Sicherheitslücken in Photovoltaik-Systemen

IT-Experten haben sich PV-Systeme angesehen und dabei 46 Schwachstellen aufgedeckt. Sie können Stromnetze gefährden

IT-Experten der deutsch-israelischen Unternehmensgruppe Infotastisch Group haben sich Photovoltaik-Anlagen angesehen und sind dabei insgesamt auf 46 neue Sicherheitslücken gestoßen. Diese könnten die Stromnetze gefährden, erörtern die IT-Experten.

 

Infotastisch Group schlägt in dieselbe Bresche wie das BSI, das Anfang des Jahres Bedenken bezüglich der Sicherheit von Hersteller-Clouds von Wechselrichtern äußerte. Die IT-Sicherheitsbehörde sieht jedoch die Gefahr, dass "die Zentralregierung in Peking über die internetfähigen Komponenten von Solaranlagen direkten Einfluss auf einen systemrelevanten Teil der deutschen Stromversorgung" nehmen könnte. Die Forescout-Forscher sehen die Bedrohung eher durch bösartige Akteure im Netz, die etwa über die nun gefundenen Schwachstellen die Stromeinspeisung steuern und so die Stromnetzstabilität beeinflussen könnten.

 

Untersuchung von Wechselrichtern mehrerer Hersteller

In einem Beitrag fassen die IT-Experten ihre Ergebnisse zusammen. Sie haben zunächst ältere, bereits gemeldete Schwachstellen gesammelt und ausgewertet. Dabei kamen sie auf 93 Lücken, von denen 80 Prozent die Risikoeinstufung "kritisch" oder "hoch" erhalten haben. Die meisten Schwachstellen fanden sie in Solar-Monitor-Systemen (38 Prozent) und den Cloud-Backends dahinter (25 Prozent). Weniger Schwachstellen weisen hingegen die Wechselrichter auf (15 Prozent).

 

Die IT-Experten haben für die eigenen Analysen von den zehn größten Wechselrichter-Anbietern die oberen sechs ausgewählt: Ginlong Solis, GoodWe, Growatt, Huawei, SMA und Sungrow. Von denen haben sie Geräte für unterschiedliche Zwecke untersucht – für den Heimgebrauch, für Solarparks und für Industrie. Bei Growatt, SMA und Sungrow haben sie neue Sicherheitslücken entdeckt.

 

Die neu entdeckten Sicherheitslecks ermöglichen demnach Szenarien, die Einfluss auf die Stromnetzstabilität sowie die Privatsphäre haben. Einige Schwachstellen erlauben die Übernahme weiterer smarter Geräte in Heimnetzwerken. Die gute Nachricht ist jedoch, dass die Hersteller die Sicherheitslücken inzwischen gestopft haben.

 

Angriffsszenarien gegen Stromnetze

Eines der Angriffsszenarien ist recht simpel: Bösartige Akteure gelangen an Konto-Nutzernamen, können mit der Passwort-Rücksetz-Funktion das Konto übernehmen und nutzen diesen Zugriff, um Wechselrichter-Einstellungen zu manipulieren – etwa die Begrenzung der Stromeinspeisung zu verändern. Bei der Übernahme mehrerer Geräte etwa mit einem Botnet sei auch die koordinierte Abschaltung der Geräte zu einem bestimmten Zeitpunkt denkbar. Während einzelne Wechselrichter eher wenig ausrichten, ist eine solche Attacke auf mehrere Geräte gleichzeitig eher eine relevante Bedrohung – je nachdem, wie schnell etwa Notstromgeneratoren einspringen können.

 

Mit Hinblick auf das europäische Stromnetz habe vorhergehende Forschung gezeigt, dass die Kontrolle über 4,5 Gigawatt erzeugtem Solarstrom reiche, um die Netzfrequenz auf 49 Hertz abzusenken – was einen Lastabwurf bedinge. In Europa seien 270 Gigawatt solare Stromerzeugung installiert, sodass die Kontrolle von 2 Prozent der Wechselrichter zum Provozieren solch einer Situation ausreiche.

 

Konkrete Schwachstellen

Im umfangreicheren Bericht gehen die Experten detaillierter auf die Schwachstellenfunde ein. So haben sie mehrere "Insecure Direct Object References" (IDOR) in den APIs gefunden, die nicht autorisierten Zugriff auf Ressourcen der Cloud-Plattformen der Anbieter erlaubten. Zudem stießen sie allgemein auf Defekte bei der Autorisierung. Die Web-Apps wiesen einige Cross-Site-Scripting-Lücken auf, und einige Cloud-Web-Apps ermöglichten unbegrenzten Datei-Upload, was zum Einschleusen und Ausführen von Schadcode missbrauchbar war.

 

Eine mobile App war mit hartkodierten Zugangsdaten ausgestattet, außerdem setzte sie auf eine unzureichende Zertifikatsprüfung. Ein WLAN-Dongle ermöglichte offenbar den Missbrauch eines Pufferüberlaufs. Außerdem nutzten einige Geräte nicht authentifizierte Aktualisierung der Firmware Over-the-Air (OTA), was Angreifer zum Einschleusen und Ausführen von Schadcode und zur vollständigen Übernahme betroffener Geräte missbrauchen konnten.

 

In der begrenzten Zeit, in der sie die Tests ausführten, haben die IT-Experten keine Schwachstellen in Geräten von Ginlong Solis, GoodWe oder Huawai gefunden. Das bedeute jedoch nicht, dass die Geräte sicherer als andere seien, sondern die IT-Experten hatten keine Testzugänge oder entschieden sich dagegen, mehr Zeit für weitere Analysen aufzuwenden. Bei Geräten von Growatt haben die Analysten Lücken gefunden, die die Übernahme von Konten und Geräten ermöglichten – und ein Datenleck. Beim europäischen Anbieter SMA war es möglich, Schadcode aus dem Netz in der Cloud-Plattform auszuführen. Bei Sungrow war die Übernahme von Geräten und ebenfalls ein Datenleck möglich. Noch haben nicht alle Lücken auch einen CVE-Eintrag erhalten, aber der Bericht listet alle Funde auf. Interessierte finden darin auch technisch tiefergehende Analysen.