Unschöne, aber keineswegs neue Erkenntnis. Deutschland ist zwar "stolz" ob der installierten Leistung an Solarkollektoren. Aber ein griechischer White Hat-Hacker hat gezeigt, wie er sich mittels Notebook und Internet in zahlreiche europäischen Solaranlagen hacken und diese – auch in Deutschland – einfach ausknipsen könnte.
Anzeige
Ich bin vor einiger Zeit über nachfolgenden Tweet auf das Thema gestoßen, welches Bloomberg im Artikel Hacking Rooftop Solar Is a Way to Break Europe's Power Grid aufbereitet hat.
Sicherheitsspezialist Vangelis Stykas genügte ein Notebook und ein Smartphone, um aus seinem Haus in Thessaloniki, Griechenland, auf Solaranlagen in Europa zuzugreifen. Er umging dazu die Firewalls, die Solaranlagen weltweit vor Zugriffen schützen sollten.
Vangelis Stykas gibt an, Zugriff auf das gesamte deutsche Netz an Solaranlagen gehabt zu haben. Der White-Hat-Hacker, der Software für Unternehmen testet, sagte gegenüber Bloomberg, dass er so weit in die Steuerung der Solaranlagen eingedrungen sei, dass er die Wechselrichter hätte abschalten können.
Anzeige
Eine solche Abschaltung könnte das Stromnetz in Schieflage bringen, so dass dieses wegen der auftretenden Belastungen aus Sicherheitsgründen abgeschaltet werden müsste. Das könnte kaskadenartige Netzausfälle in Ganz Europa nach sich ziehen. Sie Ausführungen zeigen die wachsenden Risiken für Versorgungsunternehmen und Regierungen, die jedes Jahr mit mehr Cyberangriffen konfrontiert werden.
"Wir werden immer abhängiger von diesen Geräten, aber selbst wenn sie zu einer kritischen nationalen Infrastruktur werden, sind sie nicht vollständig sicher", sagte Stykas gegenüber Bloomberg. "Wenn diese Geräte gehackt werden können, ist das europäische Stromnetz, das die Grundlage für unseren gesamten Lebensstil bildet, anfällig."
In der Europäischen Union gab es 2023 mehr als 200 gemeldete Cyberangriffe auf die Energieinfrastruktur. Vor einigen Tagen wurde die rumänische Electrica SA (ca. 4 Millionen Kunden) Opfer eines Cyberangriffs, wobei kritische Stromversorgungssysteme nicht betroffen gewesen seien, hieß es.
"Es gibt eine gewisse Naivität in Bezug auf das Risiko", bescheinigt Harry Krejsa, Leiter der Studien am Carnegie Mellon Institute for Strategy & Technology in Pittsburgh, der Branche und den Benutzern. Angriffe können von Habgier (Lösegeldzahlungen oder Marktmanipulation) über Terrorismus (die Nationen im Dunkeln tappen lassen) getrieben sein, aber auch in einem Krieg genutzt werden (russische Cyberangriffe auf die Stromversorgung der Ukraine).
Die Bedrohung ist so ernst, dass die NATO in Schweden erstmals eine Sicherheitsübung durchführte, um Schwachstellen in Solar-, Wind- und Wasserkraftanlagen zu finden und zu beheben.
"Wenn wir uns die Sicherheitsbedrohungen für erneuerbare Energiesysteme ansehen, sehen sie ganz anders aus, als wir es gewohnt sind", zitiert Bloomberg Freddy Jonsson Hanberg, Leiter der NATO-Sitzungen. "Es gibt eine Vielzahl von Möglichkeiten für Angriffe auf diese Systeme. Sie sind verwundbar."
Bei der alle zwei Jahre stattfindenden Cyber-Europe-Übung der EU im Juni 2024nstand erstmalsl das Thema Energie im Mittelpunkt. Zu den Hypothesen gehörte die Reaktion auf staatlich gelenkte Bedrohungen gegen Betreiber von Stromverteilungssystemen und Gasspeicheranlagen.
Energieunternehmen haben es bisher geschafft, ihre kritische Infrastruktur gegen Angreifer zu sichern. Aber Millionen Solaranlagen auf privaten Objekten und mit dem Internet verbunden, reißen Sicherheitslöcher auf, die die Energieversorgung für Angreifer manipulierbar machen. Da kommt noch einiges auf uns zu.
