Ende März haben Forscher des Cyber Security Unternehmens ForeScout Sicherheitslücken bei Solar-Herstellern aufgedeckt (zum Blog-Artikel). Was steckt dahinter und welche Auswirkungen hat das auf Cloud-basierte Energiemanagement-Systeme? Drohen mittelfristig regulatorische Maßnahmen, die die Nutzbarkeit von clever-PV einschränken?
Worum geht es?
ForeScout listet in seinem Bericht vom März 2025 insgesamt 93 bekannte und bereits behobene Schwachstellen bei Herstellern von PV-Anlagen. Davon waren 38 % in Monitoring-Apps oder -Portalen, 25% in Cloud-Backends und 15% direkt am Wechselrichter. Die Schwachstellen waren vielfach kritisch, da sich die Anlagen unbefugt steuern lassen. Die Schwachstellen hätten von bösartigen Akteuren dazu genutzt werden können, die europäische Stromversorgung anzugreifen.
Sind Cloud-Anwendungen generell unsicherer?
Nein, Cloud-Anwendungen können bereits heute höchste Sicherheitsstandards erfüllen (siehe Online-Banking oder digitale militärische Technologien). Jedoch müssen dafür die externen Schnittstellen der Systeme nach dem Stand der Technik abgesichert sein. Das war bei den untersuchten Herstellern teilweise nicht der Fall.
Zudem ist hervorzuheben, dass bei einigen Herstellern auch lokal am Wechselrichter Schwachstellen gefunden wurden. Beispielsweise besitzen viele Wechselrichter lokal eine offene Modbus Schnittstelle (die häufig von Hardware-basierten Energiemanagement-Systemen genutzt wird). Auch darüber können viele Wechselrichter direkt gesteuert werden. Es reicht also aus, dass ein Gerät im lokalen Netzwerk infiziert wird und diese Sicherheitslücke nutzt.
Welche politischen bzw. regulatorischen Maßnahmen sind zu erwarten?
Schon heute bestehen umfangreiche gesetzliche Pflichten für die Hersteller, ihre Systeme sicher auszugestalten. Es gelten die Kritis-Verordnung sowie NIS 2 (Zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit). Hierüber drohen den Herstellern bereits weitreichende Strafen, sollten sie ihre Schnittstellen nicht ausreichend absichern.
Politisch diskutiert wird gelegentlich, dass die Verbindung zwischen dem Backend des Herstellers und den Wechselrichtern zusätzlich abgesichert wird. Hierfür könnte es eine Verpflichtung geben, die Kommunikation zukünftig über den verschlüsselten CLS-Kanal der intelligenten Messsysteme (iMSys) abzuwickeln. Das deutsche Messstellenbetriebsgesetz bietet eine Verordnungsermächtigung hierfür. Für eine Umsetzung müssten jedoch zunächst alle Haushalte mit iMSys ausgestattet werden und die Infrastruktur dieser sehr performant sein. Daher wartet die Politik noch ab.
Interessanterweise hätte die Maßnahme keine der von ForeScout gelisteten Sicherheitslücken vermieden.
Unrealistisch ist, dass die Anbindung der Geräte an eine Cloud grundsätzlich verboten wird. Die Anbindung gewährleistet auch die Möglichkeit, die Geräte mit sicherheitskritischen Updates zu versorgen und Fernwartung durchzuführen. Deutlich realistischer ist, dass die Politik die Hersteller zukünftig jeweils einzeln genauer prüft und zur Einhaltung von Sicherheitsstandards zwingt.
Was bedeutet das für clever-PV?
Die von ForeScout gelisteten Sicherheitslücken haben keine Auswirkungen auf clever-PV. Die Schwachstellen sind bereits behoben und keine der Schwachstellen hätte zu einer Einschränkung der Sicherheit von clever-PV geführt.
clever-PV selbst ist nach aktuellem Stand der Technik abgesichert. Hierfür werden Penetration Tests externer Experten durchgeführt. Zudem führt clever-PV derzeit eine Informationssicherheits-Zertifizierung nach der Norm ISO 27001 durch.
Auch würden durch die möglichen regulatorischen Maßnahmen keine Einschränkungen für clever-PV entstehen. Eine verpflichtende Kommunikation via CLS-Kanal würde nicht die Schnittstellen von clever-PV zu den Herstellern betreffen. Die Einbindung und Nutzung der Geräte kann also auch dann weiterhin erfolgen. Lokale, Hardware-basierte Energiemanagement-System jedoch könnten von dieser Gesetzesänderung stark betroffen sein, da hierdurch ggf. die lokalen Modbus Schnittstellen geschlossen werden müssten.
DE 
EN