StartseiteNewscenterEnergiemanagement-BlogDigitalisierungKritische Infrastruktur besser schützen
Digitalisierung
Lösungen
Referenzen
Unternehmen

Kritische Infrastruktur besser schützen - Cyber Security bei PV-Anlagen

Von:
Vivian Bullinger, Solar-Log GmbH, Product Marketing
Max Miller, Solar-Log GmbH, Information Security Officer (ISO)

28.07.2025 • 4 Min. Lesezeit

Icon Facebook Icon LinkedIn Icon Mail

Die Digitalisierung von Photovoltaik Anlagen nimmt stetig zu und eröffnet Nutzern sowie Betreibern enorme Vorteile: Fernüberwachung, Leistungsoptimierung, vorausschauende Wartung. Doch mit der Vernetzung steigen die Sicherheitsrisiken. Verschiedene Szenarien sind denkbar, wenn nicht für ausreichen Schutz gesorgt wird. So könnten Hacker beispielsweise ungeschützte PV-Anlagen ins Visier nehmen, Zugangsdaten abgreifen, Anlagen manipulieren oder sogar das Stromnetz destabilisieren. 

Aktuelle Studien zeigen, dass in Europa über 76 % der PV Anlagen unbeabsichtigt öffentlich im Internet erreichbar sind. In Deutschland und Griechenland sind mit rund 20 % besonders viele PV-Systeme betroffen. (Quelle: www.forescout.com, www.forescout.com/resources/sun-down-research-report )

Doch es gibt Möglichkeiten seine PV-Anlage und die sensiblen Daten aktiv zu schützen.

 

Angriffspunkte bei PV Systemen

Es gibt diverse Angriffspunkte für einen unbefugten Zugriff auf PV-Systeme. Wichtig um sie effektiv schützen zu könne, ist es, diese vorab zu kennen und zu identifizieren. Wir haben hier die größten Schwachstellen zusammengefasst:
Unzureichender Passwortschutz
Einige Wechselrichter, Monitoring-Geräte oder Gateways sind über Standard Passwörter oder ohne VPN öffentlich erreichbar und damit angreifbar. 

Schwache Authentifizierung 
Hinter einer schwachen Authentifizierung verbirgt sich die allgemeine Passwortproblematik. Einfache Passwörter ohne weiteres Authentifizierungsverfahren sind ein großer Angriffspunkt. Zum Passwort wird verstärkt eine Zwei-Faktor-Authentifizierung (2FA) eingesetzt. Hier muss der Benutzer zum eigentlichen Passwort eine zweite Option auswählen, mit der er sich dann einloggen kann.

Firmware-Updates
Oftmals werden FirmwareUpdates der Hersteller ignoriert. Die Hersteller geben regelmäßig neue Updates für ihre Systeme heraus. In diesen Updates sind neben neuen Funktionen, Fehlerbehebungen auch oftmals Cyber-Security relevante Neuerungen vorhanden. Zudem ermöglicht das Fehlen der letzten Updates unter Umständen Backdoors über die Trojaner oder sogenannte Malware eingeschleust werden kann. 

 

Hauptrisiken bei Cyber-Angriffen für PV-Systeme

Wenn Unbefugte sich Zugriff auf das PV-System verschafft haben, gibt es unterschiedliche Optionen, wie sie diesen Zugriff missbrauchen können. Dabei können die Ziele durchaus unterschiedlich sein. Diese zu kennen, hilft beim Schutz der Anlagen.

Manipulation der Leistung & Netzstabilität
Erfolgreiche Angriffe auf PV-Systeme können Einspeiseleistung beeinflussen und so im Extremfall zu Netzinstabilitäten oder Stromausfällen führen. Natürlich muss hier eine große Anzahl einzelner PV-Anlagen oder ein paar sehr große angegriffen werden, doch Die Auswirkung in solch einem Fall wäre gravierend. Bei kleineren Anlagen oder einzelnen sind in erster Linie die Betreiber von den negativen Auswirkungen betroffen.

