„Cyberkrieg hat uns längst erreicht“

Ein Wechselrichter ist ein auf den ersten Blick eher unscheinbares, für die Energiewende aber unverzichtbares Gerät. Die grauen Boxen wandeln den von Solarmodulen produzierten Gleichstrom in Wechselstrom um, damit dieser ins Netz eingespeist werden kann. Was passiert, wenn eine große Anzahl an Wechselrichtern ausfällt, ließ sich Mitte November in den Vereinigten Staaten bestaunen. Dort sowie unter anderem in Pakistan und Großbritannien wurden plötzlich im großen Stil Wechselrichter des chinesischen Herstellers Deye über das Internet abgeschaltet – reihenweise stellten Solaranlagen ihren Betrieb ein. Der Anbieter Sol-Ark, der die Deye-Wechselrichter in den USA vertreibt, gab zu Protokoll: „Damit haben wir nichts zu tun und können nicht helfen.“

Schnell gab es Spekulationen über einen möglichen chinesischen Sabotageakt. Deye beteuerte später, dass es die betroffenen Geräte nicht ferngesteuert und ein Sicherheitsmechanismus gegriffen habe. Nach Angaben des chinesischen Unternehmens überprüfen die Wechselrichter regelmäßig automatisch, ob die Geräte im jeweiligen Markt überhaupt zertifiziert sind und eingesetzt werden dürfen. Im Falle der automatisch abgeschalteten Geräte habe es sich um Wechselrichter-Modelle gehandelt, die in den USA gar nicht eingesetzt werden dürften.

Ob Sabotage oder nicht – der Vorfall zeigt, wie komplex die Stromversorgung geworden ist. Viele kleine Erzeugungsanlagen – PV-Anlagen auf Hausdächern oder Windräder – müssen künftig gesteuert werden, sodass sie die Stromnetze nicht überfordern. Hinzu kommen immer mehr Stromabnehmer wie Elektroautos, Heimspeicher oder Wärmepumpen, die in die Netze eingebunden werden müssen. Das System wird also dezentraler und digitaler, öffnet aber auch Hackern ganz neue Einfallstore.

„Theoretisch sind von Naturkatastrophen über unterbrochene Lieferketten, zu viel oder zu wenig Stromeinspeisung bis hin zu Sabotageakten viele Ereignisse denkbar, die die Stromnetze gefährden könnten“, sagt Markus Doll, bei der Bundesnetzagentur zuständig für Anlagen und den Netzbetrieb. Gerade erst ist zwischen Finnland und Estland wohl durch einen Rohöltanker ein Unterwasser-Stromkabel zerstört worden. Diesen Verdacht äußerten Vertreter finnischer Behörden. Der EU zufolge steht der Frachter in Verbindung zu Russland und ist Teil der russischen Schattenflotte.

Doll erinnert auch an die terroristischen Anschläge auf Strommasten in der Nähe des Tesla-Werks in Grünheide, das Schneechaos im Münsterland 2005, das zahlreiche Leitungen zusammenbrechen ließ, sowie die Emsüberführung eines Kreuzfahrtschiffes, welche über zwei Stunden einen Stromausfall in sechs Ländern verursachte. Diese Vorfälle hätten vor allem regionale Auswirkungen oder nur eine Dauer von wenigen Stunden gehabt. Deutschland habe mit einem durchschnittlichen Stromausfall der Letztverbraucher von zwölf Minuten im Jahr eines der stabilsten Stromnetze der Welt.

Gravierender als physische Ereignisse wirkt die Gefahr, die sich seit Beginn des russischen Angriffskrieges in der Ukraine auch in Deutschland für die Stromnetze ergibt – Stichwort hybride Kriegsführung. Denn in den Geheimdienstzentralen Moskaus, Teherans oder Pjöngjangs ist bekannt, wie zentral die Stromversorgung für eine funktionierende Gesellschaft ist. In der Ukraine fokussieren sich die russischen Angreifer schon heute stark auf die Energieversorgung – und stören sie sowohl mit physischen Angriffen als auch mit akribisch geplanten Cyberattacken.

„Der Cyberkrieg aus Russland hat uns längst erreicht“, sagt Frank Borchardt vom Forum Netztechnik/Netzbetrieb (FNN), einem Ausschuss des Elektroverbands VDE. „Auch in Deutschland geht es im Rahmen der hybriden Kriegsführung um das Destabilisieren und Zerstören von Infrastruktur.“ Es sei zum Beispiel denkbar, dass ein Angreifer die Servicesysteme von steuerbaren Verbrauchseinrichtungen wie Wärmepumpen oder Wallboxen hackt und zu einem bestimmten Stichtag simultan alle Geräte an- oder abschaltet. „Wenn an einem Augusttag alle Wärmepumpen auf einmal auf Volllast schalten, würde das das Stromnetz ins Ungleichgewicht bringen und bei einer entsprechenden Anzahl von installierten Geräten im schlimmsten Fall für großflächige Stromausfälle sorgen, weil die Netzbetreiber damit nicht rechnen“, sagt er. Auch wenn ein Angreifer Wechselrichter manipuliere, fehle den Netzbetreibern die erwartete Einspeisung der Solaranlagen – mit entsprechenden Folgen.

Eine Sprecherin des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe beschreibt, was ein großflächiger Stromausfall bedeuten würde: „Beispielsweise fällt der Schienenverkehr aus, Ampeln funktionieren nicht mehr, in Krankenhäusern kann nicht operiert werden, Festnetz- und Mobiltelefonie inklusive Notruf sind nicht mehr möglich, da die Router in den privaten Haushalten ausfallen.“

„Verbraucher sind normalerweise das schwächste Glied in der Kette“, sagt Borchardt. „Sie müssen sich bewusst sein, dass auch sie Bestandteil der kritischen Infrastruktur sind.“ Zwar seien die intelligenten Stromzähler, die mit dem Messstellen- beziehungsweise Netzbetreiber kommunizieren können und ab dem kommenden Jahr verstärkt in Deutschland ausgerollt werden sollen, auf „Geheimdienstniveau“ abgesichert. Ein potentielles Einfallstor seien aber die sogenannte zweite WAN-Anbindung, also die Anbindung von Wechselrichtern, Wallboxen und Wärmepumpen an ihre Serviceprovider über das Internet. Die Geräte würden über diese Schnittstelle gewartet, sie könnte potentiell aber auch genutzt werden, um die Geräte zu steuern oder abzuschalten. Borchardt rät Verbrauchern, darauf zu achten, dass ihr Router regelmäßig aktualisiert wird. Die Bundesnetzagentur verweist hingegen darauf, dass das deutsche Stromsystem über die Aktivierung von Regelenergie kurzfristig den Ausfall von Erzeugungsanlagen mit einer Kapazität von bis zu drei Gigawatt kompensieren könnte.

Wie viele (schwerwiegende) Angriffe auf die deutsche Stromversorgung es tatsächlich gibt, darüber lassen sich nur Vermutungen anstellen. Auf Anfrage möchte keiner der deutschen Übertragungsnetzbetreiber mit der F.A.Z. über das Thema sprechen. Borchardt hat in der Vergangenheit ähnliche Erfahrungen gemacht. „Zu viel Diskretion ist leider immer noch normal“, sagt er.

Ein paar konkretere Hinweise gibt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde erhielt zwischen Juli 2023 und Juni 2024 von Betreibern kritischer Infrastruktur insgesamt 726 Meldungen von Störungen, die zu einer erheblichen Beeinträchtigung der kritischen Infrastruktur geführt haben oder führen können. Davon entfielen 137 Meldungen auf den Energiesektor, also Netzbetreiber oder Energieversorger zum Beispiel. Im Vorjahr waren es noch 490 Gesamtmeldungen. Die Bedrohungslage im Sektor Energie sei „unverändert hoch“, schreibt das BSI.

Wie viele dieser Störungen tatsächlich auf Angriffe staatlich unterstützter russischer, chinesischer oder nordkoreanischer Hackerbanden zurückgehen, lässt sich kaum beziffern. Eine forensische Untersuchung zur Ermittlung der Angreifer ist aufwendig und für die Masse der Attacken nicht umsetzbar, sagen Fachleute. Klar ist nur: Es mangelt nicht an Versuchen, in die deutsche Strominfrastruktur einzudringen: „Die Angriffserkennungssysteme der Stromwirtschaft zählen stündlich neue Angriffe“, sagt Friederike Wenderoth, die sich für die Deutsche Energieagentur (dena) um das Thema Cybersicherheit kümmert.

Ein Risikofaktor sind neben privaten Haushalten auch Lieferanten und Dienstleister. Das BSI berichtet von einem Fall im Februar 2024, bei dem ein Entwickler von Leit- und Prozesssteuerungssystemen für Energieunternehmen von Hackern infiltriert wurde. Es sah sich gezwungen, alle Verbindungen zu Kunden zu kappen. Mehrere Unternehmen hätten mögliche Einschränkungen gemeldet, offenbar sei es aber nur um Wartungszugänge gegangen.

Auch sogenannte DDoS-Attacken, die Systeme durch Überlastung des Datennetzes lahmlegen, notierte das BSI im Energiesektor. Das Abwicklungssystem eines Betreibers zum Vertrieb von Kraftstoff und Heizöl sei deshalb beispielsweise für zweieinhalb Stunden bundesweit eingeschränkt gewesen. „Ein großer Teil der Gefahren stammt nicht von netzspezifischen Angriffen, sondern von normaler Ransomware oder DDoS-Attacken, die eben auch Energieunternehmen treffen können“, sagt Steffen Heyde, der für das Cybersicherheitsunternehmen Secunet das Geschäft mit Versorgern verantwortet.

Einige gezielt auf die Energiewirtschaft ausgelegte Kampagnen gibt es aber doch. So verschickten Hacker beispielsweise im Namen der Bundesnetzagentur E-Mails, die ihre Empfänger aufforderte, sensible Daten auf einer gefälschten Website einzugeben. Ein Blick auf die Ukraine zeigt, dass auch deutlich komplexere Operationen möglich sind. Die dem russischen Geheimdienst GRU zugeordnete Hackerbande Sandworm löste schon 2015 und 2016 Stromausfälle in der Ukraine aus – ein komplexes Unterfangen. Anlagen zur Stromversorgung werden durch eigens entwickelte Systeme und Protokolle gesteuert, für die es wieder eigens programmierte Schadsoftware braucht. Solche Software ist bis heute sehr selten.

Nach der russischen Invasion setzten russische Hacker daher stärker auf eine Kombination klassischer Angriffsmethoden und nutzten beispielsweise Sicherheitslücken in veralteter und nicht aktualisierter Steuerungssoftware, um direkte Befehle an ein Umspannwerk zu schicken. Eingedrungen waren die Hacker über einen Server, der ans Internet angeschlossen war. Von dort gelangten sie auf den Rechner zur Steuerung von Umspannwerken. Später löschten sie mit sogenannter Wiper-Software Daten in den Systemen, um zusätzliches Chaos zu stiften und die Spuren des Angriffs zu verwischen. Teils haben die Hacker auch parallel zu Angriffen die Telefonanbindungen der Betreiber lahmgelegt, sodass Kraftwerks- und Netzbetreiber nicht miteinander kommunizieren konnten.

Veraltete Technik gibt es auch hierzulande, weiß Steffen Heyde von Secunet. „Ein Netzbetreiber oder ein Stromerzeuger kann sich nicht jedes Jahr ein neues Umspannwerk oder neue Generatoren leisten“, sagt er. Viele Systeme seien schon 15 oder 20 Jahre im Einsatz. Diese Anlagen nutzten noch alte Protokolle, die anfälliger für Angriffe seien.

