Neue Cybersicherheitsanforderungen für PV-Anlagen und Batteriespeicher

Am 1. August 2025 ist in der Europäischen Union die nachgeschärfte Funkgeräterichtlinie (Radio Equipment Directive – RED 2014/53/EU) in Kraft getreten, die für alle mit dem Internet verbundenen Geräte gilt, die über eine Funkschnittstelle wie Bluetooth oder WiFi verfügen. Diese Regelung bezieht sich auch auf Photovoltaik-Wechselrichter. Auf dem europäischen Binnenmarkt dürfen von nun an nur noch Geräte verkauft werden, die diesen rechtlich verbindlichen Cybersicherheitsanforderungen entsprechen. Ein CE-Kennzeichen symbolisiert, dass die entsprechenden Geräte grundlegende Cybersicherheitsanforderungen zum Schutz von Netzwerken erfüllen.

 

Die Radio Equipment Directive bildet seit 2014 den verbindlichen Rahmen für alle elektrischen und elektronischen Geräte, die Funkwellen nutzen. Die Anforderungen bezogen sich bisher nicht auf Geräte, die mit dem Internet verbunden sind. Da diese Anlagen durch die Internetverbindung Risiken ausgesetzt sind, ist die EU-Richtlinie durch eine entsprechende Ergänzung nachgeschärft worden. An der Entwicklung der Normen, welche die Cybersicherheit der Geräte gewährleisten sollen, war das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich beteiligt.

 

„Erstmals werden rechtlich verbindliche Anforderungen an die Cybersicherheit einer Vielzahl von vernetzten Produkten gestellt“, sagt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik. „Gleichzeitig tragen wir als BSI dazu bei, das Nachweisverfahren effizient zu gestalten. Damit wird das Cybersicherheitsniveau in Deutschland und Europa deutlich erhöht.“ Schon vor dem Inkrafttreten der RED-Richtlinie durften auf dem europäischen Markt keine Produkte angeboten werden, die über Funktionen in der Soft- oder Hardware verfügen, welche nicht in der technischen Dokumentation aufgeführt sind wie beispielsweise das Ein- oder Ausschalten von Geräten aus der Ferne. Diese Anforderungen gelten auch für Produkte von Herstellern, die nicht in der EU ansässig sind, aber ihre Produkte auf den europäischen Markt bringen.

BSI

Im BSI sind Anforderungen an die Cybersicherheit von Geräten entwickelt worden
Foto: © BSI/Bernd Lammel-Bundesfoto

In Litauen ist am 1. Mai 2025 ein neues Gesetz in Kraft getreten, das chinesischen Herstellern den Fernzugriff auf Photovoltaik-, Windkraft- und Batteriespeicher-Anlagen in ihrem Land untersagt. Geregelt ist dies in den Sicherheitsanforderungen für die Kontrollsysteme von elektrischen Geräten, die im November 2024 vom litauischen Parlament verabschiedet worden sind. Für die bereits installierten Solar- und Windkraft und Batteriespeicher-Anlagen mit einer Kapazität von über 100 kW muss eine entsprechende sicherheitstechnische Anpassung in der Übergangsphase bis zum 1. Mai 2026 erfolgen.

 

Der europäische Solarindustrieverband European Solar Manufacturing Council (ESMC) sieht durch den softwarebasierten Fernzugriff auf Photovoltaik-Wechselrichter die Energiesouveränität Europas gefährdet. Ein Wechselrichter wandelt den Gleichstrom (DC), der von den Solarmodulen erzeugt wird, in Wechselstrom (AC) um. Da moderne Wechselrichter mit dem Internet verbunden sein müssen, um am Strommarkt teilzunehmen, können Hersteller im Zuge ihrer Software-Updates die Leistung dieser Geräte aus der Ferne verändern. Dies berge erhebliche Gefahren für die Cybersicherheit.

Heute sind bereits über 200 GW der europäischen PV-Kapazität mit in China hergestellten Wechselrichtern verbunden. Das bedeutet, dass Europa effektiv die Fernkontrolle über einen großen Teil seiner Strominfrastruktur abgegeben hat. Christoph Podewils, Generalsekretär des europäischen Solarindustrieverbandes

Einem aktuellen Bericht des norwegischen Test- und Qualitätsinstituts DNV zufolge lassen sich durch die koordinierte Manipulation von Wechselrichtern kaskadenartige Stromausfälle verursachen. Ein besonders hohes Risiko besteht durch unbefugten Zugriff auf Solaranlagen, der durch die Ausnutzung von Schwachstellen in Authentifizierungsmechanismen und das Eingreifen in den Betrieb von Wechselrichtern über API-Verbindungen erlangt werden kann. Die plötzliche Abschaltung von sehr viel Leistung könnte einen Stromausfall bewirken.

 

Dem DNV-Bericht zufolge stammen siebzig Prozent aller im Jahr 2023 installierten Wechselrichter von chinesischen Anbietern wie Huawei und Sungrow. Die beiden Unternehmen kontrollieren den Fernzugriff auf 168 GW an PV-Kapazität in Europa. Es wird erwartet, dass diese Kapazität bis zum Jahr 2030 auf über 400 GW ansteigt, was der Leistung von 150 bis 200 Atomkraftwerken entspricht.

 

Angesichts dieser Bedrohung fordert der europäische Solarindustrieverband die Entwicklung einer EU-Security Toolbox für Wechselrichter, die eine umfassende Risikobewertung der Hersteller von Wechselrichtern beinhaltet. Risiko-behaftete Hersteller von Wechselrichtern sollten demzufolge keine Online-Verbindung zu europäischen Stromnetzen erhalten.

 

„Europa muss jetzt handeln, um eine künftige Energiekrise zu verhindern, die mit der Abhängigkeit von Gas aus Russland vergleichbar wäre“, erklärt der ESMC-Generalsekretär. „Wir unterstützen die bevorstehende Bewertung der Cybersicherheitsrisiken in der solaren Wertschöpfungskette durch die Europäische Kommission und sind bereit, unsere Expertise einzubringen.“