Das gigantische unregulierte Kraftwerk in der Cloud

 (berthub.eu)
1 Punkte von GN⁺ 2024-08-20 | 1 Kommentare | Auf WhatsApp teilen
  • Kürzlich konnte ein niederländischer Hacker 4 Millionen Solarinstallationen steuern. Es war nicht das erste Mal.
  • Die meisten Solarinstallationen von Privatkunden und Unternehmen werden zentral von einer kleinen Zahl von Unternehmen verwaltet.
  • Allein in den Niederlanden erzeugen solche Solaranlagen eine elektrische Leistung, die mindestens 25 mittelgroßen Kernkraftwerken entspricht.
  • In Europa gibt es kaum Regeln oder Gesetze, die diese zentralen Verwalter regulieren.
  • Diese Cloud-basierten Verwaltungsplattformen können durch Hacks oder Unfälle sämtliche Solaranlagen gleichzeitig abschalten.
  • Jüngste Bestätigungen durch ethische Hacker und den niederländischen Netzbetreiber TenneT zeigen, dass dies kein theoretisches Szenario ist.
  • Einzelne Solaranlagen richten keinen großen Schaden an, aber im Laufe der Zeit ist ihre Zahl stark gestiegen und ihre Verwaltung hat sich auf wenige Stellen konzentriert.
  • Entweder muss die Fähigkeit abgeschafft werden, zentral Gigawatt an Leistung abzuschalten, oder die zentralen Verwalter müssen wie Energieunternehmen reguliert werden.
  • In den Niederlanden werden 15 GW Leistung aus der Ferne gesteuert, ohne dass genau bekannt ist, wer diese Kontrolle ausübt.
  • Die kommende EU-NIS2-Richtlinie bietet eine Chance zur Verbesserung, muss dafür aber klarer gefasst werden.
  • SolarPower Europe fordert ebenfalls, die NIS2-Regeln ausdrücklich auf Solarenergie anzuwenden.

Die längere Geschichte

  • Willem Westerhof versucht seit 2016, auf dieses Problem aufmerksam zu machen.
  • Zusammen mit seinem Arbeitgeber Secura verfasste Willem einen umfangreichen Bericht für den niederländischen "Topsector Energie".
  • Das synchronisierte Stromnetz auf dem europäischen Kontinent ist eine enorme Leistung, die große Teile Europas und darüber hinaus verbindet.
  • Das Stromnetz muss immer im Gleichgewicht bleiben. Gelangt zu viel Strom ins Netz, steigt die Frequenz und es kann zu Überspannung kommen.
  • Kürzlich kam es zu einem internationalen Stromausfall in Albanien, Montenegro, Bosnien und Kroatien.
  • An große Stromerzeuger werden hohe Anforderungen gestellt. Ihre Kraftwerke werden überwacht, die Ausrüstung muss viele Vorgaben erfüllen, und das Personal braucht die passenden Qualifikationen.
  • Europäische Netzwerke und Anbieter arbeiten fortlaufend zusammen, um das Netz stabil und sicher zu halten.

Was wir regulieren

  • Solaranlagen sind über Wechselrichter mit dem Netz verbunden. Dieses Gerät wandelt die Energie der Module in eine Form um, die das Stromnetz verarbeiten kann.
  • Dieses Gerät muss die Regeln erfüllen, und in den Niederlanden dürfen nur von Belgiens Synergrid zugelassene Wechselrichter installiert werden.

Was wir nicht regulieren

  • Die meisten Wechselrichter sind mit dem Internet verbunden. Diese Konfiguration stellt eine Verbindung zum Hersteller her und lädt Statistiken über Solaranlagen und Stromerzeugung hoch.
  • Die Eigentümer der Anlagen können sich über eine App oder Website mit dem Hersteller verbinden.
  • Der Hersteller kann sämtliche Anlagen ein- und ausschalten und neue Software auf den Wechselrichtern installieren.
  • Wenn der Hersteller gehackt wird, kann ein Angreifer manipulierte Software-Updates an die Wechselrichter senden und so die Kontrolle übernehmen.

Was würde dann passieren?

  • Das Stromnetz ist äußerst empfindlich. Es muss genau dieselbe Menge an Strom hinein- wie hinausfließen.
  • Hersteller von Solarwechselrichtern können Hunderttausende bis Millionen Installationen ein- und ausschalten.
  • Die niederländischen ethischen Hacker Wietse Boonstra und Hidde Smit konnten die Software von Solarinstallationen ohne Erlaubnis des Herstellers verändern.