Ähnliche Artikel:
Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk
Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!
Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei Überwachungssystemen
Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-/Kundendaten an
Schwachstellen in chinesischen Solarmanagern (Solarman, Deye)
Deye deaktiviert Solar-Wechselrichter in USA, UK und Pakistan
Deye äußert sich zu deaktivierten US Solar-Wechselrichtern
SMA-Solaranlagenbetreiber: Achtung vor AVM-Updates
Anzeige
Weshalb es den Hackern schwer machen und nicht die PV Anlage und den Speicher gleich in die chinesische Cloud hängen … dafür kann man dann 24/7 sehen wieviel Ertrag man hat …
… und in der selben chinesischen Klaud hängen auch noch die vielen IoT-Geräte wie Zwischenstecker, Lampen, Fernseher, Kühlschränke, Rolläden u.v.m welche hier überwacht und mit Spyware (als Update) versorgt werden können. Oh, du schöne … Ho,Ho, Ho!
Spannende Behauptung des Herrn aus Griechenland. Ich kaufe ihm durchaus ab, das er eine nicht gerade kleine Anzahl an PV-Wechselrichtern hätte steuern bzw. abschalten können. Aber "Zugriff auf das gesamte deutsche Netz an Solaranlagen" kaufe ich ihm nicht ab. Ein paar Solaranlagen habe ich ebenfalls schon mit Firewalls und VPNs abgesichert. Einen Zugriff auf diese Anlagen würde ich ausschließen. Nichts desto trotz, gibt es da noch sehr viel zu tun. Die allermeisten Installationen sind sehr blauäugig ans Netz gehängt worden. Und die vielen privaten Wechselrichter die in die China-Clouds telefonieren sind ebenfalls ein nicht zu unterschätzendes Risiko. Im Sommer bei viel Energie aus den PV-Anlagen wäre eine gleichzeitige, gezielte Abschaltung von Anlagen tatsächlich ein gefährliches Szenario, welches nicht nur die Verteilnetze in Bedrängnis bringen könnte. So ist das leider, wenn aufgrund von Ideologien das Hirn ausgeschaltet wird.
da muss man gar nichts hacken, der größte Angriff auf die Energieversorgung wird in Berlin orchestriert.
+1 Amen.
War der Robert auch schon bei dir und hat dir die Heizung rausgerissen, oder hast du noch keinen Termin erhalten?
Herr Born, was haben solche Beiträge hier zu suchen?
Naja, da sucht der gute Mann wohl ein bisschen zu viel die öffentliche Sonne. Das europäische Stromnetz bringt man mit ner halben Million Panels nicht in Bedrängnis. Wohl aber lokale Niederspannungsnetze, die diese Modelle in größerer Stückzahl einsetzen. Dort sind wir zumindest in Deutschland weitestgehend im Blindflug unterwegs.
Aber er macht einen wichtigen Punkt. Es müsste auch eine Art Tüv geben, um die IT-Sicherheit solcher Geräte zu beurteilen. Im Prinzip machen wir das Stromnetz resilienter gegen Angriffe durch verteilte Erzeugung. Aber das hilft wenig, wenn ich die "kleinen" Erzeuger in Masse mit überschaubarem Aufwand übernehmen kann.
unser Strommnetz war zentralisiert und stabil.
Man glaubte, es besser machen zu können, aber das Gegenteil ist der Fall:
Teuer und schlecht.
Einfacher als einen TÜV und weitere Vorgaben für Wechselrichter, wäre es ja eigentlich, die einfach nicht ans Internet zu hängen.
Schließlich ist der Mehrwert davon relativ begrenzt – Kleinanlagen werden sowieso nicht abgeschaltet (und wenn nicht direkt über die Herstellercloud der Wechselrichter) und groß Steuern und Überwachen muss man da ja auch nichts.
Müsste man nicht, wollen aber praktisch alle. :)
Die Hersteller setzen hier größtenteils nur Kundenanforderungen um.
Und gerade bei den besonders betroffenen "Balkonkraftwerken" ist ein Monitoring ja wirklich essentiell.
