Seit unserer ersten Veranstaltung warnen wir davor, die Wechselrichter der Balkonkraftwerke einfach so per WLAN mit dem Internet zu verbinden. Die meisten Wechselrichter telefonieren dann sofort nach Hause, und das ist meistens in China. Zusammen mit der chinesischen App auf dem Handy steht dann einer Fremdsteuerung im Krisenfall nichts mehr im Weg. Hunderttausende von Wechselrichtern deutschlandweit mal rhythmisch ein- und auszuschalten wäre dann ein Kinderspiel. Wo so etwas enden kann, konnten wir zum Beginn des Ukraine-Kriegs erleben, als tausende deutsche Windkraftanlagen nicht mehr steuerbar waren, weil russische Hacker*innen die dort eingebauten Router gehackt und lahmgelegt hatten.
In der Masse sind viele Balkonkraftwerke als Teil der kritischen Infrastruktur anzusehen.
Besonders heftig erwischt es derzeit die Wechselrichter des chinesischen Herstellers DEYE, bei denen eine Sicherheitslücke es in wenigen Minuten erlaubt, das Passwort des heimischen WLANs auszulesen und dann dort einzubrechen.
Der Hersteller DEYE hat uns am 27.2. dazu geschrieben: „The microinverter password problem has been solved through firmware upgrade. All online inverters will be upgraded automatically, and there is no need to do it, including the automatic upgrade after the inventory machine is online.“ Falls für den Wechselrichter also eine App installiert wird und er dort eingetragen wurde, erfolgt der Aktualisierung der Software im Wechselrichter automatisch.
Die Zeitschrift CT gibt deshalb in einem Artikel hierzu folgenden Rat:
„Wer einen Deye-Wechselrichter an seinem Balkonkraftwerk hat, sollte sich in jedem Fall um das Update bemühen, auch wenn er nicht beabsichtigt, die WLAN-Funktion und Solarman dauerhaft zu benutzen – ohne das Update gibt es keine Chance, den unsicheren Access-Point zuverlässig zu deaktivieren und somit eine Manipulation der Einstellungen zu verhindern. Es reicht aus, das Gerät bei Sonnenschein (nur dann ist das WLAN-Modul aktiv) für knapp 40 Minuten in einem Gast-WLAN mit Internetverbindung zu betreiben. Ob das Update angekommen ist, kann man in der lokalen Weboberfläche erkennen.“
Aber das Sicherheitsrisiko bleibt natürlich bestehen, und deshalb auch unsere beiden Ratschläge: Kein WLAN, notfalls Gäste-WLAN, besser separaten Energiemesser nutzen.