfall sorgte auch in Niestetal, dem Firmensitz der Solar Technology AG (SMA), für große Aufmerksamkeit – obwohl das Unternehmen gar nicht betroffen war. SMA hat mit dem Sunny Portal powered by ennexOS eine eigene, in Deutschland entwickelte und betriebene, Monitoring-Plattform. Diese wird durch ein rund um die Uhr betriebenes Security Operation Center (SOC) ständig überwacht. Marek Seeger, Informationssicherheitsmanager bei SMA, ist sich der ständigen Bedrohung bewusst: „Es gibt immer anspruchsvollere Cyber-Attacken und daher investieren wir kontinuierlich in die Verbesserung der Cybersicherheit.”
Cybersecurity made in Germany
„Das SMA Sunny Portal ist das größte Photovoltaik-Monitoring-Portal in Europa”, sagt Seeger. „Rund 1 Mio. Solaranlagen mit Leistungen von 1 kWp bis 60 MWp sind hier vernetzt. Auch wir stellen immer wieder fest, dass Unbefugte versuchen, auf unsere Portalserver zuzugreifen – das geht allen Unternehmen so. In unserem SOC sorgen IT-Spezialisten rund um die Uhr für Sicherheit. Das ist für uns als Hersteller von Photovoltaik-Systemen von entscheidender Bedeutung. In Deutschland unterliegen wir zahlreichen nationalen und internationalen Regularien, die vorschreiben, dass wir alle unsere Geräte und Systeme angemessen gegen Hacker schützen“, so Seeger. „In Deutschland gelten noch strengere Standards als durch die neue europäische Cybersicherheitsgesetzgebung, wie die Netzwerk- und Informationssicherheitsrichtlinie 2 und der Cyber Resilience Act.“
Destabilisierung als Angriffsziel
„Obwohl wir unser Sicherheitsniveau täglich verbessern, werden wir von immer raffinierteren Angriffen herausgefordert“, erläutert Seeger weiter, „und es scheint, dass zunehmend mehr Hackerangriffe staatlich unterstützt sind.“ Führende Experten schätzen, dass eine gezielte, koordinierte Beeinflussung von etwa 2 bis 4 GW kumulierter Wechselrichterleistung aus Solaranlagen die gesamte europäische Stromversorgung destabilisieren könnte. „Es gibt einen guten Grund, warum ein solcher Angriff bisher nicht stattgefunden hat. Angriffe dieser Größenordnung werden nicht getestet, sondern nur dann durchgeführt, wenn der Erfolg sicher ist. Wenn ein Hacker eine Zugriffsmöglichkeit sieht, wird er diese nicht leichtfertig nutzen, um nicht aufzufliegen, sondern nur dann zuschlagen, wenn er sein Ziel auch wirklich erreichen kann.“
Sicherheit auch für gewerbliche PV-Anlagen
Angesichts dieser Entwicklungen beobachtet Seeger ein stark wachsendes Interesse an Cybersicherheit nicht nur bei Anlagenbetreibern, sondern auch bei Projektentwicklern und Planern: „Separate, umfangreiche Cybersicherheitsklauseln sind mittlerweile Standard in den meisten Verträgen”, berichtet er.
Die Zahl und Größe von Solarsystemen im gewerblich industriellen Bereich und im Versorgungssektor nehmen stetig zu, was auch potenzielle Angreifer wissen. Seeger: „Hohe Leistung macht PV-Anlagen zu einem attraktiven Ziel für Hacker, denn eine Attacke auf ein gewerbliches 1-GW-Peak-System hat einen größeren Effekt als der Angriff auf zigtausende einzelne Solaranlagen. Aus diesem Grund werden Großanlagen von uns noch einmal besonders geschützt.“
Vier Sicherheitsebenen bei SMA Wechselrichtern
SMA setzt eine ganzheitliche Cybersicherheitsrichtlinie mit zahlreichen Komponenten um. Die Maßnahmen reichen von der Zusammenarbeit mit nationalen Cybersicherheitsbehörden bis hin zu Risikobewertungen und der Mitwirkung in internationalen Arbeitsgruppen und Gremien.
