IT-Forscher haben sich einen Mikro-Wechselrichter von APsystems genauer angeschaut, das Modell EZ1-M. Dabei stießen sie auf Schwachstellen, die Angreifern das Unterjubeln beliebig manipulierter Firmware ermöglichen.

Lücken in den Cloud-Systemen der Wechselrichter-Hersteller sind nichts Neues. Alle größeren und kleineren Anbieter haben damit zu kämpfen. Hoymiles musste 2023 etwa Sicherheitslücken in den Clouddiensten stopfen, durch die sich Wechselrichter etwa zerstören ließen. Anfang vergangenen Jahres haben sich IT-Forscher von Forescout Photovoltaik-Anlagen näher angesehen und stießen dabei auf 46 neue Schwachstellen, während sie zunächst knapp 100 ältere bekannte Sicherheitslecks gesammelt hatten – der Großteil von denen betraf die Solar-Monitor-Systeme und die Cloud-Backends dahinter. Die konkrete Untersuchung jetzt hat jedoch einige Eigenheiten mit interessanten Methoden aufgedeckt.

Analyse mithilfe künstlicher Intelligenz

Die Mitarbeiter der kleinen IT-Sicherheitsfirma Jakkaru aus dem nordhessischen Kassel haben ihr Vorgehen und eine detailliertere Analyse veröffentlicht. Sie haben die Firmware des ESP32-C2-basierten Photovoltaik-Mikro-Wechselrichters APsystems EZ1-M untersucht und dabei die Adresse des herstellereigenen MQTT-Brokers gefunden sowie zwei zufällige Zeichenketten im Kontext. Da das Reverse Engineering der Firmware herausfordernd war, setzten die IT-Forscher auf disassemblierten C-Code, den sie der Gemini-Pro-KI zur Interpretation vorwarfen. Das habe erstaunlich gut funktioniert, sodass der Verbindungsprozess einfach nachvollziehbar wurde. Dabei stellte sich heraus, dass die Geräte-Seriennummer – eine fortlaufende, vorhersehbare Nummer – zusammen mit offenbar statischen Keys AES-verschlüsselt und das Ergebnis nochmals Base64-kodiert wird und schließlich als Username respektive Passwort für den MQTT-Brokerdienst dient.

Bei der weiteren Analyse stießen sie auf MQTT-Topics, die zum Update der Firmware „Over the air“ (OTA) dienen. Direkter Zugriff mit den generierten Zugangsdaten zum Abonnieren solcher MQTT-Topics war nicht möglich. Allerdings kennt MQTT sogenannte „Retained Messages“. Die werden umgehend und persistent an die Clients geschickt, sofern sie sich verbinden. Ein Angriff war also möglich, indem sich bösartige Akteure mit dem MQTT-Broker mit den erstellten Zugangsdaten verbinden, was die Verbindung des echten Mikro-Wechselrichters unterbricht. Dann senden Angreifer eine OTA-Update-Nachricht mit „retained“-Flag, die die eigene Seriennummer enthält. OTA-Update-Nachrichten enthalten zudem einen URL-Parameter als Download-Verknüpfung für die Firmware, den Angreifer beliebig anpassen können. Nach dem Beenden der Verbindung versucht der Wechselrichter wieder, Kontakt aufzunehmen. Er erhält die Nachricht und startet das OTA-Update.

Die IT-Forscher kommen anhand ihrer Scans auf rund 100.000 zugreifbare EZ1-M-Wechselrichter. Es können aber auch andere Geräte anfällig sein, die auf dieselben MQTT-Broker setzen. Angreifer können sich mit manipulierter Firmware etwa in Netze einnisten, DDoS-Angriffe starten, die Geräte zerstören oder etwa durch massenhafte Geräteabschaltungen Stromnetze destabilisieren, führen die Mitarbeiter weiter aus. APsystems haben sie Mitte November des Vorjahrs kontaktiert, die bis Ende Februar 2026 gebraucht haben, die Sicherheitslücken zu schließen und Tests vorzunehmen. Diese konkreten Schwachstellen sind daher inzwischen geschlossen.

