Gefahr Hackerangriff: Worauf müssen Unternehmen achten?

Solaranlagen, Klimatechnik, Speicher und Elektrofahrzeuge werden miteinander gekoppelt und tauschen sich aus – alles digital. Die Energiewende ist in vollem Gang, die Verknüpfung der verschiedenen Energiesektoren gewinnt an Bedeutung. Unternehmen wie SMA müssen sich der Herausforderung stellen, diesen Datenaustausch so sicher wie nur möglich zu gestalten, um Cyber-Attacken wie den Angriff auf das Energieversorgungssystem der Ukraine im Dezember 2016 zu verhindern. Wir haben mit Marek Seeger, Informationssicherheitsbeauftragter bei SMA, und Dr. Ingo Hanke, Technical Manager Product IT Security, darüber gesprochen, wie sich SMA auf die Digitalisierung und Cyber-Security-Anforderungen vorbereitet.

Welche Gefahren birgt die zunehmende Digitalisierung der Energieversorgung?

Marek Seeger

Marek Seeger: Zunächst einmal ist die Digitalisierung eine große Chance – gerade im Bereich der Energieversorgung. Die Kopplung unterschiedlicher Sektoren wird ja so überhaupt erst möglich und nützt vor allem den Verbrauchern und Anwendern. Auf der anderen Seite hat sich die Bedrohung von IT-Systemen und verteilten, industriellen IoT-Strukturen (Internet-of-Things) im letzten Jahrzehnt wesentlich verschärft. Davon ist der Energiesektor nicht ausgenommen. Massive, zielgerichtete Angriffe mit kriminellem oder terroristischem Hintergrund sind mittlerweile fast schon an der Tagesordnung.

Welchen Herausforderungen müssen sich Unternehmen jetzt stellen?

Dr. Ingo Hanke

Dr. Ingo Hanke: In der Vergangenheit waren SMA Produkte das Ziel von Schwachstellenanalysen verschiedener Sicherheitsforscher, die auf diesem Weg das Thema in das öffentliche Bewusstsein gerückt haben. Als einer der wichtigsten Marktteilnehmer im Bereich der Photovoltaik weltweit sind wir uns dieser Risiken bewusst und haben sie von Beginn an sehr ernst genommen. Wir haben bereits früh unsere grundsätzliche Politik zum offenen Umgang mit Sicherheitsschwachstellen festgelegt. Wir arbeiten kontinuierlich an den notwendigen Gegenmaßnahmen und setzen auch proaktiv neue Verfahren um. Dabei unterziehen externe Dienstleister unsere Produkte regelmäßig sogenannten Penetrationstests. Hier kommen Methoden zum Einsatz, die auch Hacker anwenden. Diese freiwilligen technischen Cyber-Security-Prüfungen tragen dazu bei, dass etwaige Schwachstellen frühzeitig entdeckt werden und eine adäquate IT-Sicherheit gewährleistet wird.

Was genau tut SMA, um den gestiegenen digitalen und datenschutzrechtlichen Anforderungen Rechnung zu tragen?

Marek: Bereits 2010 hat SMA in die Realisierung einer sicheren Kommunikationsplattform für die Echtzeitkommunikation über das Internet investiert. Diese gehört seit 2011 zum Standard-Lieferumfang der SMA Produkte. Ergänzend dazu wurde eine firmenweite Gesamtstrategie zur Abwehr von Cyber-Sicherheitsbedrohungen entwickelt. SMA hat verschiedene Stellen im Unternehmen geschaffen, die sich ausschließlich dem Thema IT-Sicherheit widmen. So stellen wir sicher, dass alle Aktivitäten, die Cyber-Security betreffen, schnell und effizient gemanagt werden. Und natürlich erweitern wir ständig unsere technische Expertise im Bereich der Cyber-Security. So haben wir beispielsweise das Innovationsfeld Cyber Security ins Leben gerufen. Es handelt sich dabei um ein internes Expertengremium, welches Sicherheitsfragen bewertet und aktiv neue Sicherheitslösungen entwickelt.

Was heißt das konkret für die Sicherheit von SMA Produkten?

Ingo: Im Bereich Anlagenkommunikation hat SMA als erster Hersteller eine technische Innovation entwickelt, die im Bereich PV-Systemtechnik nur SMA so anbietet. Die neuesten Versionen unserer Firmware ermöglichen nämlich eine anlageninterne Kommunikation, die vollständig verschlüsselt wird. Dadurch steht unseren Kunden ein zusätzlicher Schutz gegen Hacker-Angriffe zur Verfügung. Eine verschlüsselte Kommunikation zwischen den PV-Anlagen und unseren Überwachungs- und -Monitoring-Lösungen (z.B. Sunny Portal) setzen wir bereits seit vielen Jahren standardmäßig ein. Das SMA Monitoring-Portal Sunny Portal, das mit 400.000 registrierten Anlagen weltweit größte Monitoring-Portal für Solaranlagen, wird ebenfalls von externen Sicherheitsexperten regelmäßig überprüft.

SMA engagiert sich aktiv in der Verbandsarbeit Cyber-Security und stromnetzrelevanter nationaler und internationaler Organisationen. Wie zum Beispiel im Forum Netztechnik/ Netzbetrieb des Verbands der Elektrotechnik, Elektronik und Informationstechnik (VDE), bei der SunSpec Alliance und beim Open Web Application Security Project (OWASP).

Unseren Kunden stehen wir für Fragen zur Cyber-Sicherheit jederzeit zur Verfügung. Schreibt an information-security@SMA.de