Balkonkraftwerke: Bedrohliche SicherheitslĂĽcken bei Hoymiles

Ein Sicherheitsforscher hat sich Hoymiles' Cloudservice genauer angesehen und Lücken gefunden, über die Wechselrichter sogar zerstört werden können.

In Pocket speichern vorlesen Druckansicht 131 Kommentare lesen

Dieser, von Midjourney kreierte, fellige Solartechniker unbekannter Art, zeigte sich im Angesicht der SicherheitslĂĽcke bei Hoymiles wenig begeistert.

(Bild: Erstellt mit Midjourney durch heise online)

Update
Lesezeit: 3 Min.
Von
  • Andrijan Möcker

Hoymiles hat mittlerweile reagiert und die LĂĽcken gestopft.

Gravierende Sicherheitslücken im Cloudservice des chinesischen Photovoltaik-Herstellers Hoymiles bedrohen mehrere hunderttausend Mikrowechselrichter. Der "S-Miles-Cloud" genannte Service bietet Kunden des Herstellers eine Ertragsüberwachung, zeigt also an, was die kleinen Photovoltaikanlagen so leisten. Dafür nötig ist eine "Data Transfer Unit", kurz DTU, genannte Funkbridge, die mit dem Internet verbunden ist, oder ein neuerer Hoymiles-Wechselrichter mit integriertem WLAN.

Ein anonymer Hinweisgeber, der angibt, Sicherheitsforscher zu sein, hatte sich am Sonntag vergangener Woche ĂĽber den Investigativ-Briefkasten an c't gewandt und ein 25-seitiges Dokument mit detaillierten Beschreibungen der LĂĽcken hochgeladen. Durch Tests an eigener Hardware konnten wir die Hinweise in der Redaktion verifizieren.

Der Angriff schaltet augenscheinlich Zugang zu allen in der S-Miles-Cloud eingebuchten DTUs und Wechselrichtern frei. Verifizieren lässt sich das zwar nicht, da Hoymiles jedoch für alle Geräte dieselben zwei Apps bereitstellt, kommt wahrscheinlich nur ein Dienst zum Einsatz. Eine Abfrage ergab zudem, dass derzeit rund 230.000 Anlagen mit jeweils mindestens einem Wechselrichter mit dem Dienst verbunden sind.

Nutzer, die den Wechselrichter gar nicht auslesen oder alternative Bridges wie Ahoy- und OpenDTU nutzen, sind nicht betroffen.

HEISE INVESTIGATIV

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Im Laufe seiner Analyse der Cloud entdeckte der Sicherheitsforscher mehrere Lücken, über die er Wechselrichter derart manipulieren könnte, dass Infrastruktur beschädigt und der Wechselrichter zerstört wird. Schlimmstenfalls besteht Gefahr für Leib und Leben.

Unter anderem wäre es möglich, den NA-Schutz sowie den Inselschutz zu deaktivieren. Der NA-Schutz sorgt dafür, dass Netz und Wechselrichter bei Über- oder Unterschreiten von Spannungs- und Frequenzgrenzwerten getrennt werden. Der Inselschutz schaltet den Wechselrichter ab, wenn die Netzverbindung unterbrochen wird. Das verhindert auch, dass per Schutzkontaktstecker (Schuko) angeschlossene Anlagen beim Ausstecken ein Sicherheitsrisiko darstellen; deaktiviert man die Funktion, besteht Lebensgefahr an offenen Kontakten.

Nutzt man die Lücken in passender Kombination, lässt sich sogar die Wechselspannungserzeugung der Geräte manipulieren. Auch das dauerhafte Durchschalten aller Transistoren ist möglich. Passiert das im Netzbetrieb, wird der resultierende wechselspannungsseitige Kurzschluss mindestens die Schmelzsicherung des Wechselrichters zerstören – wenn nicht auch seine Transistoren. Dass das tatsächlich geht, hat der Hinweisgeber mit einer Kleinspannung verifiziert.

In einer am Dienstag abgeschickten E-Mail baten wir den chinesischen Hersteller um Stellungnahme. Obwohl wir mehrere Abteilungen des Unternehmens kontaktierten sowie einen Techniker des Unternehmens und den Senior Sales Manager for Europe direkt anschrieben, bekamen wir weder eine Empfangsbestätigung, noch kam ein Kontakt zustande. Bereits in der Vergangenheit hatte c't Schwierigkeiten, Kontakt zu Hoymiles aufzubauen und eine fließende Kommunikation blieb bislang aus.

Nutzer von Hoymiles DTUs sollten die Geräte nun schnellstmöglich vom Internet trennen, sodass keine Befehle mehr über den Clouddienst an die Wechselrichter gelangen können. Wer nicht auf Ertragsüberwachung verzichten möchte, sollte sich die Alternativen Ahoy- und OpenDTU ansehen. Fertige Geräte gibt es im Netz zu kaufen. Da es sich um cloudlose und herstellerunabhängige Firmwares handelt, sind sie von der Lücke nicht betroffen.

Update

Hoymiles hat die SicherheitslĂĽcken in der Zwischenzeit teilweise geschlossen.

Update

Hoymiles hat in der Nacht zum Freitag auch die restlichen SicherheitslĂĽcken in der API gestopft.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(amo)