Sonnenbrand
Sicherheitslücke in Clouddienst für Hoymiles-Wechselrichter
Mangelhafte Zugriffskontrolle beim Onlinedienst „S-Miles Cloud“ ermöglichte das Auslesen fremder Wechselrichter sowie böswillige Manipulationen. Der chinesische Anbieter Hoymiles reagierte rasch.
Wer ein Balkonkraftwerk oder eine andere Photovoltaikanlage betreibt, sollte den Ertrag überwachen. Das enttarnt Defekte oder falsche Konfiguration und stellt sicher, dass sich die Kosten für das Sonnenkraftwerk wie geplant amortisieren. Damit Nutzer von Hoymiles-Wechselrichtern diese aus der Ferne überwachen können, bietet der chinesische Hersteller den Clouddienst S-Miles Cloud an. Darin wies ein Sicherheitsforscher jedoch Ende September bedrohliche Sicherheitslücken nach. Nicht nur der Zugriff auf die Daten fremder Wechselrichter war möglich. Durch Kombination mehrerer Schwachstellen hätte man auch manipulierte Firmware für Wechselrichter bereitstellen können, etwa um Schäden herbeizuführen.
Nachdem c’t dem Hersteller die Sicherheitslücken gemeldet hatte, reagierte Hoymiles rasch. Dabei gab es Schwierigkeiten mit der Kommunikation, vermutlich, weil E-Mails aus China einen Account bei heise.de nicht erreichten. Letztlich waren aber am 29. September 2023 alle gemeldeten Schwachstellen geschlossen. Nutzer der S-Miles-Cloud müssen jetzt nichts weiter unternehmen. Nur unmittelbar nach Bekanntwerden der Lücke empfahl c’t, die Fernüberwachung vorerst abzuschalten.
Autorisierung kaputt
Aktuelle Hoymiles-Wechselrichter enthalten eine eingebaute Data Transfer Unit (DTU), die man per WLAN über den heimischen Router mit dem Internet koppeln kann. Für ältere Wechselrichter verkauft Hoymiles Nachrüst-DTUs mit WLAN oder Mobilfunk. Außerdem gibt es kompatible DTUs von Ahoy oder OpenDTU, die nicht von der Lücke in der S-Miles-Cloud betroffen waren.
Ein Hinweisgeber hatte sich über unseren anonymen und sicheren Briefkasten (https://www.heise.de/investigativ/) an c’t gewandt und die Sicherheitslücken in einem 25-seitigen Dokument beschrieben. Durch Tests an eigener Hoymiles-Hardware konnten wir die Hinweise verifizieren. Ein Fehler lag bei der Autorisierung von Nutzern in der App-Anwendungsschnittstelle (API). Der Angriff schaltete augenscheinlich Zugang zu allen in der S-Miles-Cloud eingebuchten DTUs und Wechselrichtern frei. Das lässt sich zwar nicht sicher prüfen, ist aber sehr wahrscheinlich, weil Hoymiles für alle seine Geräte dieselben zwei Apps bereitstellt. Das deutet darauf hin, dass dahinter ein einziger Clouddienst läuft. Eine Abfrage ergab zudem, dass derzeit rund 230.000 Anlagen mit jeweils mindestens einem Wechselrichter mit der S-Miles-Cloud verbunden sind. Über das API ließen sich Daten auslesen, etwa die aktuelle Stromproduktion sowie die Seriennummern der Wechselrichter.
Manipulierte Firmware
Der Hinweisgeber fand allerdings auch einen Weg, manipulierte Firmware auf den Hoymiles-Server zu schmuggeln und diese für alle DTUs und Wechselrichter zur Verfügung zu stellen. Es gelang ihm zudem, einen nicht mit seinem Account verknüpften Wechselrichter über das API dazu zu bringen, diese Firmware zu installieren.
Mithilfe der Dokumentation des von Hoymiles in den Wechselrichtern verwendeten Mikrocontrollers programmierte der Hinweisgeber eine Firmware, die Sicherheitsfunktionen wie NA- und Inselschutz außer Kraft setzt. Der NA-Schutz trennt Netz und Wechselrichter bei Über- oder Unterschreiten von Grenzwerten. Der Inselschutz schaltet ab, wenn die Netzverbindung unterbrochen wird und verhindert dadurch elektrische Schläge, wenn man eine per Schutzkontaktstecker (Schuko) angeschlossene Anlage aussteckt. Außerdem konnte der Hinweisgeber Transistoren durchschalten, um einen Kurzschluss auszulösen. Die Firmware des Wechselrichters steuert also sicherheitskritische Funktionen, weshalb ein Schutz gegen Manipulationen etwa durch kryptografisch signierte Firmware ratsam wäre.
Cloudrisiken
Die Hoymiles-Sicherheitslücke ist ein weiteres von mittlerweile zahllosen Beispielen für die Risiken unzureichend geschützter Clouddienste. Grundsätzlich ist die Fernüberwachung von Photovoltaik sinnvoll. Mangelhaft umgesetzt birgt sie jedoch erhebliche Gefahren. (ciw@ct.de)