Solaranlagen und Speicher: Wo Cyberangriffe wirklich ansetzen

Die Kernfrage lautet nicht, ob ein Solarmodul gehackt werden kann, sondern wo in einem vernetzten PV-System digitale Angriffe real ansetzen. In der Praxis betrifft das vor allem Geräte, die messen, steuern, speichern und aus der Ferne erreichbar sind: Wechselrichter, Batteriespeicher, Energiemanager, Kommunikations-Gateways und die zugehörigen Online-Dienste. Je mehr Funktionen über Apps, Installateursportale oder automatische Firmware-Updates laufen, desto größer wird die digitale Angriffsfläche.

Für Betreiber ist das kein Spezialthema für Großkonzerne. Schon bei einer Hausanlage können Fernzugriff, schlecht gesicherte Konten oder ein unsauberes Heimnetz zu Ausfällen, falschen Einstellungen oder dem Verlust von Betriebsdaten führen. Bei Gewerbeanlagen steigt der wirtschaftliche Schaden durch Stillstand und Serviceeinsätze. Bei gebündelten Flotten wird daraus ein strukturelles Risiko: Dann entscheidet nicht nur die Sicherheit eines einzelnen Geräts, sondern die Robustheit eines gesamten Fernwartungs- und Update-Systems.

Am verwundbarsten sind die Schnittstellen zwischen Energietechnik und IT. Der Wechselrichter ist dabei zentral, weil er die Solaranlage mit Hausnetz oder Netzanschluss koppelt und in vielen Systemen per App, Weboberfläche oder Cloud verwaltet wird. Hinzu kommen Batteriespeicher mit Batteriemanagementsystem, lokale Datenlogger, Smart-Meter-Anbindung und Gateways, die Protokolle aus der Energietechnik ins IP-Netz übersetzen. Genau an diesen Übergängen entstehen typische Schwachstellen: Standardpasswörter, zu weit geöffnete Fernzugänge, unsichere APIs, unzureichend geschützte Firmware-Updates oder schlecht dokumentierte Installateurskonten.

Institutionelle Leitlinien von NIST und ENISA beschreiben dafür sehr ähnliche Grundprobleme. Unsichere Voreinstellungen, fehlende Rollen- und Rechtekonzepte, unzureichende Protokollierung, schwache Update-Prozesse und mangelnde Segmentierung gelten als wiederkehrende Risiken. Dazu kommt die Lieferkette: Wenn Kommunikationsmodule, Software-Bausteine oder Cloud-Dienste intransparent eingebunden sind, steigt das Risiko, dass Betreiber gar nicht vollständig überblicken, welche Fernfunktionen ein System tatsächlich besitzt. Für die Praxis heißt das: Nicht das einzelne Gerät allein ist der Schwachpunkt, sondern die Kette aus Hardware, Software, Netz und Dienstleisterzugang.

Bei einer privaten Dachanlage ist der Schaden meist lokal. Ein Angriff kann die Überwachung stören, die Fernsteuerung lahmlegen, Lade- und Entladestrategien des Speichers verändern oder Serviceeinsätze auslösen, weil die Anlage Fehler meldet oder neu provisioniert werden muss. Auch Datenschutz spielt mit hinein: Aus Erzeugungs- und Verbrauchsdaten lassen sich Wohn- und Nutzungsprofile ableiten. Kritisch wird es vor allem dann, wenn dieselben Zugangsdaten für App, Portal und Heimnetz mehrfach verwendet werden oder der Installateurzugang dauerhaft offen bleibt.

Bei Gewerbe-PV verschiebt sich der Schwerpunkt. Dort hängen Lastmanagement, Eigenverbrauchsoptimierung, Ladeinfrastruktur oder Gebäudeleittechnik oft an derselben digitalen Kette. Fällt sie aus oder wird falsch konfiguriert, entstehen nicht nur Reparaturkosten, sondern operative Folgen im Tagesgeschäft. Noch einmal anders sieht es bei gebündelten Beständen aus, etwa bei Wohnungswirtschaft, Filialnetzen oder Dienstleistern mit vielen vernetzten Anlagen. Hier wird eine zentrale Plattform zum Hebel: Ein kompromittiertes Portal, eine fehlerhafte Massenkonfiguration oder ein problematisches Update kann viele Systeme gleichzeitig treffen. Das eigentliche Risiko ist dann Skalierung, nicht die spektakuläre Einzelattacke.

