Dernière minute
DEEU-Kommission prüft Sanktionen gegen Israel wegen SiedlungsausweitungDEWM-Viertelfinale: Frankreich in erhöhter Alarmbereitschaft wegen Marokko-SpielARلافروف يبدأ جولة إفريقية من إثيوبيا وسط تنافس دولي على النفوذPLTrzęsienie ziemi w Czechach i na SłowacjiDEBoris Palmer soll Bürokratieabbau in Baden-Württemberg vorantreibenARلافروف يؤكد على تعزيز استقلال موزمبيق الاقتصادي خلال زيارتهDEBundestag billigt Bau neuer GaskraftwerkeARالسعودية وكندا تعززان الشراكة الاقتصادية نحو استثمارات طويلة الأجلDEStreit bei den Grünen wegen Manifest zu MännlichkeitTRSoma Maden Ocağı'nda Duygusal Veda ve Yeni Dönem BeklentisiDEEU-Kommission prüft Sanktionen gegen Israel wegen SiedlungsausweitungDEWM-Viertelfinale: Frankreich in erhöhter Alarmbereitschaft wegen Marokko-SpielARلافروف يبدأ جولة إفريقية من إثيوبيا وسط تنافس دولي على النفوذPLTrzęsienie ziemi w Czechach i na SłowacjiDEBoris Palmer soll Bürokratieabbau in Baden-Württemberg vorantreibenARلافروف يؤكد على تعزيز استقلال موزمبيق الاقتصادي خلال زيارتهDEBundestag billigt Bau neuer GaskraftwerkeARالسعودية وكندا تعززان الشراكة الاقتصادية نحو استثمارات طويلة الأجلDEStreit bei den Grünen wegen Manifest zu MännlichkeitTRSoma Maden Ocağı'nda Duygusal Veda ve Yeni Dönem Beklentisi
Newsgather
BackSicherheitslücke bei Hoymiles-Wechselrichtern von Balkonkraftwerken entdeckt
Sicherheitslücke bei Hoymiles-Wechselrichtern von Balkonkraftwerken entdeckt
En développement
Spiegel Netzwelt2 g önceTech1 dk okumaGermany

Sicherheitslücke bei Hoymiles-Wechselrichtern von Balkonkraftwerken entdeckt

L'essentiel

  • Sicherheitsforscher "Hacker Hunz" entdeckte eine Schwachstelle in Hoymiles-Wechselrichtern, die in rund 1,4 Millionen Balkonkraftwerken in Deutschland verbaut sind.
  • Die Lücke ermöglicht das Abfangen unverschlüsselter Seriennummern und die Fernsteuerung der Anlagen.
  • Hoymiles kündigte nach Intervention des BSI ein manuelles Sicherheitsupdate für Mitte Oktober an.

Résumé généré par IA

Pourquoi c'est important

Rund 1,4 Millionen Balkonkraftwerke in Deutschland nutzen Wechselrichter von Hoymiles, die für die Umwandlung der Spannung zuständig sind. Hoymiles stand bereits 2023 wegen Lücken in seinem Cloudservice in der Kritik.

Taille de police

Die Relevanz des Problems skizziert die »Zeit« in einer Pressemitteilung so: »In Deutschland sind rund 1,4 Millionen sogenannte Balkonkraftwerke registriert, kleine Solaranlagen für den Hausgebrauch. Jedes benötigt einen sogenannten Wechselrichter, ein Gerät, das die Spannung umwandelt. Ein Großteil dieser Wechselrichter stammt von Hoymiles.«

Laut den Erläuterungen des Sicherheitsforschers ermöglicht es die Lücke kundigen Personen, per Funk Photovoltaikanlagen mit Hoymiles-Wechselrichtern anzusprechen, die sich in der Nähe befinden. Die Geräte könnten dazu gebracht werden, relevante Informationen unverschlüsselt zu übertragen, heißt es im »Zeit«-Artikel: Wer diese Daten abfange, könne sich anschließend in die Geräte einloggen und sie fernzusteuern. Angreifer hätten so die Chance, Balkonkraftwerke an- oder abzuschalten und Anlagen gezielt zu überlasten.

Zu schlecht geschützt

Dem »Zeit«-Bericht zufolge nutzt Hoymiles bei seinen Wechselrichtern immer die letzten acht Stellen der jeweiligen Seriennummer als Passwort – diese Nummern sollten eigentlich nur dem Hersteller und dem Käufer der Geräte bekannt sein. Hacker Hunz aber habe im Kommunikationsprotokoll eine Lücke entdeckt, beschreibt es der Artikel: »Ein kurzer, per Funk an sie geschickter Befehl bringt die Anlagen dazu, ebendiese Seriennummer zurückzufunken, so als würden sie im Schlaf reden.« Die für den Angriff relevanten technischen Informationen seien offen verfügbar, und die dazu nötigen Geräte ließen sich für wenig Geld zusammenlöten.

Wie verbreitet die Hoymiles-Wechselrichter sind, demonstrierte Hunz in Augsburg: Dort identifizierte der Forscher dem Bericht zufolge in nur einer Stunde 42 Anlagen, die er auf diesem Wege hacken konnte.

Der CCC hatte Hoymiles laut eigenen Angaben bereits im Februar über das Problem informiert, schreibt die »Zeit«, zunächst ohne Reaktion. Erst als das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die chinesische Behörde CNCERT kontaktierte, habe Hoymiles Ende Juni reagiert und ein Sicherheitsupdate für Mitte Oktober angekündigt. Da Hoymiles-Wechselrichter in der Regel aber nicht mit dem Internet verbunden seien, müsse ein solches Update von jedem Nutzer manuell eingespielt werden, heißt es.

Update mit »höchster Priorität«

Von Hoymiles selbst heißt es im Artikel, das Unternehmen nehme die Sicherheitsprobleme »sehr ernst« und arbeite inzwischen »mit der höchsten Priorität« daran. Der Hersteller entwickle derzeit eine aktualisierte Software für die betroffenen Wechselrichter. Das angekündigte Update bringe dann auch eine neue, bessere Verschlüsselung mit sich.

Wegen schlechter IT-Sicherheit bei seinen Wechselrichtern stand Hoymiles auch schon zuvor in der Kritik. 2023 etwa geriet das Unternehmen wegen Lücken in seinem Cloudservice in die Schlagzeilen .

Über die generelle Frage, wie leicht Balkonkraftwerke angreifbar sind, hatte im Oktober 2025 auch der SPIEGEL ausführlich berichtet. Unseren damaligen Artikel zum Thema finden Sie hier .

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Hoymiles wird Mitte Oktober ein Sicherheitsupdate für die betroffenen Wechselrichter veröffentlichen.

    Très probable · En quelques semaines

Questions ouvertes

  • Wie viele Nutzer werden das manuelle Update tatsächlich einspielen?
  • Welche konkreten Auswirkungen hatte die Lücke bereits?
  • Wie wird Hoymiles die Sicherheit zukünftig gewährleisten?

Sujets liés

This article was originally published by Spiegel Netzwelt.

Articles liés

Plus sur ce sujetHoymiles