![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Noch ein kurzer Nachtrag zu einem Thema, was bereits vor einigen Tagen hoch kam. Nach Meldungen \u00fcber undokumentierte Kommunikationseinrichtungen in Wechselrichtern und Akkus f\u00fcr Solaranlagen aus den USA hat sich auch das BSI gemeldet. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik fordert robuste Cybersicherheit f\u00fcr die Energieversorgung.<\/p>\n
<\/p>\n
Ich hatte im Blog-Beitrag\u00a0Chinesische Wechselrichter und Akkus mit \"unbekannten\" Kommunikationskomponenten?<\/a> berichtet, dass der Verdacht besteht, dass Wechselrichter und Akkus f\u00fcr Solaranlagen, die von chinesischen Herstellern vertrieben werden, mit undokumentierten Kommunikationskomponenten ausgestattet sind. Die Meldung kam aus den USA und hat hier im Blog sofort Kommentare, die das bezweifeln, getriggert. Ist zwar legitim, \u00e4ndert aber nichts daran, dass Lieferketten f\u00fcr die Energieversorgung sicher sein m\u00fcssen.<\/p>\n Eine sichere Stromversorgung ist Grundlage unseres gesellschaftlichen Lebens schreibt<\/a> das BSI und erinnert an den k\u00fcrzlich knapp eint\u00e4gigen Blackout auf der iberischen Halbinsel. Energiesicherheit sei eine zentrale S\u00e4ule in der deutschen Sicherheitsarchitektur, hei\u00dft es weiter. Gleichzeitig stuft das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) die Bedrohung f\u00fcr Kritische Infrastrukturen aus dem Cyberraum als hoch ein.<\/p>\n Der Energiesektor steht dabei besonders im Fokus von staatlich unterst\u00fctzten Operationen, die auf Destabilisierung und Spionage abzielen. Aber Angriffe gibt es auch\u00a0 von Cyberkriminellen, die Energieunternehmen erpressen oder von Hacktivisten, die ideologische Ziele verfolgen.<\/p>\n Das BSI sieht dringenden und konsequenten Handlungsbedarf. Daher hat das BSI ein Positionspapier: Cybersicherheit im Energiesektor Deutschlands<\/a> ver\u00f6ffentlicht, das zentrale Herausforderungen und Handlungsfelder f\u00fcr eine robuste Cybersicherheitsstrategie im Energiesektor formuliert.<\/p>\n Neben der geopolitischen Lage nennt das Positionspapier die zunehmend dezentralisierte Energieversorgung, intelligente Netze und digitale Steuerungssysteme sowie die stark steigende Komplexit\u00e4t der vernetzten Systeme als Herausforderung. Zus\u00e4tzliche Angriffsvektoren auf Hard- und Softwaretechnik im Rahmen der Lieferkette, die Manipulation von Energieinfrastrukturen durch Hersteller oder Dritte und sogenannte Zero-Day-Schwachstellen in industriellen Steuerungssystemen erh\u00f6hen die Bedrohungslage.<\/p>\n Die BTC AG,IT-Beratungsunternehmen mit besonderer Expertise in der IT-Sicherheit f\u00fcr KRITIS, begr\u00fc\u00dft in einer Mitteilung, die mir vorliegt, zwar das aktuelle Positionspapier des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI). Aus Sicht der BTC kommt diese Initiative zur rechten Zeit: Die zunehmende Digitalisierung und Vernetzung der Energiewirtschaft erfordert einen Paradigmenwechsel \u2013 weg von punktuellen Sicherheitsma\u00dfnahmen hin zu ganzheitlicher Cyberresilienz.<\/p>\n \"Cyberresilienz ist kein optionales Add-on. Sie ist die Grundvoraussetzung f\u00fcr eine sichere und zukunftsf\u00e4hige Energieversorgung\", so Christian Bruns ist Manager Business Area Cyber Security bei der BTC AG.