Der rumänische Anbieter von Sicherungssoftware (Virenschutz, Firewall, E-Mail-Spam-Filter, etc.) für private und gewerbliche Anwender Bitdefender hat nach eigenen Angaben gravierende Sicherheitslücken bei Anwendungen von Wechselrichtern des chinesischen Herstellers Deye in Kombination mit der ebenfalls chinesischen Monitoring- und Steuerungsplattform Solarman entdeckt. Solarman, eine Marke von IGEN Tech Co., Ltd., meldete für den 31. Dezember letzten Jahres die Marke von 2,1 Millionen Photovoltaik-Anlagen mit kumuliert 195 Gigawatt Leistung in 190 Ländern und Regionen in seinem Monitoring-Portfolio. Es seien mehr als 10 Millionen Hardware-Einheiten ausgeliefert worden.
Nach Angaben von Bitdefender wurden Solarman und Deye jeweils im Mai um „Sicherheitskontakt“ ersucht und über die entdeckten Schwachstellen informiert. Beide hätten inzwischen die Sicherheitslücken geschlossen. Wie in solchen Fällen üblich, erfolgte die öffentliche Bekanntmachung erst im Anschluss daran.
Wenn Angreifer die in beiden Systemen bestehenden Schwachstellen in Kombination ausgenutzt hätten, wären nach Einschätzung von Bitdefender schwerwiegende Folgen möglich gewesen. Für die Solarman-Plattform hätten Hacker demnach Autorisierungscodes (Token) für jeden Account generieren, die Kontrolle über Business-Konten erlangen oder Inverter-Parameter verändern können. Schlussendlich hätte sich damit „die Interaktion von Inverter und Stromnetz“ beeinflussen lassen. Für die Cloud-Plattform von Deye geltende Token – das Unternehmen hat seit Januar 2024 ein eigenes Datencenter und die zuvor direkt bei Solarman gespeicherten Nutzerdaten dorthin migriert – hätten sich überdies auch für Solarman nutzen lassen und Zugang auf Nutzerkonten ermöglicht. Zudem hätten Angreifer Zugriff auf Informationen wie Mail-Adressen oder Telefonnummern erlangen können.
Auf der eigenen Plattform von Deye hätten Hacker dem Bitdefender-Bericht zufolge „Zugang zu jedem Gerät erlangen und technische Daten oder Wireless-Konfigurationen auslesen können“. Ein Endpunkt der Programmierschnittstelle (API) habe „die Exfiltration von Informationen über Nutzer, Namen, E-Mail-Adressen, Telefonnummern und die Nutzer-IDs“ erlaubt. Auch hier hätten die Angreifer Autorisierungs-Token selbst generieren können.
Bitdefender weist aufgrund der entdeckten Sicherheitslücken auf allgemein Risiken für das Stromnetz hin: Mit der Übernahme von Wechselrichtern könnten Angreifer die Geräte auch abschalten, was zu Spannungsschwankungen im Netz führen könne. Damit könnten sie „die Netzstabilität gefährden und eventuell einen Stromausfall verursachen“ – wofür allerdings ein gleichzeitiges Vorgehen bei einem hohen Anteil der Photovoltaik-Leistung in einem Netzbereich erforderlich wäre.
Bogdan Botezatu, verantwortlich für „Threat Research and Reporting“ bei Bitdefender Labs, weist eindringlich auf die potenziellen Gefahren hin: Durch die noch bis in den Juli hinein bestehenden Schwachstellen seien Konfigurationsänderungen an Wechselrichtern möglich gewesen und damit auch „eine weitflächige Unterbrechung der Stromverteilung, eine beeinträchtigte Netzstabilität und möglicherweise Stromausfälle“. Das Internet of Things sei „längst kein exotischer Schauplatz mehr für Hacker“, sondern vielmehr „ein Bestandteil der kritischen Infrastrukturen“.
