Apps & Mobile Entwicklung

Sicherheits­lücke in Wechsel­richtern: Hoymiles verspricht Update bis Ende August


Nachdem der CCC vor wenigen Tagen öffentlich auf Sicherheitslücken in Wechselrichtern für Balkon- und Dachsolaranlagen des chinesischen Unternehmens Hoymiles hingewiesen hatte, reagiert das Unternehmen und stellt ein Firmware-Update in Aussicht. Gleichzeitig erklärt Hoymiles, es seien weniger Wechselrichter betroffen.

Betroffene Wechselrichter seit 2023 nicht mehr verkauft

Laut Hoymiles betrifft die vom CCC veröffentlichte Sicherheitslücke, die durch die Stellungnahme indirekt bestätigt wird, nur Mikro-Wechselrichter der HM-Serie, die seit August 2023 zudem gar nicht mehr vertrieben werden würden. Das aktuelle Produktportfolio des Herstellers sei von der vom CCC genannten Sicherheitslücke nicht betroffen, so Hoymiles gegenüber dem pv magazine. „Wir haben Kenntnis von dem vom Chaos Computer Club veröffentlichten Bericht. Cybersicherheit hat bei Hoymiles höchste Priorität, und wir nehmen alle sicherheitsrelevanten Meldungen ernst“, so Hoymiles weiter. Dass der Vertrieb vor rund 3 Jahren eingestellt wurde, ist bei Geräten, die geplant 20 Jahre lang betrieben werden, allerdings kein Trost.

Firmware-Update bis Ende August

Gleichzeitig stellt Hoymiles ein Firmware-Update für betroffene Wechselrichter der HM-Serie bis Ende August in Aussicht. Geplant sei derzeit die Veröffentlichung am 30. August. Durch das Firmware-Update soll eine AES-128-CBC-Verschlüsselung für die Kommunikation eingeführt werden und vor der Veröffentlichung werde man das Update einer Cybersicherheitsprüfung gemäß RED EN 18031 unterziehen. Alle aktuellen Produkte auf dem Markt würden diese EU-Funkgeräterichtlinie bereits vollständig einhalten. Wie sich das Update auf die Steuerung über OpenDTU auswirkt, bleibt vorerst offen. „Alle im Einsatz befindlichen Wechselrichter der HM-Serie arbeiten weiterhin normal. Kunden müssen ihre Anlagen nicht abschalten oder Geräte austauschen“, so Hoymiles in einem Statement gegenüber pv magazine.

Frühzeitig oder spät reagiert?

Der CCC hatte öffentlich gemacht, dass die Sicherheitsschlüssel der Hoymiles-Wechselrichter durch einen geheimen Befehl von jedem in der Umgebung abgefragt werden können, wodurch anschließend eine Kommunikation und Steuerung mit dem Wechselrichter möglich ist, die auch das Aufspielen einer veränderten Firmware ermögliche. Nicht ganz klar ist, wann Hoymiles diese Sicherheitslücke tatsächlich bekannt war und man reagiert hat. Während der CCC berichtet, dass sich der Hersteller „taub gestellt“ habe, weshalb man die Lücke öffentlich gemacht habe, erklärt Hoymiles, dass man „unmittelbar“ nach Bekanntwerden einen internen Reaktionsprozess aktiviert und eine Taskforce eingerichtet habe. Ob dies nach Kontaktaufnahme durch den CCC oder die medienwirksame Veröffentlichung der Fall war, bleibt offen. Wie Hoymiles erklärt, habe man auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert und über die geplanten Schritte in Kenntnis gesetzt.



Source link

Beliebt

Die mobile Version verlassen