Ransomware und Sabotage
RansomwareAngriffe können die Daten kompletter PVSteuersysteme verschlüsseln. Der Betreiber wird dann oftmals mit dem Stillstand der Anlage erpresst, diese dann nur nach Bezahlung hoher Forderungen wieder freigeben wird.

 

Effektiver Schutz der Angriffspunkte

Wie schützt man sich nun für Angriffen und den möglichen Folgen? Hier liegt die Verantwortung neben den Herstellern auch bei den Betreibern. Denn diese müssen die Maßnahmen der Hersteller umsetzen und stetig ein Auge darauf haben, dass die Systeme auf dem aktuellen Stand sind.

  • Netzsegmentierung
    PV-Komponenten sollten strikt vom Heim oder FirmenLAN getrennt sein und idealerweise nur über dedizierte VPNKanäle erreichbar sein. RemoteZugriffe auf Monitore etc. dürfen nie unverschlüsselt oder öffentlich sein.
  • Starke Authentifizierung
    StandardPasswörter müssen sofort geändert werden. Alle Anwendungen sollten MultiFaktorAuthentifizierung (MFA) einsetzen, um Identitätsdiebstahl vorzubeugen.
  • Regelmäßige Updates & Patches
    Firmware- und Software-Updates sind Pflicht. Die Hersteller arbeiten kontinuierlich an sogenannten Herstellerpatches, also Aktualisierungen für Software, die Sicherheitslücken betreffen. Die Patches sind in den Firmware-Updates enthalten und müssen von den Betreibern aufgespielt werden.
  • Monitoring & Logging
    Alle Zugriffe und Konfigurationsänderungen müssen auditierbar sein. Hier helfen spezielle Monitoring-Tools, diese erkennen Anomalien und Fremdzugriffe frühzeitig.
  • Backup & Incident Response
    Ein Notfallplan für Datenlecks oder Systemausfälle ist essenziell. Daten müssen gesichert sein, und Verantwortliche müssen wissen, wie sie auf Vorfälle richtig reagieren.
  • Mitarbeiterschulung
    Es ist wichtig, dass technische Mitarbeiter und Betreiber regelmäßig im Bereich Cyber-Security geschult und entsprechend sensibilisiert werden - zum Bespiel: über Phishing-Attacken, Social Engineering oder Social-Media-Risiken.
  • Datenschutz & DSGVO
    Immer darauf achten, dass die Hersteller eine entsprechende Datenschutzverordnung haben. Live-Stromdaten enthalten personenbezogene Informationen und müssen damit besonders geschützt werden. Deren Weitergabe darf nur auf vertraglicher und rechtlicher Grundlage erfolgen, in Übereinstimmung mit DSGVO-Regeln.

Sicherheitsmaßnahmen im PV-Monitoring

Diese oben aufgeführten Punkte gelten im Prinzip für alle System einer PV-Anlage, die Angreifern einen Zugriff auf die Anlage ermöglichen. Das sind neben den Wechselrichtern, Gateways auch PV-Monitoring- bzw. PV-Management-Systeme. Gerade die sogenannten „Energie Manager“, wie z. B. von Solar-Log, bilden die Schnittstelle von PV-Anlage zu den Energieversorgen und müssen entsprechend geschützt werden.

Am Beispiel von Solar-Log wird deutlich, wie solche Systeme geschützt werden – sowohl von Herstellerseite wie auch von den Betreibern.

Ein zentrales Thema zum Schutz der PV-Anlage ist hierbei die Absicherung der Datenübertragung. Solar-Log setzt auf moderne Verschlüsselungsstandards wie TLS (Transport Layer Security), um eine sichere Kommunikation zwischen Geräten, Portalen und mobilen Anwendungen zu gewährleisten. Darüber hinaus werden auch die Daten in der Cloud durch Verschlüsselung geschützt. Die genutzten Cloud-Dienstleister sind nach ISO 27001 zertifiziert, was hohe Anforderungen an Sicherheit und Verfügbarkeit garantiert.

Ein weiterer Schwerpunkt liegt im Bereich der Benutzer- und Zugriffsverwaltung. Solar-Log nutzt das Prinzip der minimalen Rechtevergabe („Least Privilege“) und führt eine rollenbasierte Zugriffskontrolle ein. Nutzer müssen starke Passwörter verwenden, und es wird auf Wunsch eine Zwei-Faktor-Authentifizierung (2FA) angeboten. Zugriffsvorgänge werden vollständig protokolliert und können bei Bedarf ausgewertet werden.

Auch in der Softwareentwicklung werden strikte Sicherheitsprinzipien verfolgt. Der Quellcode wird intern geprüft, regelmäßig auf Schwachstellen gescannt und durch externe Penetrationstests überprüft. So soll sichergestellt werden, dass Schwachstellen frühzeitig entdeckt und beseitigt werden. Kunden werden über sicherheitsrelevante Updates informiert und erhalten klare Anweisungen zur Installation neuer Firmware.

Im Fall eines Sicherheitsvorfalls verfügt Solar-Log über ein eigenes Incident-Response-Team. Dieses analysiert und bewertet erkannte Sicherheitsprobleme, koordiniert Gegenmaßnahmen und informiert betroffene Nutzer schnellstmöglich. Die Reaktionsprozesse sind dokumentiert und regelmäßig getestet. Besonders erwähnenswert ist die Reaktion auf bekannte Schwachstellen wie CVE202247767 (Backdoor in älteren Firmware-Versionen), die durch entsprechende Updates behoben wurden.

Darüber hinaus achtet Solar-Log bereits bei der Produktentwicklung auf Sicherheitsaspekte („Security by Design“). Dazu zählt etwa der Einsatz von PKCE (Proof Key for Code Exchange) bei der Web-Authentifizierung. Auch die Integration sicherer Technologien und der Schutz der lokalen Geräteoberflächen vor unerlaubtem Zugriff gehören zum Standard.

Zusammenfassend zeigt sich, dass ein ganzheitlicher Ansatz zur Cybersicherheit verfolgt wird. Dabei werden technische Maßnahmen mit organisatorischen Prozessen kombiniert und auf Transparenz sowie kontinuierliche Verbesserung gesetzt.

 

Das Bild zeigt die Netzwerkkommunikation des PV-Energiemanagement-Systems Solar-Log™ Base in einem gesicherten Kundennetzwerk. Hier werden Daten an das Onlineportal Solar-Log WEB Enerest™ übertragen und Firmware- sowie Bundle-Updates durchgeführt. Diese Architektur gewährleistet eine sichere, strukturierte Kommunikation zwischen lokalen Geräten, Cloud-Diensten und optionalen Partnern wie Direktvermarktern oder externen Servern.

 

Ergänzende Maßnahmen von Herstellern und Behörden

Neben den Anwendern und den Herstellern ist das Thema „Cyber Security bei PV-Anlagen“ auch bei öffentlichen Stellen ein wichtiger Punkt.

Nationale Empfehlungen

Das deutsche BSI warnt ausdrücklich davor, netzdienliche Steuerung über internetfähige Komponenten aus dem Ausland zuzulassen. Empfohlen werden stattdessen dezentrale Technologien wie intelligente Messsysteme, um mögliche Hintertüren zu minimieren (Quelle: pv-magazine.de).

Klassifizierung als kritische Infrastruktur

Große PV-Parks ab 104 MW gelten als KRITIS. Betreiber müssen IT-Sicherheitsstandards einhalten, regelmäßige Audits ermöglichen und spezielle Maßnahmen gegen Sabotage treffen.

