Eilmeldung
CN中國獨立電影導演張鵬遭刑事拘留,家屬求助外界關注UKHospital Ward Closed Due to Rare Crusted Scabies OutbreakTRİsrail Lübnan'a Saldırılarını Sürdürüyor: Ateşkes ve Mutabakata RağmenRUПол обрушился на дне рождения в Бразилии, пострадали 11 человекRUБывший украинский дипломат: Зеленский дал "зеленый свет" на взрыв в МонакоARإرلينغ هالاند: نجم كرة القدم الذي يثير الجدل بحقائبه الفاخرةTRİsrail'den ABD'ye: İran, Trump'a suikast planlıyorUKDjokovic faces Sinner in Wimbledon semi-final despite age and fatigue concernsCNMiniMax CEO Forgoes Salary Until AGI Achieved, Pledges SharesTRKapıkule Gümrük Kapısı'nda 1,2 Ton Uyuşturucu Ele GeçirildiCN中國獨立電影導演張鵬遭刑事拘留,家屬求助外界關注UKHospital Ward Closed Due to Rare Crusted Scabies OutbreakTRİsrail Lübnan'a Saldırılarını Sürdürüyor: Ateşkes ve Mutabakata RağmenRUПол обрушился на дне рождения в Бразилии, пострадали 11 человекRUБывший украинский дипломат: Зеленский дал "зеленый свет" на взрыв в МонакоARإرلينغ هالاند: نجم كرة القدم الذي يثير الجدل بحقائبه الفاخرةTRİsrail'den ABD'ye: İran, Trump'a suikast planlıyorUKDjokovic faces Sinner in Wimbledon semi-final despite age and fatigue concernsCNMiniMax CEO Forgoes Salary Until AGI Achieved, Pledges SharesTRKapıkule Gümrük Kapısı'nda 1,2 Ton Uyuşturucu Ele Geçirildi
Newsgather
BackSicherheitslücke in Hoymiles-Wechselrichtern ermöglicht Fernzugriff auf Balkonkraftwerke
Sicherheitslücke in Hoymiles-Wechselrichtern ermöglicht Fernzugriff auf Balkonkraftwerke
In Entwicklung
Spiegel Netzwelt2 g önceTechnik2 dk okumaGermany

Sicherheitslücke in Hoymiles-Wechselrichtern ermöglicht Fernzugriff auf Balkonkraftwerke

Auf einen Blick

  • Eine Sicherheitslücke in Hoymiles-Wechselrichtern erlaubt Hackern, Balkonkraftwerke per Funk zu steuern und zu überlasten.
  • Hoymiles nutzt Seriennummern als Passwörter und reagierte erst nach Einschaltung des BSI.
  • Ein Update ist angekündigt, muss aber manuell eingespielt werden.

KI-generierte Zusammenfassung

Warum es wichtig ist

Eine Sicherheitslücke in Hoymiles-Wechselrichtern, die in rund 1,4 Millionen Balkonkraftwerken in Deutschland verbaut sind, ermöglicht unbefugten Zugriff und Fernsteuerung. Die Lücke wurde von Sicherheitsforschern entdeckt.

Schriftgröße

Die Relevanz des Problems skizziert die »Zeit« in einer Pressemitteilung so: »In Deutschland sind rund 1,4 Millionen sogenannte Balkonkraftwerke registriert, kleine Solaranlagen für den Hausgebrauch. Jedes benötigt einen sogenannten Wechselrichter, ein Gerät, das die Spannung umwandelt. Ein Großteil dieser Wechselrichter stammt von Hoymiles.«

Laut den Erläuterungen des Sicherheitsforschers ermöglicht es die Lücke kundigen Personen, per Funk Photovoltaikanlagen mit Hoymiles-Wechselrichtern anzusprechen, die sich in der Nähe befinden. Die Geräte könnten dazu gebracht werden, relevante Informationen unverschlüsselt zu übertragen, heißt es im »Zeit«-Artikel: Wer diese Daten abfange, könne sich anschließend in die Geräte einloggen und sie fernzusteuern. Angreifer hätten so die Chance, Balkonkraftwerke an- oder abzuschalten und Anlagen gezielt zu überlasten.

Zu schlecht geschützt

Dem »Zeit«-Bericht zufolge nutzt Hoymiles bei seinen Wechselrichtern immer die letzten acht Stellen der jeweiligen Seriennummer als Passwort – diese Nummern sollten eigentlich nur dem Hersteller und dem Käufer der Geräte bekannt sein. Hacker Hunz aber habe im Kommunikationsprotokoll eine Lücke entdeckt, beschreibt es der Artikel: »Ein kurzer, per Funk an sie geschickter Befehl bringt die Anlagen dazu, ebendiese Seriennummer zurückzufunken, so als würden sie im Schlaf reden.« Die für den Angriff relevanten technischen Informationen seien offen verfügbar, und die dazu nötigen Geräte ließen sich für wenig Geld zusammenlöten.

Wie verbreitet die Hoymiles-Wechselrichter sind, demonstrierte Hunz in Augsburg: Dort identifizierte der Forscher dem Bericht zufolge in nur einer Stunde 42 Anlagen, die er auf diesem Wege hacken konnte.

Der CCC hatte Hoymiles laut eigenen Angaben bereits im Februar über das Problem informiert, schreibt die »Zeit«, zunächst ohne Reaktion. Erst als das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die chinesische Behörde CNCERT kontaktierte, habe Hoymiles Ende Juni reagiert und ein Sicherheitsupdate für Mitte Oktober angekündigt. Da Hoymiles-Wechselrichter in der Regel aber nicht mit dem Internet verbunden seien, müsse ein solches Update von jedem Nutzer manuell eingespielt werden, heißt es.

Update mit »höchster Priorität«

Von Hoymiles selbst heißt es im Artikel, das Unternehmen nehme die Sicherheitsprobleme »sehr ernst« und arbeite inzwischen »mit der höchsten Priorität« daran. Der Hersteller entwickle derzeit eine aktualisierte Software für die betroffenen Wechselrichter. Das angekündigte Update bringe dann auch eine neue, bessere Verschlüsselung mit sich.

Wegen schlechter IT-Sicherheit bei seinen Wechselrichtern stand Hoymiles auch schon zuvor in der Kritik. 2023 etwa geriet das Unternehmen wegen Lücken in seinem Cloudservice in die Schlagzeilen .

Über die generelle Frage, wie leicht Balkonkraftwerke angreifbar sind, hatte im Oktober 2025 auch der SPIEGEL ausführlich berichtet. Unseren damaligen Artikel zum Thema finden Sie hier .

Offene Fragen

  • Wie viele Nutzer haben das Update bereits eingespielt?
  • Gibt es bereits bekannte Angriffe auf deutsche Balkonkraftwerke?
  • Welche Konsequenzen drohen Hoymiles bei weiterer Untätigkeit?

Verwandte Themen

This article was originally published by Spiegel Netzwelt.

Ähnliche Meldungen

Mehr zu diesem ThemaBalkonkraftwerk