Das beschränkt sich ja auch nicht auf irgendwelche Wechselrichter. jede smarte Steckdose, Lampe, Kühlschrank, Thermostat oder was nicht noch so am Netz hängt, bieten Missbrauchspotential.
Der Bloomberg-Artikel geht ja leider nicht ins Detail – ich postuliere aber mal, dass der White-Hat-Hacker eher nicht die Balkonkraftwerke, sondern größere Solaranlagen im Fokus hatte, die von den Netzbetreibern zur Stabilisierung des Stromnetzes abgeregelt werden können. Und ein Monitoring von Solaranlagen macht schon Sinn (auch im Bereich kleinerer Installationen), um technische Problem zeitnah zu erkennen.
Die Lösung könnte so einfach sein. Minimal-Invasiv bei Ausnutzung bestehender Gesetze und Verordnungen und vor allem ohne neue Wasserkopf-Bürokratie dazwischen.
– Strikte Durchsetzung der bereits bestehenden Produkthaftungs- und Marktaufsichtregelungen.
– Strikte Durchsetzung von Security and Privacy by Default.
– Ich plädiere für ein zusätzliches Default: "Offline by Default". Eine Anlage, ein technisches Gerät muss mit seinen beworbenen Funktionen immer offline bedienbar sein. Das könnte auch ein "Analog by Default" beinhalten, dass ein Produkt immer mit einem physischen Schalter z.B. ein und auszuschalten ist.
– Das Verstecken von Herstellern hinter einem angeblichen Consent. Ein solcher muss immer informiert und am besten genauso mit einer gezielt gezogenen Barriere wie bei den Double-Opt-In in Newslettern erreicht werden. Ein einfaches Wegklicken von EULAs bei einer Softwareinstallation oder Inbetriebnahme sollte als nicht ausreichend betrachtet werden.
Und da wären noch die jahrelangen Forderungen des CCC was "Mindesthaltbarkeit" betrifft. Ein Hersteller muss gut sichtbar eine garantierte Zusage bis zum Jahr X für Updates abgeben, bis wann bekannt gewordenen Bugs und Fehler (z.B. alles mit CVE) behoben werden. Damit erhalten die redlich arbeitenden heimischen Hersteller wieder eine Chance gegenüber billiger Chinaware.
Gleichzeitig ist ein Hersteller zu verpflichten, bei Einstellung eines Produktes sämtliche proprietäre Software, Konstruktionszeichnungen und Toolchains offenzulegen und unter eine freie Lizenz zu setzen.
Sollte davon etwas nicht mehr zutreffen, darf ein Kunde ein gekauftes Produkt gegen Erstattung des vollen Kaufpreises wieder zurück geben können. Die Beweislast liegt beim Hersteller.
Ja, einige haben seit Jahr und Tag vor solchen Angriffspunkten und Abhängigkeiten gewarnt, wurden aber verlacht und verhöhnt.
Das ist erst der kleine Anfang des Realisierens worauf man sich in allen möglichen Berrichen des Allrags mit vollen Segeln jubelnd eingelassen hat.
Die Cloud ist ein Irrweg.
Ich wäre ja mal gespannt, wie der das macht… Bei meinem China-Cloud verbundenen WR finde ich im Webinterface jedenfalls keinen Aus-Schalter… Da muss ich schon direkt ans Gerät um den mechanischen Drehschalter umzulegen oder unten im Keller an den zentralen Stromverteilerkasten, um dem WR per Sicherung den Saft weg zu nehmen. Ich kann dem übrigens auch Internet einfach weg nehmen und der läuft weiter, ich kann nur nicht mehr gucken, wie es ihm geht. Oder vergleichen, dass er dieses Jahr etwa 5% weniger Strom erzeugt hat, als letztes Jahr… :(
Tipp: Es gibt immer mehr Möglichkeiten, als irgendein Webinterface oder ein Schalter darin anzeigt…
dann drehst halt den Output runter von 2000 Watt auf 1 Watt. Muß ja gehen, geht ja auch von Ferne von 600 Watt auf 800 Watt.
Machst das flächendeckend für hundertausende Anlagen – gibt ne schicke Schwankung.
