Die Cybersecurity-Firma Jakkaru hat eine kritische Sicherheitslücke in Mikrowechselrichtern des Herstellers AP Systems offengelegt. Nach Angaben von Jakkaru ermöglichte die Schwachstelle eine vollständige Kompromittierung der Geräte über das Internet, einschließlich der Möglichkeit, Systeme gezielt und koordiniert abzuschalten. Die Sicherheitslücke wurde durch den Hersteller wieder geschlossen, nachdem Jakkaru AP Systems auf das Problem aufmerksam machte.
Im Zentrum des Hacks steht der Mikrowechselrichter EZ1-M, der auch als White-Label-Produkt unter anderem von Anker als Modell „Solix Mi80“ vertrieben wird. Nach eigenen Angaben identifizierte Jakkaru rund 100.000 konkret erreichbare und verwundbare Geräte. Den Hackern zufolge besteht die Möglichkeit, dass eine potenziell größere Gerätebasis, wie beispielsweise auch die Heimspeicher des Herstellers, von der Schwachstelle betroffen war. Weltweit seien etwa 600.000 Installationen von AP Systems im Einsatz.
Angriff über MQTT-Infrastruktur
Die Forscher identifizierten ein verhältnismäßig einfach hackbares MQTT-Gateway innerhalb der Gerätekommunikation. Die Wechselrichter übertragen Betriebsdaten über ein cloudbasiertes MQTT-System. Dabei erfolgt die Authentifizierung über statische Schlüssel, die aus der Seriennummer des Geräts abgeleitet werden. Da diese Seriennummern fortlaufend vergeben werden, lassen sie sich vergleichsweise leicht vorhersagen.
Das Team von Jakkaru konnte den genauen Authentifizierungsmechanismus rekonstruieren. Im konkreten Fall nutze es für das dafür notwendige „Reverse Engineering“ der Firmware KI-Modelle wie Gemini Pro. Auf dieser Basis gelang es dem Team, sich gegenüber dem MQTT-Gateway als legitimes Gerät auszugeben.
Besonders kritisch ist laut Jakkaru die Möglichkeit, über sogenannte „retained messages“ im MQTT-Protokoll Firmware-Updates auszulösen. Angreifer können damit eigene Firmware auf die Geräte aufspielen. In einem Proof of Concept demonstrierten die Forscher, dass sich so die vollständige Kontrolle über den Wechselrichter erlangen lässt.
„Generell lässt sich sagen, dass mithilfe von KI-Systemen wie Gemini Pro Sicherheitslücken schneller und effektiver gefunden werden können“, sagt Marlon Starkloff, Geschäftsführer von Jakkaru, auf Anfrage von pv magazine. „Statt mehrerer Tage manueller Forschung dauert es mit KI-Systemen nur noch wenige Stunden. Das ermöglicht allerdings auch Angreifern mit wenig IT-Verständnis, großen Schaden anzurichten. Die Einstiegshürde ist gesunken.“
Starkloff geht davon aus, dass geübte Hacker die Sicherheitslücke auch ohne KI-Systeme gefunden hätten. Gemini würde die Arbeit lediglich vereinfachen. Besonders beim Reverse Engineering bedürfe es tiefen Wissens, um gewisse Funktionalitäten zu identifizieren, und insbesondere dafür seien KI-Systeme gut geeignet. Er vermutet, dass der Hack an den AP-Systems-Wechselrichtern ohne den Einsatz von KI rund drei Tage in Anspruch genommen hätte. Mit KI-Hilfe dauerte es nur eine Stunde, sagt Starkloff.
Cybersicherheit für Solar- und Speichersysteme: Lernen Sie aus realen Angriffen
Möchten Sie die Cybersicherheit Ihrer Solarenergieanlagen stärken und sich besser vor neuen Bedrohungen schützen?
Nehmen Sie am 29. April am pv magazine Webinar+ teil (kostenpflichtig/ Webinar auf Englisch):
„Decoding the first massive cyberattack on Europe’s solar energy infrastructure – The Poland case and lessons learned“
Branchenexperten analysieren reale Angriffsszenarien, zeigen potenzielle Schwachstellen in Solar- und Speichersystemen auf und diskutieren konkrete Strategien zum Schutz Ihrer Anlagen.
Erfahren Sie, wie Betreiber und Projektentwickler Cyberrisiken im schnell wachsenden Solarenergiesektor frühzeitig erkennen, verhindern und darauf reagieren können.
Remote-Firmware-Update als Einfallstor
Neben dem Kommunikationsmodul konnten auch Steuerungskomponenten für die Leistungselektronik adressiert werden. Damit wären prinzipiell Eingriffe in die Einspeisung möglich. Die möglichen Auswirkungen umfassen laut Jakkaru:
- Zugriff auf WLAN-Zugangsdaten und andere im Gerät gespeicherte Informationen
- Nutzung der Geräte als Einstiegspunkt in lokale Netzwerke
- Zusammenschluss kompromittierter Geräte für DDoS-Angriffe
- Beschädigung der Geräte durch manipulierte Firmware
- Koordinierte Abschaltung großer Anzahlen an Wechselrichtern
Hersteller reagiert auf Meldung
Jakkaru informierte AP Systems im November 2025 über die Schwachstelle. Der Hersteller habe daraufhin einen Zeitraum von rund drei Monaten für die Behebung veranschlagt, da Anpassungen an der Backend-Infrastruktur erforderlich gewesen seien. Die Veröffentlichung der Ergebnisse erfolgte am 4. März 2026.
Auf Anfrage von pv magazine teilt ein Unternehmenssprecher von AP Systems mit: „AP Systems hat eine umfassende Aktualisierung des Kommunikationssicherheitssystems zwischen Geräten und Servern abgeschlossen. Dank zahlreicher technischer Verbesserungen entsprechen nun alle Produkte vollständig den europäischen Cybersicherheitsstandards. Um Sicherheitslücken wie schwache herkömmliche Verschlüsselungsmechanismen und ungeschützte geheime Schlüssel zu beheben, setzen AP-Systems-Geräte auf eine Sicherheitsauthentifizierungslösung mit einer eindeutigen Anmeldeinformation pro Gerät, wodurch böswillige Angriffe und Informationslecks wirksam verhindert werden. Gleichzeitig überprüft das System eindeutige Identifikatoren wie Gerätetyp und MAC-Adresse in Kombination mit dem X-Sign-Signaturüberprüfungsmechanismus, um authentische und vertrauenswürdige Anfragen sicherzustellen und die Sicherheit beim Gerätezugriff weiter zu verbessern. Diese Aktualisierung markiert einen neuen Meilenstein in den Cybersicherheitsfähigkeiten von AP Systems und festigt die führende Position des Unternehmens in den Bereichen Produktsicherheit und Compliance. Sie ermöglicht es AP-Systems-Nutzern in ganz Europa und weltweit, sicherere, stabilere und zuverlässigere Produkte und Dienstleistungen anzubieten.“
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
Mit dem Absenden dieses Formulars stimmen Sie zu, dass das pv magazine Ihre Daten für die Veröffentlichung Ihres Kommentars verwendet.
Ihre persönlichen Daten werden nur zum Zwecke der Spam-Filterung an Dritte weitergegeben oder wenn dies für die technische Wartung der Website notwendig ist. Eine darüber hinausgehende Weitergabe an Dritte findet nicht statt, es sei denn, dies ist aufgrund anwendbarer Datenschutzbestimmungen gerechtfertigt oder ist die pv magazine gesetzlich dazu verpflichtet.
Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. In diesem Fall werden Ihre personenbezogenen Daten unverzüglich gelöscht. Andernfalls werden Ihre Daten gelöscht, wenn das pv magazine Ihre Anfrage bearbeitet oder der Zweck der Datenspeicherung erfüllt ist.
Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.