Ein offener Brief des IT-Dienstleisters Solar Secure an Politik, Netzbetreiber, Stadtwerke und Immobilienwirtschaft warnt vor erheblichen Sicherheitsrisiken in der deutschen Photovoltaik-Infrastruktur. Hintergrund sind das geplante KRITIS-Dachgesetz sowie die Umsetzung der europäischen NIS-2-Richtlinie.
Nach Darstellung der Verfasser drohten ab Juli 2026 rechtliche und haftungsrechtliche Konsequenzen für Betreiber, sollten bestehende PV-Anlagen und insbesondere Wechselrichter nicht umfassend gegen digitale und physische Angriffe abgesichert werden.
Starke Abhängigkeit von asiatischen Herstellern
Im Zentrum der Argumentation steht die starke Abhängigkeit von ausländischen Herstellern. Nach Angaben der Initiatoren stammen mehr als 80 Prozent der in Deutschland installierten PV-Wechselrichter aus asiatischer Produktion. Verwiesen wird auf internationale Berichte über nicht dokumentierte Kommunikationsmodule in chinesischen Wechselrichtern sowie auf die grundsätzliche Möglichkeit, Anlagen aus der Ferne zu steuern oder abzuschalten.
Tatsächlich hatten Medien im vergangenen Jahr unter Berufung auf US-Behörden über auffällige Komponenten in Wechselrichtern berichtet. Auch in Dänemark wurden zusätzliche Schaltkreise entdeckt. Die Faktenlage ist in vielen Fällen jedoch unklar; eine unabhängige Überprüfung war häufig nicht möglich.
Hersteller betonen, bei Fernwartungszugängen handele es sich um branchenübliche Schnittstellen. Sicherheitsexperten weisen zugleich darauf hin, dass jede externe Kommunikationsmöglichkeit ein potenzielles Einfallstor für Cyberangriffe darstellen kann.
Systemrelevanz von PV-Wechselrichtern wächst
Mit inzwischen mehr als 100 Gigawatt installierter Photovoltaik-Leistung in Deutschland gewinnt die Frage der IT-Sicherheit im Stromnetz an Gewicht. Wechselrichter steuern die Einspeisung und können Anlagen drosseln oder abschalten. Branchenvertreter argumentieren, dass bereits die koordinierte Beeinflussung weniger Gigawatt Leistung Auswirkungen auf die Netzstabilität haben könnte.
Gleichzeitig fallen viele kleinere PV-Anlagen bislang nicht unter die klassischen KRITIS-Schwellenwerte. Die Kritisverordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) greift erst ab 100 Megawatt installierter Leistung. Das BSI betont jedoch in Positionspapieren, dass Cybersicherheit im Energiesystem deutlich an Bedeutung gewinnt und höhere Schutzstandards erforderlich seien.
Der offene Brief verweist zudem auf den großflächigen Stromausfall auf der Iberischen Halbinsel im Frühjahr 2025. Ein Cyberangriff auf dezentrale Einspeiser wurde zeitweise diskutiert, später jedoch von offizieller Seite ausgeschlossen. Unabhängig davon bleibt die Resilienz dezentraler Energieinfrastruktur ein zentrales Thema für Netzbetreiber und Stadtwerke.
Mehrere technische Lösungsansätze
Neben der Problembeschreibung präsentieren die Initiatoren des offenen Briefs eine eigene technische Lösung. Vorgeschlagen wird der Einsatz manipulationssicherer Edge-Gateways am Zähleranschlusspunkt.
Diese sollen die Kommunikation zwischen Wechselrichter und Hersteller-Cloud kontrollieren oder unterbrechen, Angriffe erkennen und im Ernstfall einen autonomen Notbetrieb sicherstellen. Zusätzlich werden Funktionen wie föderiertes Lernen, kryptografische Signaturen von Einspeisedaten und eine mögliche Nutzung der Infrastruktur für Drohnenverkehrsmanagement skizziert.
Solche Ansätze stehen im Kontext einer breiteren Debatte über "Zero-Trust"-Architekturen, stärkere Segmentierung von Netzen und die Begrenzung externer Fernzugriffe. Experten weisen jedoch darauf hin, dass IT-Sicherheit stets ein Zusammenspiel aus Technik, Prozessen und Regulierung ist. Ob zusätzliche Hardware-Gateways flächendeckend erforderlich oder wirtschaftlich sinnvoll sind, ist innerhalb der Branche umstritten.
Haftungsfragen rücken näher
Mit Blick auf NIS 2 und das geplante KRITIS-Dachgesetz dürfte sich die Diskussion in den kommenden Monaten verschärfen. Die neuen Regelwerke sehen unter anderem strengere Risikobewertungen entlang der Lieferkette, Meldepflichten und potenziell auch persönliche Haftungsrisiken für Geschäftsleitungen vor.
Für Stadtwerke und andere Betreiber dezentraler Anlagen stellt sich damit die Frage, wie sie bestehende Systeme bewerten und gegebenenfalls nachrüsten. Klar ist: Die Cybersicherheit der Energiewende wird zunehmend als strategisches Thema verstanden – zwischen geopolitischen Spannungen, technischer Komplexität und wirtschaftlichem Druck.
