Bleiben diese Schwachstellen unbeachtet, k\u00f6nnten L\u00fccken in der Cybersicherheit vernetzter Solarwechselrichter eine ernste Bedrohung f\u00fcr die Netzstabilit\u00e4t \u2013 und damit f\u00fcr die Energiesicherheit des Kontinents \u2013 darstellen. \u201eDie Digitalisierung bietet enorme Chancen, darunter Einsparungen von bis zu 160 Milliarden Euro pro Jahr im Energiesystem bis 2040. Sie bringt jedoch auch neue Herausforderungen mit sich, darunter Cybersicherheit\u201c, sagte Walburga Hemetsberger, CEO von SolarPower Europe.<\/p>\n
Internetf\u00e4hige Wechselrichter als Einfallstor<\/p>\n
Der Bericht betont, dass PV-Anlagen zunehmend digitalisiert und vernetzt sind und oft auf internetf\u00e4hige Wechselrichter setzen. Diese verhalten sich eher wie IoT-Ger\u00e4te als wie klassische Kraftwerke. Sie sind f\u00fcr verschiedene Akteure im Betrieb und Management der Anlagen aus der Ferne zug\u00e4nglich \u2013 Hersteller, Installateure, Aggregatoren, Dienstleister und Netzbetreiber. Informationen, Daten und bestimmte Funktionen werden online \u00fcber Cloud-Plattformen bereitgestellt.<\/p>\n
Die steigende Zahl der Akteure mit direktem oder indirektem Zugriff erh\u00f6ht das Risiko von Sicherheitsverletzungen. Dadurch wird der schnell wachsende PV-Sektor zu einem bevorzugten Ziel f\u00fcr Ransomware-Angriffe oder andere Bedrohungen, einschlie\u00dflich physischer Eingriffe wie Fernabschaltungen oder St\u00f6rungen der Infrastruktur.<\/p>\n
\u00a0<\/p>\n
Ein B\u00fcndel von Schwachstellen<\/p>\n
Wichtige identifizierte L\u00fccken in der Cybersicherheit sind:<\/strong><\/p>\n Kleinere Anlagen besonders gef\u00e4hrdet<\/p>\n Das Sicherheitsniveau ist insbesondere bei kleinen PV-Anlagen im Wohn- und Gewerbebereich niedrig<\/strong>, obwohl fast 70 Prozent dieser Systeme mit dem Internet verbunden sind. Viele Installateure und Dienstleister verf\u00fcgen laut Bericht nicht \u00fcber das Personal oder die Ressourcen, \u201eum Cyberrisiken angemessen zu managen oder auch nur zu verstehen\u201c. W\u00e4hrend PV-Gro\u00dfanlagen von erfahrenen Betreibern und strengeren Standards profitieren<\/strong>, fehlt es kleineren Systemen oft an einem vergleichbaren Schutz- und \u00dcberwachungsniveau.<\/p>\n KRITIS-Regelungen greifen nicht<\/p>\n Komponenten wie Wechselrichter sind in der Regel zu klein, um als kritische Infrastruktur (KRITIS) zu gelten,<\/strong> und unterliegen daher nicht bestehenden EU-Vorschriften<\/strong> wie dem Cyber Resilience Act (CRA), dem Network and Information Systems Code on Cybersecurity (NCCS), der NIS2-Richtlinie oder der Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass viele Hersteller, Installateure und Dienstleister mit Fernzugriff auf kleine PV-Anlagen keinerlei Cybersicherheitsauflagen erf\u00fcllen m\u00fcssen. Das Fehlen eines klar verantwortlichen Betreibers erschwert zudem die Anwendung robuster Standards auf Einzelprojekte.<\/p>\n Marktkonzentration erh\u00f6ht systemische Risiken<\/p>\n Das Problem wird durch Marktkonzentration versch\u00e4rft: 2023 entfielen 85 Prozent des Weltmarktes (536 Gigawatt installiert) auf zw\u00f6lf gro\u00dfe Wechselrichterhersteller \u2013 neun davon mit Sitz in China. In Europa kamen 2023 rund 70 Prozent der installierten Wechselrichter aus chinesischer Produktion.<\/p>\n Sieben Marken \u2013 Huawei, Sungrow, SMA, SolarEdge, Goodwe, Fronius und Growatt \u2013 hatten jeweils die technische M\u00f6glichkeit, mehr als 10 Gigawatt (GW) installierte Leistung im Jahr 2023 aus der Ferne zu steuern. Ein gezielter Cyberangriff, der diese Zugangspunkte ausnutzt, k\u00f6nnte erhebliche St\u00f6rungen verursachen. Simulationen zeigen laut Bericht, dass bereits ein Angriff auf 3 GW Wechselrichterkapazit\u00e4t \u201eerhebliche Auswirkungen\u201c auf das europ\u00e4ische Stromnetz haben k\u00f6nnte.