Mehr Cybersicherheit für Photovoltaik-Anlagen

Der massive Zubau der Photovoltaik-Anlagen in Deutschland zahlt sich aus. In der dritten Mai-Woche hat die Solarstrom-Produktion in Deutschland den Energy-Charts des Fraunhofer ISE zufolge erstmals die Marke von dreißig Prozent überschritten. Der Anteil des Sonnenstroms an der öffentlichen Nettostromerzeugung lag bei 31,8 Prozent. Durch eine dezentrale Energieerzeugung aus erneuerbaren Quellen wie Solarenergie verringert Europa die Abhängigkeit von wenigen Zulieferern, die ein Land im Krisenfall erpressbar machen und den politischen Aktionsradius einschränken können.

 

Zugleich nehmen Cyber-Angriffe von Kriminellen und staatlichen Angreifern auf die öffentlichen Stromnetze zu, was eine verbesserte Sicherheit und Widerstandsfähigkeit der Energieinfrastruktur erfordert. Die Entwicklung hin zu einer stärker diversifizierten und widerstandsfähigeren Energieinfrastruktur findet ihren Niederschlag in der Energiesicherheitsstrategie und dem REPower-Plan der EU, der darauf abzielt, durch den Einsatz Erneuerbarer Energien eine größere Energieunabhängigkeit Europas zu erhalten. Da der Anteil von Solarenergie im Stromerzeugungsmix der EU zunehmend wächst, werden auch vermehrte Cyberangriffe auf steuerbare Verbrauchseinrichtungen, Stromspeicher und dezentrale Erzeugungsanlagen erwartet, die über Smart-Meter-Gateways (SMGW) gesteuert werden.

 

Rechtliche Regelungen wie die Netz- und Informationssicherheitsrichtlinie (NIS2) und der Netzkodex für Cybersicherheit (NCCS) sollen dafür sorgen, mehr Cybersicherheit im Energiesektor herzustellen. Damit wird die jedoch nur traditionelle Energieinfrastruktur adressiert, die aus großen, zentralisierten Kraftwerken besteht. Die spezifischen Sicherheitsbedürfnisse von dezentralen Energiequellen (DER) wie beispielsweise kleine Photovoltaik-Anlagen auf Dächern werden darin nicht angemessen berücksichtigt. Viele Photovoltaik-Anlagen, die von kleinen Unternehmen oder Hausbesitzern betrieben werden, sind zu klein, um als kritische Infrastruktur eingestuft zu werden.

wlan

Die kommunikative Anbindung des Smart-Meter-Gateways birgt ein Angriffspotenzial
Foto: © Stefan Schweihofer/Pixabay

Um dem gestiegenen Bedrohungspotenzial durch Cyberkriminalität zu begegnen, entwickelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWE) Anforderungen an vertrauenswürdige Produktkomponenten (Smart-Meter-Gateways mit integriertem Sicherheitsmodul), an deren sicheren IT-Betrieb (Administration) sowie an die vertrauenswürdige Kommunikationsinfrastruktur (Smart-Metering-Public-Key-Infrastruktur), die in Form von Schutzprofilen und technischen Standards definiert sind.

 

Das Schutzprofil 2.0, dessen Aufbau in den international gültigen Common Criteria (CC) geregelt ist, beschreibt mögliche Bedrohungen eines Smart-Meter-Gateways in seiner Einsatzumgebung und legt fest, welche Mindestanforderungen an Sicherheitsfunktionen zu erfüllen sind. Lokale Angreifer können versuchen, abrechnungsrelevante Daten oder Netzzustandsdaten zu manipulieren, Verbrauchsdaten auszuspähen oder die Firmware zu verändern. Um einen hohen Sicherheitsstandard zu gewährleisten, enthält das Schutzprofil sicherheitstechnische Anforderungen für die Schnittstellen zu den drei Netzen (LMN, HAN und WAN), die jedes Smart-Meter-Gateways bereitstellen muss.

 

Über das Lokale Metrologische Netz (LMN) werden die Messeinrichtungen des Anschlussnutzers mit dem Smart-Meter-Gateway verbunden. Diese senden die erhobenen Verbrauchs- und Einspeisewerte sowie Netzzustandsdaten an das Smart-Meter-Gateway, wo sie gespeichert und weiterverarbeitet werden. Im Home Area Network (HAN) kommuniziert das Smart-Meter-Gateway mit lokalen Kommunikationspartnern zur Anbindung von Energieverbrauchs- und Erzeugungseinrichtungen wie beispielsweise Wärmepumpen, Wechselrichter von Photovoltaik-Anlagen, Ladeeinrichtungen für E-Fahrzeuge, Energiemanagementsysteme (EMS) sowie Ausstattungen zur Verbrauchserfassung. Das Smart-Meter-Gateway kann über die Schnittstelle des Wide Area Network (WAN) mit externen Marktteilnehmern kommunizieren, zu denen auch der Gateway-Administrator gehört.

 

Die kommunikative Anbindung des Smart-Meter-Gateways bietet ein hohes Potenzial für Angreifer, die von außen versuchen, eine Vielzahl von intelligenten Messsystemen anzugreifen. Um möglichen Bedrohungen entgegenzuwirken, gibt das Schutzprofil die Sicherheitsziele vor, die durch das Smart-Meter-Gateway umgesetzt werden müssen. Um die drei unterschiedlichen Netze (LMN, HAN und WAN) gegeneinander abzuschotten, sind seitens des Herstellers Firewall-Mechanismen in das Smart-Meter-Gateway zu integrieren.

 

Die Hersteller erhalten zunächst generische Vorgaben, welche Funktionen ihre Produkte bereitstellen müssen. Nach einer positiven Evaluation wird mittels eines Zertifikat die Erfüllung der Sicherheitsanforderungen bescheinigt. Das Bundesamt für Sicherheit in der Informationstechnik führt auf seiner Website zertifizierte Smart-Meter-Gateways auf, welche die Common Criteria erfüllen.