Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Solarinverter: Sicherheit auf dem Prüfstand

Seite 3: Die Sache mit dem Tagesenergie-Zähler

Inhaltsverzeichnis

Ich war zufrieden, der Inverter produzierte Energie, und auch die Integration in Home Assistant funktionierte mithilfe dieses Plug-ins. Eines wunderte mich aber: Der Inverter hat 3 wichtige elektrische Parameter, die aktuelle Leistung und einen Zähler für die heute sowie insgesamt erzeugte Energie.

Bei meinem Inverter zählte der Tageszähler genau wie der Gesamtzähler stetig nach oben. Beide waren fast gleich groß. Ich dachte erst an einen Defekt, doch nach Recherchen im Netz bekam ich heraus, dass dies an der fehlenden Internetverbindung lag. Der Inverter sendet nämlich nicht nur Daten, er synchronisiert auch die Uhrzeit, was dann indirekt den Zähler zurücksetzt.

Weil mich das wirklich nervte, habe ich dem Gerät risikobewusst täglich nur 5 Minuten Internetzeit zugestanden. Das konnte ich in der Fritzbox schnell einstellen und der Zähler verhielt sich danach wie gewünscht.

Bild 4: Sehr unschön: Den Energy Production Daily Counter setzt der Inverter nur zurück, wenn er die Zeit mit der Hersteller-Cloud synchronisiert.

Die Sache mit dem Firmware-Update

Man konnte bei dem Deye-Gerät, wie oben beschrieben, das WLAN-Passwort zwar ändern, der Inverter vergaß die Einstellungen allerdings direkt nach dem Neustart wieder.
 Dafür gab es zum Glück einen Fix. Als ich die neue Software aber bei mir installieren wollte, staunte ich nicht schlecht: Trotz der (auf täglich 5 Minuten) begrenzten Internetzeit hatte ich das Update bereits. Der Hersteller hatte also mithilfe eines Firmware- bzw. Software-Over-The-Air-Mechanismus (FOTA/SOTA) die Sicherheitslücken im Hintergrund beseitigt. Wie die Datenpakete dazu aussehen, habe ich später mitschneiden können.

Prinzipiell ist das eher löblich und Best Practice, dennoch fühlt es sich sehr komisch an, wenn man nicht Bescheid weiß, dass da jemand in meinem Heim-Netz Geräte patcht. Bei vielen Produkten gibt es darüber einen Hinweis bzw. einen Opt-out-Schalter, falls man das nicht möchte.

Nicht zuletzt in heise-Artikeln fand ich immer wieder Hinweise darauf, dass diese Geräte unsicher seien oder Privacy nicht ernst nähmen. Konkrete Aussagen dazu, was da schlecht sein soll, fand ich leider nie. So war auch schwer abzuschätzen, wie groß das Problem ist.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten