Ein aktueller Bericht unterstreicht die Notwendigkeit neuer Cybersicherheitsstandards, insbesondere für kleinere Photovoltaik-Anlagen auf Dächern, um die Sicherheit der Energieversorgung zu gewährleisten.
13.08.2025 – Angesichts zunehmender Cyberangriffe auf Europas Energieinfrastruktur wird die Stärkung der Cybersicherheit zu einer tragenden Säule eines modernen EU-Energiesystems. Derzeit konzentrieren sich die Maßnahmen jedoch weiterhin vor allem auf traditionelle Infrastrukturen wie große, zentralisierte Kraftwerke.
Der Bericht Solutions for PV Cyber Risks to Grid Stability (Lösungen für Cyberrisiken bei PV zur Netzstabilität), erstellt von DNV für SolarPower Europe, identifiziert Schwachstellen in der digitalen Sicherheit von PV-Anlagen und gibt Empfehlungen zur Risikominderung.
Bleiben diese Schwachstellen unbeachtet, könnten Lücken in der Cybersicherheit vernetzter Solarwechselrichter eine ernste Bedrohung für die Netzstabilität – und damit für die Energiesicherheit des Kontinents – darstellen. „Die Digitalisierung bietet enorme Chancen, darunter Einsparungen von bis zu 160 Milliarden Euro pro Jahr im Energiesystem bis 2040. Sie bringt jedoch auch neue Herausforderungen mit sich, darunter Cybersicherheit“, sagte Walburga Hemetsberger, CEO von SolarPower Europe.
Internetfähige Wechselrichter als Einfallstor
Der Bericht betont, dass PV-Anlagen zunehmend digitalisiert und vernetzt sind und oft auf internetfähige Wechselrichter setzen. Diese verhalten sich eher wie IoT-Geräte als wie klassische Kraftwerke. Sie sind für verschiedene Akteure im Betrieb und Management der Anlagen aus der Ferne zugänglich – Hersteller, Installateure, Aggregatoren, Dienstleister und Netzbetreiber. Informationen, Daten und bestimmte Funktionen werden online über Cloud-Plattformen bereitgestellt.
Die steigende Zahl der Akteure mit direktem oder indirektem Zugriff erhöht das Risiko von Sicherheitsverletzungen. Dadurch wird der schnell wachsende PV-Sektor zu einem bevorzugten Ziel für Ransomware-Angriffe oder andere Bedrohungen, einschließlich physischer Eingriffe wie Fernabschaltungen oder Störungen der Infrastruktur.
Ein Bündel von Schwachstellen
Wichtige identifizierte Lücken in der Cybersicherheit sind:
- Ungesicherte Fernzugriffspunkte zu Solarwechselrichtern
- Weitverbreitete Nutzung von Standard-Benutzernamen und -Passwörtern
- Firmware-Updates ohne robuste Verifikationsverfahren
- Fernsteuerungsfunktionen, die über Cloud-Server außerhalb der EU betrieben werden
- Schlecht dokumentierte Cybersicherheitsprogramme, die inkonsistent umgesetzt werden
Kleinere Anlagen besonders gefährdet
Das Sicherheitsniveau ist insbesondere bei kleinen PV-Anlagen im Wohn- und Gewerbebereich niedrig, obwohl fast 70 Prozent dieser Systeme mit dem Internet verbunden sind. Viele Installateure und Dienstleister verfügen laut Bericht nicht über das Personal oder die Ressourcen, „um Cyberrisiken angemessen zu managen oder auch nur zu verstehen“. Während PV-Großanlagen von erfahrenen Betreibern und strengeren Standards profitieren, fehlt es kleineren Systemen oft an einem vergleichbaren Schutz- und Überwachungsniveau.
KRITIS-Regelungen greifen nicht
Komponenten wie Wechselrichter sind in der Regel zu klein, um als kritische Infrastruktur (KRITIS) zu gelten, und unterliegen daher nicht bestehenden EU-Vorschriften wie dem Cyber Resilience Act (CRA), dem Network and Information Systems Code on Cybersecurity (NCCS), der NIS2-Richtlinie oder der Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass viele Hersteller, Installateure und Dienstleister mit Fernzugriff auf kleine PV-Anlagen keinerlei Cybersicherheitsauflagen erfüllen müssen. Das Fehlen eines klar verantwortlichen Betreibers erschwert zudem die Anwendung robuster Standards auf Einzelprojekte.
Marktkonzentration erhöht systemische Risiken
Das Problem wird durch Marktkonzentration verschärft: 2023 entfielen 85 Prozent des Weltmarktes (536 Gigawatt installiert) auf zwölf große Wechselrichterhersteller – neun davon mit Sitz in China. In Europa kamen 2023 rund 70 Prozent der installierten Wechselrichter aus chinesischer Produktion.
