photovoltaik Ausgabe: 09-2019

Digital verbinden


Mit einfachen Mitteln kann bereits ein guter Schutz vor digitalen Eindringlingen aufgebaut werden.

Mit einfachen Mitteln kann bereits ein guter Schutz vor digitalen Eindringlingen aufgebaut werden.

Sicherheit — Panikmache gilt nicht, ein konsequenter und angemessener Schutz vor Cyberangriffen gehört jedoch zu jeder Anlage. Nicht nur die Technik steht im Rampenlicht, auch Mitarbeiter und Servicetechniker müssen sich an Regeln halten. Petra Franke

Inhaltsübersicht

  1. Digital verbinden
  2. BSI
  3. Kurz nachgefragt

Für gewerbliche Photovoltaikanlagen können Cyberattacken schmerzhafte Folgen haben. Nicht nur Ertragseinbußen aufgrund der eventuellen Stilllegung der Anlage schlagen zu Buche, sondern auch Vertragsstrafen oder ein Reputationsschaden sind mögliche Folgen.

Gehen kommerziell relevante Daten verloren oder können Anforderungen des Netzbetreibers nicht mehr erfüllt werden, kann sogar der Verlust der Einspeisezusage im Raum stehen.

Constantin Wenzlik ist Geschäftsführer der Belectric-Tochter Padcon und berät Unternehmen in Sachen Cybersicherheit. Er legt Wert darauf, die Achtsamkeit insgesamt für das Thema im Unternehmen zu schärfen und nicht nur auf die Technik zu schauen. Auf drei Bereiche lenkt er die Aufmerksamkeit: den Nutzer, die Anlage und das Datencenter beziehungsweise die IT.

Mitarbeiter sensibilisieren

„Keine noch so ausgeklügelte Technik kann Schutz bieten, wenn die Mitarbeiter sorglos damit umgehen. Deshalb steht zuallererst der Mitarbeiter im Fokus, der für das Thema sensibilisiert werden muss quasi eine Human Firewall“, erzählt Wenzlik. Dazu gehört beispielsweise der Umgang mit Datenträgern, mobilen Geräten und Passwörtern.

Jeder Mitarbeiter muss die Regeln kennen und von ihrer Sinnhaftigkeit überzeugt sein. Da hilft nur regelmäßiges Training. Multi-Faktor-Authentifizierungen beispielsweise sind nicht wirklich beliebt, aber ein wirksames Mittel, um unerlaubte Zugriffe zu vermeiden. Das Gleiche gilt für Passwörter, die in regelmäßigen Zeitintervallen erneuert werden sollten.

Fernzugriff nur über VPN

Nahezu alle Anlagen werden so gebaut, dass ein Fernzugriff möglich ist. In den meisten Fällen muss er sogar vorhanden sein. Dieser Fernzugriff dient dem Monitoring, aber immer öfter auch der Steuerung.

Zudem muss es den Netzbetreibern bei größeren Anlagen möglich sein, die Anlage abzuregeln. Deshalb ist eine Internetverbindung die Basis für jeden Zugriff von außen.

Constantin Wenzlik nennt ein Beispiel: „Heute steckt in Gebäuden eine Menge Technik, die unverschlüsselte Internetverbindungen nutzt. Hausbesitzer haben zum Beispiel Türkameras, auf welche sie über das Smartphone aus der Ferne zugreifen, um zu sehen, wer vor der Tür steht. Verschafft man sich Zugang zu einer dieser Kameras – und das ist in der Regel ein Kinderspiel – kann man auch andere Geräte, wie etwa smarte Heizungsthermostate und Rollläden oder eben auch die Solaranlage auf dem Dach, steuern.“

Deshalb ist es so wichtig, eine verschlüsselte Internetverbindung zu nutzen, etwa über einen VPN-Zugang (Virtual Private Network). Die VPN-Verbindung sollte natürlich mit einem individuellen Passwort geschützt sein, möglichst sogar mit einer zweiten Authentifizierungsstufe.