Oh nein

  • Gäbe es ein Kontrollpult, mit dem sich Dutzende Reaktoren gleichzeitig abschalten ließen, müsste es alle möglichen Sicherheitsvorschriften einhalten.
  • Solaranlagen und Wechselrichter für Privathaushalte gelten jedoch als "normale" Unterhaltungselektronik, daher gibt es weder Prüfungen noch entsprechende Gesetze.
  • Die Verwaltung hat sich auf wenige Anbieter konzentriert, und diese werden nicht streng reguliert.

Und jetzt?

  • Der jüngste von der niederländischen Topsector Energie in Auftrag gegebene Secura-Bericht ist sehr hilfreich, um zu verstehen, wie ernst die Lage ist.
  • Neue Gesetze sind auf dem Weg, und NIS2 sowie der Cyber Resilience Act könnten diese Akteure strengeren Regeln unterwerfen.
  • SolarPower Europe argumentiert ebenfalls, dass zentral verwaltende Parteien in den Geltungsbereich von NIS2 fallen sollten.

Zusammenfassung von GN⁺

  • Dieser Artikel erklärt, wie die zentrale Verwaltung von Solaranlagen ein großes Risiko für das europäische Stromnetz darstellen kann.
  • Er unterstreicht die Schwere des Problems, weil zentrale Verwalter kaum reguliert werden.
  • Neue Gesetze wie NIS2 und der Cyber Resilience Act könnten helfen, dieses Problem zu lösen.
  • Der Artikel betont die Bedeutung von Energiemanagement und Sicherheitsfragen und liefert wichtige Informationen für Menschen, die in der Branche arbeiten.
  • Produkte oder Projekte mit ähnlichen Funktionen sind unter anderem SolarEdge und Enphase Energy.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-20
Hacker-News-Kommentare

  • Die Behauptung, dass die Solarpanels in den Niederlanden eine Stromleistung erzeugen, die 25 mittelgroßen Kernkraftwerken entspricht, ist übertrieben

    • Betrachtet man die tatsächlichen jährlichen Energieproduktionsdaten, entspricht das eher dem 1,5-Fachen eines durchschnittlichen Kernkraftwerks
    • Je nach Standort der Solarpanels variiert die Leistung stark

  • Eigentümer von Panels und Invertern können sich mit dem Hersteller verbinden, um den Status der Panels zu prüfen

    • Technisch wäre es nicht nötig gewesen, alles über die Server des Herstellers laufen zu lassen
    • Man hat sich dafür entschieden, weil Verbrauchern oder Installateuren oft das Fachwissen für Netzwerkkonfiguration fehlt

  • Ein Nutzer, der off-grid lebt, beschwert sich darüber, dass das Inverter-Monitoring nur online möglich ist

    • Mit einem Raspberry Pi wurde das Problem gelöst, aber wenn die Internetverbindung getrennt wird, entsteht ein neues Netzwerk
    • Es wird erwogen, das WiFi-Modul zu entfernen

  • Bei Verweisen auf technische Standards sollte man sich vor Politikern und Nicht-Technikern hüten

    • Die Probleme der aktuellen IT-Infrastruktur werden größtenteils von Akademikern verursacht
    • Unternehmen zur Verantwortung zu ziehen, könnte der Anfang der Problemlösung sein
    • Wenn man zum Beispiel Firmen wie CrowdStrike rechtlich haftbar macht, könnten sich auch andere Unternehmen ändern

  • Es wird behauptet, dass erneuerbare Energien das Potenzial für dezentrale Stromerzeugung haben

    • Allerdings entstehen Sicherheitsprobleme, weil neue Engpässe eingeführt werden

  • Es wird gefragt, ob es in der EU Cybersicherheitsvorschriften für Kraftwerke gibt

    • Systeme, die eine Datenverbindung zu Dritten erfordern, sollten nicht zugelassen werden
    • Es gab viele Fälle, in denen mehrere Dienste ausgefallen sind

  • Ein Installateur hat Schwierigkeiten, einen Solaredge-Inverter von der Cloud zu trennen

    • Er argumentiert, dass es Vorschriften geben sollte, die Fernverwaltung verbieten
    • Daten sollten aus der Ferne nur im Lesemodus einsehbar sein

  • In Europa gibt es die Tendenz, zur Risikominderung Abschlüsse und Zertifikate zu betonen

    • Das passt zu Branchen mit langsamen Zyklen, aber nicht zur Solar-/Windindustrie

  • Die Cloud-Anbindung von Victron-Produkten ist optional und standardmäßig deaktiviert

    • Die Hardware ist modular, und die Software ist besser als bei Konkurrenzprodukten
    • Man sollte verantwortungsbewusste Anbieter wählen

  • Wenn sich Solarpanels abschalten lassen, wird gefragt, warum Versorgungsunternehmen überschüssigen Strom mit Verlust verkaufen müssen

    • Es wird gefragt, warum man Solarfarmen nicht anweisen kann, ihre Leistung nach Bedarf zu drosseln