Die zunehmende Verbreitung von Balkonkraftwerken ist ein positiver Schritt in Richtung einer dezentralen, erneuerbaren Energieversorgung. Doch mit der wachsenden Integration dieser Systeme in unsere Haushalte und in das Stromnetz rückt auch die Cybersicherheit immer stärker in den Fokus. Im Rahmen unserer Mission bei Jakkaru haben wir die Sicherheit dieser Systeme untersucht und dabei erhebliche Schwachstellen aufgedeckt, die sowohl Händler als auch Hersteller von Wechselrichtern betreffen.

Das wachsende Risiko vernetzter Energiegeräte

Balkonkraftwerke sind für Verbraucher recht attraktiv, bringen aus Sicht der Cybersicherheit aber neue Risiken mit sich. Um moderne Funktionen wie Leistungsüberwachung und Fernsteuerung per Smartphone-App zu ermöglichen, werden diese Wechselrichter mit dem Internet verbunden. Diese Konnektivität ist zwar praktisch, macht die Geräte aber anfällig für Angriffe. Eine flächendeckende, koordinierte Abschaltung solcher Geräte könnte eine destabilisierende Wirkung auf das Stromnetz haben.

Viele Verbraucher kaufen ihre Solaranlagen als Komplettsets bei Händlern. Diese Unternehmen bieten oft eine eigene App zur Verwaltung des Systems an. Das bedeutet in den meisten Fällen auch, dass sie sensible Daten über ihre Kunden und deren Geräte speichern.

Unsere Analyse eines solchen Händlers offenbarte schnell kritische Schwachstellen. Innerhalb kurzer Zeit identifizierten wir eine Schwachstelle, die es uns ermöglichte, einen Standard-Benutzer-Account in einen Administrator-Account zu verwandeln. Dies verschaffte uns Zugriff auf das gesamte Administrations-Dashboard des Unternehmens.

Wir waren dadurch in der Lage, die Daten aller registrierten Nutzer – insgesamt etwa 84.000 – einzusehen. Die Informationen waren hochsensibel:

• Bei rund 41.000 Nutzern enthielt die Datenbank den Namen des Heim-WLANs (SSID) und das zugehörige Passwort im Klartext.

• Bei etwa 23.000 Nutzern waren zusätzlich die präzisen GPS-Koordinaten des Wechselrichters gespeichert.

Die Kombination aus dem genauen Standort eines Nutzers und dessen WLAN-Zugangsdaten stellt ein extremes Sicherheitsrisiko dar. Sie bietet Angreifern einen direkten Weg, um auf die privaten Heimnetzwerke von Zehntausenden von Privatpersonen und Unternehmen zuzugreifen. Dies wirft besonders Fragen der Notwendigkeit der Speicherung solcher sensibler Daten auf.

Schwachstellen bei Hersteller-Plattformen

APsystems ist ein bekannter Hersteller von Mikrowechselrichtern, unter anderem der beliebten EZ1-M-Serie. Wir haben die zugehörige App „AP EasyPower“ analysiert und dabei einen grundlegenden Fehler im Sicherheitskonzept entdeckt. Bei einigen Wechselrichtern war ein Attribut gesetzt, das sie für alle Benutzerkonten zugänglich machte. Die API des Systems prüfte nicht, ob ein Nutzer überhaupt berechtigt war, Befehle an den Wechselrichter zu senden. Das bedeutete: Jeder, der die eindeutige ID eines Geräts kannte, konnte es steuern.

Dies wäre nur ein kleines Problem, wenn die IDs zufällig und schwer zu erraten wären. Das war aber nicht der Fall. Die Wechselrichter-IDs folgten einer kleinen Anzahl sehr vorhersehbarer Muster. Durch systematisches Testen dieser Muster konnten wir aktive Geräte identifizieren. Unser Scan, der etwa 24 Stunden dauerte, bestätigte die Existenz von rund 100.000 anfälligen Wechselrichtern allein aus dieser Serie. Für jedes dieser Geräte war es möglich, Besitzerinformationen abzurufen und den Wechselrichter ferngesteuert abzuschalten oder neu zu starten.

Sunways

Eine ähnliche Untersuchung des Herstellers Sunways führte zu ebenso besorgniserregenden Ergebnissen. Sunways bietet ein Webportal für Kunden und Händler zur Überwachung ihrer Solaranlagen an. Um potenziellen Kunden die Plattform zu demonstrieren, wird ein öffentlicher Demo-Account angeboten.

Wir stellten fest, dass dieser Demo-Account fehlkonfiguriert war und volle Administratorrechte über die gesamte Plattform besaß. Dieser Zugriff erlaubte es uns, jede über das System verwaltete Solaranlage einzusehen und zu steuern. Wir identifizierten etwa 44.000 betroffene Solaranlagen, die alle über diesen einzigen, ungesicherten Demo-Account ferngesteuert ein- oder ausgeschaltet werden konnten.

Datenvisualisierung

Es folgen Visualisierungen der betroffenen Wechselrichter in Europa und auf den Philippinen. Es ist zu beachten, dass nicht alle Wechselrichter angezeigt werden, da bei einigen Geräten die GPS-Daten fehlten.

Auswirkungen

Die Ergebnisse dieser und anderer Untersuchungen offenbaren einen beunruhigenden Mangel an grundlegenden Sicherheitsmaßnahmen in der Solarbranche. Schwachstellen wie fehlende Berechtigungsprüfungen und unsichere Datenspeicherung setzen Verbraucher und potenziell auch kritische Infrastrukturen einem erheblichen Risiko aus. Hersteller und Händler müssen der Sicherheit ihrer Produkte dringend Priorität einräumen, um das sichere und zuverlässige Wachstum der dezentralen Energieerzeugung zu gewährleisten.

Responsible Disclosure

Als Cybersicherheitsunternehmen ist uns Responsible Disclosure sehr wichtig. Leider hat APsystems bis heute nicht auf unsere E-Mails geantwortet.

Wir haben das BSI-CERT über unsere Ergebnisse informiert. Dieses bestätigte die Fehlkonfigurationen bei APsystems und Sunways, leitete jedoch kein Coordinated Vulnerability Disclosure Verfahren ein.

Der Händler hingegen hat die von uns gemeldeten Schwachstellen umgehend behoben.

10.07.2025: Schwachstellenbericht an Sunways und APsystems gesendet
11.07.2025: Meldung unserer Ergebnisse an das BSI-CERT
14.07.2025: Nachfrage bei Sunways nach einem Update
22.07.2025: Erneute Kontaktaufnahme mit dem BSI-CERT, da keine Antwort von APsystems und Sunways erfolgte
28.07.2025: Kontaktaufnahme mit Mitarbeitern von Sunways und APsystems über LinkedIn
31.07.2025: BSI-CERT bittet um Proof-of-Concept Script
19.08.2025: Antwort des BSI-CERT: Die Ergebnisse qualifizieren sich nicht für ein CVD
19.08.2025: Benachrichtigung des BSI-CERT über das geplante Veröffentlichungsdatum
17.10.2025: Benachrichtigung von Sunways und APsystems über das Veröffentlichungsdatum, mit Angebot einer Fristverlängerung bei Bedarf
27.10.2025: Erneute Benachrichtigung von Sunways über andere Mail-Adressen, die über die Nutzer-API gefunden wurden
28.10.2025: Finaler Bericht an Sunways gesendet
29.10.2025: Sunways bestätigt den Erhalt unserer Mail
05.11.2025: Sunways bestätigt, dass die Sicherheitslücken behoben wurden