Zunächst sei hier klargestellt: Es gibt bisher keinen Hinweis darauf, dass die großflächigen Stromausfälle in Spanien, Portugal und Frankreich auf einen Cyberangriff zurückgehen. Die endgültige Ursache des Problems konnte man bislang nicht identifizieren. Zurzeit liegt die Vermutung nahe, dass es zu einem Fehler bei der Synchronisation der Stromnetze der Länder miteinander gekommen ist. Ob dabei ein technischer Defekt zugrunde liegt und was genau den Fehler auslöste, analysieren Experten derzeit noch. Der Ausfall führt jedoch vor Augen, wie riskant es sein kann, wenn es zu Schwierigkeiten mit der Stromversorgung in einem Land kommt. Ein Blackout betrifft zahlreiche Aspekte – unter anderem die Mobilfunknetze. Doch nicht nur das Telefonnetz und das Internet fallen dabei aus. Darum mahnen Forscher davor, einen wichtigen Aspekt des Stromnetzes in fremden Händen zu belassen.
Blackouts mit weitreichenden Konsequenzen
Ein langfristiger und weitläufiger Stromausfall schneidet in vielen Bereichen des öffentlichen Lebens ein. Krankenhäuser müssen in einen Notstrombetrieb schalten, Ampeln regeln den Verkehr nicht länger. Menschen in Fahrstühlen und U-Bahnen können diese nicht ohne Weiteres verlassen. Ein Blackout in Deutschland sollte dringend vermieden werden. Grundsätzlich kommt es in Deutschland nur selten zu Stromausfällen. Unser Stromnetz gilt als eines der stabilsten der Welt. 2023 etwa kam es im Schnitt lediglich zu einem Stromausfall von 12,8 Minuten pro Endverbraucher. Das ist verschwindend gering im Vergleich zu 131,1 Minuten in den USA (2022) sowie 822 Minuten in China (2019). Die grundsätzliche Versorgung unseres Stromnetzes läuft stabil und gut. Die Gefahr könnte laut Ergebnissen einer Studie jedoch von anderer Quelle ausgehen.
Das norwegische Test- und Qualitätsinstitut DNV untersuchte im Auftrag des Verbands SolarPower Europe wie groß die Risiken eines Hackingangriffs auf Europas Stromnetze ausfielen. Die Studie umfasst 77 Seiten und wurde am Tag nach den großen Stromausfällen veröffentlicht. Neben dem allgemeinen Risiko untersuchte das Institut dabei ebenso, welche möglichen Arten von Angriffen dabei erfolgen könnten. Wenig überraschend wurden die Wechselrichter von Solaranlagen dabei als eine potenzielle Schwachstelle identifiziert. Ihre Aufgabe liegt darin, den Gleichstrom, den die Solarmodule bereitstellen, in nutzbaren Wechselstrom für den Einsatz im Haushalt oder die Einspeisung ins öffentliche Netz zu verwandeln. Da Wechselrichter an allen Anlagen zum Einsatz kommen, sind sie der größte Risikofaktor, den es derzeit für Angriffe von außerhalb gibt.
Risiken eines Hackerangriffs auf das europäische Stromnetz sind hoch
Dabei sehen die Forscher die Gefahr eines Angriffs aus China als besonders groß. Nur die chinesische Firma Huawei etwa ist laut DNV-Analyse mit stolzen 114 Gigawatt an europäischen Solaranlagen und deren Wechselrichtern beteiligt. Neben Huawei sind Geräte der Firmen Sungrow, GoodWe sowie Ginlong häufig vertreten. Nicht alle dieser Geräte können aus der Ferne gesteuert werden. Mit rund 70 Prozent ist der Anteil der fernsteuerbaren Elemente jedoch hoch. Theoretisch könnten die Hersteller oder gar der chinesische Staat einen Angriff über die Wechselrichter ausführen. Das halten die Autoren der Studie jedoch für unwahrscheinlich.
Als wesentlich größer und riskanter stufen sie vielmehr den Schaden ein, der durch Cyberkriminelle oder aktivistische Hacker initiiert werden könnte. In einem solchen Szenario spielt es auch nicht wirklich eine Rolle, von welchem Hersteller oder Land die einzelnen Geräte stammen: Alles, was über das Internet ferngesteuert werden kann, stellt ein potenzielles Hackingziel dar. Beunruhigend ist dabei vor allem die Einschätzung der Experten, dass bereits der Verlust von nur drei Gigawatt einen „signifikanten Effekt“ auf das Stromnetz haben könnte. Ab zehn Gigawatt seien europaweite Blackouts „kritisch möglich“.
