Direkt zum Inhalt
Sie haben noch keinen Account? Jetzt registrieren
  • umfangreiche Warnmeldungen
  • zusätzliche Funktionen
  • persönliche Benachrichtigungen
Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Opfer eines Cyberangriffes geworden?

0711-137-99999 cyberersthilfe(a)cybersicherheit.bwl.de Kontaktieren Sie uns

Auskundschaftung von PV-Anlagen

- Sicherheitshinweis

Nach Erkenntnissen von BfV und BSI kundschaften derzeit russische Akteure Photovoltaik-Anlagen aus, die unzureichend geschützt über das Internet erreichbar sind. Der Zweck dieser Aktivitäten sei unklar, könne aber zu einem späteren Zeitpunkt Auswirkungen auf die Stromnetzstabilität haben.
Wand im BSI-IT-Lagezentrum mit BSI-Logo

© BSI

Spätere Auswirkungen möglich

Betroffen von der aktuellen Auskundschaftung seien eher Privatpersonen, Genossenschaften oder ähnliche Institutionen ohne energiewirtschaftlichen Hintergrund. In diesem Bereich seien die getroffenen Sicherheitsmaßnahmen zum Schutz der Anlagen aufgrund mangelnder Kenntnisse oftmals unzureichend. Dadurch sei eine Auskundschaftung oder ein Angriff deutlich einfacher als bei kommerziell betriebenen Anlagen.

Mögliche Auswirkungen

  • Angriff auf die Energieerzeugung mit Auswirkungen auf die Stromnetzstabilität, z. B. wenn sehr viele Anlagen gleichzeitig unbefugt vom Netz genommen werden.
  • Sabotage durch Außerbetriebnahme der Anlage
  • Zugangsdaten erbeuten und Account-Übernahme

Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten dazu eine gemeinsame Sicherheitsinformation (siehe Link unten). Die beschriebenen und weitere Auswirkungen sowie die Empfehlungen gelten für alle Photovoltaik- und Energiespeicheranlagen unabhängig von ihrer Größe und von der Rechtsform der Betreibenden.

Empfehlungen von BfV und BSI

  • Prüfen Sie, ob die Anlage aus dem Internet erreichbar ist. Unterbinden Sie die Erreichbarkeit umgehend.
  • Wenn ein Zugriff von außen auf die Anlage erforderlich ist, verwenden Sie mindestens ein VPN. Auf keinen Fall darf eine Anlage über ein Port-Forwarding im Router über das Internet erreichbar sein.
  • Bei Anlagen mit einer Verbindung zur Cloud des Herstellers prüfen Sie, ob diese Verbindung zum Betrieb notwendig ist.
    • Idealerweise sollten Sie die Anlage auf einen rein lokalen Betrieb umstellen.
    • Dies reduziert u. a. Risiken, die von einer ggf. unzureichenden Absicherung der Herstellerdienste herrühren.
  • Das BSI rät von Produkten ab, die auf digitale Dienste des Herstellers angewiesen sind, denn bei Geschäftsaufgabe oder auslaufendem Support des Herstellers kann ein Totalverlust für den Betreibenden entstehen.
  • Nutzen Sie die Sicherheitsmaßnahmen des Geräts.
    • Hierzu zählt insbesondere ein sicheres Passwort, um unbefugte Zugriffe zu verhindern.
    • Ein reiner Passwortschutz ist jedoch kein hinreichender Schutz vor Kompromittierung.
  • Prüfen Sie regelmäßig, ob neue Softwareversionen verfügbar sind.
    • Installieren Sie schnellstmöglich mindestens solche, die Sicherheitslücken beheben.
    • Wägen Sie jedoch zuvor eventuelle Risiken ab. Wenn die Anlage ein Autoupdate besitzt und die Produkte für ihre Funktion eine dauerhafte Internetverbindung benötigen, implementieren Sie ein IT-Sicherheitsmanagement.

Weitere Informationen