{"id":286806,"date":"2023-10-10T00:03:00","date_gmt":"2023-10-09T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286806"},"modified":"2023-10-08T21:44:03","modified_gmt":"2023-10-08T19:44:03","slug":"deye-wechselrichter-schwachstellen-und-zugriff-des-anbieters-auf-das-netzwerk","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/10\/deye-wechselrichter-schwachstellen-und-zugriff-des-anbieters-auf-das-netzwerk\/","title":{"rendered":"Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk"},"content":{"rendered":"

\"SicherheitSeitdem Balkonkraftwerke boomen, finden sich Hunderttausende Wechselrichter von Deye in deutschen Haushalten. Die Ger\u00e4te sind dabei \u00fcber WLAN an das Internet angeschlossen und speisen die Daten in die Cloud in China. Mit im \"Beipack\" ist auch die M\u00f6glichkeit, dass der Hersteller Deye per Internet auf die Ger\u00e4te zugreift und sich die Anlage manipulieren l\u00e4sst. Weiterhin w\u00e4re es auch denkbar, dass der Hersteller \u00fcber diesen Kanal sich im internen Netzwerk umsieht.<\/p>\n

<\/p>\n

\"\"Schwachstellen und Probleme mit Kleinwechselrichtern sind ja nichts neues. Beim Hersteller Hoymiles gab es ja Sicherheitsl\u00fccken, die Ende September 2023 im Artikel Balkonkraftwerke: Bedrohliche Sicherheitsl\u00fccken bei Hoymiles<\/a> von heise thematisiert wurden. Ein Sicherheitsforscher hatte sich mit dem Cloud-Dienst dieses Anbieters befasst und bedrohliche Sicherheitsl\u00fccken gefunden. Nachdem heise berichtete, wurden die Schwachstellen von Hoymiles teilweise geschlossen (siehe diesen heise-Artikel<\/a>).<\/p>\n

Wechselrichter von Deye, die ebenfalls in vielen Balkonkraftwerken zum Einsatz kommen, fielen Anfang 2023 durch eine Sicherheitsl\u00fccke in deren Firmware auf. Auch hier hatte heise in diesem Artikel<\/a> berichtet und darauf hingewiesen, dass ein Firmware-Update zur Absicherung beim Hersteller angefordert werden k\u00f6nne. Soweit so schlecht. <\/p>\n

\"Deye<\/a>
Deye SUN600G3 Modulwechselrichter f\u00fcr Balkonkraftwerk <\/p>\n

Die Micro-Wechselrichter von Deye machten im Sp\u00e4tsommer 2023 aber vor allem durch das fehlende Schutzrelais (NA Schutzeinrichtung) Negativ-Schlagzeilen (siehe mein Blog-Beitrag Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei \u00dcberwachungssystemen<\/a>. Inzwischen liefert Deye ja eine Relaisbox als NA Schutzeinrichtung f\u00fcr betroffene Anlagen aus, die zwischen Wechselrichter und Netzeinspeisestecker geschaltet wird. Ich hatte im Blog-Beitrag Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a> \u00fcber die Relaisbox und die damit verbundenen Probleme berichtet. <\/p>\n

Der Hersteller hat Zugriff<\/h2>\n

Zur Inbetriebnahme des Wechselrichters und der Relaisbox m\u00fcssen beide Komponenten per WLAN mit dem Internet verbunden werden. Im Rahmen des Blog-Beitrags Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a> meldet sich der Support von Deye um Unterst\u00fctzung zu gew\u00e4hren. Dabei gab es auch folgenden Hinweis in diesem Kommentar<\/a>:<\/p>\n

\n

Bitte lassen Sie Ihr Wechselrichter online sein, damit Deye ein Ferndiagnose durchf\u00fchren kann.<\/p>\n<\/blockquote>\n

Das war dann die erste (nicht \u00fcberraschende aber) offizielle Best\u00e4tigung, dass der Hersteller Deye \u00fcber die Cloud-Anbindung auf die Wechselrichter zugreifen und deren Firmware sowie dort gespeicherte Parameter manipulieren kann (siehe auch diesen Kommentar<\/a> von Karsten H.). Auch eine Abschaltung des Wechselrichters ist wohl m\u00f6glich. In diesem Kommentar<\/a> hat Blog-Leser Norddeutsch auf diverse Sicherheitsaspekte der Deye-L\u00f6sung hingewiesen. Hier einige Stichpunkte, die der Leser im Kommentar aufgeworfen hat:<\/p>\n

\n