(dmk)

Im „Projekt Interoperabilität“ werden die großen europäischen Datenbanken miteinander verschmolzen, zuständig dafür ist die europäische Agentur für das Management groß angelegter IT-Systeme (eu-LISA) mit Sitz im estnischen Tallinn, die meisten entsprechenden Vorhaben sollen 2026 abgeschlossen sein. Das Projekt betrifft das für Fahndungen genutzte Schengener Informationssystem (SIS II); Eurodac, das bislang vor allem Fingerabdrücke von Asylsuchenden speichert; das Visainformationssystem (VIS) sowie das bald startende Strafregisterinformationssystem für Nicht-EU-Angehörige (ECRIS-TCN).

Ebenfalls angeschlossen wird das neue Einreise-/Ausreisesystem (EES), das ab dem 10. April im gesamten Schengen-Raum vollumfänglich installiert sein soll. Alle Reisenden mit Kurzzeitvisa, den sogenannten Schengen-Visa, werden dann beim Übertritt einer EU-Außengrenze mit Fingerabdrücken und Gesichtsbild sowie Personendaten für drei Jahre gespeichert. Im Herbst folgt die Inbetriebnahme des Reiseinformations- und -genehmigungssystems (ETIAS). Darüber müssen auch visumsfrei Einreisende ihren Grenzübertritt im Voraus anmelden und dazu online mehrere Fragen beantworten.

Die Vernetzung der existierenden Systeme erfolgt schrittweise über eine sogenannte Interoperabilitätsarchitektur. Kernstück ist ein gemeinsamer biometrischer Abgleichdienst (sBMS), der eine übergreifende Suche mit Biometriedaten ermöglicht. Er ist bereits in Betrieb und nutzt nach Angaben von eu-LISA Künstliche Intelligenz, um die Geschwindigkeit und Genauigkeit des Abgleichs zu erhöhen.

Zum Projekt Interoperabilität gehört außerdem ein gemeinsamer Identitätsspeicher (CIR), ein europäisches Suchportal (ESP) sowie ein Detektor für Mehrfachidentitäten (MID). Dadurch entsteht im Schengen-Raum eine biometrische Superdatenbank, die zu den größten der Welt gehört: Allein im EES werden jährlich mehrere hundert Millionen Reisende mit Fingerabdrücken und Fotos gespeichert.

„Interoperabilitäts-Roadmap“ für die nächsten Jahre

Auf EU-Ebene wird derzeit ein Fahrplan für die kommenden Jahre diskutiert, zuständig bei den Mitgliedstaaten ist dafür die Ratsarbeitsgruppe „Informationsaustausch im JI-Bereich“ (IXIM). Details dazu hat eu-LISA im Februar in einem Strategiepapier für die Jahre 2026 bis 2028 beschrieben. Auch die EU-Minister:innen diskutieren darüber bei ihrer Tagung im Rat für Justiz und Inneres (JI-Rat) in dieser Woche.

Im November 2025 hat der Verwaltungsrat von eu-LISA eine „Interoperabilitäts-Roadmap“ beschlossen. Dazu gehört der Ausbau von SIS II und Eurodac mit Gesichtserkennung. Die Verordnung für das Fingerabdrucksystem Eurodac war bereits im Mai 2024 im Rahmen des neuen Migrations- und Asylpakets der EU verabschiedet worden, geplant ist die Inbetriebnahme für Juni 2026. Die Behörde verspricht sich davon, besser verfolgen können, wenn Schutzsuchende unerlaubt innerhalb des Schengen-Raums das Land wechseln.

Auch im Schengener Informationssystem sind vor allem Migrant:innen gespeichert: Der größte Teil der zur Fahndung ausgeschriebenen Personen sind Ausreisepflichtige, etwa nachdem ihr Asylantrag abgelehnt wurde. Anders als etwa beim EES liegen diese Daten nicht in Tallinn, sondern in einem von eu-LISA betriebenen technischem Zentrum in Straßburg. Einen Zeitplan zur Freischaltung der Gesichtserkennungsfunktion gibt es aber noch nicht: eu-LISA kündigt für das laufende Jahr an, eine entsprechende Roadmap zu erstellen.