Empfohlene Leitlinien:

  • NIST Cybersecurity Framework: ist eine freiwillige Sammlung von Richtlinien und Best Practices, die vom National Institute of Standards and Technology (NIST) entwickelt wurde, um Organisationen bei der Verwaltung und Reduzierung ihrer Cybersicherheitsrisiken zu unterstützen. Es bietet einen strukturierten Ansatz für das Management von Cybersicherheitsrisiken, der bestehende Standards, Richtlinien und bewährte Verfahren integriert.
  • CISA-Empfehlungen: gibt Empfehlungen und Leitfäden zu verschiedenen Aspekten der Cybersicherheit heraus, die sich an Unternehmen und Einzelpersonen richten. Diese umfassen sowohl allgemeine Cybersicherheitspraktiken als auch spezifische Empfehlungen für den Schutz kritischer Infrastrukturen und die sichere Beschaffung von Technologie.
  • Zero Trust Architecture (ZTA): Annahme, dass jedes Gerät im Netz als potenziell kompromittiert gilt. Es ist ein Rahmenwerk für die Cybersicherheit, das auf dem Prinzip „never trust, always verify“ beruht. Es geht davon aus, dass kein Benutzer oder Gerät, auch nicht innerhalb eines herkömmlichen Netzwerks, automatisch als vertrauenswürdig eingestuft werden sollte.

     

Fazit

PhotovoltaikAnlagen sind heute weit mehr als Module aus Glas und Silizium – sie sind Teil komplexer cyberphysikalischer Systeme. Die zunehmende Digitalisierung bietet viele Chancen, doch die Risiken reichen von Datenschutzverletzungen bis zu kritischen Störungen der Energieinfrastruktur.

Anwender sollten wachsam sein, Systeme absichern und sich aktiv mit Updates und Mitarbeiterschulung auseinandersetzen. Anbieter wie SolarLog bieten eine solide technische Basis: rollenbasierte Zugriffe, MFA, PenTests, IDS und IncidentResponse sind Eckpfeiler ihres Sicherheitskonzepts.

Nicht zuletzt haben auch Politik und Behörden ihren Beitrag geleistet: Das BSI fordert dezentrale Steuerung und vertrauenswürdige Technologien; große Anlagen unterliegen KRITIS-Standards.

Nur ein ganzheitlicher Ansatz – von der Hardware über Software und Vernetzung bis hin zu Organisations- und Compliance-Aspekten – kann PV-Anlagen zukunftssicher und resistent gegen Bedrohungen machen.

 

 

Mehr über Solar-Log

Zu Beginn der 2000er Jahre haben wir als Pioniere unsere Tätigkeit im Bereich der Solarenergie aufgenommen. Den Blick in die Zukunft gerichtet, erkannten wir bereits damals die zunehmende Bedeutung alternativer Energiequellen.

Angesichts der Endlichkeit fossiler Energieträger und des sich abzeichnenden ansteigenden Energiebedarfs stellten wir für uns die Weichen: Zur Sicherung einer unabhängigen Stromversorgung mit Photovoltaik, haben wir die Entwicklung innovativer und kundenspezifischer Energie-System-Lösungen kontinuierlich vorangetrieben.

 

Heute ermöglichen wir als unabhängiger Partner Unternehmen weltweit mit zuverlässigem Monitoring und qualitativ hochwertigen Produkten „Made in Germany“ ein effizientes und rentables Energiemanagement ihrer Photovoltaikanlage. Damit unterstützen wir sie, einen aktiven Beitrag zur Energiewende sowie zur Schonung der Umwelt zu leisten.

Mehr erfahren

Mehr zu diesem Thema

In-Dach Anlage - weniger Last für mehr Leistung In-Dach Anlage - weniger Last für mehr Leistung
PV ohne Einspeisevergütung PV ohne Einspeisevergütung
Referenz Anlage: Thaba Tholo Referenz Anlage: Thaba Tholo