\u00a0Zwei Punkte sieht die BTC AG im BSI-Positionspapier jedoch noch nicht ausreichend adressiert:<\/p>\n \"Energieversorger k\u00f6nnen die Energiewende nicht im Alleingang realisieren\", erkl\u00e4rt Bruns. \"Gerade in dezentralen Strukturen \u2013 von Solaranlagen auf D\u00e4chern bis hin zu intelligenten Z\u00e4hlern \u2013 wird die Sicherheit der Zulieferkette zum systemkritischen Faktor.\" Die BTC AG fordert deshalb klare, verbindliche Standards f\u00fcr das Lieferantenmanagement im Umfeld kritischer Infrastrukturen \u2013 sowie eine effektive Kontrolle der Lieferkette. Insbesondere die Integration unsicherer Hardware mit potenziellem Zugriff durch ausl\u00e4ndische Akteure sei ein Risiko, das bislang nicht ausreichend ber\u00fccksichtigt werde.<\/p>\n Die BTC AG unterst\u00fctzt, dass das BSI das Thema Sensibilisierung anspricht, sieht aber Nachholbedarf in der praktischen Umsetzung. \"Sensibilisierung darf nicht beim Vortrag aufh\u00f6ren\", so Bruns. \"Was wir brauchen, ist echte Bef\u00e4higung: Menschen m\u00fcssen Risiken erkennen, richtig reagieren und Sicherheitskultur leben k\u00f6nnen \u2013 unabh\u00e4ngig vom IT-Wissen.\" Klassische Schulungsformate reichen daf\u00fcr nicht aus. Die BTC AG fordert daher interaktive, praxisnahe Ma\u00dfnahmen, die auf allen Ebenen der Energieunternehmen Wirkung entfalten.<\/p>\n Die St\u00e4rkung des BSI als zentrale Koordinierungsstelle bewertet die BTC AG positiv \u2013 weist aber auf die unverzichtbare Eigenverantwortung der Unternehmen hin. \u201eIm Ernstfall ist niemand schneller als die eigene Vorbereitung\", betont Bruns, \u201ees braucht robuste Prozesse, erprobte Reaktionspl\u00e4ne und Sicherheitsbewusstsein \u2013 nicht erst im Krisenfall, sondern im t\u00e4glichen Betrieb.\"<\/p>\n BxC Security, die im Bereich OT-Sicherheit unterwegs sind, hat sich ebenfalls in einer mir vorliegenden Mitteilung ge\u00e4u\u00dfert. Marcel Fischer, Managing Director und Gr\u00fcnder von BxC Security greift die Medienberichte, dass US-Beh\u00f6rden versteckte Kommunikationsmodule in chinesischen Wechselrichtern gefunden haben, auf und\u00a0fordert verpflichtende Sicherheits- und Vertrauenssiegel f\u00fcr netzgebundene elektronische Ger\u00e4te:<\/p>\n Die aktuellen Berichte zu sicherheitskritischen Schwachstellen in chinesischen Wechselrichtern zeigen eindr\u00fccklich: Wir stehen vor einem umfassenden strukturellen Problem \u2013 und zwar nicht nur im privaten Bereich, sondern insbesondere auch in B2B-Beziehungen und der kritischen Infrastruktur.<\/p><\/blockquote>\n Wechselrichter sind das Herzst\u00fcck moderner Energieversorgung \u2013 sie koppeln Solaranlagen und Batteriespeicher an das \u00f6ffentliche Stromnetz, so Fischer. Ihre Internetverbindung ist funktional notwendig, macht sie aber gleichzeitig zu einem attraktiven Angriffsziel f\u00fcr Hacker oder staatliche Akteure. Die j\u00fcngsten Erkenntnisse \u00fcber nicht dokumentierte Kommunikationsmodule in Ger\u00e4ten chinesischer Hersteller zeigen, wie real diese Bedrohung ist \u2013 mit potenziell katastrophalen Folgen f\u00fcr die Netzstabilit\u00e4t in Europa.