Im Zuge der Digitalisierung der Energieversorgung rückt auch die Sicherheit von Photovoltaik(PV)-Systemen immer stärker in den Fokus. Detaillierte Untersuchungen von IT-Sicherheitsforschern – insbesondere von Forescout Technologies – haben alarmierende Schwachstellen in PV-Systemen verschiedener Hersteller aufgezeigt. Die Entdeckung von 46 neuen Sicherheitslücken sowie die Analyse von 93 bereits bekannten Problemen machen deutlich, dass die Gefahren nicht nur die Privatsphäre der Nutzer betreffen, sondern auch das öffentliche Stromnetz massiv gefährden können. Diese Erkenntnisse sind auch für Betreiber smarter Heimanlagen von Bedeutung und erfordern ein erhöhtes Sicherheitsbewusstsein und konkrete Schutzmaßnahmen.
Was macht Forescout Technologies
Forescout Technologies ist ein internationaler Anbieter von Cybersecurity-Lösungen, der Unternehmen dabei unterstützt, IT- und OT-Netzwerke umfassend sichtbar zu machen und zu sichern. Forescout hilft, Sicherheitslücken frühzeitig zu erkennen und kritische Infrastrukturen vor Cyberangriffen zu schützen. Im Rahmen des Berichts „Sun:Down“ identifizierte Forescout Technologies verschiedenste neue Schwachstellen in PV-Systemen mehrerer Hersteller. Der Bericht liefert detaillierte technische Einblicke und Empfehlungen, die sowohl für Betreiber als auch für Hersteller von PV-Systemen von hoher Relevanz sind.
Neue Schwachstellen in PV-Systemen
Die Untersuchung der Cybersecurity-Experten von Forescout im Rahmen des Projekts „Sun:Down“ ergab, dass in den letzten drei Jahren durchschnittlich zehn neue Sicherheitslücken pro Jahr im Bereich der Solarenergie bekannt wurden. Dabei wurden 80 Prozent der Schwachstellen mit einem hohen oder kritischen Schweregrad bewertet – rund ein Drittel sogar mit einem CVSS-Wert von mindestens 9,8. Solch hohe Werte deuten darauf hin, dass Angreifer mit diesen Lücken unter Umständen die vollständige Kontrolle über die betroffenen Systeme erlangen können.
Im Detail zeigt sich, dass 38 Prozent der Schwachstellen in Solarüberwachungssystemen, 25 Prozent in den dahinterliegenden Cloud-Backends und lediglich 15 Prozent direkt in Wechselrichtern gefunden wurden. Die Forscher analysierten Komponenten mehrerer Hersteller, darunter Sungrow, Growatt und SMA. Bei Growatt beispielsweise wurden Schwachstellen entdeckt, die es Angreifern ermöglichen, über die Cloud die Konten von Nutzern zu übernehmen – etwa durch Passwort-Resets oder Cross-Site-Scripting (XSS). Ähnliche Risiken bestehen bei den Produkten von Sungrow, wo unsichere direkte Objektreferenzen (IDOR) und hartkodierte Zugangsdaten gefunden wurden. Die betroffenen Systeme bieten Angreifern die Möglichkeit, Geräteinstellungen zu manipulieren, Seriennummern auszulesen oder sogar Befehle an ganze Flotten von Wechselrichtern zu senden.
Diese Ergebnisse machen deutlich, dass nicht nur private Heimanlagen, sondern auch industrielle und kommerzielle Installationen Ziel potenzieller Angriffe sein können. Der Bericht zeigt, dass bei koordinierten Angriffen ganze Stromnetze destabilisiert werden könnten. Laut Forescout-Chef Barry Mainz ist „der kollektive Einfluss von privaten Solaranlagen auf die Netzzuverlässigkeit zu bedeutend, um ignoriert zu werden. Krankenhäuser könnten essenzielle Geräte verlieren, Familien wären ohne Heizung oder Klimaanlage, und Unternehmen müssten den Betrieb einstellen“.
Das sagen Sicherheitsbehörden
Die Bedeutung dieser Sicherheitsprobleme wird auch durch behördliche Stellen unterstrichen. Bereits der US-amerikanische Department of Energy (DoE) und nationale Sicherheitsbehörden in Europa, wie das deutsche BMI, haben in ihren Berichten auf die Risiken von Cyberangriffen auf vernetzte PV-Systeme hingewiesen. Eine verstärkte Zusammenarbeit zwischen Herstellern, Betreibern und staatlichen Institutionen wird immer bedeutender.
