Mögliches Sicherheitsrisiko durch chinesische Komponenten in Solaranlagen

Die zunehmende Verbreitung von Solaranlagen bringt nicht nur Chancen für die Energiewende, sondern birgt auch neue Risiken für die Versorgungssicherheit. Insbesondere die Entdeckung verdächtiger Funkmodule in Wechselrichtern von Solaranlagen, über welche die Nachrichtenagentur Reuters berichtete, wirft ernste Fragen zur Cybersicherheit auf.

US-Behörden und unabhängige Experten haben in den vergangenen Monaten in mehreren chinesischen Wechselrichtern und Batteriespeichern nicht dokumentierte Kommunikationsgeräte entdeckt. Diese Bauteile, darunter etwa Mobilfunkmodule, waren weder in den technischen Unterlagen noch im Software-Stückverzeichnis (Software Bill of Materials) der Produkte aufgeführt.

Wechselrichter sind wichtige Komponenten in Solaranlagen. Sie verbinden die Solarmodule mit dem Stromnetz und steuern die Einspeisung. Moderne Geräte verfügen über Fernzugriffsmöglichkeiten für Wartung und Updates. In der Regel schützen Betreiber diese Schnittstellen mit Firewalls, um unbefugte Zugriffe, insbesondere aus dem Ausland, zu verhindern.

Die entdeckten Module eröffnen zusätzliche, bislang unbekannte Kommunikationsschnittstellen. Über diese könnten Bedrohungsakteure die etablierten Firewalls umgehen, Einstellungen manipulieren oder Geräte gezielt abschalten. Experten warnen, dass dies im Extremfall zu großflächigen Stromausfällen, Schäden an der Energieinfrastruktur oder sogar zur physischen Zerstörung von Teilen des Stromnetzes führen könnte.

Das Sicherheitsrisiko ist dadurch besonders hoch, da chinesische Unternehmen laut Experten gesetzlich verpflichtet sind, mit den eigenen Geheimdiensten zu kooperieren - wodurch staatliche Akteure China Einfluss auf ausländische Stromnetze nehmen könnten, sofern sie Zugriff auf diese Komponenten erhalten.

Die US-Regierung hat die Erkenntnisse bislang nicht offiziell bestätigt, prüft aber nach eigenen Angaben kontinuierlich die Risiken neuer Technologien und fordert mehr Transparenz bei Herstellerangaben. Zudem hat die USA im Februar den Decoupling from Foreign Adversarial Battery Dependence Act veröffentlicht, welcher dem Department of Homeland Security den Kauf von Batterien chinesischer Hersteller ab Oktober 2027 verbietet.

Auch in Deutschland und Europa wächst die Sorge durch ein erhöhtes Sicherheitsrisiko. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die Gefahr, dass internetfähige Komponenten in Solaranlagen ein Einfallstor für Angriffe auf die kritische Infrastruktur bieten könnten. Gleichzeitig fordert der Branchenverband European Solar Manufacturing Council (EMSC) die EU auf, ein europäisches Sicherheits-Toolkit für Wechselrichter zu entwickeln und einzuführen.

In Litauen und Estland wurden die Gefahren durch chinesischen Einfluss auf die Energiesicherheit bereits erkannt und angegangen. Litauen hat ein Gesetz erlassen, das chinesischen Fernzugriff auf größere Solar-, Wind- und Batteriesysteme einschränkt und damit die Nutzung chinesischer Wechselrichter begrenzt. Estland erwägt ebenfalls ein Verbot chinesischer Technologie in kritischen Wirtschaftsbereichen. In Großbritannien wird derzeit geprüft, ob chinesische Technik im Energiesystem ein Risiko darstellt.

Um die Sicherheit von Energienetzen zukünftig zu gewährleisten, sollten Betreiber neben der Umsetzung von Operational Technology (OT) Sicherheitsempfehlungen (z.B. von der CISA) folgendes beachten:

Transparente Lieferkette: Betreiber sollten ausschließlich Systeme von Lieferanten beziehen, die vollständige Transparenz über ihre Komponenten und deren Herkunft bieten.

Unabhängige Sicherheitsprüfungen: Die beschafften, kritischen Systeme sollten von unabhängigen Experten auf versteckte Module oder Schwachstellen überprüft werden.

Diversifizierung der Zulieferer: Betreiber sollten mittelfristig den Umstieg auf europäische oder anderweitig zertifizierte Produkte in Erwägung ziehen.

Die Entdeckung nicht dokumentierter Kommunikationsmodule in chinesischen Solarkomponenten ist ein Weckruf für die gesamte Energiebranche. IT-Sicherheit muss zur zentralen Anforderung bei der Auswahl und dem Betrieb von Komponenten für erneuerbare Energien werden. Nur so lassen sich Versorgungssicherheit und die Unabhängigkeit kritischer Infrastrukturen langfristig gewährleisten.

Verfasser: Jan Philipsen