Neue Schwachstellen in Photovoltaik-Systemen entdeckt
Inhaltsverzeichnis
IT-Experten des IT-Sicherheitsunternehmens Forescout haben Photovoltaik-Anlagen* genauer unter die Lupe genommen haben dabei 46 neue Sicherheitslücken aufgedeckt. Sie könnten für Stromnetzte gefährlich werden, erklären die IT-Experten.
Forescout schlägt in dieselbe Kerbe wie das BSI, das Anfang 2025 Zweifel aufgrund bezüglich der Sicherheit von Hersteller-Clouds von Wechselrichtern publizierte.
Die IT-Sicherheitsbehörde erkennt aber eine Bedrohung, dass „die zentralisierte Peking–Regierung über die internetbasierten Bausteine von PV-Anlagen unmittelbare Auswirkungen auf einen unverzichtbaren Bereich der Stromversorgung in Deutschland“ haben könnte.
Die Forescout-Experten erkennen die Gefährdung vielmehr durch hinterlistig handelnde Personen im Internet, die z.B. über die jetzt aufgespürten Schwachstellen die Stromeinspeisung kontrollieren und dadurch die Stabilität der Stromnetze beeinträchtigen könnten.
Begutachtung von Wechselrichtern einzelner Produzenten
In einem Blog-Artikel legen die IT-Experten ihre Resultate offen. Sie haben anfänglich veraltete, schon bekannte Schwachstellen bedündelt und begutachtet.
Hierbei legten sie 93 Lücken offen, von denen 80 Prozent die Risikobewertung „hoch“ oder „kritisch“ bekommen haben. Einen Großteil der Schwachstellen entdeckten sie in Solar-Monitor-Systemen (38 Prozent) und den Cloud–Backends (25 Prozent). Nicht so viele Schwachstellen wurden bei den Wechselrichtern aufgedeckt. (15 Prozent).
Die IT-Experten haben für ihre Begutachtungen von den 10 bedeutendsten Anbietern von Wechselrichtern die ersten 6 ausgesucht: Sungrow, SMA, GoodWe, Growatt, Ginlong Solis und Huawei.
Bei den ausgewählten Geräte haben sie verschiedene Bestimmungen analysiert – für die Industrie, für den Heimgebrauch und für Solarparks. Bei Sungrow, Growatt und SMA haben sie neuartige Sicherheitslücken offengelegt.
IT-Fachleute haben für die hausgeigenen Begutachtungen von den 10 bedeutendsten Wechselrichter-Anbietern die ersten 6 genauer unter die Lupe genommen: Ginlong Solis, GoodWe, Growatt, Huawei, SMA und Sungrow.
Von denen haben sie Geräte für unterschiedliche Zwecke untersucht – für den Heimgebrauch, für Solarparks und für Industrie. Bei Growatt, SMA und Sungrow haben sie neue Sicherheitslücken entdeckt.
Die neu aufgespürten Sicherheitslecks erlauben demzufolge Situationen, die Einwirkung auf die Stabilität der Stromnetze und den persönlichen Lebensbereich haben.
Manche Sicherheitslücken ermöglichen die Kontrolle über zusätzliche smarte Komponenten in Heimnetzwerken. Doch es gibt auch eine frohe Botschaft: Die Produzenten haben die Sicherheitsprobleme mittlerweile abgestellt.
Denkbare Attacken auf Stromnetze
Eine mögliche Attacke ist realtiv einfach: Hinterlistig handelnde Personen im Internet kommen an Konto–Nutzernamen.
Mit der Möglichkeit, das Passwort neu zu vergeben können sie die Kontrolle über das Konto erlangen und verwenden diesen Zugang, um Wechselrichter–Parameter zu beeinflussen – z.B die Beschränkung der Stromeinspeisung zu verdrehen.
Bei der Kontrolle über verschiedene Geräte mit einem Botnet sei auch die organisierte Deaktivierung der Geräte zu einem festgelegten Termin machbar.
Während der eine oder andere Wechselrichter wahrscheinlich nicht so viel anrichten kann, ist ein derartiger Angriff auf verschiedene Geräte im selben Augenblick vielmehr eine bedeutsame Gefährdung – abhängig davon, mit welchem Tempo z.B. Notstromgeneratoren behilflich sein können.
In Bezug auf das EU-Stromnetz haben frühere Forschungsergebnisse belegt, dass die Überwachung von 4,5 Gigawatt hergestelltem Solarstrom* genüge, um die Netzfrequenz auf 49 Hertz zu verringern und einen Lastabwurf zur Folge hätte.
In Europa seien 270 Gigawatt solare Stromproduktion etabliert, sodass die Überwachung von 2 Prozent der Wechselrichter zum Auslösen einer derartigen Lage genügen würde.
Exakte Sicherheitslücken
Im einer ausführlicheren Auswertung beschreiben die Forescout-Experten sämtliche Einzelheiten der entdeckten Sicherheitslücken. Folglich sie diverse „Insecure Direct Object References“ (IDOR) in den APIs aufgespürt, die nicht genehmingten Zugang auf Hilfsmittel der Cloud–Plattformen der Anbieter ermöglichten.
Außerdem entdeckten sie allgemeine Schwachstellen bei der Autorisierung. Die Web-Apps legten mehrere Cross-Site-Scripting-Probleme offen.
Verschiedene Cloud-Web-Apps erlaubten ungeschränktes Hochladen von Dateien, was zum Einschmuggeln und Durchführen von Schadprogrammen verwendbar war.
(Mit Angaben www.heise.de/news/27.03.2025)