Der Bericht (in englischer Sprache) steht auf der Bitdefender-Homepage bereit. Dort wird das Vorgehen genauer geschildert, und der Bericht enthält auch Angaben zu weiteren Unternehmen, die auf der Solarman-Plattform arbeiten. Die meisten davon haben nach Angaben von Bitdefender Wartungszeiträume für Sicherheits-Patches geplant: „Wir gehen davon aus, dass diese geplanten Wartungsintervalle dazu dienen, Abhilfemaßnahmen für die Probleme zu implementieren, die wir Solarman und Deye gemeldet haben“, heißt es in dem Bericht.
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
GEIZ IST GEIL
UND CLOUD die KLAUT (DATEN) —- ACTUNG SATIRE oder doch nicht/ oder vielleicht?
wer immer noch an IT SICHERHEIT im INTERNET GLAUBT…..??
Mindeststandards wie DATEN in EU oder voll lokale Anlagenüberwachung sollten eigentlich langsam und endlich mal bekannt gemacht werden….. !
Aber was TROLLE ich noch weiter diesbezüglich….. es muss jeder selber entscheiden ob er die DATEN in die CHINA (oder einer anderen CLOUD) verlagert…..
Viele Grüsse vom MIREK
ERGÄNZUNG zur INFO Quelle aus dem INTERNET:
https://netzpalaver.de/2024/08/07/schwachstellen-in-den-management-plattformen-fuer-photovoltaik-anlagen-von-solarman/
Müssen Wechselrichter Internet-Zugang haben? Sicher für Updates, dann aber nur kurz, alle paar Wochen.
Für Abschaltung? Da bekommen sie die Netzfrequenz als Indikator, ob zu viel Strom im Netz ist.
Zur Übermittlung von Erzeugungsdaten? Da müssten sie auch täglich nur kurz ans Netz. Was momentan eingespeist wird, sieht der Netzbetreiber auch an seinem Ende der Leitung.
Die Firmen machen es sich sicher so einfach wie möglich. Wahrscheinlich muss mal wieder der Gesetzgeber eingreifen, um die einfachsten Standards sicherzustellen.
Natürlich müssen Wechselrichter ans Netz, um über Cloud Dienste oder PV Portal auch die aktuellen Erzeugungs und Verbrauchsdaten live zu übertragen.
Wenn man jetzt Cloud basiertes Energiemanagement betreibt z
B. Cloud basiertes Energiemanagement zieht sich die PV Daten, kommuniziert über Cloud Dienste mit Wallbox, Wärmepumpe und verteilt intellogent die Energie bzw. verschiebt variable Lasten. Dann noch intelligentes Batteriemanagement (z.B. zeitverdetzes Laden) mit Wetter und PV Erzeugungs Prognosen und variable Tarife. Für all diese schönen Dinge werden sichere Cloud Verbindungen benötigt. Digitalisierung und „Intelligenz“ wird in unserem Netz benötigt um es effizienter, günstiger und für 100% erneuerbare Fit zu machen.
Ich merk’s, ich bin völlig hinter der Zeit. Mein Wechselrichter hat keine Internetverbindung. Ich mache aber auch keinen Eigenverbrauch, vor Heimspeichern habe ich Angst, wegen der Brandgefahr, und ein E-Auto habe ich nicht, weil ich mit dem S-Pedelec zur Arbeit fahre (ja: bei fast jedem Wetter!). Ich denke, alle diese Sperenzchen kann ich dem Netz überlassen. Spart viel Geld und Nerven und das Netz macht es besser, als ich es könnte. Auch was dynamische Stromtarife angeht, glaube ich nicht, dass das der Renner wird. Wenn sie zu viel Erfolg haben, wird das Netz schwer ächzen, wenn überall zur Billigzeit die Spül- und Waschmaschinen anspringen. Weil die Anbieter das auch ganz schnell spitz kriegen, werden sie gar keine Billigzeiten mehr anbieten. Allenfalls Hochpreiszeiten, um wenigstens ein paar Verbraucher zum Verzicht bei Strommangellage zu bewegen.
Schwachstelle gefunden und behoben. Ein völlig normaler Vorgang, auch wenn das it-ferneren Personen seltsam erscheinen mag.
Die obigen Kommentare sprechen ja bereits für sich…. wenn man so null Plan von etwas hat, kann man dann nicht die Finger still halten? Wäre manchmal besser.