Deine Photovoltaik-Anlage produziert seit Jahren brav Strom. Die App zeigt Dir Erträge, Eigenverbrauch, Batteriestand — von überall, jederzeit. Praktisch. Nur: Was Du von überall erreichst, erreichen andere auch von überall. Und genau das passiert gerade, systematisch und mit staatlichem Auftrag.
Das deutsche Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen in einem gemeinsamen Sicherheitshinweis vom 3. Juni 2026: Russische Cyberakteure klären aktiv Photovoltaik-Anlagen auf, die ungeschützt mit dem Internet verbunden sind. Aufklärung heisst hier nicht Zufallsfund, sondern gezieltes Kartografieren — wer hängt wo mit welcher Anlage am Netz, und wie kommt man rein.
Was die Behörden konkret beobachten
- Monitoring mit Steuerfunktion im Fokus. Die Angreifer interessieren sich für Monitoring-Systeme, die auch steuernden Zugriff auf die Anlagen erlauben. Wer dort drin ist, schaut nicht nur zu — er kann schalten.
- Zugriff teils ohne Zugangsdaten. Bei betroffenen Anlagen kommen unbefugte Dritte zum Teil ganz ohne Login ins System. Kein Exploit nötig, die Tür steht offen.
- Stark veraltete Software. Die Softwarestände der gefundenen Anlagen sind laut BSI so alt, dass von relevanten Schwachstellen auszugehen ist. Wechselrichter und Monitoring-Boxen laufen oft jahrelang ohne ein einziges Update.
- Betroffen sind Private und Genossenschaften. Also genau die Betreiber ohne energiewirtschaftlichen Hintergrund, ohne IT-Abteilung und ohne Patch-Prozess. Die Grossversorger haben Sicherheitsteams — die Anlage auf Deinem Dach hat Dich.
Warum das die Schweiz genauso betrifft
Die Warnung kommt aus Deutschland, aber die Lage hier ist identisch. Derselbe PV-Boom, dieselben Wechselrichter, dieselben Monitoring-Produkte — die Hersteller-Cloud unterscheidet nicht zwischen einem Dach in Freiburg im Breisgau und einem in Fribourg. Eine einzelne gekaperte Anlage ist ärgerlich. Tausende gleichzeitig steuerbare Anlagen sind ein Hebel gegen die Netzstabilität. Genau deshalb interessiert sich ein staatlicher Akteur dafür und nicht ein gewöhnlicher Krimineller: Es geht nicht um Deine Ertragsdaten, es geht um Vorbereitung.
Was Du jetzt tun solltest
- Updates sofort installieren. Wechselrichter-Firmware und Monitoring-Software auf den aktuellen Stand bringen — das ist die ausdrückliche BSI-Empfehlung. Wenn der Hersteller seit Jahren nichts liefert, ist auch das eine Antwort.
- Anlage nur lokal betreiben. Das BSI empfiehlt, Anlagen nach Möglichkeit so zu konfigurieren, dass sie aus dem Internet nicht erreichbar sind. Die Ertragskurve auf dem Sofa ist nett, aber sie rechtfertigt keinen offenen Steuerzugang.
- Prüfen, was wirklich offen ist. Portweiterleitungen im Router, UPnP, Hersteller-Fernzugriff: alles abklemmen, was nicht zwingend gebraucht wird. Wer remote schauen will, macht das über ein VPN — nicht über eine offene Weboberfläche.
- Standardpasswörter ersetzen. Falls die Anlage überhaupt eines verlangt. «Teils ohne Zugangsdaten erreichbar» heisst: Manche Systeme fragen nicht einmal.
Die strukturelle Antwort: raus aus dem Heimnetz
Updates und Passwörter sind Pflicht, lösen aber das Grundproblem nicht: Eine PV-Anlage ist Gebäudetechnik und gehört nicht ins selbe Netz wie Laptop, Drucker und Fernseher — und schon gar nicht direkt ans Internet. Sauber gelöst bekommt sie ihr eigenes VLAN, in dem sie funktioniert, aber weder ins Internet telefoniert noch an Deine übrigen Geräte herankommt. Netzwerksegmentierung für Gebäudeautomation ist eines unserer Kernfächer bei UCC Pro — vom Einfamilienhaus bis zur Genossenschaftssiedlung.
Was bleibt im Kopf
Deine PV-Anlage ist ein Computer auf dem Dach, der Leistungselektronik steuert. Behandle sie so. Wenn zwei Bundesämter gemeinsam warnen, dass ein staatlicher Akteur solche Anlagen systematisch kartiert, ist «die paar Kilowatt interessieren doch niemanden» keine Risikoeinschätzung mehr — es ist Wunschdenken. Update einspielen, Internetzugang kappen, eigenes Netz. In dieser Reihenfolge, am besten diese Woche.
Quelle: Gemeinsamer Sicherheitshinweis von BfV und BSI vom 3. Juni 2026 — bsi.bund.de.