Komplett erneuerte Visa-Plattform

Bis zum 1. Quartal 2030 müssen auch alle EU-Staaten das überarbeitete Visa-Informationssystem (R-VIS) schrittweise in Betrieb nehmen. So steht es in einem „Fahrplan“, der im JI-Rat im Dezember 2025 genehmigt wurde. Zusätzlich zu Kurzaufenthaltsvisa sollen dann auch Langzeitvisa und Aufenthaltsgenehmigungen integriert werden. eu-LISA entwickelt außerdem eine digitale Plattform, über die künftig online Visa-Anträge gestellt werden können. Dieses als EU-VAP bezeichnete System soll automatisch bestimmen, welcher Mitgliedstaat für die Prüfung zuständig ist – auch bei Reisen in mehrere Länder.

Zu den Kernelementen des neuen R-VIS gehört ein automatisiertes Verfahren bei der Antragstellung. Der Datensatz wird beim Eintrag mit allen anderen anderen Systemen der Interoperabilitäts-Architektur abgeglichen – dem EES, dem ETIAS, dem SIS, Eurodac, dem ECRIS-TCN sowie dem VIS selbst – und weiteren Datenbanken wie dem Europol-Informationssystem (EIS). Bei Treffern ist der Staat für eine manuelle Prüfung zuständig, der das Visum ausstellt. Dort wird auch über Erteilung oder Verweigerung entschieden.

Europaweite Abfrage von Gesichtern mit Prüm II

Die Kosten für die neue Überwachungsinfrastruktur sind hoch. Allein das Gesichtserkennungssystem im Projekt Interoperabilität war mit 300 Millionen Euro veranschlagt. Für die Weiterentwicklung von Eurodac sind für das laufende Jahr knapp 10,3 Millionen Euro reserviert, für 2027 knapp 6,8 Millionen und für 2028 rund 20,6 Millionen Euro. Die Interoperabilitätskomponenten, zu denen der biometrische Abgleichsdienst gehört, schlagen im selben Zeitraum mit insgesamt mehr als 168 Millionen Euro zu Buche.

Hinzu kommt, dass nicht nur die gemeinsam geführten Biometriesysteme ausgebaut werden. Auch die nationalen Polizeidatenbanken mit Gesichtsbildern werden im Rahmen der „Prüm II“-Verordnung schengenweit vernetzt. Abfragen sind dann über ein sogenanntes „Treffer-/Kein Treffer-Prinzip“ möglich. Das heißt, Behörden erfahren zunächst lediglich, ob ein Datensatz existiert. Dann können sie diesen über die europäische Rechtshilfe herausverlangen.

Die Vernetzung erfolgt über einen neuen Prüm-II-Zentralrouter, der den Austausch biometrischer Daten zwischen europäischen Polizeibehörden bündeln soll. Ab Mitte 2027 soll in Prüm II die Abfrage von Gesichtern freigeschaltet werden, dazu wird das System ebenfalls an den gemeinsamen biometrischen Abgleichsdienst angeschlossen.

Zugriff für US-Behörden

Über „Prüm International“ können auch Drittstaaten an das europaweite Abfragesystem angeschlossen werden. Erster Nutzer dieser Möglichkeit war nach dem Brexit Großbritannien, nun könnten weitere Partnerländer folgen. Vermutlich wird dies zuerst EU-Beitrittskandidaten angeboten, darunter Balkan-Staaten oder die Ukraine. Die Regierung in Kyjiw soll laut „Politico“ bereits eine Liste mit 200.000 aktiven oder ehemaligen russischen „Kombattanten“ an Europol geschickt haben, damit einzelne Unionsmitglieder die Personen zur Einreiseverweigerung ins SIS II eintragen.

Eine Kröte sollen die Schengen-Staaten mit der „Enhanced Border Security Partnership“ (EBSP) schlucken, einem von den USA geforderten Abkommen, das alle Teilnehmerstaaten des Visa-Waiver-Programms abschließen müssen, um ihren Bürger:innen weiterhin die visafreie Einreise in die USA zu ermöglichen. Es sieht vor, dass US-Behörden automatisierten, direkten Zugriff auf nationale Polizeidatenbanken der „Partner“ erhalten – konkret auf Fingerabdrücke und Gesichtsbilder.

