Über Solarstrom vom Dach freuen sich Häuslebesitzer. Doch die Anlagen sind auch ein Sicherheitsrisiko. Was sagt der Marktführer Enpal dazu?
An einem heißen Sommertag nahe Mainz will Christian Waidner herausfinden, warum die Solaranlage auf seinem Dach zum Sicherheitsrisiko für das gesamte Stromnetz werden könnte. Bis zu 10 Kilowatt Strom produzieren die Paneele auf seinem Dach, er nutzt die Energie selbst oder speist sie ins Netz ein.
Mehr als vier Millionen Solaranlagen mit einer Leistung zwischen einem und 30 Kilowatt sind bei der Bundesnetzagentur mittlerweile registriert. Wie diese wachsende Flotte von Minikraftwerken zum Ziel von Hackern werden könnte, interessiert Waidner als ITler genauso wie der auf seinem Dach erzeugte Strom. Deshalb lässt er Besucher aus Stuttgart in sein Haus.
Einer von ihnen ist Mirko Ross. Er leitet die auf Cybersicherheit spezialisierte Firma Asvin, interessiert sich aber auch für Forschung und Politik. Und für Wechselrichter. Sie speisen die Energie, die Anlagenbetreiber wie Waidner nicht selbst nutzen, ins allgemeine Stromnetz ein. Damit die Strommenge von Waidner selbst, aber auch von Netzbetreibern kontrolliert werden kann, sind die Wechselrichter mit dem Internet verbunden. Auch Softwareupdates werden so eingespielt. „Damit sind Tür und Tor für Sabotage offen“, sagt Mirko Ross.
Ein Blackout gilt als Horroszenario. Das deutsche Stromnetz mit einem Angriff lahmzulegen, wäre ein extrem starkes Druckmittel. Im Frühjahr 2022, direkt nach dem Überfall der Ukraine, wurde dieses Szenario womöglich getestet – bei einem mutmaßlich von russischen Hackern verübten Angriff auf drei deutsche Windenergie-Unternehmen.
Vergleichbare Angriffe auf Solaranlagen sind bislang nicht bekannt, sehr wohl aber gravierende Sicherheitslücken. Vor einem Jahr wurden Sicherheitslücken in Wechselrichtern der chinesischen Firma Deye bekannt, im Frühjahr benannten US-Sicherheitsforscher 46 Einfallstore für Hacker bei weltweit führenden Herstellern wie Sungrow, Growatt und SMA – und fanden rätselhafte, nicht dokumentierte Kommunikationsgeräte in chinesischen Modellen.
Standardpasswort verwendet
Auch wenn niemand weiß, wie hoch das Risiko akut ist: Sicherheitsexperten sind im Alarmmodus. Der zählt zwar in gewisser Weise zum Geschäftsmodell. Mirko Ross will bei seinem Besuch in Mainz aber nicht reden, sondern hacken. Ab in den Keller zu Christian Waidners Wechselrichter: ein Modell des chinesischen Herstellers Sungrow, verbaut von Enpal, dem in Berlin ansässigen Marktführer für Komplettlösungen.
Nach einer halben Stunde haben Mirko Ross’ Kollegen Vollzugriff auf den Wechselrichter. „Geschützt“ ist er mit dem Passwort „pw1111“. Die Experten mussten es nicht einmal erraten, es ist im Internet nachzulesen. Sie können den Wechselrichter nun ein- und ausschalten. Und finden eine weitere Schwachstelle: ohne zusätzliche Authentifizierung können sie Christian Waidners Wallbox ausschalten. Das Elektroauto lädt nicht mehr.
Auf die Sache mit dem Standardpasswort habe ihn niemand hingewiesen, sagt Waidner. Das Beispiel zeige, „dass Enpal bei der Sicherheit schlampt“, findet Mirko Ross, „streng genommen ist das seit 1. August nicht mehr zulässig und die CE-Kennzeichnung nicht mehr gültig“so nachzulesen in der EU-Funkanlagenrichtlinie. Das gilt allerdings nur für neu eingebaute Anlagen, ältere dürfen die Kennzeichnung behalten.
