Solaranlagen offenbar unzureichend gegen Cyberangriffe gesichert

Ein niederländischer Sicherheitsforscher hat Schwachstellen in unverzichtbaren Komponenten von Solar- und Photovoltaikanlagen gefunden und dokumentiert. Ihm zufolge könnten sie ausgenutzt werden, um die gesamte europäische Stromversorgung zu destabilisieren und möglicherweise zusammenbrechen zu lassen.

Solar- und Photovoltaikanlagen sind als vernetzte Objekte offenbar genauso gut oder schlecht gesichert wie zahlreiche andere Geräte mit Bezug zum Internet der Dinge (IoT). Das hat jetzt der niederländische Sicherheitsforscher Willem Westerhof belegt. Er hat mehrere Sicherheitslücken in den in derartigen Anlagen verbauten Wechselrichtern entdeckt, die sich aus der Ferne ausnutzen lassen. Darüber wäre es Unbefugten möglich gewesen, nach Belieben von Gleichstrom auf Wechselstrom umzuschalten.

Horus Cyberangriff (Grafik: ICTsec.nl)

Die Schwachstellen wurden von Westerhof bereits Ende 2016 im Rahmen einer akademischen Arbeit entdeckt. Vor der Veröffentlichung wurde dem Hersteller, der deutschen Firma SMA, aber Zeit gegeben, sie zu beheben. Die Lücken hätten Westerhof zugolge ausgenutzt werden können, um in einer koordinierten Aktion das europäische Stromnetz anzugreifen und eventuell sogar lahmzulegen. Das durch die Schwachstellen denkbare Angriffsszenario hat Westerhof nach dem ägyptischen Sonnengott „Horus“ benannt und umfassend beschrieben. Denn der Angriff könnte, so Westerhof, „dieselben Auswirkungen wie eine Sonnenfinsternis“ haben.

In Europa sind laut Westerhof Photovoltaikanlagen mit einer Gesamtleistung von über 90 Gigawatt installiert. Ein Angreifer, der den Energiefluss aus einer großen Anzahl dieser Anlagen manipulieren kann, wäre daher in der Lage, Stromspitzen oder Leistungsabfälle im Bereich mehrerer Gigawatt zu verursachen. Das wiederum hätte erhebliche Auswirkungen auf das gesamte europäische Stromnetz und könnte im großen Maßstab zu Ausfällen führen. Ein so provozierter, großflächiger Ausfall von 3 Stunden könnte an an einem sonnigen Tag im Juni bereits einen Schaden in Höhe von bis zu 4,5 Milliarden Euro verursachen.

Horus-Szenario basiert auf insgesamt 17 Schwachstellen

Der niederländischen Tageszeitung Volkskrant zufolge, die zuerst über Westerhofs Erkenntnisse berichtet hatte zieht einen Vergleich mit der geplanten aber unprofessionell durchgeführten Abkopplung einer Hochspannungsleitung in Deutschland 2006. Damals wurden lediglich 5 Gigawatt vom Netz genommen, die Auswirkungen waren erheblich: Nicht nur bis zu zehn Millionen Haushalte waren davon betroffen, sondern auch der Bahnverkehr wurde erheblich beeinträchtigt.

HIGHLIGHT

Studie: Ransomware-Angriffe für KMU besonders gefährlich

Kleine und mittlere Unternehmen leiden vor allem unter den Ausfallzeiten. Das geforderte Lösegeld spielt eine geringere Rolle und wird auch meistens nicht gezahlt. 34 Prozent der deutschen KMU wurden innerhalb eines Jahres Opfer von Ransomware.

Westerhof hat in der Software der Wechselrichter insgesamt 17 inzwischen behobene Schwachstellen entdeckt, von denen einige als kritisch eingestuft werden, weil sie es Unbefugten erlauben, das Geräte vollständig aus der Ferne zu kontrollieren. 14 der Lücken haben inzwischen CVE-Kennungen erhalten, sie reichen von CVE-2017-9851 bis CVE-2017-9864. Der Sicherheitsforscher bemängelt insbesondere, dass es ihm nicht nur grundsätzlich möglich war, die Geräte zu übernehmen, sondern dass es dafür sogar mehrere Wege gab. Anders gesagt: Der Hersteller hat nicht nur geschlafen, sondern in Bezug auf die IT-Sicherheit seiner Geräte nach Ansicht von Westerhof gründlich versagt.

Die Firma SMA ist in ihrem Bereich eines der führenden Unternehmen. Ihre Wechselrichter kommen bei rund einem Viertel der in Europa installierten Anlagen zum Einsatz. Die Sicherheitsforscher von ITsec, dem Unternehmen, bei dem Westerhof während der Entdeckung der Lücken arbeitet, weisen zudem darauf hin, dass es sehr wahrscheinlich sei, dass Mitbewerber ähnlich unvorsichtig gewesen sind und sich auch deren Geräte in ähnlicher Weise aus der Ferne angreifen lassen.

[mit Material von Reynald Fléchaux, silicon.fr]

HIGHLIGHT

Ein Jahr IT-Sicherheitsgesetz: Vieles ist noch offen

Mit dem IT-Sicherheitsgesetz ist ein entscheidender Schritt auf dem Weg ins digitale Zeitalter getan, so die Bundesregierung. Doch sehen dies Unternehmen und Verbände genauso?

Themenseiten: IoT, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Solaranlagen offenbar unzureichend gegen Cyberangriffe gesichert

Kommentar hinzufügen
  • Am 7. August 2017 um 17:33 von Frank Furter

    Schon seit geraumer Zeit wird das IoT zu einer immer größeren Gefahr. Das betrifft nicht nur die Solaranlagen sondern auch die Smart Homes und alles was damit zusammenhängt.
    Wie ich schon früher schrieb, können abrupte Lastwechsel unsere Stromnetze instabil werden lassen.
    Die im Buch „Blackout“ beschriebenen Zustände sind keine Science Fiction, sie sind jetzt schon jeden Tag mit steigender Wahrscheinlichkeit möglich.

    Nicht alles, was machbar ist und kurzfristig Profite steigert, ist langfristig die klügste Lösung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *