Springe auf Hauptinhalt Springe auf Hauptmenü Springe auf SiteSearch

Digital verbinden

Für gewerbliche Photovoltaikanlagen können Cyberattacken schmerzhafte Folgen haben. Nicht nur Ertragseinbußen aufgrund der eventuellen Stilllegung der Anlage schlagen zu Buche, sondern auch Vertragsstrafen oder ein Reputationsschaden sind mögliche Folgen.

Gehen kommerziell relevante Daten verloren oder können Anforderungen des Netzbetreibers nicht mehr erfüllt werden, kann sogar der Verlust der Einspeisezusage im Raum stehen.

Constantin Wenzlik ist Geschäftsführer der Belectric-Tochter Padcon und berät Unternehmen in Sachen Cybersicherheit. Er legt Wert darauf, die Achtsamkeit insgesamt für das Thema im Unternehmen zu schärfen und nicht nur auf die Technik zu schauen. Auf drei Bereiche lenkt er die Aufmerksamkeit: den Nutzer, die Anlage und das Datencenter beziehungsweise die IT.

Mitarbeiter sensibilisieren

„Keine noch so ausgeklügelte Technik kann Schutz bieten, wenn die Mitarbeiter sorglos damit umgehen. Deshalb steht zuallererst der Mitarbeiter im Fokus, der für das Thema sensibilisiert werden muss quasi eine Human Firewall“, erzählt Wenzlik. Dazu gehört beispielsweise der Umgang mit Datenträgern, mobilen Geräten und Passwörtern.

Jeder Mitarbeiter muss die Regeln kennen und von ihrer Sinnhaftigkeit überzeugt sein. Da hilft nur regelmäßiges Training. Multi-Faktor-Authentifizierungen beispielsweise sind nicht wirklich beliebt, aber ein wirksames Mittel, um unerlaubte Zugriffe zu vermeiden. Das Gleiche gilt für Passwörter, die in regelmäßigen Zeitintervallen erneuert werden sollten.

Fernzugriff nur über VPN

Nahezu alle Anlagen werden so gebaut, dass ein Fernzugriff möglich ist. In den meisten Fällen muss er sogar vorhanden sein. Dieser Fernzugriff dient dem Monitoring, aber immer öfter auch der Steuerung.

Zudem muss es den Netzbetreibern bei größeren Anlagen möglich sein, die Anlage abzuregeln. Deshalb ist eine Internetverbindung die Basis für jeden Zugriff von außen.

Constantin Wenzlik nennt ein Beispiel: „Heute steckt in Gebäuden eine Menge Technik, die unverschlüsselte Internetverbindungen nutzt. Hausbesitzer haben zum Beispiel Türkameras, auf welche sie über das Smartphone aus der Ferne zugreifen, um zu sehen, wer vor der Tür steht. Verschafft man sich Zugang zu einer dieser Kameras – und das ist in der Regel ein Kinderspiel – kann man auch andere Geräte, wie etwa smarte Heizungsthermostate und Rollläden oder eben auch die Solaranlage auf dem Dach, steuern.“

Deshalb ist es so wichtig, eine verschlüsselte Internetverbindung zu nutzen, etwa über einen VPN-Zugang (Virtual Private Network). Die VPN-Verbindung sollte natürlich mit einem individuellen Passwort geschützt sein, möglichst sogar mit einer zweiten Authentifizierungsstufe.

Default-Einstellungen ändern

Dieser Basisschutz ist für alle – also auch kleinere Anlagen – angezeigt. Aber auch hier gilt: Die Nutzer müssen über den Sinn dieser Maßnahme Bescheid wissen und ihre Funktionsweise verstanden haben. Denn wenn eine sichere VPN-Verbindung den ganzen Tag offen ist, obwohl sie gar nicht gebraucht und simultan mit anderen Anwendungen gearbeitet wird, birgt das Risiken.

„Im Prinzip sollte eine VPN-Verbindung wie eine Online-Banking-Anwendung genutzt werden. Einloggen, überweisen, ausloggen“, so beschreibt es Wenzlik.

Ein weiterer wichtiger Baustein ist die Änderung der herstellerseitig vergebenen Passwörter beziehungsweise Default-Einstellungen. Denn diese sind mitunter in Bedienungsanleitungen genannt und auch online verfügbar. Eine offene Tür für eventuelle Eindringlinge.

Ein sicheres Passwort auswählen und regelmäßig erneuern – auch dieser Tipp kann nicht oft genug wiederholt werden. Bei Betrieben, auch schon kleineren, ist es sinnvoll, für die Solaranlage oder den Batteriespeicher eine zweite parallele Internetanbindung für die Anlage zu installieren. So schafft man noch mehr Sicherheit. Unternehmens-IT und Installateur müssen hier vertrauensvoll zusammenarbeiten, sich frühzeitig abstimmen und eventuelle Hürden identifizieren.