Ein Enpal-Sprecher betont, dass ein „physischer Zugang vor Ort“ notwendig sei, man gehe „von einem außerordentlichen Einzelfall aus“. Tatsächlich wäre es für Christian Waidner ärgerlich, wenn jemand in seinen Heizungskeller einbricht und den Wechselrichter abschaltet. Fürs Stromnetz wäre es aber kein Problem. Heikel wird es erst, wenn das bei vielen Tausend Anlagen passiert. Wenn ein Angreifer abrupt Stromflüsse von Solaranlagen ins Netz anhält, kann das System aus dem Takt geraten. Was plötzliche Schwankungen im Stromnetz bewirken können, sah man im April in Spanien und Portugal, als die Versorgung zusammenbrach. Auch im Januar 2021 trennte sich nach einem Zwischenfall in Südosteuropa das europäische Netz plötzlich in zwei Teile. In beiden Fällen steckte jedoch offenbar kein Hackerangriff dahinter.
BSI: „VIelzahl von Schwachstellen“
Wie wahrscheinlich ist ein Angriff auf das Stromnetz? Anruf bei Claudia Plattner: „Unser derzeitiger Eindruck ist: wir laufen da in ein Risiko rein“, sagt die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), „dieses Thema hat noch nicht genug Aufmerksamkeit.“ Jedenfalls in der allgemeinen Öffentlichkeit. Die BSI-Leute haben online ansteuerbare Wechselrichter geprüft, also Modelle wie jenes von Christian Waidner. Das Ergebnis: „Da gibt es eine Vielzahl von Schwachstellen.“
Mögliche Einfallstore für Hacker gibt es viele. Etliche werden erkannt und dokumentiert. Ob Softwareupdates, die Sicherheitslücken schließen, auf den Geräten ankommen, ist eine andere Frage. Hinzu kommt die Sorge, ob in Wechselrichtern eine Art Hintertür nach China verbaut ist. Was nach Paranoia klingt, ist im Falle des 5G-Funknetzes Regierungslinie: Bis Ende 2026 dürfen „keine Komponenten von Huawei und ZTE eingesetzt werden“, schreibt das Bundesinnenministerium. Man wolle nur noch „auf vertrauenswürdige Hersteller setzen“.
Für BSI-Chefin Plattner ist beim Stromnetz entscheidend, wie viele Wechselrichter ein Angreifer gleichzeitig abschalten könnte. Drei Gigawatt, lautet die Antwort von Harm van den Brink. Der niederländische Experte für Cybersicherheit und Stromnetze dokumentiert regelmäßig Sicherheitslücken in Wechselrichtern und anderen Geräten. Fielen mehr als drei Gigawatt Stromerzeugung schlagartig aus, reiche die für den kurzfristigen Ausgleich vorgesehene „Momentanreserve“ nicht mehr aus. Eine Analyse von Solar Power Europe vom April kam zum selben Ergebnis.
Für eine solche Kapazität braucht es mindestens 300 000 Anlagen wie jene von Christian Waidner. Das klingt nach viel. Andererseits sind drei Gigawatt gerade einmal drei Prozent der in Deutschland verbauten Solarkapazität. Außerdem überschreiten die Wechselrichter von mehr als einem Dutzend Herstellern die Drei-Gigawatt-Marke im europäischen Netz. Schon der erfolgreiche Angriff auf einen dieser Hersteller könnte für den Blackout reichen.
China oder Russland müssen also keine Hacker in die Wohngebiete schicken. „Das skaliert nicht“, sagt van den Brink, „die Cloud skaliert“. Angreifer können entweder Sicherheitslücken einzelner Hersteller wie Sungrow massenhaft ausnutzen. Oder sie greifen da an, wo Zugriff auf Zehntausende Geräte gleichzeitig besteht: bei Anbietern wie Enpal oder der in Hamburg ansässigen 1komma5°.