Der Schutz von PV-Anlagen, die mit SMA Wechselrichtern ausgestattet sind, umfasst mehrere Sicherheitsebenen. Firewalls sind Teil der ersten Ebene, bei der es um die Anbindung an das Internet geht. Auf der zweiten Ebene finden Verschlüsselungen und abgesicherte Anmeldeverfahren statt. „Das Hacken von PV-Anlagen ist bereits viel schwieriger geworden, weil wir alle von Wechselrichtern und Datenloggern gesendeten Daten verschlüsseln können. Viele Hacker verwenden abgefangene Daten, um Zugang zu IT-Systemen zu erhalten, aber wenn diese Daten verschlüsselt sind, kann ein IT-System nicht so leicht gehackt werden”, erklärt Marek Seeger.
Sicherheitsüberwachung und Anomalie-Erkennung repräsentieren die dritte Ebene. „Intrusion Detection und Prevention Systems ermöglichen es uns, Angreifer schnell aufzuspüren”, sagt Seeger. „Abschließend verfügen alle unsere Geräte – auf der vierten Ebene – über End Point Security. Dadurch wird es für Angreifer noch schwieriger, PV-Systeme zu übernehmen oder zu manipulieren.”
Höhere Resilienz dank aktiver Tabus
Die SMA Abteilung für Cybersicherheit hat eine Liste von verbotenen Praktiken zusammengestellt, die durch gezielte Maßnahmen vermieden werden. Die drei wichtigsten technischen Tabus umfassen die Nutzung von Standardpasswörtern, das Fehlen von Verschlüsselung und das Versäumnis, regelmäßige Updates durchzuführen.
Seeger: „Bei SMA ist es schlicht nicht möglich, Wechselrichter ohne das Setzen eines sicheren Passworts in Betrieb zu nehmen. Die externe Kommunikation von Wechselrichtern ist auf vielfältige Weise abgesichert und verschlüsselt. Außerdem können Wechselrichter und Datenlogger standardmäßig manuell oder automatisch – und remote – aktualisiert werden.“
Zusätzlich zu den technischen Tabus gibt es auch organisatorische, wie etwa unzureichende Sensibilisierung der Mitarbeiter, fehlende oder nicht vorhandene Maßnahmen zur Reaktion auf Zwischenfälle sowie das Unterlassen regelmäßiger Schwachstellenanalysen des Software-Quellcodes. „Alle SMA-Mitarbeiter nehmen regelmäßig an Schulungen durch unser IT- und Cybersicherheitsteam teil“, erklärt Seeger. „Des Weiteren haben wir ein Product Security Incident Response Team (PSIRT), welches nach definierten Regeln und Prozessen arbeitet. Unser Quellcode wird sowohl automatischen als auch manuellen Prüfungen unterzogen, um Schwachstellen frühzeitig zu erkennen. So vermeiden wir auch diese organisatorischen Tabus mit großer Weitsicht.“
Marek Seeger betont, dass ein weiteres wichtiges Element der Cybersicherheitsstrategie die Zusammenarbeit mit unabhängigen Sicherheitsexperten sei. „Unsere Produkte und Dienstleistungen werden von diesen zusätzlich regelmäßig auf Schwachstellen getestet. Die Ergebnisse dieser Tests dienen dazu, die Produkte stetig zu verbessern, Gegenmaßnahmen zu ergreifen und proaktiv neue Verfahren zu implementieren.”
Die strengen Cybersicherheitsmaßnahmen von SMA gewährleisten schlussendlich nicht nur den Schutz der eigenen Systeme, sondern bieten Projektentwicklungs-, Planungs- und Installationsbetrieben auch ein starkes Argument bei Anlagenbetreibern von kleinen Heim-Anlagen über gewerbliche PV-Systeme bis hin zu Solarparks. Die aktuellste Neuigkeit ist, dass SMA das lang erwartete ISO-Zertifikat 27001 für erfolgreiche Datensicherheitsstandards erhalten hat. Die weltweit anerkannte Zertifizierung, dass höchste Sicherheitsstandards eingehalten werden und außerdem die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen in allen Prozessen und Bereichen gewährleistet ist, die für den Betrieb des SMA Sunny Portals erforderlich sind.
