Beide Unternehmen haben die Lücken nach Hinweisen der IT-Sicherheitsexperten geschlossen. Es hätte demnach sogar die Gefahr von Stromausfällen bestanden. Potenziell seien auch andere, mit der Solarman-Plattform verbundene Photovoltaik-Wechselrichter bedroht.
Der rumänische Anbieter von Sicherungssoftware (Virenschutz, Firewall, E-Mail-Spam-Filter, etc.) für private und gewerbliche Anwender Bitdefender hat nach eigenen Angaben gravierende Sicherheitslücken bei Anwendungen von Wechselrichtern des chinesischen Herstellers Deye in Kombination mit der ebenfalls chinesischen Monitoring- und Steuerungsplattform Solarman entdeckt. Solarman, eine Marke von IGEN Tech Co., Ltd., meldete für den 31. Dezember letzten Jahres die Marke von 2,1 Millionen Photovoltaik-Anlagen mit kumuliert 195 Gigawatt Leistung in 190 Ländern und Regionen in seinem Monitoring-Portfolio. Es seien mehr als 10 Millionen Hardware-Einheiten ausgeliefert worden.
Nach Angaben von Bitdefender wurden Solarman und Deye jeweils im Mai um „Sicherheitskontakt“ ersucht und über die entdeckten Schwachstellen informiert. Beide hätten inzwischen die Sicherheitslücken geschlossen. Wie in solchen Fällen üblich, erfolgte die öffentliche Bekanntmachung erst im Anschluss daran.
Wenn Angreifer die in beiden Systemen bestehenden Schwachstellen in Kombination ausgenutzt hätten, wären nach Einschätzung von Bitdefender schwerwiegende Folgen möglich gewesen. Für die Solarman-Plattform hätten Hacker demnach Autorisierungscodes (Token) für jeden Account generieren, die Kontrolle über Business-Konten erlangen oder Inverter-Parameter verändern können. Schlussendlich hätte sich damit „die Interaktion von Inverter und Stromnetz“ beeinflussen lassen. Für die Cloud-Plattform von Deye geltende Token – das Unternehmen hat seit Januar 2024 ein eigenes Datencenter und die zuvor direkt bei Solarman gespeicherten Nutzerdaten dorthin migriert – hätten sich überdies auch für Solarman nutzen lassen und Zugang auf Nutzerkonten ermöglicht. Zudem hätten Angreifer Zugriff auf Informationen wie Mail-Adressen oder Telefonnummern erlangen können.
Auf der eigenen Plattform von Deye hätten Hacker dem Bitdefender-Bericht zufolge „Zugang zu jedem Gerät erlangen und technische Daten oder Wireless-Konfigurationen auslesen können“. Ein Endpunkt der Programmierschnittstelle (API) habe „die Exfiltration von Informationen über Nutzer, Namen, E-Mail-Adressen, Telefonnummern und die Nutzer-IDs“ erlaubt. Auch hier hätten die Angreifer Autorisierungs-Token selbst generieren können.
Bitdefender weist aufgrund der entdeckten Sicherheitslücken auf allgemein Risiken für das Stromnetz hin: Mit der Übernahme von Wechselrichtern könnten Angreifer die Geräte auch abschalten, was zu Spannungsschwankungen im Netz führen könne. Damit könnten sie „die Netzstabilität gefährden und eventuell einen Stromausfall verursachen“ – wofür allerdings ein gleichzeitiges Vorgehen bei einem hohen Anteil der Photovoltaik-Leistung in einem Netzbereich erforderlich wäre.
Bogdan Botezatu, verantwortlich für „Threat Research and Reporting“ bei Bitdefender Labs, weist eindringlich auf die potenziellen Gefahren hin: Durch die noch bis in den Juli hinein bestehenden Schwachstellen seien Konfigurationsänderungen an Wechselrichtern möglich gewesen und damit auch „eine weitflächige Unterbrechung der Stromverteilung, eine beeinträchtigte Netzstabilität und möglicherweise Stromausfälle“. Das Internet of Things sei „längst kein exotischer Schauplatz mehr für Hacker“, sondern vielmehr „ein Bestandteil der kritischen Infrastrukturen“.
Der Bericht (in englischer Sprache) steht auf der Bitdefender-Homepage bereit. Dort wird das Vorgehen genauer geschildert, und der Bericht enthält auch Angaben zu weiteren Unternehmen, die auf der Solarman-Plattform arbeiten. Die meisten davon haben nach Angaben von Bitdefender Wartungszeiträume für Sicherheits-Patches geplant: „Wir gehen davon aus, dass diese geplanten Wartungsintervalle dazu dienen, Abhilfemaßnahmen für die Probleme zu implementieren, die wir Solarman und Deye gemeldet haben“, heißt es in dem Bericht.
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.