Sieben Marken – Huawei, Sungrow, SMA, SolarEdge, Goodwe, Fronius und Growatt – hatten jeweils die technische Möglichkeit, mehr als 10 Gigawatt (GW) installierte Leistung im Jahr 2023 aus der Ferne zu steuern. Ein gezielter Cyberangriff, der diese Zugangspunkte ausnutzt, könnte erhebliche Störungen verursachen. Simulationen zeigen laut Bericht, dass bereits ein Angriff auf 3 GW Wechselrichterkapazität „erhebliche Auswirkungen“ auf das europäische Stromnetz haben könnte.
Ein wachsendes Ziel für künftige Angriffe
„Der Übergang zu einem dezentralen Energiesystem stärkt die Resilienz, da die Abhängigkeit von einzelnen, hochkritischen Assets sinkt. Diese Resilienz bleibt jedoch nur erhalten, wenn neue Risiken proaktiv adressiert werden“, betont Hemetsberger. Bislang war der Solarsektor weniger von Cyberangriffen betroffen als Öl, Gas oder Kernkraft. Mit zunehmender Bedeutung der Solarenergie in Europas Energiemix wird er jedoch ein attraktiveres Ziel – sowohl aus finanziellen als auch aus geopolitischen Motiven.
Branchenspezifische Standards erforderlich
Zur Risikominderung fordert SolarPower Europe branchenspezifische Cybersicherheitsstandards, die auf die Solarenergie zugeschnitten sind. „Cybersicherheitsgesetze müssen die spezifischen Anforderungen dezentraler Energiequellen wie kleiner Dach-PV-Anlagen berücksichtigen“, sagt Hemetsberger. Allgemeine Standards wie ISO 17001 oder IEC 62443 sowie branchenspezifische Leitlinien wie IEEE 1547.3 seien hilfreich, aber nicht ausreichend.
Ein dedizierter Solarrahmen sollte beinhalten:
- Sichere Wechselrichterkonstruktion
- Schutz von cloudbasierten Monitoring-Plattformen
- Verpflichtende Zertifizierung kritischer Assets
Diese Anforderungen und Leitlinien sollten laut Bericht innerhalb der nächsten drei Jahre von einer Expertengruppe für Cybersicherheit erarbeitet werden.
Einschränkung des Fernzugriffs
SolarPower Europe plädiert zudem für Einschränkungen beim Fernzugriff und bei der Datenspeicherung außerhalb der Europäischen Union. Ähnlich wie bei der DSGVO sollte der Fernbetrieb gebündelter Endgerätepools – wie kleiner Dach-PV-Anlagen – oberhalb kritischer Schwellen nur in Ländern mit gleichwertigen Sicherheitsgarantien erlaubt sein. Fernzugriff aus anderen Regionen sollte verboten sein, es sei denn, es sind nachweislich strenge Cybersicherheitsmaßnahmen umgesetzt. Hochrisiko-Unternehmen müssten Cyberlösungen entwickeln, die einer behördlichen Aufsicht und Genehmigung unterliegen.
Der Bericht verweist auf Litauen, wo Betreibern mit hohem Risiko nahegelegt wird, für Fernwartung und Software-Updates auf Drittanbieter zurückzugreifen. „Wir müssen sicherstellen, dass die Kontrolle über Europas Solarinfrastruktur fest in sicheren Rechtsräumen bleibt“, betont Hemetsberger.
Mehr zum Thema
Ukraine-KriegKritische Infrastruktur schützenIn Europa sind seit Beginn des russischen Angriffs auf die Ukraine tausende Windkraftanlagen gestört. Hacker waren wahrscheinlich beteiligt. Experten sehen Gefahr für Cyberangriffe auf kritische Infrastrukturen als erhöht, aber nicht akut an.Whitelist zertifizierter Geräte
SolarPower Europe fordert die EU-Kommission auf, die Umsetzung über den Network Code on Cybersecurity oder vergleichbare Instrumente zu beschleunigen. Zudem sollte ein Fahrplan in Abstimmung mit den relevanten Akteuren erarbeitet werden.
Eine Whitelist zertifizierter netzgebundener Geräte könnte helfen, Lieferketten- und Netzsicherheit zu stärken. Ebenso wichtig sind Schulungen und Sensibilisierung für Endnutzer und Installateure. „Um eine moderne, sichere und zuverlässige Energieinfrastruktur aufzubauen, muss Cybersicherheit von Anfang an mitgedacht werden“, schließt Hemetsberger. Hans-Christoph Neidlein
Download des Berichts: https://www.solarpowereurope.org/insights/thematic-reports/solutions-for-pv-cyber-risks-to-grid-stability