zum Inhalt springen

    Die unterschätzte Gefahr auf dem Hausdach

    Tags:

    Cyberrisiken von Photovoltaikanlagen in Prüfung beim NTC: Die Photovoltaik (PV) ist zum tragenden Pfeiler der Schweizer Energiewende geworden. Bereits heute deckt Solarenergie über 10 %  des nationalen Strombedarfs. Im Jahr 2024 wurden mehr als 56’000 neue Anlagen installiert – mit einer Spitzenleistung von 1.8 GW, also deutlich mehr als das Kernkraftwerk Gösgen (1 GW).

    Neu installierte Leistung pro Jahr

    2025-pv-installierte-leistung[Quellen: BFE, Swissolar, KKG]

    Doch mit dem Ausbau wachsen auch die Risiken: Während traditionelle Grosskraftwerke stark abgeschottete und von Spezialisten betriebene Systeme sind, handelt es sich bei den abertausenden PV-Anlagen um kleine Kraftwerke. Diese werden häufig von nicht fachkundigen Personen, beispielsweise Eigenheimbesitzern, betrieben und schaffen durch ihre ständige Verbindung zum Internet und zur Hersteller-Cloud neue Abhängigkeiten und eine breite Angriffsfläche für Cyberattacken. 

    Einzelne gehackte Anlagen sind noch verkraftbar. Problematisch wird es jedoch, wenn tausende oder gar zehntausende vernetzte Anlagen manipuliert und gleichzeitig vom Stromnetz getrennt werden. Fällt dadurch schlagartig eine grosse Energiemenge aus, können die übrigen Kraftwerke dies kaum kompensieren. Es droht ein Kaskadeneffekt mit Netzstörungen bis hin zu einem grossflächigen Blackout. Fachleute sprechen in diesem Zusammenhang von MADIoT: Manipulation of Demand via IoT Devices.

    Das Nationale Testinstitut für Cybersicherheit NTC führt deshalb derzeit umfassende Schwachstellenanalysen an Wechselrichtern und Energiemanagementsystemen durch – zentrale Komponenten einer PV-Anlage. Ziel ist es, Risiken frühzeitig zu erkennen, Abhängigkeiten sichtbar zu machen und das Bewusstsein für systemische Gefahren zu schärfen. Die Ergebnisse werden im Anschluss in einem summarischer Bericht mit Handlungsempfehlungen veröffentlicht.

    Besonders deutlich zeigen sich die Risiken der Schweizer Energiewende in drei zentralen Bereichen:

      • Konzeptbedingte Schwachstellen 
        Internationale Analysen zeigen gravierende Sicherheitsmängel bei marktführenden Herstellern. Besonders kritisch ist der Fernzugriff über Cloud-Plattformen: Was der Wartung dient, eröffnet im Extremfall die Möglichkeit, ganze Flotten von Anlagen gleichzeitig zu manipulieren oder abzuschalten.
      • Klumpenrisiko
        Der Schweizer Markt ist stark abhängig von wenigen, meist aussereuropäischen Herstellern. Diese Konzentration erhöht die Anfälligkeit: Fällt ein Anbieter durch technische Probleme oder geopolitische Spannungen aus, wären zehntausende Anlagen gleichzeitig betroffen. Ausländische Behörden wie das deutsche BSI warnen bereits vor solchen geopolitischen Risiken (z.B. im Artikel von Deutschlandfunk vom 18.01.2025).
      • Gefahr für die Netzstabilität
        Ein koordinierter Angriff auf viele Anlagen, in Form einer MADIoT-Attacke, könnte das Stromnetz gezielt destabilisieren und im schlimmsten Fall einen grossflächigen Blackout auslösen.

      2025-pv-blog

      Bekannte Schwachstellen und die geopolitische Dimension

      Die Gefahr ist real: Internationale Berichte dokumentieren technische Mängel wie hartcodierte Passwörter, unsichere Schnittstellen und schwache Verschlüsselung. Gleichzeitig zeigt die Marktanalyse für die Schweiz eine extreme Konzentration auf wenige aussereuropäische Hersteller. Dies eröffnet nicht nur technische, sondern auch geopolitisch motivierte Angriffsmöglichkeiten. 
      Ein Ereignis wie der Blackout in Spanien und Portugal am 28. April 2025, der massgeblich durch das unerwartete Verhalten zahlreicher (PV-)Kraftwerke verursacht wurde, könnte auch in der Schweiz durch einen gezielten Cyberangriff auf die Anlagenflotte eines einzigen Herstellers künstlich herbeigeführt werden.

      Sicherheitsvakuum: Wer ist verantwortlich?

      Für die Absicherung dieser dezentralen Photovoltaik-Infrastruktur bestehen derzeit wenig bis keine Anreize.

        • Anlagenbetreiber investieren selten in Cybersicherheit. Wird ihre Anlage gehackt, beziehen sie den Strom einfach weiter aus dem Netz – kurzfristig erscheint das günstiger, als präventiv in Schutzmassnahmen zu investieren.
        • Netzbetreiber sind zwar für die Stabilität des Gesamtsystems verantwortlich und erkennen die Risiken, haben aber keine Befugnisse, Sicherheitsvorgaben für private Kleinanlagen zu erlassen. Der verbindliche IKT-Minimalstandard greift erst ab einer Leistung von über 100 MW (IKT-Minimalstandard). Die allermeisten PV-Anlagen haben jedoch eine Leistung von unter 50 kW und liegen damit um den Faktor 2.000 darunter.

        Weil sich weder Anlagen- noch Netzbetreiber verpflichtet sehen, systematische Schwachstellenanalysen durchzuführen, bleibt ein gefährliches Sicherheitsvakuum bestehen – mit potenziellen Folgen für die gesamte Stromversorgung.

        Die Rolle des NTC: Unabhängige Tests im Verbund

        Unabhängige und seriöse Schwachstellenanalysen an PV-Wechselrichtern sind für einzelne Akteure kaum realisierbar. Hohe Kosten, ein schwieriger Beschaffungsprozess, ein komplexer Testaufbau und erhebliche Sicherheitsrisiken bei der Arbeit an stromführenden Komponenten machen solche Prüfungen aufwendig.
        Das Nationale Testinstitut für Cybersicherheit NTC verfügt über die notwendige Infrastruktur, das Know-how und die Ressourcen, um diese Tests systematisch und sicher durchzuführen. Um den Markt breit abzudecken, arbeitet das NTC im Verbund mit Partnerorganisationen: Sie stellen Testgeräte bereit und beteiligen sich an den Kosten. So lassen sich Aufwand und Risiken auf mehrere Schultern verteilen und umfassende Analysen durchführen.
        Die Dringlichkeit ergibt sich auch aus der Langlebigkeit heutiger Investitionen: Photovoltaikanlagen, die jetzt installiert werden, bilden das Rückgrat des Stromnetzes für die kommenden Jahrzehnte. Deshalb ist es entscheidend, schon in dieser Ausbauphase proaktiv zu handeln.

        Fazit und Ausblick

        Die Photovoltaik ist unverzichtbar für die Energiewende – doch ihre sichere Integration ins Stromnetz ist eine Grundvoraussetzung für die Versorgungssicherheit. Mit seinen unabhängigen Tests trägt das NTC dazu bei, Risiken frühzeitig zu erkennen und Lösungen aufzuzeigen. Politik, Wirtschaft und Gesellschaft erhalten damit eine fundierte Grundlage, um die Stromversorgung der Zukunft sicher zu gestalten.