Versteckte Module in chinesischen Wechselrichtern: Ein grundlegendes Sicherheitsrisiko in kritischen Infrastrukturen

US-Medienberichten zufolge sollen in Wechselrichtern chinesischer Wechselrichter nicht deklarierte Kommunikationsmodule entdeckt worden sein. Die Energieversorgung könnte damit gefährdet sein. Marcel Fischer, von BxC Security sieht darin eine grundlegende Schwachstelle für alle vernetzte Infrastruktur und sieht den Gesetzgeber in der Pflicht.

Die aktuellen Berichte zu sicherheitskritischen Schwachstellen in chinesischen Wechselrichtern zeigen eindrücklich: Wir stehen vor einem umfassenden strukturellen Problem – und zwar nicht nur im privaten Bereich, sondern insbesondere auch in B2B-Beziehungen und der kritischen Infrastruktur.

Wechselrichter sind das Herzstück moderner Energieversorgung – sie koppeln Solaranlagen und Batteriespeicher an das öffentliche Stromnetz. Ihre Internetverbindung ist funktional notwendig, macht sie aber gleichzeitig zu einem attraktiven Angriffsziel für Hacker oder staatliche Akteure. Die jüngsten Erkenntnisse über nicht dokumentierte Kommunikationsmodule in Geräten chinesischer Hersteller zeigen, wie real diese Bedrohung ist – mit potenziell katastrophalen Folgen für die Netzstabilität in Europa.

Was das Problem verschärft: Viele Unternehmen – darunter auch Betreiber kritischer Infrastrukturen – verfügen schlicht nicht über die nötigen Ressourcen und das Fachwissen, um jedes eingesetzte Gerät eigenständig auf verdeckte Kommunikationspfade oder versteckte Hardware zu prüfen. Die erforderliche tiefgreifende technische Analyse ist aufwendig, teuer und erfordert hochspezialisierte Kompetenzen.

Deshalb sehen wir den Regulierer in der Pflicht: Wir fordern die Einführung eines verpflichtenden Sicherheits- und Vertrauenssiegels für netzgebundene elektronische Geräte, insbesondere in der kritischen Infrasruktur. Dieses Siegel muss klar und nachvollziehbar signalisieren, dass ein Gerät hinsichtlich IT- und Kommunikationssicherheit unabhängig geprüft wurde und den Anforderungen an kritische Infrastrukturen genügt – vergleichbar mit bestehenden Ansätzen im Bereich 5G-Mobilfunk.

Ein solches Label würde sowohl privaten Verbrauchern als auch Unternehmen Orientierung bieten und die Betreiberverantwortung auf ein realistisches Maß zurückführen. Gleichzeitig würde es für Hersteller einen Anreiz schaffen, von Anfang an sichere, transparente und konforme Produkte zu entwickeln.

Die kritische Industrie darf nicht auf wackeligem digitalem Fundament stehen. Sicherheit muss integraler Bestandteil der Infrastruktur sein – nicht nachgelagerte Aufgabe überforderter Betreiber.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden