Apps & Mobile Entwicklung
Balkonkraftwerke: CCC findet Sicherheitslücken in Wechselrichtern von Hoymiles
Der Chaos Computer Club (CCC) warnt vor gefährlichen Sicherheitslücken, die die Wechselrichter für Solaranlagen von Hoymiles betreffen. Die angeblich geheimen Schlüssel zur Steuerung der Anlagen sollen komplett ungeschützt zugänglich sein. Hoymiles habe bisher nicht auf Hinweise durch den CCC reagiert und stelle sich taub.
Anlagen lassen sich abschalten und zerstören
Demnach hat ein Sicherheitsforscher in Zusammenarbeit mit dem CCC die Sicherheitslücken in den Wechselrichtern für Balkon- und Dachsolaranlagen des chinesischen Unternehmens Hoymiles entdeckt. Die Lücken sollen es mit einfachsten Mitteln möglich machen, PV-Anlagen im Vorbeifahren abzuschalten oder sogar dauerhaft physisch zu zerstören.
Der Hersteller reagierte auf Hinweise auf die Sicherheitslücken irritiert bis gar nicht, so der CCC. Die Aufsichtsbehörden halten die allgemeinen Risiken für gering, da die potentiell von einer Ausnutzung der Schwachstellen ausgelösten Einbrüche von Gigawatt Leistung problemlos von den Netzbetreibern aufgefangen werden könnten.
Den Nutzern von Hoymiles-Wechselrichtern ist damit allerdings nicht geholfen, denn wenn niemand reagiert, besteht weiterhin das Risiko, dass die eigene Anlage jederzeit fremdkontrolliert, umkonfiguriert, abgeschaltet oder mit Schadsoftware bespielt wird. Hoymiles selbst gibt für Europa einen Marktanteil von 20 Prozent an, ist also kein unbedeutendes Unternehmen auf dem hiesigen Solar-Markt.
Zugriff über Seriennummer – die der Inverter selbst verrät
Was Hobbybastler einerseits freut, erweist sich nun andererseits als Sicherheitslücke: Auf die Daten der Hoymiles-Wechselrichter lässt sich relativ einfach zugreifen, da diese für die Cloud-Anbindung über proprietäre, aber ungeschützte Protokolle übertragen werden. So kann man über zahlreiche Open-Source-Projekte auf diese Daten zugreifen und nicht nur Statistiken auslesen und ein Dashboard bauen, sondern auch den Wechselrichter steuern und Firmware-Updates einspielen. Ab Werk ist die Seriennummer der Schlüssel für diese Steuerung.
Ohne physischen Zugriff auf den Wechselrichter sollte man diese Seriennummer nicht kennen, also auch keinen Zugriff auf den Inverter haben – so die Theorie. Doch Sicherheitsforscher Hunz hat ein nicht-dokumentiertes Feature in der Firmware entdeckt, in der über einen Rundruf alle Hoymiles in der Gegend entdeckt werden können, so der CCC. Als Teil des Antwort-Pakets auf einen solchen Rundruf überträgt der Hoymiles-Wechselrichter auch seine Seriennummer unverschlüsselt an den potenziellen Angreifer. Der eigentlich geheime Schlüssel ist durch diese Übertragung bekannt und die Anlage, sofern sie nicht geschützt wurde, lässt sich übernehmen und steuern.
CCC macht Schwachstelle öffentlich, da Hoymiles schweigt
Nachdem der Hersteller Hoymiles im Rahmen des Disclosure-Prozesses nach Angaben des CCC nicht reagierte, geschweige denn einen Patch veröffentlicht hat, habe man sich gezwungen gesehen, die Schwachstellen öffentlich zu machen und Lösungsvorschläge anzubieten, so der CCC.
Betreiber einer PV-Anlage von Hoymiles sollten bis auf weiteres davon ausgehen, dass diese derzeit von jedem mit einem günstigen Funkmodul aus Funkreichweite ferngesteuert werden kann. Als Minimalhürde für Angreifer sollten die Betreiber mit originaler DTU (Data Transfer Unit) von Hoymiles schnell ein Passwort setzen, auch wenn dies nach aktuellem Wissensstand nicht gegen alle Angriffsvektoren schützt – beispielsweise die Installation einer Fremd-Firmware.
Open-Source-Patch möglich?
Der CCC ruft die Entwickler der OpenDTU-Community und andere Sicherheitsforscher dazu auf, gemeinsam an einer nachhaltigen Lösung zu arbeiten: Ziel sei zum Beispiel ein Open-Source-Patch oder eine alternative Firmware für die RF-Module, die Kryptographie (etwa AES) anstelle von unverschlüsselten Seriennummern nutze. Da Hoymiles proprietäre Protokolle nutzt, sei dies auch ein Reverse-Engineering-Projekt, so der CCC. Zudem sollen Firmware-Updates von Hoymiles von der Community kritisch untersucht werden, damit Open-Source-Projekte wie OpenDTU nicht ausgesperrt werden.
Forderungen an Politik und Hoymiles
Dirk Engling, Sprecher des CCC, fordert von Regulierungsbehörden und Politik: „Schluss mit dem Wilden Westen im IoT. Dieser Fall ist ein praktisches Lehrstück dafür, warum ‚Kritische Infrastruktur‘ nicht erst bei großen Kraftwerken beginnt, sondern bereits im Vorgarten. Wenn Tausende Anlagen per Rundruf abgeschaltet werden können, ist das ein systemisches Risiko.“
Der CCC fordert deshalb Mindeststandards für die IT-Sicherheit von Einspeisegeräten. Ein Gerät, das ohne Authentifizierung Firmware-Updates via Funk akzeptiert, dürfe keine Marktzulassung in der EU erhalten.
Von Hoymiles erwartet der CCC eine sofortige Reaktion und einen Zeitplan für Patches.