Doch eigentlich seien die Schutzmaßnahmen in der deutschen Energiewirtschaft streng, betont Friederike Wenderoth von der dena. Die IT-Netzwerke von Umspannwerken oder Leitsystemen seien streng vom normalen Unternehmensnetzwerk getrennt, nicht ans Internet angeschlossen und mit einer Firewall geschützt. So könnten Angreifer, die sich beispielsweise Zugang zum Mailserver verschafft haben, nicht zu den wirklich interessanten Systemen gelangen. „Natürlich können selbst Kleinigkeiten wie Störungen in den Buchhaltungsprozessen oder in der Kommunikation große Probleme verursachen“, sagt Wenderoth. Dann sei aber immer noch nicht die Stromversorgung zusammengebrochen. Die kritischsten Systeme seien zusätzlich durch Systeme zur Angriffserkennung geschützt. „Die Netzführungssysteme der Netzbetreiber sind hervorragend abgesichert“, sagt auch Frank Borchardt vom VDE FNN. „Aber irgendwelche Schwachstellen gibt es eben immer. Viele Angreifer versuchen es jahrelang, und irgendwann haben sie halt mal Glück.“

Zahlen des BSI zeigen außerdem: Die Schutzvorrichtungen sind bei weitem noch nicht bei allen Energieunternehmen ideal. Nur die Angriffserkennung von zwei Unternehmen bewertet das BSI mit dem höchsten Reifegrad „Fünf“. 39 Unternehmen liegen in Kategorie „Zwei“ und erfüllen damit noch nicht alle verpflichtenden Kriterien. Neun Unternehmen haben noch nicht einmal mit der Umsetzung von mindestens einem Pflichtbereich begonnen. „Gerade bei großen Betreibern gibt es ein großes Bewusstsein für Cybersicherheit“, sagt der IT-Sicherheitsfachmann Steffen Heyde. „Aber es gibt noch eine Menge zu tun.“

Dabei helfen sollen auch neue Regeln. Das KRITIS-Dachgesetz nimmt etwa den physischen Schutz kritischer Infrastrukturen ins Visier, für den es bis jetzt noch keine bundeseinheitlichen Regeln gibt. Für die Gesamtversorgung in Deutschland essenzielle Einrichtungen, die mehr als 500.000 Personen versorgen, müssen demnach gewisse Mindestanforderungen erfüllen. Das können etwa Notfallteams, Schulungen für Beschäftigte, ein stärkerer Objektschutz, Notfall-Kommunikationsmittel oder eine Notstromversorgung sein. Auch kleinere Netzbetreiber müssen dann mitmachen.

Das Gesetz ist vom Kabinett, aber noch nicht vom Bundestag verabschiedet. Ob und wann das geschieht, ist noch unklar. Ebenfalls noch nicht auf den Weg gebracht ist die Umsetzung der neuen Netzwerk- und Informationssicherheitsrichtlinie der EU (NIS-2), die die Anforderungen an die Cybersicherheit von Unternehmen erhöht. Viele dieser Anforderungen gelten für Betreiber kritischer Infrastrukturen ohnehin schon, allerdings noch nicht für die Verkäufer von Strom. Diese Lücke soll durch NIS-2 geschlossen werden.

Kürzlich in Kraft getreten ist zudem das Gesetz über Cyberresilienz der EU. Die Verordnung sieht vor, dass alle Hersteller und Vertreiber von Produkten mit digitalen Elementen nachweisen müssen, im Design, während der Entwicklung und der Produktion Cybersicherheitsnormen eingehalten zu haben. Zudem müssen Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen, die Pflicht gilt aber maximal über fünf Jahre. Kritische Produkte fallen dabei unter noch strengere Auflagen. Die Verpflichtungen gelten aber erst ab Ende 2027. Das soll einen plötzlichen Ausfall von Wechselrichtern wie in Amerika in Europa verhindern. Doch die Vergangenheit zeigt, dass Hacker immer schon einen Schritt weiterdenken. „Mit der Cybersicherheit ist es wie mit dem Aufräumen“, sagt Friederike Wenderoth von der dena. „Wenn man denkt man ist fertig, kann man eigentlich schon wieder von vorne anfangen.“