Betroffen wären nicht nur Reisende in die USA, sondern möglicherweise alle Personen, deren Daten von den jeweiligen nationalen Behörden für den Zugriff freigegeben sind. In Deutschland beträfe dies wohl die vom Bundeskriminalamt geführte INPOL-Datei, in der 5,4 Millionen Menschen mit fast 8 Millionen Lichtbildern, die meisten davon Asylsuchende oder Ausreisepflichtige. Auch die brutale US-Abschiebemiliz ICE könnte diese Daten nutzen. Wer das EBSP nicht unterzeichnet, soll aus dem Visa-Waiver-Programm ausgeschlossen werden. Die Frist läuft bis zum 31. Dezember 2026, derzeit verhandelt die EU-Kommission dazu geheim über ein Rahmenabkommen mit den USA.

TikTok wird keine Ende-zu-Ende-Verschlüsselung (E2EE, End-to-end-encryption) für Direktnachrichten einführen. Das sagte das Unternehmen dem britischen Rundfunksender BBC während eines Sicherheitsbriefings in seiner Londoner Niederlassung.

Als offiziellen Grund gibt TikTok Sicherheitsbedenken an: E2EE würde verhindern, dass Polizei und Sicherheitsteams bei Bedarf auf Direktnachrichten zugreifen können. TikTok wolle insbesondere seine jungen Nutzer vor Schaden schützen. Laut der BBC bezeichnete das Unternehmen diese Haltung als bewusste Entscheidung, um sich von Konkurrenten abzuheben.

Viele Messaging-Dienste und soziale Medien setzen inzwischen standardmäßig auf Ende-zu-Ende-Verschlüsselung. Signal, Threema und Metas Plattformen Facebook, Instagram und WhatsApp setzen ebenso darauf wie Google Messages und Apple iMessage, letztere beiden allerdings noch mit Einschränkungen.

Kinderschutzorganisationen begrüßen Entscheidung

Die endpunktseitige Ver- und Entschlüsselung von Direktnachrichten gilt als eine wichtige Säule des Datenschutzes, die Nutzer vor unbefugten Zugriffen durch Angreifer, Unternehmen oder staatliche Stellen schützt. Kritiker argumentieren jedoch immer wieder, dass E2EE die Bekämpfung von Kriminalität erschwere. Da Plattformbetreiber und Strafverfolgungsbehörden die Inhalte nicht einsehen können, werde es schwieriger, Straftaten wie Kindesmissbrauch und Grooming zu verfolgen – ein Argument, das moralisch schwer zu entkräften ist. Erst kürzlich wurde im Rahmen eines Gerichtsprozesses gegen Meta bekannt, dass sich Führungskräfte genau dieser Risiken bewusst waren und vor der Einführung von Ende-zu-Ende-Verschlüsselung warnten. Eine Chatkontrolle als Gegenmaßnahme, wie sie manche Politiker fordern, ist unter Datenschützern jedoch stark umstritten.

Die BBC schreibt, dass die britische Kinderschutzorganisation NSPCC TikToks Entscheidung begrüßt und dabei auf die große Beliebtheit der Plattform bei jungen Menschen verweist. Auch die Internet Watch Foundation (IWF), die im Internet nach Darstellungen sexuellen Kindesmissbrauchs sucht und deren Entfernung veranlasst, lobte laut BBC den Schritt.

TikTok dürfte hier versuchen, den Verzicht auf umfassenden Datenschutz als PR-Vorteil zu nutzen. Überdies könnte diese Positionierung auch ein Versuch sein, sich bei Regierungen besserzustellen, die Einblick in die Chats der TikTok-Nutzer erhalten und diese so leichter überwachen wollen. Andererseits sorgt die Entscheidung nicht unbedingt für mehr Vertrauen, da TikTok weiterhin der chinesischen Mutterfirma ByteDance gehört, der vorgeworfen wird, Nutzerdaten weiterzugeben. In den USA steht die Plattform seit Jahren unter politischem Druck und dürfte dort bald den Besitzer wechseln, wobei die bisherige Muttergesellschaft ByteDance voraussichtlich eine Minderheitsbeteiligung behalten soll.

(tobe)