BSI fordert robuste Cybersicherheit für die Energieversorgung

Veröffentlicht am 30. Mai 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Noch ein kurzer Nachtrag zu einem Thema, was bereits vor einigen Tagen hoch kam. Nach Meldungen über undokumentierte Kommunikationseinrichtungen in Wechselrichtern und Akkus für Solaranlagen aus den USA hat sich auch das BSI gemeldet. Das Bundesamt für Sicherheit in der Informationstechnik fordert robuste Cybersicherheit für die Energieversorgung.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Ich hatte im Blog-Beitrag Chinesische Wechselrichter und Akkus mit "unbekannten" Kommunikationskomponenten? berichtet, dass der Verdacht besteht, dass Wechselrichter und Akkus für Solaranlagen, die von chinesischen Herstellern vertrieben werden, mit undokumentierten Kommunikationskomponenten ausgestattet sind. Die Meldung kam aus den USA und hat hier im Blog sofort Kommentare, die das bezweifeln, getriggert. Ist zwar legitim, ändert aber nichts daran, dass Lieferketten für die Energieversorgung sicher sein müssen.

BSI zur Cybersicherheit für die Energieversorgung

Eine sichere Stromversorgung ist Grundlage unseres gesellschaftlichen Lebens schreibt das BSI und erinnert an den kürzlich knapp eintägigen Blackout auf der iberischen Halbinsel. Energiesicherheit sei eine zentrale Säule in der deutschen Sicherheitsarchitektur, heißt es weiter. Gleichzeitig stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohung für Kritische Infrastrukturen aus dem Cyberraum als hoch ein.

Der Energiesektor steht dabei besonders im Fokus von staatlich unterstützten Operationen, die auf Destabilisierung und Spionage abzielen. Aber Angriffe gibt es auch  von Cyberkriminellen, die Energieunternehmen erpressen oder von Hacktivisten, die ideologische Ziele verfolgen.

Das BSI sieht dringenden und konsequenten Handlungsbedarf. Daher hat das BSI ein Positionspapier: Cybersicherheit im Energiesektor Deutschlands veröffentlicht, das zentrale Herausforderungen und Handlungsfelder für eine robuste Cybersicherheitsstrategie im Energiesektor formuliert.

Neben der geopolitischen Lage nennt das Positionspapier die zunehmend dezentralisierte Energieversorgung, intelligente Netze und digitale Steuerungssysteme sowie die stark steigende Komplexität der vernetzten Systeme als Herausforderung. Zusätzliche Angriffsvektoren auf Hard- und Softwaretechnik im Rahmen der Lieferkette, die Manipulation von Energieinfrastrukturen durch Hersteller oder Dritte und sogenannte Zero-Day-Schwachstellen in industriellen Steuerungssystemen erhöhen die Bedrohungslage.

BTC AG fordert Nachschärfung für BSI-Positionspapiers

Die BTC AG,IT-Beratungsunternehmen mit besonderer Expertise in der IT-Sicherheit für KRITIS, begrüßt in einer Mitteilung, die mir vorliegt, zwar das aktuelle Positionspapier des Bundesamts für Sicherheit in der Informationstechnik (BSI). Aus Sicht der BTC kommt diese Initiative zur rechten Zeit: Die zunehmende Digitalisierung und Vernetzung der Energiewirtschaft erfordert einen Paradigmenwechsel – weg von punktuellen Sicherheitsmaßnahmen hin zu ganzheitlicher Cyberresilienz.

"Cyberresilienz ist kein optionales Add-on. Sie ist die Grundvoraussetzung für eine sichere und zukunftsfähige Energieversorgung", so Christian Bruns ist Manager Business Area Cyber Security bei der BTC AG. Zwei Punkte sieht die BTC AG im BSI-Positionspapier jedoch noch nicht ausreichend adressiert:

1. Lieferantensicherheit – ein unterschätztes Risiko

"Energieversorger können die Energiewende nicht im Alleingang realisieren", erklärt Bruns. "Gerade in dezentralen Strukturen – von Solaranlagen auf Dächern bis hin zu intelligenten Zählern – wird die Sicherheit der Zulieferkette zum systemkritischen Faktor." Die BTC AG fordert deshalb klare, verbindliche Standards für das Lieferantenmanagement im Umfeld kritischer Infrastrukturen – sowie eine effektive Kontrolle der Lieferkette. Insbesondere die Integration unsicherer Hardware mit potenziellem Zugriff durch ausländische Akteure sei ein Risiko, das bislang nicht ausreichend berücksichtigt werde.

2. Befähigung statt reiner Schulung – digitale Kompetenz breit verankern

Die BTC AG unterstützt, dass das BSI das Thema Sensibilisierung anspricht, sieht aber Nachholbedarf in der praktischen Umsetzung. "Sensibilisierung darf nicht beim Vortrag aufhören", so Bruns. "Was wir brauchen, ist echte Befähigung: Menschen müssen Risiken erkennen, richtig reagieren und Sicherheitskultur leben können – unabhängig vom IT-Wissen." Klassische Schulungsformate reichen dafür nicht aus. Die BTC AG fordert daher interaktive, praxisnahe Maßnahmen, die auf allen Ebenen der Energieunternehmen Wirkung entfalten.

Die Stärkung des BSI als zentrale Koordinierungsstelle bewertet die BTC AG positiv – weist aber auf die unverzichtbare Eigenverantwortung der Unternehmen hin. „Im Ernstfall ist niemand schneller als die eigene Vorbereitung", betont Bruns, „es braucht robuste Prozesse, erprobte Reaktionspläne und Sicherheitsbewusstsein – nicht erst im Krisenfall, sondern im täglichen Betrieb."

BxC Security fordert Sicherheits- und Vertrauenssiegel

BxC Security, die im Bereich OT-Sicherheit unterwegs sind, hat sich ebenfalls in einer mir vorliegenden Mitteilung geäußert. Marcel Fischer, Managing Director und Gründer von BxC Security greift die Medienberichte, dass US-Behörden versteckte Kommunikationsmodule in chinesischen Wechselrichtern gefunden haben, auf und fordert verpflichtende Sicherheits- und Vertrauenssiegel für netzgebundene elektronische Geräte:

Die aktuellen Berichte zu sicherheitskritischen Schwachstellen in chinesischen Wechselrichtern zeigen eindrücklich: Wir stehen vor einem umfassenden strukturellen Problem – und zwar nicht nur im privaten Bereich, sondern insbesondere auch in B2B-Beziehungen und der kritischen Infrastruktur.

Wechselrichter sind das Herzstück moderner Energieversorgung – sie koppeln Solaranlagen und Batteriespeicher an das öffentliche Stromnetz, so Fischer. Ihre Internetverbindung ist funktional notwendig, macht sie aber gleichzeitig zu einem attraktiven Angriffsziel für Hacker oder staatliche Akteure. Die jüngsten Erkenntnisse über nicht dokumentierte Kommunikationsmodule in Geräten chinesischer Hersteller zeigen, wie real diese Bedrohung ist – mit potenziell katastrophalen Folgen für die Netzstabilität in Europa.

Was das Problem verschärft: Viele Unternehmen – darunter auch Betreiber kritischer Infrastrukturen – verfügen schlicht nicht über die nötigen Ressourcen und das Fachwissen, um jedes eingesetzte Gerät eigenständig auf verdeckte Kommunikationspfade oder versteckte Hardware zu prüfen. Die erforderliche tiefgreifende technische Analyse ist aufwendig, teuer und erfordert hochspezialisierte Kompetenzen.

Deshalb sieht Fischer den Regulierer in der Pflicht: Er fordert die Einführung eines verpflichtenden Sicherheits- und Vertrauenssiegels für netzgebundene elektronische Geräte, insbesondere in der kritischen Infrastruktur. Dieses Siegel muss klar und nachvollziehbar signalisieren, dass ein Gerät hinsichtlich IT- und Kommunikationssicherheit unabhängig geprüft wurde und den Anforderungen an kritische Infrastrukturen genügt – vergleichbar mit bestehenden Ansätzen im Bereich 5G-Mobilfunk.

Ein solches Label würde sowohl privaten Verbrauchern als auch Unternehmen Orientierung bieten und die Betreiberverantwortung auf ein realistisches Maß zurückführen, ist sich Fischer sicher. Gleichzeitig würde es für Hersteller einen Anreiz schaffen, von Anfang an sichere, transparente und konforme Produkte zu entwickeln.