Default-Einstellungen ändern

Dieser Basisschutz ist für alle – also auch kleinere Anlagen – angezeigt. Aber auch hier gilt: Die Nutzer müssen über den Sinn dieser Maßnahme Bescheid wissen und ihre Funktionsweise verstanden haben. Denn wenn eine sichere VPN-Verbindung den ganzen Tag offen ist, obwohl sie gar nicht gebraucht und simultan mit anderen Anwendungen gearbeitet wird, birgt das Risiken.

„Im Prinzip sollte eine VPN-Verbindung wie eine Online-Banking-Anwendung genutzt werden. Einloggen, überweisen, ausloggen“, so beschreibt es Wenzlik.

Ein weiterer wichtiger Baustein ist die Änderung der herstellerseitig vergebenen Passwörter beziehungsweise Default-Einstellungen. Denn diese sind mitunter in Bedienungsanleitungen genannt und auch online verfügbar. Eine offene Tür für eventuelle Eindringlinge.

Ein sicheres Passwort auswählen und regelmäßig erneuern – auch dieser Tipp kann nicht oft genug wiederholt werden. Bei Betrieben, auch schon kleineren, ist es sinnvoll, für die Solaranlage oder den Batteriespeicher eine zweite parallele Internetanbindung für die Anlage zu installieren. So schafft man noch mehr Sicherheit. Unternehmens-IT und Installateur müssen hier vertrauensvoll zusammenarbeiten, sich frühzeitig abstimmen und eventuelle Hürden identifizieren.

Besonderer Schutz für Gewerbeanlagen

Für die meisten Geschäftsgebäude, in denen sich wechselnde Personen und Besucher aufhalten, würde Wenzlik weitere Schutzmaßnahmen empfehlen. Dazu gehören ein Antivirussystem, eine Whitening Station und eventuell ein VLAN für die Photovoltaikanlage. VLAN ist ein virtuelles LAN für die Solaranlage. Wer darüber Zugriff auf die Anlage hat, hat keinerlei Zugriff auf sonstige Geschäftsbereiche.

Eine Whitening Station ist ein separater Computer, der nicht Teil des Anlagennetzwerks ist. Über diesen werden alle externen Objekte überprüft, bevor sie mit der Anlage in Kontakt kommen: jede Komponente, jeder USB-Stick, jedes Softwareupdate, jedes Wechselrichterupdate. Diese Schutzmaßnahme kann natürlich nur wirken, wenn sich auch alle Mitarbeiter ausnahmslos an die Regeln halten.

Kraftwerke mit hoher Sicherheitsstufe

Wer auf noch mehr Sicherheit bedacht ist, hat weitere Möglichkeiten. Er kann beispielsweise kontrollieren, ob und welcher Teilnehmer oder welche Geräte gerade im Netzwerk aktiv sind. So werden Log-in-Vorgänge von Laptops oder Handys erkannt. Network Acces Control – NAC – ist der Fachbegriff dafür.

Die NAC kontrolliert auch, ob die angeschlossenen Geräte dem neuesten Sicherheitsstandard entsprechen. Sollte das nicht der Fall sein, könnte die NAC die Geräte aus dem Netzwerk verbannen und in Quarantäne nehmen, bis sie ein Update erhalten haben. Theoretisch könnte das auch Wechselrichter betreffen. Denn sie sind mittlerweile oft Netzwerkteilnehmer. Wenn sie über ein Netzwerkprotokoll angeschlossen sind, liegt hier auch eine potenzielle Gefahr.

Schließlich gibt es auch Software, die den Datenverkehr kontrolliert und aufzeichnet. Sie teilt mit, falls es doch jemand schafft, ins Netzwerk einzudringen – so ist wenigstens eine schnelle Reaktion möglich. Intrusion Detection ist der Name dieser Lösungen.