Besonderer Schutz für Gewerbeanlagen

Für die meisten Geschäftsgebäude, in denen sich wechselnde Personen und Besucher aufhalten, würde Wenzlik weitere Schutzmaßnahmen empfehlen. Dazu gehören ein Antivirussystem, eine Whitening Station und eventuell ein VLAN für die Photovoltaikanlage. VLAN ist ein virtuelles LAN für die Solaranlage. Wer darüber Zugriff auf die Anlage hat, hat keinerlei Zugriff auf sonstige Geschäftsbereiche.

Eine Whitening Station ist ein separater Computer, der nicht Teil des Anlagennetzwerks ist. Über diesen werden alle externen Objekte überprüft, bevor sie mit der Anlage in Kontakt kommen: jede Komponente, jeder USB-Stick, jedes Softwareupdate, jedes Wechselrichterupdate. Diese Schutzmaßnahme kann natürlich nur wirken, wenn sich auch alle Mitarbeiter ausnahmslos an die Regeln halten.

Kraftwerke mit hoher Sicherheitsstufe

Wer auf noch mehr Sicherheit bedacht ist, hat weitere Möglichkeiten. Er kann beispielsweise kontrollieren, ob und welcher Teilnehmer oder welche Geräte gerade im Netzwerk aktiv sind. So werden Log-in-Vorgänge von Laptops oder Handys erkannt. Network Acces Control – NAC – ist der Fachbegriff dafür.

Die NAC kontrolliert auch, ob die angeschlossenen Geräte dem neuesten Sicherheitsstandard entsprechen. Sollte das nicht der Fall sein, könnte die NAC die Geräte aus dem Netzwerk verbannen und in Quarantäne nehmen, bis sie ein Update erhalten haben. Theoretisch könnte das auch Wechselrichter betreffen. Denn sie sind mittlerweile oft Netzwerkteilnehmer. Wenn sie über ein Netzwerkprotokoll angeschlossen sind, liegt hier auch eine potenzielle Gefahr.

Schließlich gibt es auch Software, die den Datenverkehr kontrolliert und aufzeichnet. Sie teilt mit, falls es doch jemand schafft, ins Netzwerk einzudringen – so ist wenigstens eine schnelle Reaktion möglich. Intrusion Detection ist der Name dieser Lösungen.

Mobile Endgeräte einbeziehen

Dass mobile Endgeräte in die Sicherheitsvorkehrungen einbezogen werden, erklärt sich von selbst. Handys, Laptops oder Tablets haben oft Apps oder Programme installiert, die diverse Zugriffe benötigen und auch bekommen. Das ist fast ein Thema für sich. Nicht jeder Handynutzer weiß, welcher App er welche Zugriffsrechte gegeben hat.

Doch die Logik gebietet, bei diesen Geräten genauso streng zu sein, sonst sind alle anderen Maßnahmen wirkungslos. Aber die Sicherheitsrichtlinien können kaum auf private Handys übertragen werden. In der Konsequenz müsste der Zugang zur Anlage oder zum Monitoring für diese Geräte gesperrt sein.

Laufen die Daten der Anlage bei einem Dienstleister auf, ist dort, und vor allem dort, höchste Sicherheitsstufe geboten. Denn dessen Computer und Mitarbeiter kommen mit vielen verschiedenen Kundenanlagen in Kontakt. In der Regel sind diese Firmen aber auch so aufgestellt, dass sie diesen Anforderungen genügen. Hier werden noch einmal zusätzlich die Nutzerverwaltung und die Rechtevergabe auf dem Prüfstand stehen – denn auch mit solchen Maßnahmen lässt sich viel potenzielles Unheil abwenden.

Unternehmen fürchten Angriffe

Die Öffentlichkeit erfährt selten von erfolgreichen Angriffen. Zu groß ist die Scham der betroffenen Unternehmen. Zu Recht befürchten sie einen Reputationsverlust. Lediglich wenn große Firmen und Infrastrukturen betroffen sind, machen die Nachrichten davon Schlagzeilen.

Eine gute und eine schlechte Nachricht kommen vom TÜV Rheinland. Die Mitarbeiter dort haben in einer Studie zwei Trends ausgemacht: Die Manager der Unternehmen haben die Bedeutung der Cybersecurity erkannt. Das Thema ist auf der Chefetage angekommen. Allerdings hinkt die industrielle Cybersecurity dem Niveau allgemeiner IT-Standards um Längen hinterher. Lange Zeit wurde Cybersecurity nicht als Geschäftsrisiko, sondern als IT-Problem betrachtet. Erst einige gravierende Angriffe änderten diese Sichtweise. Aber weil entsprechende Investitionen teuer sind und Fachkräfte schwer zu finden, kann der bestehende Handlungsbedarf nicht schnell aufgeholt werden. Das ist fatal, denn die Unternehmen sind weiterhin den potenziellen Gefahren ausgesetzt und halten sich bei weiteren smarten Entwicklungen zurück, um nicht noch größere Risiken einzugehen. Nach Aussage von Mathias Steck von DNV GL vermeiden sogar 75 Prozent der Unternehmen eine stärkere Verknüpfung mit smarten Technologien, weil sie Angst vor potenziellen Angriffen haben.

www.padcon.de

BSI

Netzbereiche separieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, grundsätzlich alle Geräte, die einen direkten Zugriff auf das Internet ermöglichen, nicht direkt mit dem Unternehmensnetzwerk zu verbinden. Das gilt natürlich auch für Solaranlagen. Die Separierung von Netzbereichen ist eine grundlegende Anforderung an sichere IT.

Das BSI hält auf seiner Website Empfehlungen und Erfahrungsberichte bereit. Unter anderem finden sich Texte zur Absicherung industrieller Steuerungen und Empfehlungen für die Fernwartung im industriellen Umfeld, die auch auf Photovoltaikanlagen anwendbar sind. Die Erfahrungsberichte zeigen anhand konkreter, aber anonymisierter Schilderungen von realen Vorfällen Probleme exemplarisch auf. Ein Beispiel zeigt den laschen Passwortumgang mit einer Schwimmbadsteuerung. Ein anderes erzählt die Geschichte eines Virus, das vom Servicetechniker mitgebracht wurde.

https://www.bsi.bund.de/DE/Themen/ICS/ics_node.html

Kurz nachgefragt

„Keine Panikmache, aber vorbereitet sein!“

Haben Sie schon mal eine Cyberattacke erlebt?

Richard Morris: Wir haben tatsächlich einen Fall erlebt, bei dem wir zu 99 Prozent sicher sind, dass es sich um einen Cyberangriff handelte. Ein Hobbyhacker oder auch ein Computer hatte es geschafft, eine Schadsoftware auf die Steuerung einer Photovoltaikanlage einzuschleusen.

Was waren die Folgen?

Diese Software hatte keinen direkten Einfluss auf den Betrieb der Anlage. Als wir aber einer Fehlermeldung des Direktvermarkters nachgehen wollten, stellten wir fest, dass wir keine Updates auf die Steuerung aufspielen konnten. Die Steuerung musste erst von der Schadsoftware befreit werden und so dauerte die Behebung eines kleinen Fehlers relativ lang. Das hätte leicht zu Verlusten bei der Einspeisevergütung führen können.

Was haben Sie herausgefunden?

Als wir der Sache nachgingen, haben wir bemerkt, dass die Schadsoftware sich Zugang zu unseren Laptops verschaffen wollte. Das haben wir mit entsprechenden Werkzeugen detektiert und entsprechende Warnmeldungen erhalten. Diese Freiflächenanlage war nicht mit einem VPN-Zugang geschützt, wie er bei uns Standard ist. Das relativ einfache Mittel eines VPN-Zugangs wurde nicht gewählt. Der konkrete Fall hatte zwar keine schwerwiegenden Auswirkungen, aber er zeigt, was passieren kann.

Was ist außer technischen Schutzmaßnahmen wichtig?

Ich bin der Meinung, dass man mit relativ wenig Aufwand einen guten Schutz erreichen kann. Man sollte aber trotzdem auf einen Angriff vorbereitet sein und auch die Handlungsschritte bei einem Angriff vorgeplant haben. Vorbereitet zu sein auf dieses Szenario ist genauso wichtig wie der Schutz selbst. Der Betriebsführer sollte in der Lage sein, die Anlage schnell wieder herzustellen nach einem Angriff.

Häufen sich in Ihrer Wahrnehmung die Cyberattacken?

Ich kann nicht bestätigen, dass die Cyberangriffe auf Photovoltaikanlagen zunehmen. Es handelt sich eher um Einzelfälle. Aber ich erlebe immer wieder Projekte, die nicht mit den Mindeststandards ausgerüstet sind. Panikmache ist nicht der richtige Weg. Aber das Potenzial ist da und wenn Tausende Anlagen nicht geschützt sind, kann ein potenzieller Angriff auch andere Auswirkungen haben.

Das Gespräch führte Petra Franke.

www.zebotec.de