Nicht jeder Cybervorfall führt zu einem physischen Schaden. Häufiger sind Verfügbarkeits- und Integritätsprobleme: Portale oder Gateways reagieren nicht mehr, Telemetrie ist unvollständig, Einstellungen werden verändert oder Updates schlagen fehl. Auch Denial-of-Service- und DDoS-Angriffe zielen meist eher auf Erreichbarkeit von Management- und Cloud-Diensten als direkt auf das Solarmodul. Für Betreiber kann das trotzdem teuer werden, weil Monitoring, Fernservice oder Energiemanagement ausfallen und Störungen schwerer zu diagnostizieren sind.

Technisch heikler sind Eingriffe in Konfiguration und Steuerung. Wechselrichter und Energiemanager arbeiten mit Sollwerten, Leistungsgrenzen und netzbezogenen Einstellungen. Werden diese Parameter unbefugt verändert oder falsche Messwerte eingespeist, kann die Anlage ineffizient arbeiten, unnötig abschalten oder der Speicher ungünstig be- und entladen werden. Bei vielen gebündelten Systemen könnten solche Effekte kumulieren. Wie stark die Folgen dann wirklich ausfallen, hängt allerdings von Netzstruktur, Gerätekonzept und Schutzmechanismen ab. Pauschale Blackout-Erzählungen tragen die öffentlich zugänglichen Quellen nicht belastbar. Belastbar ist nur: Zentralisierte Fernfunktionen vergrößern die Reichweite von Fehlern und Angriffen.

Der wirksamste Schutz beginnt unspektakulär. Betreiber sollten Standardpasswörter konsequent ersetzen, wo möglich Mehrfaktor-Anmeldung für Portale aktivieren und Zugänge nach Rollen trennen: Eigentümer, Installateur, Service und externer Betreiber brauchen nicht dieselben Rechte. Fernwartung sollte nur dann dauerhaft offen sein, wenn sie betrieblich nötig ist. Hilfreich ist außerdem, PV-Anlage, Speicher, Wallbox und smarte Haustechnik nicht im selben ungeschützten Netzsegment wie Alltagsgeräte zu betreiben. Ein separates Netz oder zumindest eine saubere Segmentierung begrenzt die Seitwärtsbewegung nach einem Vorfall.

Ebenso wichtig ist der Firmware-Prozess. Updates sollten nachvollziehbar, signiert und dokumentiert eingespielt werden, nicht blind und gleichzeitig über einen ganzen Bestand. Für gewerbliche Betreiber und Flottenmanager kommt Protokollierung hinzu: Wer Änderungen, Logins, Konfigurationswechsel und Update-Stände nicht sauber erfasst, kann Vorfälle später kaum rekonstruieren. ENISA betont deshalb Logging, Zeit-Synchronisation, Incident-Prozesse und Lieferkettenkontrollen. In der Praxis heißt das auch: Hersteller und Dienstleister nach Support-Laufzeiten, Update-Politik, Rollenmodell, offenen Schnittstellen und Notfallverfahren fragen. IT-Sicherheit wird schon bei der Beschaffung entschieden, nicht erst nach dem ersten Alarm.

Solaranlagen und Speicher sind heute vernetzte Energiesysteme. Genau deshalb sitzen die wichtigsten Risiken an Konten, Schnittstellen, Portalen und Update-Ketten. Für private Betreiber bleibt das Schadensbild meist lokal, für Gewerbe und Flotten wird es schnell operativ und wirtschaftlich relevant. Die gute Nachricht ist, dass sich ein großer Teil des Risikos mit bekannten Maßnahmen senken lässt: weniger offene Fernzugriffe, klarere Rechte, getrennte Netze, überprüfbare Firmware und bessere Protokollierung. Wer PV-Speicher-IT-Sicherheit so behandelt wie Wartung und Ertragskontrolle, senkt nicht nur das Angriffsrisiko, sondern verbessert auch die Beherrschbarkeit im Störfall.