Mobile Endgeräte einbeziehen

Dass mobile Endgeräte in die Sicherheitsvorkehrungen einbezogen werden, erklärt sich von selbst. Handys, Laptops oder Tablets haben oft Apps oder Programme installiert, die diverse Zugriffe benötigen und auch bekommen. Das ist fast ein Thema für sich. Nicht jeder Handynutzer weiß, welcher App er welche Zugriffsrechte gegeben hat.

Doch die Logik gebietet, bei diesen Geräten genauso streng zu sein, sonst sind alle anderen Maßnahmen wirkungslos. Aber die Sicherheitsrichtlinien können kaum auf private Handys übertragen werden. In der Konsequenz müsste der Zugang zur Anlage oder zum Monitoring für diese Geräte gesperrt sein.

Laufen die Daten der Anlage bei einem Dienstleister auf, ist dort, und vor allem dort, höchste Sicherheitsstufe geboten. Denn dessen Computer und Mitarbeiter kommen mit vielen verschiedenen Kundenanlagen in Kontakt. In der Regel sind diese Firmen aber auch so aufgestellt, dass sie diesen Anforderungen genügen. Hier werden noch einmal zusätzlich die Nutzerverwaltung und die Rechtevergabe auf dem Prüfstand stehen – denn auch mit solchen Maßnahmen lässt sich viel potenzielles Unheil abwenden.

Unternehmen fürchten Angriffe

Die Öffentlichkeit erfährt selten von erfolgreichen Angriffen. Zu groß ist die Scham der betroffenen Unternehmen. Zu Recht befürchten sie einen Reputationsverlust. Lediglich wenn große Firmen und Infrastrukturen betroffen sind, machen die Nachrichten davon Schlagzeilen.

Eine gute und eine schlechte Nachricht kommen vom TÜV Rheinland. Die Mitarbeiter dort haben in einer Studie zwei Trends ausgemacht: Die Manager der Unternehmen haben die Bedeutung der Cybersecurity erkannt. Das Thema ist auf der Chefetage angekommen. Allerdings hinkt die industrielle Cybersecurity dem Niveau allgemeiner IT-Standards um Längen hinterher. Lange Zeit wurde Cybersecurity nicht als Geschäftsrisiko, sondern als IT-Problem betrachtet. Erst einige gravierende Angriffe änderten diese Sichtweise. Aber weil entsprechende Investitionen teuer sind und Fachkräfte schwer zu finden, kann der bestehende Handlungsbedarf nicht schnell aufgeholt werden. Das ist fatal, denn die Unternehmen sind weiterhin den potenziellen Gefahren ausgesetzt und halten sich bei weiteren smarten Entwicklungen zurück, um nicht noch größere Risiken einzugehen. Nach Aussage von Mathias Steck von DNV GL vermeiden sogar 75 Prozent der Unternehmen eine stärkere Verknüpfung mit smarten Technologien, weil sie Angst vor potenziellen Angriffen haben.

www.padcon.de

Literatur

Fussnoten

  • Padcon-Geschäftsführer Constantin Wenzlik schaut nicht nur auf die Technik.

  • Ist ein Angriff erfolgreich, sollte der Betriebsführer wissen, was zu tun ist.

Foto: Padcon

Foto: GettyImages_matejmo

  • zurück
  • Druckansicht
  • Versenden

Weitere Artikel zum Thema

Aktuelles Heft

Die aktuelle Ausgabe

PV 09-2019

Zum Inhalt >

Abonnenten können die komplette Ausgabe in unserem Heftarchiv online lesen.

Jetzt abonnieren

Einzelheftbestellung

Aktuelle Einstrahlung

Klicken Sie hier, um Strahlungskarten als PDF downzuloaden oder in einer interaktiven Karte für einen konkreten Standort abzurufen.

Einstrahlung Ausschnitt

Frage der Woche

Was sollte die nächste zentrale Forderung der Photovoltaikbranche an die Politik sein?

Abstimmen
Termine

Aktuelle Seminartermine