Fehlende Sicherheitsstandards gefährden Netzstabilität

05.05.2025

Quelle: E & M powernews

Der neue DNV-Bericht zeigt Sicherheitslücken bei Solaranlagen auf, die mit dem Internet verbunden sind. Vor allem veraltete Sicherheitsstandards gefährden die Stromnetze.
 
Ein aktueller Bericht des norwegischen Test- und Qualitätsinstituts DNV im Auftrag von Solar Power Europe kritisiert, dass die derzeit geltenden Cybersicherheitsvorschriften nicht ausreichen, um die Bedrohungslage durch dezentral betriebene, digital vernetzte PV-Anlagen adäquat zu adressieren. Es brauche neue Standards für Solaranlagen.

Insbesondere die Vielzahl kleinteiliger Anlagen mit Internetanbindung stellt laut den Autoren des Berichts eine Herausforderung für die Stabilität des europäischen Stromnetzes dar. Der Bericht identifiziert erhebliche Schwächen bei der digitalen Infrastruktur von PV-Anlagen und zeigt auf, dass bestehende regulatorische Rahmenbedingungen für zentralisierte Energieinfrastruktur auf dezentrale Systeme nicht übertragbar sind.

Bei der Risikoanalyse hebt der Bericht Risiken durch direkte Kontrollen von Wechselrichtern hervor, etwa für die Bereitstellung von Netzdienstleistungen und Updates. Einerseits stellt das DNV fest, dass Anlagen im Versorgungsmaßstab sicherer sind. Sie werden oft von erfahrenen Versorgungsunternehmen verwaltet und von der EU-NIS2-Richtlinie abgedeckt.

Regulatorische Lücken bei dezentralen Erzeugern

Auf der anderen Seite fehlen für kleine Solaranlagen, die oft auf der Dachterrasse installiert sind, strenge Cyber-Regeln. Sie sind mit den Clouds von Herstellern, Installateuren oder Dienstleistern verbunden. Während die Auswirkungen der Beeinträchtigung einer einzigen Installation gering sind, werden sie, wenn sie für die Effizienz des Energieverbrauchs aggregiert sind, zu virtuellen Kraftwerken von großem Maßstab.

Die Autoren stufen daher das bestehende Risiko als hoch ein, insbesondere wenn gezielte Angriffe mehrere Gigawatt PV-Leistung gleichzeitig beeinflussen. In Simulationen wurde laut dem DNV-Bericht gezeigt, dass eine koordinierte Abschaltung von 3.000 MW PV-Leistung signifikante Auswirkungen auf das europäische Netz haben kann. Der Markt wird von wenigen Herstellern dominiert, die jeweils Zugriff auf mehr als 10.000 MW installierter Wechselrichterleistung haben. Ein erfolgreicher Angriff auf einen dieser Hersteller oder eine Kompromittierung durch staatlich gesteuerte Akteure könnte zur Destabilisierung des Netzes führen.

Ein Kernproblem liegt laut den Autoren darin, dass viele PV-Anlagen – insbesondere im kleineren Leistungsbereich – nicht als kritische Infrastruktur eingestuft sind und somit nicht unter die Anforderungen bestehender Sicherheitsvorgaben wie der NIS2-Richtlinie oder dem Network Code on Cybersecurity (NCCS) fallen. Betreiber dieser Anlagen sind häufig Privatpersonen oder kleine Unternehmen ohne IT-Fachkenntnisse. Hersteller, Installateure und Aggregatoren erhalten jedoch zunehmend Fernzugriff auf diese Anlagen − oft ohne entsprechende Sicherheitsmaßnahmen.

Die aktuelle Regulierung weist die Verantwortung für Cybersicherheit dem Betreiber zu. Diese Struktur ist für kleine, dezentral betriebene PV-Systeme nicht anwendbar. Aus Sicht der Autoren fehlt es an klaren Verantwortlichkeiten sowie an verpflichtenden Sicherheitsstandards, insbesondere für Fernzugriffs- und Cloud-Komponenten, die häufig außerhalb der EU gehostet werden.

Der Bericht empfiehlt zum einen branchenspezifische Leitlinien für eine sichere PV-Infrastruktur entwickeln. Die bestehenden Standards wie ISO 27001 oder IEEE 1547.3 seien nicht spezifisch genug. Es bestehe der Bedarf an detaillierten europäischen Vorgaben, die Wechselrichter, Cloudsysteme und Kommunikationsinfrastruktur einschließen.

Und zum anderen nennt der Bericht als zweite Hauptmaßnahme, den Fernzugriff und die Datenspeicherung außerhalb der EU einzuschränken. Die EU sollte die Steuerung aggregierter Anlagen oberhalb kritischer Schwellen nur aus sicheren Drittstaaten zulassen. Das betrifft direkte Steuerungen ebenso wie Firmware-Updates. 

Der gesamte Bericht ist verfügbar auf den Internetseiten von solarpowereurope.org. Cybersicherheit wird auch auf der diesjährigen „The smarter E Europe“ als Thema im Rahmen der Messe sowie der Konferenz aufgegriffen.
 
Autorin: Heidi Roider