Seit Frühjahr dieses Jahres häufen sich Meldungen über verdächtige Bauteile in aus China importierten Wechselrichtern für Solaranlagen. Wechselrichter sind wesentliche Komponenten, die an der Schnittstelle zwischen einem Kraftwerk erneuerbarer Energien und dem Stromnetz eingesetzt werden, um den in den Anlagen erzeugten Gleichstrom in Wechselstrom zu wandeln.

Im Mai meldete die Nachrichtenagentur "Reuters", dass in einigen chinesischen Wechselrichtern Kommunikationstools gefunden wurden, die in der jeweiligen technischen Dokumentation nicht aufgeführt waren. Installierte Wechselrichter sind in der Regel mit dem Internet verbunden, damit Funktionen der Übertragungsnetze gesteuert werden können. Darüber werden jedoch auch Software-Updates der Hersteller installiert, was ihnen einen Remote-Zugriff unter Umgehung von Firewalls ermöglichen kann. Das könnte Spionage, aber auch Cyberbedrohungen oder Massenabschaltungen ermöglichen.

"Wir halten diese Bedrohungsszenarien für realistisch und präsent"
Das European Solar Manufacturing Council, ein Interessenverband der europäischen Solarindustrie, hat berechnet, dass aktuell etwa 200 der rund 340 Gigawatt Photovoltaik-Gestehungskapazität in der EU mit Wechselrichtern aus chinesischer Produktion verbunden sind. Wie groß die Auswirkung bereits kleiner Störungen sein kann, zeigte sich beispielsweise im Mai dieses Jahres, als ein nur fünf Sekunden dauernder Leistungsabfall im Netz für einen Stromausfall in weiten Teilen Spaniens und Portugals sorgte, der nahezu den ganzen Tag andauerte.

"Wir halten diese Bedrohungsszenarien für realistisch und präsent. Allerdings ist es eher unwahrscheinlich, dass solche Maßnahmen ergriffen werden, ohne dass es dafür einen konkreten Anlass gibt. Somit ist es wesentlich, bei einer Veränderung der Bedrohungslage die Risiken neu zu bewerten und einzuordnen", sagt Andreas Ehrbar, Chief Operating Officer bei Aream, einem auf Solar- und Windkraft spezialisierten Asset Manager.

An kritische Infrastruktur werden besondere Anforderungen gestellt
Angesichts der Bedrohungslage spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einem "Schreckensszenario", bei dem das gesellschaftliche Leben zum Erliegen käme und ein enormer wirtschaftlicher Schaden angerichtet würde. "Mit der Verschärfung der geopolitischen Spannungen hat sich auch die Motivationslage möglicher Angreifender geändert", sagt BSI-Präsidentin Claudia Plattner. "Wir müssen daher dringend in Sicherheitsstrukturen, technische Schutzmaßnahmen und resiliente Architekturen investieren."

Auf Anfrage der Redaktion verweist der Bundesverband Solarwirtschaft (BSW) darauf, dass es bereits eine Reihe bestehender Gesetze und Richtlinien gibt, die auf die IT-Sicherheit von Photovoltaikanlagen und Wechselrichtern abzielen: "Für Anlagen mit einer drahtlosen Kommunikation sind dies zum Beispiel die Artikel 3 d–f der Radio Equipment Directive 2014/53/ EU, die auch strenge Anforderungen an die Cybersicherheit enthält." Darüber hinaus, betont der BSW, unterliegen Betreiber kritischer Infrastruktur in Deutschland der Kritis-Verordnung. Ihr zufolge zählen zur kritischen Infrastruktur Ökostromerzeuger ab einer Nennleistung von 104 Megawatt. An deren organisatorische, technische und personelle IT-Ausstattung würden besondere Anforderungen gestellt, und sie würden einschlägigen Meldepflichten unterworfen.

Was Investoren tun können
Das BSI schlägt vor, dass durch spezifische Kontrollmaßnahmen in Wechselrichtern "eingehende Steuerbefehle auf Validität geprüft und der Zugriff auf die eigentlichen Anlagen im Sinne einer Firewall eingeschränkt werden". Darüber hinaus hält die Behörde es auch für möglich, bestimmte Hersteller vom europäischen Binnenmarkt auszuschließen oder eine Zertifizierungspflicht durch einen externen Begutachter einzuführen. Aream-Manager Ehrbar ist skeptisch. Die komplette Prüfung eines Wechselrichters sei aufwendig, und zusätzlich verbaute Teile seien nur schwer zu identifizieren, sagt er und macht auf eine weitere Hürde aufmerksam: "Der Zugriff auf die Software ist meist nur oberflächlich möglich, unter anderem wegen des Schutzes geistigen Eigentums."

Ehrbar rät, auf eine breite Diversifikation über mehrere Wechselrichterhersteller zu achten. "Bei einem Portfolio, das im Hinblick auf die verbauten Komponenten sehr heterogen ist, verringert sich das Risiko. Es sollte ein Konzept zur Verringerung des Risikos von Cyberangriffen vorliegen. Und das verbleibende Risiko kann mit einer entsprechenden Versicherung abgedeckt werden." Bernd Wollwerth-Carl, Geschäftsführer beim Projektentwickler Reconcept Solar Deutschland, empfiehlt: "Um mehr digitalen Anlagenschutz zu gewähren, gehören eine integrierte Überwachungssoftware sowie regelmäßige Software-Updates zum Standard." Die Zusammenarbeit mit externen Cybersicherheitsdienstleistern sei ebenso wie die Cybersicherheit der Hardware ein Entscheidungskriterium. "Das spielt eine zunehmend stärkere Rolle." (tw)