Wenzlik: "Die Solarbranche macht es Hackern noch recht leicht"
Kitzingen (energate) - Mit der zunehmenden Digitalisierung und Vernetzung in der Energiewirtschaft steigt auch die Gefahr von Cyber-Attacken. Umso wichtiger ist ein wirksamer Schutz vor Hackangriffen. Betreiber von Fotovoltaikanlagen haben dabei noch Nachholbedarf. Das sagt Constantin Wenzlik im Gespräch mit energate. Wenzlik ist CEO der Padcon GmbH, einer auf Cyber-Security im Solarsektor spezialisierten Gesellschaft, die Teil der Innogy-Tochter Belectric ist.
energate: Herr Wenzlik, Cyber-Attacken auf Unternehmen nehmen zu, auch im Bereich der Energiewirtschaft. Wie sieht die Risikosituation im Bereich Fotovoltaik aus?
Constantin Wenzlik: Energieerzeugung ist heute gleichbedeutend mit dem Austausch von Milliarden von Datensätzen. Insbesondere bei dezentralen Erzeugungsanlagen, wie PV-Kraftwerken, ist die digitale Steuerung und Fernüberwachung Standard. Allerdings birgt die zunehmende Digitalisierung auch Risiken. Denn vernetzte Systeme sind extrem angreifbar, wenn man sie nicht entsprechend schützt. Insbesondere ein zeitgleicher Angriff auf mehrere PV-Anlagen könnte weitreichende Konsequenzen haben: Stellen wir uns einen sonnigen Tag in Deutschland vor, an dem ohne jegliche Vorwarnung von eine auf die andere Sekunde große Teile der PV-Leistung abgeschaltet werden. Das dürfte zu großen Problemen im Netz führen. Und dieses Szenario ist denkbar, denn es gehört längst noch nicht zum Standard seine Solaranlage gegen Cyber-Angriffe zu schützen.
energate: Wie schätzen Sie die aktuelle Gefährdungslagen ein? Und wo genaue liegen die Gefahren für Anlagenbetreiber?
Wenzlik: Wir überwachen weltweit mehr als 4 GW an PV-Leistung. Bei der Überwachung greifen wir auf rund zwei Mio. Anlagenparameter zu und haben etwa fünf Mrd. Datentransaktionen pro Tag zwischen unserem Kontrollraum und den verschiedenen Solaranlagen. Die Fernüberwachung bietet vielfältige Einfallstore für Hacker und es werden auch regelmäßig Aktivitäten registriert diese zu nutzen. Die Versuche zeigen nachdrücklich, dass es Angreifer gibt, die ein Interesse haben, so etwas durchzuführen - und zwar über Ländergrenzen hinweg. Die Branche macht es im Moment Hackern noch recht leicht: Bislang ist bei vielen PV-Anlagen in Deutschland nicht einmal die Internetverbindung vernünftig abgesichert. Und das obwohl Cyber-Angriffe zum Verlust von kommerziell relevanten Daten, der Rücknahme der Einspeisezusage und zu erheblichen Ertragseinbußen führen können. Wir empfehlen unseren Kunden deshalb Cyber-Security von Anfang an mitzudenken und zwar auf allen Ebenen: lokal auf der PV-Anlage, mit Blick auf den Fernzugriff und natürlich auf Anwenderebene. Wir arbeiten aktuell auch an Projekten in Israel und dort ist der Sicherheitsstandard wesentlich höher.
energate: Padcon beschäftigt sich seit Jahren mit dem Thema Cyber-Sicherheit. Wie sieht ein gutes Sicherheitskonzept für Fotovoltaikanlagen aus?
Wenzlik: Hacker versuchen immer das schwächste Glied in einem System aufzuspüren. Es ist deshalb wichtig, Cyber-Sicherheit ganzheitlich anzugehen. Wir versuchen zu verhindern, dass über die Hardware auf der PV-Anlage in das Netzwerk eingedrungen wird. Außerdem schützen wir die Internetverbindung zwischen der Anlage und dem Kontrollraum. Und natürlich den Kontrollraum selbst. Dafür setzen wir zum Beispiel auf Multi-Faktor-Authentifizierung. Das kennt man vom Online-Banking, wo man neben einem persönlichen PIN zusätzlich eine TAN-Nummer braucht. Neben der technischen und systemseitigen Vorbereitung ist aber vor allem der Mensch entscheidend: Denn die Systeme können noch so ausgefeilt sein, sie bringen nichts, wenn die Anwender diese nicht sicher bedienen. Es geht also darum das Bewusstsein der eigenen Mitarbeiter, aber auch von Kontraktoren und weiteren Stakeholdern, für die Angreifbarkeit zu schärfen und eine sogenannte Human-Fire-Wall aufzubauen. Wir schulen deshalb alle Projektbeteiligten und führen regelmäßig Audits durch. Immer mit dem Ziel, Cyber-Security zum festen Bestandteil der Arbeitskultur zu machen.
Die Fragen stellte Alexander Stahl, energate-Redaktion Essen.
Das Interview auf der Webseite von energate finden Sie hier...