Wie die TU Darmstadt mitteilt, konnte Valentin Conrad in seiner Masterarbeit am Fachbereich Informatik gravierende IT-Sicherheitslücken bei Balkonkraftwerken aufdecken. Dies teilt die TU Darmstadt mit. Über die Ergebnisse der Masterarbeit berichtet unter anderem Spiegel Online (hinter Bezahlschranke). In seiner Abschlussarbeit untersuchte Conrad sieben marktübliche Balkonkraftwerk-Wechselrichter und konnte bei fast allen Anbietern Schwachstellen nachweisen, die es ermöglichen, die Geräte aus der Ferne zu steuern oder abzuschalten. Das Problem: Viele der Anlagen sind mit dem Internet und dem Cloud-Dienst des Anbieters verbunden und somit potenziell angreifbar. Die untersuchten Balkonkraftwerke stammen von den Herstellern Hoymiles, Deye, Growatt, Anker, AP Systems, Ecoflow und NEP.
Inzwischen meldet die Bundesnetzagentur über 1,17 Millionen solcher Mini-Solaranlagen in Deutschland – mit stark steigender Tendenz. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fehlen jedoch derzeit die gesetzlichen Grundlagen, um deren Cybersicherheit zu regulieren. BSI-Präsidentin Claudia Plattner fordert daher laut einer Mitteilung der TU Darmstadt eine Zertifizierungspflicht für Energiemanagementsysteme wie Wechselrichter, Wärmepumpen oder Wallboxen. Eine solche Zertifizierungspflicht sei aber von Seiten der Industrie umstritten.
Der Bundesverband Steckersolar e. V. (BVSS) hat die Berichterstattung in den Medien über die Masterarbeit zum Anlass für eine Stellungnahme genommen. Der BVSS begrüßt diese Analyse, sagt Vorstandsvorsitzender Christian Ofenheusle. »Sie ist ein guter Anlass, über IT-Sicherheit in der dezentralen Energieversorgung zu sprechen – aber kein Anlass zur Panik.« Weder sei bei Balkonkraftwerken jemals ein Schadensfall festgestellt worden, noch seien die gefundenen Lücken geeignet, Stromnetze aktuell zu gefährden oder Geräte flächendeckend abzuschalten. Gefundene Schwachstellen, etwa unverschlüsselte HTTP-Verbindungen oder schwache Passwörter, seien technisch leicht zu beheben. Alle betroffenen Hersteller seien informiert worden und hätten nun die Aufgabe, die Lücken zu schließen.
Der BVSS weist außerdem darauf hin, dass Mikrowechselrichter auch ohne Internetverbindung funktionieren. »Wird die Online-Anbindung deaktiviert, besteht kein Angriffsrisiko. Nutzer können zudem ihre Stromerzeugung über einfache Smart-Plugs messen, ohne Zugriff auf den Wechselrichter selbst zu gewähren.«
© PHOTON
