Die zunehmende Digitalisierung der Energiebranche bringt große Chancen, aber auch neue Risiken. Photovoltaikanlagen und Speicher gelten heute als kritische Infrastrukturen, die nicht nur Energie liefern, sondern auch vor Cyberangriffen geschützt werden müssen. Das Webinar „Cyber Security – IT-sicherer Betrieb von PV-Anlagen“, organisiert von der Intersolar Europe in Zusammenarbeit mit dem Bundesverband Solarwirtschaft (BSW-Solar), umfasste vier Fachbeiträge aus Recht, Awareness, Technik und Standardisierung. Gemeinsam zeigten sie auf, wie Betreiber und Hersteller von PV-Anlagen ihre IT-Sicherheit zukunftsfähig gestalten können.
Karla Klasen, Rechtsanwältin und Senior Associate bei der Wirtschaftskanzlei Osborne Clarke, stellte die zentralen Vorgaben für Betreiber kritischer Energieinfrastrukturen vor. Ab einer installierten Nettonennleistung von 104 Megawatt gelten Erzeugungsanlagen als „kritische Infrastruktur“ im Sinne der KRITIS-Verordnung. Betreiber solcher Infrastrukturen sind demnach verpflichtet, Maßnahmen zur Sicherstellung der Funktionsfähigkeit und zum Schutz vor Ausfällen oder Angriffen zu treffen. Sie müssen dann ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einrichten, Angriffserkennungssysteme implementieren und Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Mit der Umsetzung der europäischen NIS-2-Richtlinie („Cybersicherheitsstärkungsgesetz 2.0“) wird sich der Pflichtenkreis deutlich erweitern: Auch kleinere Betreiber, Direktvermarkter, Betriebsführer oder Hersteller von Steuerungs- und Kommunikationssystemen müssen künftig verbindliche Sicherheitsstandards erfüllen. Die Einhaltung wird regelmäßig überprüft; bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des globalen Jahresumsatzes des vorherigen Geschäftsjahres. Klasen wies darauf hin, dass auch Geschäftsführer und Vorstände in der Haftung stehen und aktiv nachweisen müssen, dass sie Sicherheitsmaßnahmen implementiert, überwacht und dokumentiert haben.
Im zweiten Beitrag zeigte Charline Kappes, Program Manager Public Sector beim Softwareentwickler SoSafe, wie sich die Angriffsmethoden dynamisch verändern. Künstliche Intelligenz (KI) wird zunehmend von Cyberkriminellen eingesetzt, um täuschend echte Phishing-Mails, manipulierte Stimmen („Voice Cloning“) oder Deepfake-Videos zu erzeugen. Diese KI-gestützten Angriffe sind kaum noch von echten Kommunikationsinhalten zu unterscheiden und treffen zunehmend auch Unternehmen der Energieerzeugung. Neben klassischen E-Mail-Angriffen treten immer häufiger Attacken über Messenger-Dienste, Kollaborationstools und soziale Netzwerke auf. Besonders gefährlich sind Supply-Chain-Attacken, bei denen Schwachstellen bei Dienstleistern oder Softwareanbietern ausgenutzt werden, um Zugriff auf vernetzte PV- oder Speicheranlagen zu erlangen. Kappes betonte die Bedeutung einer starken Sicherheitskultur: Mitarbeitende seien die „menschliche Firewall“ eines Unternehmens. Regelmäßige Schulungen, klare Meldewege und Awareness-Programme könnten entscheidend sein, um Angriffe frühzeitig zu erkennen. Auch das private Umfeld – etwa bei Homeoffice-Zugängen oder Cloud-Diensten – müsse stärker in Sicherheitskonzepte einbezogen werden.
Im dritten Vortrag erläuterte Peter Sode, Head of Data Management & Security beim Projektentwickler juwi Group die praktische Umsetzung von IT-Sicherheitsmaßnahmen in der Energieerzeugung. Er zeigte, wie Betreiber durch mehrstufige Sicherheitsarchitekturen, Netzsegmentierung, sichere Fernwartungslösungen und kontinuierliches Monitoring ihre Systeme vor Angriffen schützen können. Besonderes Augenmerk legte Sode auf die Integration von Security-by-Design-Strategien in der Projektplanung neuer PV-Anlagen. Dazu gehören regelmäßige Software- und Firmware-Updates, klar definierte Schnittstellen zwischen Leittechnik, Wechselrichtern und Betriebsführungssoftware sowie der Einsatz von zertifizierten Komponenten nach BSI- und ISO-Standards. Sicherheit, so Sode, sei kein einmaliges Projekt, sondern ein fortlaufender Prozess, der nur in enger Zusammenarbeit zwischen Herstellern, Betreibern und Netzbetreibern funktionieren könne.
Abschließend sprach Marc Ratfeld, Senior ISMS Consultant beim Systemanbieter Pure ISM über die Rolle von Zertifizierungen und organisatorischen Sicherheitsstrukturen im Energiesektor. Er verdeutlichte, dass der Aufbau eines belastbaren Informationssicherheits-Managementsystems weit mehr bedeutet als eine formale Zertifizierung: Es müsse als gelebter Bestandteil der Unternehmenskultur verankert werden. Ratfeld stellte bewährte Prüf- und Auditverfahren vor, die Betreibern helfen, Sicherheitslücken frühzeitig zu identifizieren. Besonders in komplexen, dezentralen Anlagenstrukturen sei eine regelmäßige Überprüfung der Kommunikationswege, Zugriffsrechte und Wartungsprozesse entscheidend. Darüber hinaus hob er hervor, dass IT-Sicherheit zunehmend als Kriterium für Versicherbarkeit, Finanzierung und Ausschreibungen an Bedeutung gewinnt – ein klarer wirtschaftlicher Anreiz für Betreiber, in Sicherheit zu investieren.
Das Webinar machte deutlich: Cyber Security ist eine Grundvoraussetzung für den sicheren und wirtschaftlichen Betrieb von Photovoltaik- und Speicheranlagen. Mit der wachsenden Bedeutung dezentraler Energieerzeugung steigen auch die Anforderungen an IT-Sicherheit, Transparenz und Prävention. Nur durch das Zusammenspiel von rechtlichen, organisatorischen, technischen und menschlichen Maßnahmen kann die Solarbranche ihre Schlüsselrolle in einer sicheren, digital vernetzten Energiezukunft langfristig sichern.
Sie konnten nicht an der Veranstaltung teilnehmen oder haben eine Session verpasst? Kein Problem! Die meisten Präsentationen stehen Ihnen auf The smarter E Digital zur Verfügung.