Um das Stromnetz wirklich zu beeinflussen, müßte der Hacker in den Redispatch eingreifen. Ich weiß zwar nicht wie der genau technisch funktioniert, aber jede Unregelmäßigkeit würde in den Leitwarten der Übertragungsnetzbetreiber sofort auffallen. Die vielen kleinen PV Anlagen unter 100 kw sind nur im Niderspannungsnetz und dort sind die Abschnitte überschaubar. Auch haben Vorfälle dort keinerlei Auswirkungen auf das Verbundnetz. Da keinerlei technische Details angegeben sind, halte ich das für Marketingsprech des Unternehmens.
Kleine PV Anlagen benötigen überhaupt keine Vernetzung. Da zeigt sich halt wieder wie kaputt das Internet inzwischen ist. Hätte jeder Nutzer ein öffentliche IP Adresse (mit IPv6 kein Problem) dann könnten Daten über einen Webserver zuhause verfügbar gemacht werden ohne eine chinesische Cloud.
PV-Kleinanlagen und anderen online verknüpfte Geräte eines Tages/nachts gesammelt remote zu sabotieren, erzeugt sicherlich durchaus einige Unruhe in der Gesellschaft…
Muss er nicht. Jedenfalls müsste er nur die Huawei Anlagen angreifen. Die kannste einfach umstellen, runterfahren. Huawei ist ne riesige Menge an Wechselrichtern und Batterien im Ländle, wenn 500.000 Anlagen mit 1-20 KW spotan runterfahren und rauffahren, würde dann doch mal hier und da für Verwirrung im Netz sorgen.
Könnte mir gut vorstellen wenn man das 20 x am Tag macht das die Schwankungen doch erheblich sind. – Ich kann nur für Huawei sprechen, ich weiß nicht was die anderen Hersteller können. SMA kann zB. auch die Batterien von Ferne blocken , wie ich grad hörte.
Ich denke auch mal das sehr viele Leute ihre Kennwörter auf Standard lassen. Da der Kunde bei Huawei meist eh nicht alles darf, da die Installateure das Installateur-Kennwort nicht rausrücken und der User (Besitzer der Anlage!) meist nur einen eingeschränkten User-Account bekommt ist noch ne andere Nr. – daher wird die Sicherheit eh verwässert wer welche Kennwörter pflegt, was wo wie darf. Macht es nicht einfacher.
Weshalb haben die Wechselrichter noch keinen Displayport Ausgang und 2 USB Buchsen für Maus und Tastatur? Dann könnte man die Gespeicherten Daten lokal abrufen.
Wenn man von einer minimal geforderten Auflösung von 1280×720 ausgeht, würde jeder 19 Zoll Bildschirm der letzten 20 Jahre mit DVI ausreichen um die Statistiken darzustellen.
Wenn der Wechselrichter über genügend integrierten Speicher verfügt, könnte er auch die Ertragsstatistik der letzten 2 Jahre anzeigen.
Dazu bräuchte es keine Netzwerkintegration oder Cloud.
Eine gewisse Steuerbarkeit und Sichtbarkeit von Remote kann erstrebenswert sein. Gerade auch wenn man SmartGrid und des Aspekt der Netzstabilität betrachtet.
Was die PV-Anlage so macht schaue ich nach wenn ich daran denke und es mich intressiert. Das ist tenedenziell selten der Fall wenn ich dazu einen Monitor in der Hand haben und in den Technikraum laufen muss.
Klar, an der Erzeugung kann ich selbst nichts ändern, aber meinen Verbrauch passen meine Frau und danach durchaus an.
Mein Wechselrichter hängt draussen am Dach… soll ich jetzt jedesmal hochklettern?
Es ginge durchaus günstiger udn aus User-Sicht angenehmer: Powerline zum jeweils passenden Fernsteuerung-Gegenstück, die im Haus einfach an einer Steckdose angeschlossen wird. Ein kleines LCD-Touch-Display zeigt dann die Betriebsdaten an und ermöglicht eine Steuerung. Optional können BT und WLAN da aktiviert werden, damit jemand das auf seinen dusseligen Apps nutzen kann, wenn er will. Das Steckdosen-Gegenstück macht dann ein eigenes WLAN auf und/oder bucht sich als Gerät im heimischen WLAN ein.