<\/p>\n Was das Problem versch\u00e4rft: Viele Unternehmen \u2013 darunter auch Betreiber kritischer Infrastrukturen \u2013 verf\u00fcgen schlicht nicht \u00fcber die n\u00f6tigen Ressourcen und das Fachwissen, um jedes eingesetzte Ger\u00e4t eigenst\u00e4ndig auf verdeckte Kommunikationspfade oder versteckte Hardware zu pr\u00fcfen. Die erforderliche tiefgreifende technische Analyse ist aufwendig, teuer und erfordert hochspezialisierte Kompetenzen.<\/p>\n Deshalb sieht Fischer den Regulierer in der Pflicht: Er fordert die Einf\u00fchrung eines verpflichtenden Sicherheits- und Vertrauenssiegels f\u00fcr netzgebundene elektronische Ger\u00e4te, insbesondere in der kritischen Infrastruktur. Dieses Siegel muss klar und nachvollziehbar signalisieren, dass ein Ger\u00e4t hinsichtlich IT- und Kommunikationssicherheit unabh\u00e4ngig gepr\u00fcft wurde und den Anforderungen an kritische Infrastrukturen gen\u00fcgt \u2013 vergleichbar mit bestehenden Ans\u00e4tzen im Bereich 5G-Mobilfunk.<\/p>\n Ein solches Label w\u00fcrde sowohl privaten Verbrauchern als auch Unternehmen Orientierung bieten und die Betreiberverantwortung auf ein realistisches Ma\u00df zur\u00fcckf\u00fchren, ist sich Fischer sicher. Gleichzeitig w\u00fcrde es f\u00fcr Hersteller einen Anreiz schaffen, von Anfang an sichere, transparente und konforme Produkte zu entwickeln.<\/p>\n Die KRITIS-Infrastruktur darf nicht auf wackeligem digitalem Fundament stehen. Sicherheit muss integraler Bestandteil der Infrastruktur sein \u2013 nicht nachgelagerte Aufgabe \u00fcberforderter Betreiber, so die Einsch\u00e4tzung.<\/p>\n \u00c4hnliche Artikel:<\/strong> Noch ein kurzer Nachtrag zu einem Thema, was bereits vor einigen Tagen hoch kam. Nach Meldungen \u00fcber undokumentierte Kommunikationseinrichtungen in Wechselrichtern und Akkus f\u00fcr Solaranlagen aus den USA hat sich auch das BSI gemeldet. Das Bundesamt f\u00fcr Sicherheit in der … Weiterlesen BSI zur Cybersicherheit f\u00fcr die Energieversorgung<\/h2>\n
BTC AG fordert Nachsch\u00e4rfung f\u00fcr BSI-Positionspapiers<\/h2>\n
1. Lieferantensicherheit \u2013 ein untersch\u00e4tztes Risiko<\/h3>\n
2. Bef\u00e4higung statt reiner Schulung \u2013 digitale Kompetenz breit verankern<\/h3>\n
BxC Security fordert Sicherheits- und Vertrauenssiegel<\/h2>\n
\nDeye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk<\/a>
\nDeye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a>
\nSolaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei \u00dcberwachungssystemen<\/a>
\nDeye Wechselrichter: Cloud Account zeigt fremde Anlagen-\/Kundendaten an<\/a>
\nSchwachstellen in chinesischen Solarmanagern (Solarman, Deye)<\/a>
\nDeye deaktiviert Solar-Wechselrichter in USA, UK und Pakistan<\/a>
\nDeye-Wechselrichter arbeitet nach Firmware-Update nicht mehr (19. Dez. 2024)<\/a>
\nDeye \u00e4u\u00dfert sich zu deaktivierten US Solar-Wechselrichtern<\/a>
\nErfahrungen mit SMA Wechselrichtern (SunnyBoy 4000 und 200) und anderen Solarkomponenten<\/a>
\nHacker k\u00f6nnten \u00fcber Schwachstellen in Solaranlagen das europ\u00e4ische Stromnetz knacken<\/a>
\nAchtung: Angreifer k\u00f6nnen Solar-Wechselrichter durchbrennen lassen<\/a>
\nSUN:DOWN: Schwachstellen in Solaranlagen-Komponenten entdeckt<\/a>
\nChinesische Wechselrichter und Akkus mit \"unbekannten\" Kommunikationskomponenten?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"