Auswirkungen auf das öffentliche Stromnetz
Ein besonders besorgniserregendes Angriffsszenario ist der sogenannte „Load Changing“-Angriff. Hierbei könnten Hacker durch das koordinierte Ein- und Ausschalten einer großen Zahl von Wechselrichtern die Netzfrequenz erheblich beeinflussen. Da Stromnetze auf einen nahezu konstanten Wechselstromfrequenzwert angewiesen sind – beispielsweise 50 Hz in Europa – kann eine plötzliche Änderung zu Notabschaltungen, Lastabwürfen oder sogar großflächigen Blackouts führen.
Forescouts Forschungen haben gezeigt, dass in Europa bereits 4,5 Gigawatt an gesteuerter Solarleistung ausreichen würden, um die Netzfrequenz auf kritische Werte (unter 49 Hz) zu senken. Angesichts der Tatsache, dass in Europa rund 270 Gigawatt solare Stromerzeugung installiert sind, könnte die Manipulation von lediglich 2 Prozent der Wechselrichter ausreichen, um das öffentliche Stromnetz zu gefährden. Diese Szenarien wurden auch in früheren Fällen, wie der Strominstabilität in Sri Lanka oder in US-Bundesstaaten, beobachtet – wenn auch bisher nicht durch Cyberangriffe, sondern durch natürliche Ereignisse.
Weiterhin besteht die Gefahr, dass ein kompromittiertes Solarsystem als Ausgangspunkt für weitere Angriffe in heimische Netzwerke genutzt wird. So könnten Hacker beispielsweise über die PV-Systeme Zugang zu weiteren smarten Geräten in einem Haushalt erhalten und so nicht nur die Privatsphäre der Nutzer, sondern auch andere kritische Infrastrukturen gefährden.
Empfehlungen und Sicherheitsmaßnahmen
Obwohl die Hersteller – insbesondere Sungrow und SMA – bereits entsprechende Software-Updates bereitgestellt und bekannte Schwachstellen geschlossen haben, bleiben die Risiken bestehen. Forescout und weitere Experten empfehlen daher, dass Betreiber sowohl privater als auch kommerzieller Solaranlagen folgende Maßnahmen ergreifen:
- Änderung von Standardpasswörtern: Setzen Sie individuelle, starke Passwörter und deaktivieren Sie standardmäßig voreingestellte Zugangsdaten.
- Regelmäßige Software-Updates: Halten Sie Firmware und Software der Anlagen stets aktuell, um bekannte Schwachstellen zu schließen.
- Netzwerksegmentierung: Isolieren Sie PV-Systeme in separaten Netzwerken, um eine Ausbreitung eines Angriffs auf andere Systeme zu verhindern.
- Überwachung und Protokollierung: Integrieren Sie Sicherheitslösungen, die verdächtige Aktivitäten frühzeitig erkennen und melden können.
- Risikobewertung und Sicherheitsstandards: Führen Sie regelmäßige Risikoanalysen durch und setzen Sie auf Hersteller, die strenge Sicherheitsstandards und transparente Patch-Prozesse implementieren.
Abschließend zeigt sich, dass die Sicherheit von PV-Systemen nicht nur eine Frage des Datenschutzes, sondern auch ein kritischer Punkt für die Stabilität des öffentlichen Stromnetzes ist. Betreiber smarter Heimanlagen sowie industrielle und kommerzielle Anlagen müssen daher gemeinsam mit den Herstellern und Behörden dafür sorgen, dass entsprechende Sicherheitsstandards konsequent umgesetzt werden. Nur so lässt sich das Risiko eines koordinierten Angriffs, der zu einer Destabilisierung des Stromnetzes führen könnte, nachhaltig minimieren.
Quellen:
- Forescout Technologies – Grid Security
https://www.forescout.com/blog/grid-security-new-vulnerabilities-in-solar-power-systems-exposed/ - Forescout Technologies – Sun:Down
https://www.forescout.com/resources/sun-down-research-report/ - US DoE – Solar Cybersecurity
https://www.energy.gov/eere/solar/solar-cybersecurity - BMI – Lagebericht Cybersicherheit
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2024/11/bsi-lagebericht2024.html - Yahoo Finance – Forescout Vedere Labs Uncovers Severe Systemic Security Risks
https://finance.yahoo.com/news/forescout-vedere-labs-uncovers-severe-100000395.html - Heise Online – Neue Sicherheitslücken in Photovoltaik-Systemen aufgespürt
https://www.heise.de/news/Neue-Sicherheitsluecken-in-Photovoltaik-Systemen-aufgespuert-10331154.html - Golem – Gefährliche Sicherheitslücken in PV-Systemen entdeckt
https://www.golem.de/news/risiko-fuer-netzstabilitaet-gefaehrliche-sicherheitsluecken-in-pv-systemen-entdeckt-2503-194779.html