Viele Cloud Produkte existieren nur wegen des Datenabflusses nach draussen und ggf. den Weg ins lokale Netz zu weiteren Daten.
Ähnlich Supermarkt Apps, Punkte sammeln usw, die Rabatte dort "bezahlt" man mit allen möglichen Daten…
Tja, unglücklicherweise verlangt der Solar-Installateur – in meinem Fall die Enercity aus Hannover den Zugriff über die Cloud des Anbieters Huawei um die Anlage monitoren zu können. Knipse ich das ab, kümmere mich lokal um das System ohne Cloud verfällt der Support und deren Garantie, die ja noch ein paar Jahre auf dem Zeug liegt. Ich bin also dazu verdammt, die Daten in die China-Cloud abzugeben über FusionSolar, das System von Huawei.
Somit habe ich eine lokale Anbindung über ModbusTCP und parallel die Anbindung an Huawei. Ich brauch den Online-Kram nicht, läuft alles lokal wie es soll. Nur für den Garantiegeber.
Wenn jemand über den Gesetzgeber flucht, dann bitte auch in die Richtung fluchen das Standards immer noch nicht flächendeckend da sind, der Matter-Standard funktioniert nicht und jeder Hersteller macht seinen Kram wie es ihm passt. Welthersteller haben heutzutage teilweise noch nicht mal WPA3 implementiert. Zahlreiche Implementationen und Programmierungen sind nötig um alles mögliche lokal und smart zu handeln. Für den einfachen Enduser, der seine Geräte steuern möchte gibt es nur die Apps der jeweiligen Hersteller. Es erfordert einen gestandenen ITler um alle Fritz-Geräte, Shellys, Huawei Solar, Wolf-Heizungen, Somfy-Anbindungen, Mitsubishi-Klima-Anbindungen, Überwachungskameras usw. usw. usw. lokal zu betreiben. Standard ist hier leider nichts, zahlreiche Plugins sind nötig um das Zeug lokal zu betreiben. Samsung will für seine Kühlschränke sogar ne aktive Webhoc Anbindung haben, wenn man nicht über die App des Herstellers das Ding steuern will. Derzeit für den Enduser absolut nicht machbar. Es ist ein heidenaufwand alles lokal zu betreiben. Teilweise per Modbus, teilweise mit Bridges hier, Bridges da, ein bisschen mqtt da, ein bisschen ISAPI dort. Das ist nicht machbar für nen Enduser der einfach nur aufn Knopf drücken will (lokal) um seine Rollos usw. zu bedienen.
Es ist doch eigentlich egal, ob die Wechselrichter nach Hause telefonieren oder nicht. Sicherlich könnte ein feindlich gesinnter Hersteller (siehe Dreye in den USA) alle ihm zugehörigen WRs herunterfahren, sogar weltweit, aber mit einer großen Instabiltät des Stromnetze ist mMn dann nicht zurechnen.
Interessanter ist der Punkt, dass das BM für Wirtschaft derzeit eine Novelle des EnWG im Parlament hat, das wenn es durchgewunken wird, alle PV Anlagen größer 2 kWp rückwirkend ab Inbetriebnahme 2018 von außen durch die Netzbetreiber steuerbar sein müssen. Ergo müsste man sich nur bei 2-3 VNBs oder ÜNBs reinhacken um flächendecken alle PV-Anlagen unabhängig vom Hersteller dann auszuschalten.
Da hilft dann auch nichts, wenn der WR keinen Internetzugang hätte.
Manch ein unerlaubter Zugriff wird auch zu einfach gemacht. So hat der WLAN-Dongle von Alpha ESS das Passwort 12345678 . Dies kann nicht geändert werden. Das Problem ist seit Anfang 2024 bekannt und sollte durch eine Aktualisierung der Firmware behoben werden. Sollte…. bis heute hat sich da nichts geändert.
Da lob ich mir ausnahmsweise avm. Unter Jedem Router klebt ein anderes Kennwort.
Es gibt nicht immer nur einen Account in den Routern uä. Geräten…
Huawei Standardkennwort ist auch bei allen gleich und überall bekannt.