Risiko für Netzstabilität: Gefährliche Sicherheitslücken in PV-Systemen entdeckt
Sicherheitsforscher der Cybersecurity-Firma Forescout haben im Rahmen einer Sun:Down genannten Untersuchung 46 neue Schwachstellen in PV-Systemen mehrerer Hersteller entdeckt, die potenziell gefährliche Auswirkungen auf die Energieversorgung haben können. Auch 93 frühere Sicherheitslücken wurden dabei untersucht. Ihre Ergebnisse haben die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) zusammengefasst.
Den Angaben nach wurden im Bereich der Solarenergie in den vergangenen drei Jahren durchschnittlich zehn neue Sicherheitslücken pro Jahr bekannt gegeben. 80 Prozent davon sollen mit den Schweregraden hoch oder kritisch eingestuft sein, 32 Prozent sogar mit einem CVSS-Wert von mindestens 9,8. In der Regel sorgt eine derart hohe Einstufung dafür, dass Angreifer das betroffene System vollständig kompromittieren können.
Mit einem Anteil von 38 Prozent bezogen sich die meisten Schwachstellen auf Solarüberwachungssysteme, weitere 25 Prozent auf Cloudbackends und 15 Prozent auf Wechselrichter.
Gefährdung der Netzstabilität
Die 46 neuen Sicherheitslücken entdeckten die Forescout-Forscher nach eigenen Angaben in verschiedenen PV-Systemkomponenten der drei Hersteller Sungrow, Growatt und SMA. Alle Lücken sollen inzwischen von den jeweiligen Anbietern geschlossen worden sein. Die Angriffsszenarien, die durch die Schwachstellen ermöglicht wurden, sind allerdings weitreichend. Das Forscherteam spricht von Eingriffen in die Netzstabilität und die Privatsphäre der Nutzer.
So hätten Angreifer etwa durch die Übernahme fremder Nutzerkonten durch Passwort-Resets unzählige Solarwechselrichter unter ihre Kontrolle bringen und deren Einstellungen manipulieren können. Auch ein koordiniertes Ein- und Ausschalten einer Vielzahl betroffener Systeme soll auf diesem Wege möglich gewesen sein - mit entsprechend negativen Auswirkungen auf die Stabilität des gesamten Stromnetzes.
Zudem hätte ein kompromittiertes Solarsystem auch als Ausgangspunkt für weitere Angriffe missbraucht werden können. Laut Forescout wäre es von dort aus möglich gewesen, andere Geräte in den lokalen Netzwerken der Nutzer zu infiltrieren und Daten auszuleiten.
Bericht liefert weitere Details
Auf einer separaten Informationsseite zu Sun:Down(öffnet im neuen Fenster) teilen die Forscher eine Karte, die zeigt, wie hoch je Land der Anteil an Solarstrom an der gesamten Stromversorgung ist. Ein höherer Anteil steigert das Risiko, dass der Ausfall einer Vielzahl von PV-Anlagen zur gleichen Zeit die Netzstabilität beeinträchtigt. Deutschland gehört erwartungsgemäß zu den Ländern mit einem höheren Solarstromanteil.
Wer sich für Einzelheiten zu den analysierten Sicherheitslücken sowie technische Details aus der Untersuchung interessiert, findet diese in einem jüngst von Forescout veröffentlichten 44-seitigen Bericht (PDF)(öffnet im neuen Fenster) .