Calendar

Blinkenlights mit Balkonsolar

06 July, 2026 03:01, erdgeist

Der CCC warnt vor gefährlichen Sicherheitslücken, die Solaranlagen-Kunden von Hoymiles betreffen. Die angeblich geheimen Schlüssel zur Steuerung der Anlagen sind komplett ungeschützt. Das chinesische Unternehmen Hoymiles stellt sich bisher taub.

Ein Sicherheitsforscher in Zusammenarbeit mit dem Chaos Computer Club (CCC) hat verheerende Sicherheitslücken bei Wechselrichtern für Balkon- und Dachsolaranlagen des chinesischen Unternehmens Hoymiles entdeckt. Sie ermöglichen, dass mit Bauteilen aus der Grabbelkiste PV-Anlagen in ganzen Nachbarschaften im Vorbeifahren abgeschaltet oder dauerhaft physisch zerstört werden können.

Der Hersteller reagierte auf Hinweise auf die Sicherheitslücken irritiert bis gar nicht. Die Aufsichtsbehörden winken mit der Begründung ab, die potentiell von einer Ausnutzung der Schwachstellen ausgelösten Einbrüche von Gigawatt Leistung könnten von den Netzbetreibern aufgefangen werden.

Gelackmeierte bleiben nun die Kunden. Denn neben der Gefahr solcher Leistungseinbrüche bei weitgreifendem böswilligen Abschalten entstehen auch jedem einzelnen Betreiber einer solchen Solaranlage Risiken: Jeder kann mit wenig Know-How und Kosten die Kontrolle über die Inverter übernehmen, sie nach Belieben umkonfigurieren oder die Firmware löschen oder Schadsoftware aufspielen.

Ausbau in Wild-West-Manier

Offenbar werden die Zügel beim rapiden Ausbaus von regenerativer Stromerzeugung, meist in Balkonsolaranlagen, sehr locker gelassen und Anbieter auf den Markt geduldet, die schon Grundsätze der Anforderungen an Kritische Infrastruktur nicht verinnerlicht haben. Der Anbieter Hoymiles, nach eigenen Angaben in Europa mit zwanzig Prozent Marktanteil vertreten, ist schon in der Vergangenheit durch laxe Sicherheitsstandards aufgefallen.

Von ihm werden Kunden aktiv in die Cloud gedrängt, von der aus – bequem und zentral aus dem Ausland – Hundertausende Dachsolarkraftwerke abgeschaltet werden könnten. Viele Kunden haben zwar in der Vergangenheit daher dankend darauf verzichtet. Doch um dieses Cloud-Feature zu ermöglichen, kommuniziert ein Mikrokontroller auf dem Wechselrichter begierig über proprietäre, aber triviale und ungeschützte Protokolle. Diese Kommunikation auf 868 MHz und 2.4 GHz ermöglicht das Auslesen von Statistikdaten, etwa für ein nützliches Dashboard, aber auch für die komplette Fernsteuerung des Wechselrichters: an, aus, Einspeisung, Netzfrequenz und schließlich ein komplettes Firmware-Update.

Dies war in der Vergangenheit schon Hobby-Bastlern aus dem OpenDTU-Projekt aufgefallen, die eine Open-Source-Implementierung der Protokolle für eigene Fernsteuerungen gebaut haben. Glücklicherweise bedarf es aber zum Fernsteuern in jedem Datenpaket an die Hoymiles-Prozessoren eines ultrageheimen Schlüssels: Ab Werk ist das die Seriennummer. Doch wer kennt schon die Seriennummern der Wechselrichter seiner Nachbarn?

Balzrufe für Nachbar's Dachsolar

Sicherheitsforscher Hunz hat nun ein nicht-dokumentiertes Feature in der Firmware entdeckt, in der über einen Rundruf alle Hoymiles in der Gegend entdeckt werden können. Erfahrene Leser von ccc.de ahnen nun bereits, wo die Geschichte hingeht: Als Teil des Antwort-Pakets auf einen solchen Rundruf bläst ein jeder Wechselrichter seine Seriennummer unverschlüsselt und voller Solarkraft in die Umgebung.

Bei experimentellem War-Walking durch Nachbarschaften wurden so Dutzende verwundbare Kraftwerke identifiziert. Die Angriffshardware lässt sich trivial auf eine Drohne schrauben – sofern ihre Hardware nicht eh schon von Haus aus die Protokolle unterstützt.

Nächste Schritte für euch und uns

Nachdem der Hersteller Hoymiles im Rahmen des Disclosure-Prozesses nicht reagierte, geschweige denn einen Patch veröffentlicht hat, sieht sich der CCC gezwungen, das Heft in die Hand zu nehmen, die Schwachstellen öffentlich zu machen und Lösungsvorschläge anzubieten:

Betreiber einer PV-Anlage von Hoymiles sollten bis auf weiteres davon ausgehen, dass diese derzeit von jedem mit einem günstigen Funkmodul aus Funkreichweite ferngesteuert werden können. Als Minimalhürde für Gelegenheitsangreifer sollten die Betreiber mit originaler DTU von Hoymiles schnell ein Passwort setzen, auch wenn dies nach aktuellem Wissensstand nicht gegen alle Angriffsvektoren schützt – ironischerweise ausgerechnet nicht dagegen, eine überraschende Fremd-Firmware aufgespielt zu bekommen.

Der CCC ruft die Entwickler der OpenDTU-Community und andere Sicherheitsforscher dazu auf, gemeinsam an einer nachhaltigen Lösung zu arbeiten: Ziel ist hier zum Beispiel ein Open-Source-Patch oder eine alternative Firmware für die RF-Module, die Kryptographie (etwa AES) anstelle von unverschlüsselten Seriennummern nutzt.

Da Hoymiles proprietäre Protokolle nutzt, ist dies auch ein Reverse-Engineering-Projekt. Wir unterstützen die Veröffentlichung der notwendigen Spezifikationen, um eine sichere Steuerung ohne „China-Cloud“ zu ermöglichen. Auf jeden Fall müssen alle Firmware-Updates von Hoymiles kritisch untersucht werden, damit die Firma nicht die Gelegenheit missbraucht, um Open-Source-Projekte wie OpenDTU gleich mit auszusperren.

Welche Weichen muss die Politik stellen?

Dirk Engling, Sprecher des CCC, fordert von Regulierungsbehörden und Politik: „Schluss mit dem Wilden Westen im IoT. Dieser Fall ist ein praktisches Lehrstück dafür, warum ‚Kritische Infrastruktur‘ nicht erst bei großen Kraftwerken beginnt, sondern bereits im Vorgarten. Wenn Tausende Anlagen per Rundruf abgeschaltet werden können, ist das ein systemisches Risiko.“

Der CCC fordert Mindeststandards für die IT-Sicherheit von Einspeisegeräten. Ein Gerät, das ohne Authentifizierung Firmware-Updates via Funk akzeptiert, darf keine Marktzulassung in der EU erhalten. Ferner ist ein Grundgebot der in letzter Zeit so gern beschworenen Souveränität, dass die Steuerung von Energieanlagen lokal und sicher möglich sein muss, ohne dauerhafte Abhängigkeiten von ausländischen Cloud-Servern.

Die Energiewende ist eine technische Herkulesaufgabe, die wir nur gemeinsam meistern können. Das bedeutet aber auch, dass wir keine Kompromisse bei der Sicherheit eingehen dürfen. Dass ein Marktführer wie Hoymiles die Sicherheit seiner Kunden der Bequemlichkeit eines proprietären Cloud-Systems opfert, ist inakzeptabel.

Sicherheit ist kein „Feature“, das man optional zubucht, sondern sie ist die Grundlage für das Vertrauen in eine stabile und moderne Energieinfrastruktur. Wir erwarten von Hoymiles eine sofortige Reaktion und einen Zeitplan für echte Patches. Bis dahin gilt: Bleibt wachsam, nutzt Open Source und hinterfragt die „Blackbox“ im Stromkasten.

Links und weiterführende Informationen: