© Diyana Dimitrova / 123RF.com

IT-Sicherheitsforscher haben bislang 46 Sicherheitslücken in internetfähigen Komponenten von Fotovoltaiksystemen identifiziert. Die Schwachstellen betreffen Cloud-Backends, mobile Apps und Kommunikationsmodule führender Hersteller.

Als besonders problematisch erwies sich für die Forscher [1] die Kommunikation der Wechselrichter mit den Hersteller-Clouds über MQTT (Message Queuing Telemetry Transport). Das leichtgewichtige Kommunikationsprotokoll für vernetzte Geräte sendet Daten über einen zentralen Broker. In Solaranlagen steuert es Wechselrichter und überträgt Messwerte.

Die Android-App des Herstellers Sungrow ignorierte TLS-Zertifikatsfehler, was Man-in-the-Middle-Angriffe ermöglichte. Die Verschlüsselung basierte auf schwachen AES-Schlüsseln. Sie wurden aus UUIDs mit geringer Entropie generiert und mit einem in der App hartkodierten RSA-Key verschlüsselt. Diese Konstruktion erlaubte das Dechiffrieren des Datenverkehrs durch Dritte. Zusätzlich enthielten App und Firmware hartkodierte MQTT-Zugangsdaten, mit deren Hilfe Angreifer beliebige Befehle an Geräte senden können. Die WiNet-Dongles von Sungrow waren zudem anfällig für mehrere durch manipulierte MQTT-Nachrichten ausgelöste Pufferüberläufe. Ein Beispiel: Der »setTime«-Befehl führte durch unkontrolliertes Schreiben in einen Stack-Puffer zu Remote Code Execution.

Die Produkte des Herstellers Growatt zeigten ebenfalls gravierende Mängel. Die Cloud-Plattform erlaubte durch öffentlich zugängliche APIs den Zugriff auf Nutzerdaten und fremde Geräteinformationen sowie Passwort-Resets mit Standardpasswörtern (“123456”). Cross-Site Scripting ermöglichte das Einschleusen von Javascript zur Kontoübernahme. Angreifer konnten Smart-Home-Geräte wie Steckdosen, Lichtsteuerungen und EV-Ladestationen übernehmen und Abläufe (Szenen) konfigurieren. Die Geräte ließen sich fremden Konten zuweisen und fernsteuern. Der Webplattform des Herstellers SMA wies eine Remote-Code-Execution-Lücke auf, über die sich ».aspx«-Dateien hochladen und auf dem Server ausführen ließen.

Besonders bedrohlich werden diese Schwachstellen durch Skalierung: Die Forscher schätzen, dass die Kontrolle über 536 000 Wechselrichter genügt, um in Europa die Netzfrequenz unter 49 Hz zu drücken. Dieser Wert löst ein automatisiertes Verfahren aus, das zu einer geplanten Abschaltung von Stromverbrauchern führt, um das Netz vor dem Zusammenbruch zu bewahren. Solche sogenannten Load Altering Attacks nutzen die koordinierte Steuerung vieler Geräte zur gezielten Erzeugung von Frequenzschwankungen. Dabei handelt es sich um Angriffe auf Stromnetze, bei denen Angreifer gezielt den Stromverbrauch oder die Einspeisung verändern, um das Netz zu destabilisieren. Besonders kritisch sind dynamische Lastattacken, bei denen Inverter gegensinnig zur Netzregelung reagieren und dadurch Resonanzeffekte erzeugen, die die Frequenzregelung aus dem Takt bringen.

Die möglichen Angriffe beschränken sich nicht auf Netzstörungen. Über Insecure-Direct-Object-Reference-Lücken (IDOR) lassen sich personenbezogene Daten wie E-Mail-Adressen, Energieverbräuche und Geräte-IDs abrufen. Bei Growatt war auch der Zugriff auf EV-Ladestationen möglich, einschließlich der Steuerung und Firmware-Abfragen. Die Übernahme von Smart-Home-Geräten ermöglicht Szenarien mit psychologischer Wirkung: Beleuchtung, Geräte oder Ladesäulen lassen sich ferngesteuert ein- und ausschalten. Denkbar wäre auch Erpressung über Ransomware, die statt Daten zu verschlüsseln die Stromversorgung verriegelt.

Viele Komponenten der Energiewende sind nicht ausreichend abgesichert. Die zunehmende Vernetzung, kombiniert mit mangelhafter Softwarehygiene, schafft eine kritische Angriffsfläche. Solaranlagen, ob auf Hausdächern oder in Industrieparks, müssen als Teil der kritischen Infrastruktur behandelt und reguliert werden. Andernfalls drohen gezielte Angriffe mit Folgen für Versorgungssicherheit und Datenschutz.