Balkonkraftwerke haben sich in Deutschland zu einer beliebten Form der Stromerzeugung gemausert. Der Bundesnetzagentur zufolge sind allein 1,17 Millionen Solaranlagen mit einer Leistung von unter zwei Kilowatt ans deutsche Stromnetz angeschlossen. Doppelt so viele wie noch im Vorjahr 2024.

Was wahrscheinlich aber nicht alle Nutzer:innen wissen: Die Balkonkraftwerke tragen ein potenzielles Sicherheitsrisiko in sich. Das Problem ist, dass die sogenannten Wechselrichter der Systeme in der Regel mit dem Internet verbunden sind, wie Spiegel Online berichtet. Und diese Verbindungen sind nicht immer sicher.

Valentin Conrad, Spezialist für Cybersicherheit, hat für seine Masterarbeit an der Technischen Universität Darmstadt gängige Wechselrichter von Balkonkraftwerken unter die Lupe genommen. Fast alle sollen Sicherheitsprobleme gehabt haben, weil sie per Internet mit der Herstellercloud verbunden gewesen seien.

Im schlimmsten Fall gelang es Conrad, einen Wechselrichter fernzusteuern. Damit hätte der Experte die Stromumwandlungseinheit abschalten oder die ganze Solaranlage beschädigen können. Über den Zugriff auf die Hardware hätte er erheblichen Schaden anrichten können, wie Conrad in seiner Masterarbeit schreibt.

Theoretisch sei durch eine Manipulation von Wechselrichtern im großen Stil sogar die Herbeiführung eines Blackouts möglich, wie Conrad dem Spiegel erklärte. Das sei möglich, wenn man über die Cloud des Herstellers gehe, wo viele Megawatt Leistung über eine Plattform steuerbar wären.

Bisher ist ein solches Szenario aber unwahrscheinlich, weil die Balkonkraftwerke zusammengenommen weniger Strom erzeugen, als im Verbundnetz als Regelenergie vorgehalten werde. Aber: Das Gefahrenpotenzial wird in den folgenden Jahren weiter ansteigen.

Denn neben Wechselrichtern könnten auch Wärmepumpen, Wallboxen und andere Energiemanagement-Anlagen von Hacker:innen aus der Ferne ab- oder eingeschaltet werden. Das könnte „bei entsprechender Konzentration“ auch zu einer Gefährdung der Netze führen, wie es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) heißt.

Das Gute: Der sogenannte Cyber Resilience Act der EU soll dafür sorgen, dass alle vernetzten Geräte ein Mindestmaß an IT-Sicherheit mitbringen. Aktuell läuft hier noch ein Übergangszeitraum.

Nutzer:innen können aktuell nicht allzu viel tun. Wenn möglich, sollen sie laut Expertenmeinung auf die Anbindung ins Internet verzichten. Smarte Steckdosen würden eine Messung der Einspeisung ins Stromnetz auch offline ermöglichen. Allerdings ist es in manchen Fällen kaum möglich, die Geräte ohne Cloud-Anbindung oder Internetzugang zu betreiben.