Sicherheitslücke bei Hoymiles-Wechselrichtern von Balkonkraftwerken entdeckt
Quick Look
- Sicherheitsforscher "Hacker Hunz" entdeckte eine Schwachstelle in Hoymiles-Wechselrichtern, die in rund 1,4 Millionen Balkonkraftwerken in Deutschland verbaut sind.
- Die Lücke ermöglicht das Abfangen unverschlüsselter Seriennummern und die Fernsteuerung der Anlagen.
- Hoymiles kündigte nach Intervention des BSI ein manuelles Sicherheitsupdate für Mitte Oktober an.
AI-generated summary
Why It Matters
Rund 1,4 Millionen Balkonkraftwerke in Deutschland nutzen Wechselrichter von Hoymiles, die für die Umwandlung der Spannung zuständig sind. Hoymiles stand bereits 2023 wegen Lücken in seinem Cloudservice in der Kritik.
Die Relevanz des Problems skizziert die »Zeit« in einer Pressemitteilung so: »In Deutschland sind rund 1,4 Millionen sogenannte Balkonkraftwerke registriert, kleine Solaranlagen für den Hausgebrauch. Jedes benötigt einen sogenannten Wechselrichter, ein Gerät, das die Spannung umwandelt. Ein Großteil dieser Wechselrichter stammt von Hoymiles.«
Laut den Erläuterungen des Sicherheitsforschers ermöglicht es die Lücke kundigen Personen, per Funk Photovoltaikanlagen mit Hoymiles-Wechselrichtern anzusprechen, die sich in der Nähe befinden. Die Geräte könnten dazu gebracht werden, relevante Informationen unverschlüsselt zu übertragen, heißt es im »Zeit«-Artikel: Wer diese Daten abfange, könne sich anschließend in die Geräte einloggen und sie fernzusteuern. Angreifer hätten so die Chance, Balkonkraftwerke an- oder abzuschalten und Anlagen gezielt zu überlasten.
Zu schlecht geschützt
Dem »Zeit«-Bericht zufolge nutzt Hoymiles bei seinen Wechselrichtern immer die letzten acht Stellen der jeweiligen Seriennummer als Passwort – diese Nummern sollten eigentlich nur dem Hersteller und dem Käufer der Geräte bekannt sein. Hacker Hunz aber habe im Kommunikationsprotokoll eine Lücke entdeckt, beschreibt es der Artikel: »Ein kurzer, per Funk an sie geschickter Befehl bringt die Anlagen dazu, ebendiese Seriennummer zurückzufunken, so als würden sie im Schlaf reden.« Die für den Angriff relevanten technischen Informationen seien offen verfügbar, und die dazu nötigen Geräte ließen sich für wenig Geld zusammenlöten.
Wie verbreitet die Hoymiles-Wechselrichter sind, demonstrierte Hunz in Augsburg: Dort identifizierte der Forscher dem Bericht zufolge in nur einer Stunde 42 Anlagen, die er auf diesem Wege hacken konnte.
Der CCC hatte Hoymiles laut eigenen Angaben bereits im Februar über das Problem informiert, schreibt die »Zeit«, zunächst ohne Reaktion. Erst als das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die chinesische Behörde CNCERT kontaktierte, habe Hoymiles Ende Juni reagiert und ein Sicherheitsupdate für Mitte Oktober angekündigt. Da Hoymiles-Wechselrichter in der Regel aber nicht mit dem Internet verbunden seien, müsse ein solches Update von jedem Nutzer manuell eingespielt werden, heißt es.
Update mit »höchster Priorität«
Von Hoymiles selbst heißt es im Artikel, das Unternehmen nehme die Sicherheitsprobleme »sehr ernst« und arbeite inzwischen »mit der höchsten Priorität« daran. Der Hersteller entwickle derzeit eine aktualisierte Software für die betroffenen Wechselrichter. Das angekündigte Update bringe dann auch eine neue, bessere Verschlüsselung mit sich.
Wegen schlechter IT-Sicherheit bei seinen Wechselrichtern stand Hoymiles auch schon zuvor in der Kritik. 2023 etwa geriet das Unternehmen wegen Lücken in seinem Cloudservice in die Schlagzeilen .
Über die generelle Frage, wie leicht Balkonkraftwerke angreifbar sind, hatte im Oktober 2025 auch der SPIEGEL ausführlich berichtet. Unseren damaligen Artikel zum Thema finden Sie hier .
What to Watch
AI outlook — possibilities, not facts
Hoymiles wird Mitte Oktober ein Sicherheitsupdate für die betroffenen Wechselrichter veröffentlichen.
Very likely · Within weeks
Open Questions
- Wie viele Nutzer werden das manuelle Update tatsächlich einspielen?
- Welche konkreten Auswirkungen hatte die Lücke bereits?
- Wie wird Hoymiles die Sicherheit zukünftig gewährleisten?







