Erfahrene Leser von ccc.de ahnen nun bereits, wo die Geschichte hingeht: Als Teil des Antwort-Pakets auf einen solchen Rundruf bläst ein jeder Wechselrichter seine Seriennummer unverschlüsselt und voller Solarkraft in die Umgebung.
Bei experimentellem War-Walking durch Nachbarschaften wurden so Dutzende verwundbare Kraftwerke identifiziert. Die Angriffshardware lässt sich trivial auf eine Drohne schrauben – sofern ihre Hardware nicht eh schon von Haus aus die Protokolle unterstützt.
Der CCC ruft die Entwickler der OpenDTU-Community und andere Sicherheitsforscher dazu auf, gemeinsam an einer nachhaltigen Lösung zu arbeiten: Ziel ist hier zum Beispiel ein Open-Source-Patch oder eine alternative Firmware für die RF-Module, die Kryptographie (etwa AES) anstelle von unverschlüsselten Seriennummern nutzt
Da Hoymiles proprietäre Protokolle nutzt, ist dies auch ein Reverse-Engineering-Projekt. Wir unterstützen die Veröffentlichung der notwendigen Spezifikationen, um eine sichere Steuerung ohne „China-Cloud“ zu ermöglichen. Auf jeden Fall müssen alle Firmware-Updates von Hoymiles kritisch untersucht werden, damit die Firma nicht die Gelegenheit missbraucht, um Open-Source-Projekte wie OpenDTU gleich mit auszusperren.
Wenn ich das richtig lese, betrifft diese Vulnerabilität die Hoymiles-Mikrowechselrichter, die über die "Hoymiles DTU" kommunizieren. Versionen mit eingebautem WLAN scheinen diesen Angriffspunkt nicht zu haben. Insofern erst mal Entwarnung für meinen Hoymiles HMS-800W-2T.
Davon wüsste ich jetzt nichts. Ich lasse meinen komplett ohne Internetzugang laufen. Der WR selbst macht halt einen WLAN-Hotspot mit Namen DTUBIxxxxxx auf, sobald er DC von den Modulen sieht. Mit selbigem kann man sich dann verbinden, wenn man das Initialpasswort auf dem Wechselrichter notiert hat, und dann Leistungsdaten per Handy-App anschauen oder Einstellungen vornehmen. Ans Internet lasse ich meinen generell nicht. Ich verwende auch immer nur ein dediziertes Alt-Handy ohne SIM-Karte und Internetzugang, wenn ich mich mit dem WR verbinde.
Die ad-hoc-Lösung wäre ein 868MHz & 2,4 GHz-Jammer, den man direkt neben die Antenne des Hoymiles setzt. Wenn der genug Störsignal raushaut, kommt der Angreifer, der mit dem Auto durch die Straße fährt oder der Drohne über die Dächer fliegt, mit seiner Attacke nicht mehr durch
Hier gibt's zwei Paper von einem Hacker des CCC mit genaueren Details. Sind auch schön in TeX geschrieben Ach ja, wenn man nur die Zeit hätte, das alles zu lesen...
Damit ist die Katze aus dem Sack. Die PDFs sind so detailliert, dass es ein einfaches ist das umzusetzen.
Übel. Hatte gehofft, dass der Autor mit dem POC (proof of concept) wartet, bis Hoymiles Updates der Firmware anbietet. Finde ich persönlich nicht sehr verantwortungsbewusst.
Zu befürchten, dass die ersten in Kürze durch die Straßen fahren und Seriennummern sammeln…..
Klar ist nicht toll, dass Hoymiles nicht schneller reagiert hat. Das der Autor aber jetzt die Box der Pandora geöffnet hat, ist für die Besitzer der Modelle nicht gerade toll.
Naja ist ja keine Magie wenn das bekannt ist und wenn man die Timeline anschaut sieht man nicht viel Reaktionen von Hoymiles:
2026-02-08 Initial discovery of HM series vulnerability
2026-02-13 HMS-600 also found to be vulnerable
2026-02-24 Unsuccessful attempt to call Hoymiles Germany by phone
2025-02-25
Callback from Hoymiles. However, attempts to explain the issue
in EN and DE were unsuccessful
2026-02-25 Requested contact at hoymiles via e-mail and linkedin (VP and CEO)
2026-03-12 Notification of Hoymiles, CERT-Bund and BNetzA
4,5 Monate nach Erstkontakt .. irgendwann muss man nicht mehr warten
Ja man kann mit dem Auto oder der Drohne durch die Gegend fahren/ fliegen und dann mit grossen Antennen die WR ausschalten.
Damit erreicht man genau was? Dem kleinen Mann sein Balkonkraftwerk abschalten?
Wenn du das Stromnetz wirklich sabotieren willst steckt man in Berlin ne Kabelbrücke in Brand. Oder sägt nen Strommast um.
Richtig kritisch sind die WR in großen Anlagen die aus Gründen der Überwachung am Internet hängen und wo die Sorge besteht das diese zur Sabotage zentral abgeschaltet werden können. Das sind aber keine Hoymiles MicroWR
Nicht jeder Sau die durch Dorf getrieben wird muss man hinterher laufen
Könnte mir schon vorstellen, daß es da einige Feinde der EE geben könnte, die BKW Benutzer damit ärgern wollen. Für das Stromnetz ist das natürlich irrelevant.
ich glaube die meisten haben einfach etwas für "dagegen"
So wie es Gruppen gibt die generell gegen Wärmepumpen sind "als Grünversiffte Kacke" aber sich jetzt beschweren, dass Deutschland die Split Klimas verschlafen hat. (die ja auch Wärempumpen sind).
Die Frage ist: was kann man mit der Seriennummer anstellen?
Bekommt man damit Zugriff auf die Cloud-Steuerung (solche Schwachstellen gab es in der Vergangenheit)
Ein Angriff auf Cloud Infrastrukturen (solarman etc.) wo man settings auf Cloud Connected devices schieben kann wäre deutlich fataler.
Im 200m Umfeld Hoymiles BKWs auszuschalten ist vermutlich nicht kritisch.
Und die 200m sind noch hoch gegriffen.
Bei den DTU´s (Schraubantenne) mit direkter Sichtverbindung nach wenigen Metern schon Probleme. Da muss die DTU schon direkt am Fenster stehen damit das überhaupt klappt.
Von der Straße alle WR´s zu erwischen dürfte unmöglich sein. Schadenspotential geht gegen Null, wer Schaden anrichten will nimmt wie die Linksextremen in Berlin, Reutlingen oder Regensburg einen Brandsatz der an eine wichtige Kabelbrücke, Strommasten oder gleich das Umspannwerk für längere Zeit außer Betrieb nimmt.
Einzigste was hier passieren kann, ist dass sich ein paar BKW-Besitzer neue Wechselrichter kaufen, weil die denken dass der bisherige defekt ist.
Hab noch keine Details gelesen. Hat das was mit der DTU zu tun oder mit dem WR selbst? Also wenn man keine DTU laufen hat, kann der WR nicht von Fremden ausgelesen werden?
Hallo in die Runde,
nach meiner Erfahrung verbindet sich der HM stets nur mit einer Dtu. Habe eine "orginale" und eine OpenDtu. Mein HM verbindet sich mit dem Start mit lediglich einer Dtu, die 2te sucht und findet er nicht. Der beste Schutz ist daher m.A. eine kontinuierliche Verbindung mit der OpenDtu, denn dann kann scheinbar keine weitere Dtu auf den WR zugreifen. Das scheint jedenfalls für die 865 MHz Variante zuzutreffen.