Im Prinzip ist es eine feine Sache: Man stellt sich ein paar Solarpanels auf den Balkon und verkabelt diese mit dem hauseigenen Stromnetz. Der eigene Verbrauch kann so reduziert werden. Da viele Nutzer die Ersparnis auch sofort sehen wollen, bieten die Hersteller solcher Balkonkraftwerke meist eine Smartphone-Anbindung an. Per App lässt sich der aktuell selbst produzierte Strom überwachen – und zwar nicht nur zu Hause, sondern über das Internet, grundsätzlich von jedem Ort der Welt aus. Damit diese Anbindung klappt, werden die Daten aus dem kleinen Heimkraftwerk an Server geschickt. Dort werden sie verarbeitet und weitergeleitet.
Sicherheitslücke von Hoymiles mit Gefahr für Leib und Leben
Bei dieser Ertragsüberwachung gab es nun gravierende Sicherheitslücken im Cloudservice des chinesischen Photovoltaik-Herstellers Hoymiles, wie ein anonymer Hinweisgeber dem Tech-Portal Heise mitteilte. Angeblich waren zeitweise Hunderttausende Mikrowechselrichter von Balkonkraftwerken betroffen.
Hoymiles hat inzwischen reagiert und laut Heise-Redakteur Andrijan Möcker die Lücke bereits geschlossen. Der Fall zeigt allerdings ein grundlegendes Problem: Wenn Hersteller ihre Systeme nicht gut genug absichern, drohen Gefahren für User, schlimmstenfalls für Leib und Leben.
Schutzfunktionen ließen sich ferngesteuert ausschalten
Zunächst einmal wäre es laut Möcker möglich gewesen, die Stromproduktion von vielen tausend anderen Hoymiles-Kunden einzusehen, was zumindest ein gravierendes Datenschutzproblem darstellt. Denkbar wäre aber auch gewesen, dass Hacker Befehle auf die Systeme der Balkonkraftwerke schickten, um so einen Kurzschluss zu produzieren oder die Anlage zu zerstören.
Im Extremfall hätten auch Schutzfunktionen deaktiviert werden können, die verhindern, dass User einen Stromschlag bekommen. So "wäre es möglich, den NA-Schutz sowie den Inselschutz zu deaktivieren". Dass solche Angriffe tatsächlich funktioniert hätten, als die Lücke noch nicht geschlossen war, hat der Hinweisgeber laut Heise selbst verifiziert.
Angriffe auf gesamtes Stromnetz grundsätzlich denkbar
Andrijan Möcker weist noch auf ein anderes theoretisches Szenario hin. Wenn sich Hacker Zugriff auf möglichst viele Balkonkraftwerke verschaffen würden, könnten sie große Schwankungen im Verbrauch auslösen. Sie müssten diese Haus-Kraftwerke alle gleichzeitig mehrmals ab- und nach einer gewissen Zeit wieder anschalten. Das würde eventuell ausreichen, um Netze zum Kollabieren zu bringen.
Alleine in Deutschland bringen es die auf Balkonen installierten Solaranlagen auf eine Gesamtleistung im Megawattbereich, was ganzer Gas-Kraftwerke entspricht, wie Andrijan Möcker sagt. Das wiederum erlaubt Hackern, durch Attacken größere Stromausfälle auszulösen.
Viel schlampig programmierte Software
Das Szenario eines koordinierten Hackerangriffs mit drastischen Folgen für die Stromnetze skizziert auch Sebastian Schreiber, Gründer und Chef des IT-Sicherheitsdienstleisters Syss. Das sei gut vorstellbar, sagt Schreiber, der mit seinem Unternehmen seit 25 Jahren sogenannte Penetrationstests bei Firmen und Behörden durchführt; damit wird geprüft, ob es in ihren Systemen Lücken gibt.
Bei den Balkonkraftwerken habe man immer wieder Schwachstellen gefunden, in die Hacker eindringen könnten, erklärt der Syss-Chef BR24. Viele dieser Anlagen (meist aus China) seien schlampig programmiert. "Kritisch sind nicht nur die Produkte, sondern auch die laienhafte Installation." Und das große Problem ist laut Schreiber, dass sich für die Überprüfung hierzulande niemand zuständig fühle.
Was sagt das BSI zur Sicherheit von Balkonkraftwerken?
Es gibt offenbar Lücken, die untersucht werden müssten. Nicht nur im Sinne der Verbraucherinnen und Verbraucher, sondern auch um die Sicherheit der Stromnetze zu garantieren. BR24 hat deshalb eine Anfrage an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt. Die Behörde ist nach eigenen Angaben die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.
In der Stellungnahme, die wir bekommen, heißt es aber unter anderem: Man könne die IT-Sicherheit von Produkten untersuchen, wenn hierfür ein Anlass bestehe. Und weiter: "Darüber hinaus führt das BSI jedoch in dem Sinne, dass neue Produkte hinsichtlich ihrer Sicherheitseigenschaften untersucht werden müssen, keine Marktüberwachung durch."
Ob und von wem die Sicherheit der vielen Balkonkraftwerke ansonsten untersucht wird, dazu bekommen wir keine Informationen. Nur soviel rät das Bundesamt noch: User sollten bei der Auswahl von Mikrowechselrichtern darauf achten, dass diese auch lokal betrieben werden könnten, es also keinen Zwang gebe, die Internetanbindung zu nutzen.
- Zum Podcast "Dreimal Besser": Strom selbst erzeugen - das bringt ein Balkonkraftwerk
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!