Die norwegische Qualitätssicherungs- und Risikomanagementgesellschaft DNV hat im Auftrag des Branchenverbandes SolarPower Europe eine Risikoanalyse von Photovoltaikanlagen auf die Netzstabilität durchgeführt. Simulationen des Stromnetzes hätten gezeigt, dass eine gezielte Kompromittierung von drei Gigawatt (GW) Solaranlagenleistung erhebliche Auswirkungen auf das europäische Stromnetz haben könnte. Eine Wechselrichterleistung, die dem Bericht zufolge von mehr als einem Dutzend westlicher und nicht-westlicher Hersteller kontrolliert wird. Allein der chinesische Hersteller Huawei habe bis Ende 2023 114 GW an Wechselrichtern in die EU geliefert.
Die Autoren kritisieren, dass sich die jüngsten europäischen Bemühungen um Cybersicherheit im Energiesektor hauptsächlich auf traditionelle Energieinfrastrukturen wie große zentrale Kraftwerke konzentrieren. Zwar würde der Cyber Resilience Act (CRA) auch für Solaranlagen gelten, da er alle in Europa verkauften digitalen Geräte abdeckt. Dennoch sei auch der CRA nur begrenzt geeignet, die gesamte End-to-End-Infrastruktur zu schützen.
Als eine der wichtigsten Maßnahmen zur Risikominderung nennt der Bericht die Entwicklung branchenspezifischer Cybersicherheitsregeln. »Es gibt viele Standards für Cybersicherheit, wie ISO 27001 oder IEC 62443, aber sie sind nicht branchenspezifisch. Einige Bemühungen, wie IEEE 1547.3, enthalten branchenspezifische Richtlinien. Es sind jedoch weitere Arbeiten erforderlich, um zusätzliche Details für die Implementierung einer durchgängig sicheren PV-Infrastruktur bereitzustellen«, so die Autoren. Diese sollten auf den relevanten europäischen Zertifizierungsverfahren aufbauen. Dazu gehören laut DNV nicht nur die Wechselrichter, sondern auch die Cloud und die Kommunikationsinfrastruktur, die für die Überwachung und das Management genutzt werden.
Als zweite wichtige Maßnahme nennt der Bericht die Beschränkung des Fernzugriffs und der Datenspeicherung von außerhalb der Europäischen Union. Der Bericht empfiehlt einen ähnlichen Ansatz wie bei der Datenschutz-Grundverordnung (DSGVO), wonach die Steuerung aggregierter dezentraler Anlagen, wie etwa kleiner Aufdach-Solaranlagen, nur in Regionen erfolgen sollte, die in Bezug auf die Sicherheit als gleichwertig mit der EU eingestuft werden.
© PHOTON