Die KRITIS-Infrastruktur darf nicht auf wackeligem digitalem Fundament stehen. Sicherheit muss integraler Bestandteil der Infrastruktur sein – nicht nachgelagerte Aufgabe überforderter Betreiber, so die Einschätzung.

Ähnliche Artikel:
Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk
Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!
Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei Überwachungssystemen
Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-/Kundendaten an
Schwachstellen in chinesischen Solarmanagern (Solarman, Deye)
Deye deaktiviert Solar-Wechselrichter in USA, UK und Pakistan
Deye-Wechselrichter arbeitet nach Firmware-Update nicht mehr (19. Dez. 2024)
Deye äußert sich zu deaktivierten US Solar-Wechselrichtern
Erfahrungen mit SMA Wechselrichtern (SunnyBoy 4000 und 200) und anderen Solarkomponenten
Hacker könnten über Schwachstellen in Solaranlagen das europäische Stromnetz knacken
Achtung: Angreifer können Solar-Wechselrichter durchbrennen lassen
SUN:DOWN: Schwachstellen in Solaranlagen-Komponenten entdeckt
Chinesische Wechselrichter und Akkus mit "unbekannten" Kommunikationskomponenten?

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu BSI fordert robuste Cybersicherheit für die Energieversorgung

  1. Tomas Jakobs sagt:
    30. Mai 2025 um 07:15 Uhr

    Immer wieder lustig wenn das BSI, als Organ der Exekutive was fordert…

    You had one job!

    Aber was macht das BSI bzw. dessen übergeordnete Behörde, das BMI? Es werden Positionspapiere geschrieben.

    Ist fast so süss wie damals bei Eternal Blue… ein halbes Jahr fraß sich die Malware durch alle ADs und beim BSI herrschte Schweigen. Erst nicht nur gefühlt sondern tatsächlich nach einem halben Jahr, als die Wellen quasi schon durch waren, kam ein "Positionspapier" mit Handlungsempfehlungen.

    Und was kommt als kreativer Erguß raus? Ein Label?! Seriously?

    Hey, wie wäre es mal mit Offline-Pflicht, dass keine verkaufte Anlage einen Online-Zwang mit Ihren Apps oder sonstigen Gaggelfax bei den Anwendern durchdrückt sondern dass dieses maximal nur optional ist? Mit der Pflicht zu offenen API-Standards, an denen sich Hersteller zu halten haben, wenn Sie hier was verkaufen wollen? Mit dem Recht auf Reparatur? Kommt mit der Verpflichtung einher, seine Produkte zu dokumentieren und Verfügbarkeit von Komponenten und Ersatzteilen zu garantieren. Mit der Auflage, Firm- und Software mindestens 5 Jahre aktuell zu halten und bei EOL zusammen mit der Toolchain, Dokumentationen, 3D-Modellen für den Drucker alles als Open Source zu veröffentlichen? Wer länger Support gibt, gerne, dann braucht er nicht zu veröffentlichen. Wer sich nicht dran hält, darf hier nichts mehr verkaufen.

    Nur so ein paar Dinge, die mir als erstes einfallen..

    Antworten
  2. Stefan (AT) sagt:
    30. Mai 2025 um 08:35 Uhr

    Gute Idee, was mir beim lesen dann aber wieder eingefallen ist: https://www.golem.de/news/betrieb-im-eigenen-rechenzentrum-cloudloesung-der-bundeswehr-kommt-von-google-2505-196614.html . Vielleicht sollte Google sich auch um die Kritis-Infrastruktur kümmern 🤡 .

    Antworten
  3. Joerg sagt:
    30. Mai 2025 um 10:46 Uhr

    Was wir auf jeden Fall noch mehr benötigen: Checklisten und Badges.

    Dann kann man sagen "wir haben alles gemacht was nöt… äh möglich war!" und alle können ruhig schlafen und schön Ihre Hände in Unschuld waschen wenn das System komprommitiert wurde: es wurde ja schließlich abgehackt und wir haben das Siegel!

    Antworten
  4. Compeff-Blog.cf2.de sagt:
    30. Mai 2025 um 22:16 Uhr

    Macht das BSI mehr als nur Newsletter mit Vorschlägen schreiben?
    Das hat ja die Durchschlagskraft wie das Schwarzbuch des Bundes der Steurzahler.
    😉

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.