Im Umkehrschluss bedeutet das, ein Hacker müsste lediglich das schwächste Glied der Wechselrichterkette identifizieren, das über eine ausreichende Verbreitung verfügt, um Schaden anzurichten. Sei es über nicht dokumentierte oder absichtlich vorhandene eingebaute Kommunikationskanäle (Backdoors), Softwarefehler bei Log-in-Prozessen oder unzureichend abgesicherte Programmierschnittstellen. Hinzu kommt, dass viele der Systeme durch die Experten als unzureichend abgesichert eingestuft werden. So fänden sich in der Regel in jeder Anwendung Schwachstellen, die häufig nur langsam durch Entwickler beseitigt würden.
Keine Regulierungsaufsicht greift zurzeit für viele Wechselrichter
Gerade bei Herstellern außerhalb der EU gibt es keine Regulierungsaufsicht, die sich solcher möglichen Sicherheitslücken annehmen könnte. Bei vielen PV-Anlagen ist zudem ein direkter Zugriff durch den Hersteller auf den Wechselrichter möglich. Ohne dass dafür eine lokale Instanz eingeschaltet werden muss. Selbst bei größeren Anlagen, die längst unter die EU-Cybersicherheitsrichtlinie fallen, sehen die Studienautoren gravierende Sicherheitslücken. Um die Stromversorgung in Europa weiter abzusichern, schlagen die Experten daher eine Vielzahl von Maßnahmen vor, die umzusetzen sind. So möchte man Pflichten der EU-Cyber-Resilience-Verordnung auch auf PV-Wechselrichter übertragen. Man soll die Geräte dabei explizit als „kritische Produkte einstufen“, damit sie entsprechend strengen Prüf- und Zertifizierungspflichten unterliegen.
Die Fernsteuerung von Geräten soll nur noch über die EU oder aus Staaten mit gleichwertigem Schutzniveau erfolgen. Das würde ebenso einschließen, dass Daten der PV-Anlagen nur in Rechenzentren innerhalb dieser Staaten gespeichert und verarbeitet werden dürfen. Gerade kritische Befehle im Bereich des Steuerungssystems sollen nur noch in abgeschirmten Bereichen ausgeführt werden, der sogenannten Trusted Execution Environment. Verdächtige Anmeldeversuchen sollen transparent erfasst und weitergeleitet werden, damit Hackingversuche bereits früh identifiziert werden können. Zudem wäre eine Dezentralisierung von Steuer- und Leitsystemen sinnvoll, damit keine gebündelten Großangriffe auf die Netze erfolgen können. So wären in einem erfolgreichen Hackingversuch geringere Mengen an Anlagen betroffen.
Schwachstellen im Stromnetz möchte man ausmerzen
Sowohl der Europäische Solarherstellerverband ESMC als auch Brüssel haben die Gefahr bereits erkannt. EU-Energiekommissar Dan Jørgensen hat Ende März eine Untersuchung kritischer Elemente in den EU-Solar-Lieferketten angekündigt. Insbesondere im Hinblick auf mögliche Cyberrisiken. Das DNV selbst plant im Mai eine Informationsveranstaltung rund um Cybersecurity Strategien für die Energiewende. Es ist ohne Zweifel gut und sinnvoll, dass nun Maßnahmen zur Absicherung der Stromnetze eingeleitet werden. Wie üblich muss man jedoch mit einer Verzögerung bis zur Umsetzung tatsächlicher Schutzmaßnahmen rechnen.
Einen Grund, einen zeitnahen Blackout zu fürchten, gibt es zurzeit dennoch nicht. Diese Sicherheitslücken mögen real sein und sind nicht erst über Nacht entstanden. Trotzdem ist es unwahrscheinlich, dass wir zeitnahe einen großflächigen Blackout erleben werden. Denn gerade jetzt, wo alle Augen auf das Thema gerichtet sind, würde man Manipulationsversuche wohl wesentlich früher registrieren und abfangen. Eine Absicherung der Schwachstellen sollte jedoch so früh wie möglich realisiert werden, um eine derart wichtige Infrastruktur abzusichern.