Schnell wachsendes Geschäftsmodell
Die beiden Firmen haben aus der Energiewende auf Deutschlands Dächern ein so ökologisch sinnvolles wie schnell wachsendes Geschäftsmodell gemacht. Sie bieten Solaranlagen als Komplettpaket an: Installation und Softwareupdates aus einer Hand, zur Miete oder zum Kauf. Beide haben nach eigenen Angaben mehr als 100 000 Anlagen verbaut und zu einem „virtuellen Kraftwerk“ zusammengeschlossen. Bei 1komma5° soll es bis 2030 laut einer Ankündigung vom Mai 20 Gigawatt Leistung bereitstellen „und so den Bedarf für neue Gaskraftwerke senken“.
Der ehemalige Soldat und oberste Enpal-Vertreter Wolfgang Gründinger sagt gar: „Wir verteidigen Deutschland im Heizungskeller.“ Bei seiner Werbetour für das virtuelle Enpal-Kraftwerk macht er beim „KI-Gipfel“ in Stuttgart Halt. Die Unabhängigkeit von fossilen Energien seien „eine Sache der nationalen Sicherheit“. Wie die Anlagen vor Hackern gesichert werden, scheint ihm weniger wichtig zu sein. Berichte über Sicherheitslücken in den Wechselrichtern kennt er, aber „wir haben bei unseren Checks nichts gefunden“, erklärt Gründinger.
Mirko Ross und sein Team finden sehr wohl etwas: neben dem leicht zu erratenden Passwort etwa Datenflüsse zwischen dem Wechselrichter und Datenclouds von Amazon und Microsoft, aber auch mit dem Hersteller Sungrow und einer Plattform für Softwareupdates. Dass Daten ausgetauscht werden, ist völlig normal. Das Problem laut Mirko Ross: „Enpal kauft das alles als Service ein und ist daher an vielen Stellen abhängig von funktionierenden Cybersicherheitsprozessen dieser Anbieter.“ Der Enpal-Sprecher Boris Radke hält dagegen, dass Softwareupdates vorab von der Firma geprüft und erst dann ausgespielt würden. Zudem könne Enpal Anlagen „im Notfall sofort vom Netz trennen“.
Teil der kritischen Infrastruktur
Ganz langsam dringt ins Bewusstsein, dass jede einzelne Solaranlage ein kleiner Teil der kritischen Infrastruktur ist. Lässt sich das alles noch absichern? Beim BSI setzt man auf Zertifizierungen für Wechselrichter und auf eine Barriere zwischen den Geräten und ihren überwiegend chinesischen Herstellern. Beides ist aber erst im Ideenstadium und kommt zu spät, findet Mirko Ross: „Die kritische Menge an Wechselrichtern ist auf dem Markt. Man muss das Risiko anderswo begrenzen, nämlich bei den Enpals dieser Welt.“ Enpal lässt seine Systeme gerade erst zertifizieren. 2026 wolle man den Sicherheitsstandard für die kritische Infrastruktur erfüllen, so Sprecher Radke. Bis dahin dürfte Enpals virtuelles Kraftwerk ganz offiziell Teil der kritischen Infrastruktur sein.
Was macht das alles mit Christian Waidner, dem Mainzer Solaranlagenbesitzer? Er würde seine Anlage wieder von Enpal einbauen lassen, sagt er, die Konditionen seien gut, die Anlage kompetent und schnell eingebaut worden „und sie macht was sie soll“. Dass sie womöglich mal Teil eines Angriffs auf das deutsche Stromnetz wird, findet Waidner kritisch: „Ich erwarte ein genauso professionelles Handling wie schon bei der Einrichtung.“
Recherche mit der „Zeit“
Cybersicherheit
Das Stromnetz und die privaten Solaranlagen geraten zunehmend in den Blick von Hackern und von Sicherheitsbehörden. Dieser Beitrag ist Teil einer Recherche zu Sicherheitsrisiken bei kleinen PV-Anlagen, wie man sie typischerweise auf Wohnhäusern findet.
Recherche
Unsere Redaktion hat dazu gemeinsam mit der „Zeit“ sowie der Stuttgarter Cybersicherheitsfirma Asvin recherchiert.