<\/p>\n Ein wachsendes Ziel f\u00fcr k\u00fcnftige Angriffe<\/p>\n \u201eDer \u00dcbergang zu einem dezentralen Energiesystem st\u00e4rkt die Resilienz, da die Abh\u00e4ngigkeit von einzelnen, hochkritischen Assets sinkt. Diese Resilienz bleibt jedoch nur erhalten, wenn neue Risiken proaktiv adressiert werden\u201c, betont Hemetsberger. Bislang war der Solarsektor weniger von Cyberangriffen betroffen als \u00d6l, Gas oder Kernkraft. Mit zunehmender Bedeutung der Solarenergie in Europas Energiemix wird er jedoch ein attraktiveres Ziel \u2013 sowohl aus finanziellen als auch aus geopolitischen Motiven.<\/p>\n Branchenspezifische Standards erforderlich<\/p>\n Zur Risikominderung fordert SolarPower Europe branchenspezifische Cybersicherheitsstandards, die auf die Solarenergie zugeschnitten sind. \u201eCybersicherheitsgesetze m\u00fcssen die spezifischen Anforderungen dezentraler Energiequellen wie kleiner Dach-PV-Anlagen ber\u00fccksichtigen\u201c, sagt Hemetsberger. Allgemeine Standards wie ISO 17001 oder IEC 62443 sowie branchenspezifische Leitlinien wie IEEE 1547.3 seien hilfreich, aber nicht ausreichend.<\/p>\n Ein dedizierter Solarrahmen sollte beinhalten:<\/strong><\/p>\n Diese Anforderungen und Leitlinien sollten laut Bericht innerhalb der n\u00e4chsten drei Jahre von einer Expertengruppe f\u00fcr Cybersicherheit erarbeitet werden.<\/p>\n Einschr\u00e4nkung des Fernzugriffs<\/p>\n SolarPower Europe pl\u00e4diert zudem f\u00fcr Einschr\u00e4nkungen beim Fernzugriff und bei der Datenspeicherung au\u00dferhalb der Europ\u00e4ischen Union<\/strong>. \u00c4hnlich wie bei der DSGVO sollte der Fernbetrieb geb\u00fcndelter Endger\u00e4tepools \u2013 wie kleiner Dach-PV-Anlagen \u2013 oberhalb kritischer Schwellen nur in L\u00e4ndern mit gleichwertigen Sicherheitsgarantien erlaubt sein. Fernzugriff aus anderen Regionen sollte verboten sein, es sei denn, es sind nachweislich strenge Cybersicherheitsma\u00dfnahmen umgesetzt. Hochrisiko-Unternehmen m\u00fcssten Cyberl\u00f6sungen entwickeln, die einer beh\u00f6rdlichen Aufsicht und Genehmigung unterliegen.<\/p>\n Der Bericht verweist auf Litauen, wo Betreibern mit hohem Risiko nahegelegt wird, f\u00fcr Fernwartung und Software-Updates auf Drittanbieter zur\u00fcckzugreifen. \u201eWir m\u00fcssen sicherstellen, dass die Kontrolle \u00fcber Europas Solarinfrastruktur fest in sicheren Rechtsr\u00e4umen <\/strong>bleibt\u201c, betont Hemetsberger.<\/p>\n Mehr zum Thema SolarPower Europe fordert die EU-Kommission auf, die Umsetzung \u00fcber den Network Code on Cybersecurity oder vergleichbare Instrumente zu beschleunigen. Zudem sollte ein Fahrplan in Abstimmung mit den relevanten Akteuren erarbeitet werden.<\/p>\n Eine Whitelist zertifizierter netzgebundener Ger\u00e4te k\u00f6nnte helfen, Lieferketten- und Netzsicherheit zu st\u00e4rken. Ebenso wichtig sind Schulungen und Sensibilisierung f\u00fcr Endnutzer und Installateure. \u201eUm eine moderne, sichere und zuverl\u00e4ssige Energieinfrastruktur aufzubauen, muss Cybersicherheit von Anfang an mitgedacht werden\u201c, schlie\u00dft Hemetsberger. Hans-Christoph Neidlein<\/p>\n\n
\n
\n ![\"Stadt-Silhouette](\"https:\/\/www.europesays.com\/de\/wp-content\/uploads\/2025\/08\/Politik_Cyber.jpg\" "\\"Stadt-Silhouette")
<\/a>Ukraine-KriegKritische Infrastruktur sch\u00fctzen<\/a>In Europa sind seit Beginn des russischen Angriffs auf die Ukraine tausende Windkraftanlagen gest\u00f6rt. Hacker waren wahrscheinlich beteiligt. Experten sehen Gefahr f\u00fcr Cyberangriffe auf kritische Infrastrukturen als erh\u00f6ht, aber nicht akut an.Whitelist zertifizierter Ger\u00e4te<\/p>\n