[English]Die zunehmende Dezentralisierung der Stromversorgung mittels Solarzellenanlagen stellt nicht nur einen Fortschritt in der Energiewende dar, sondern wirft auch neue Sicherheitsfragen auf. Trend Micro hat in einer Studie die IT-Sicherheit von Systemen zur dezentralen Energieversorgung untersucht. Dabei nahmen die Forscher besonders die Netzwerk-Gateways von PV-Solaranlagen unter die Lupe. Hier einige Ergebnisse aus dieser Studie.
Anzeige
Cybersecurity bei PV-Solarenergieanlagen
Die Untersuchung von Anlagen führender Hersteller wie Enphase, Outback, Phocos, Sol-Ark und Victron konzentrierte sich darauf, wie cybersicher diese Systeme gestaltet sind. Gerade die Beliebtheit von Solar- und Photovoltaikanlagen lenkt dabei verstärkte Aufmerksamkeit auf deren IT-Sicherheit. Während die Systeme von Outback und Phocos keine Schwachstellen aufwiesen, konnten die Forscher bei anderen Anlagen unterschiedliche Sicherheitsrisiken identifizieren.
Neben fehlender Verschlüsselung bei der Datenübertragung und Problemen mit Standardpasswörtern stellen auch potenziell unsichere Firmware-Updates ein Risiko dar. Einige Anlagen waren im Test auch anfällig für Angriffe, bei denen sie aus der Entfernung abgeschaltet oder neu konfiguriert wurden. Zwei untersuchte Systeme stuften zudem allen Datenverkehr im lokalen Netzwerk als vertrauenswürdig ein. Das kann zu Risiken führen, wenn das System versehentlich mit dem Internet verbunden wird. Darüber hinaus konnte der genaue Standort einiger Anlagen durch unberechtigten Zugriff auf ihre Access Point (AP)-Scans identifiziert werden. Dies würde es Cyberangreifern im Ernstfall ermöglichen, gezielt bestimmte Regionen ins Visier zu nehmen.
Datensicherheit und Standortabhängigkeit
Die Sicherheitsforscher betrachteten auch Fragen der Datensouveränität und des Speicherorts bei der Nutzung von Cloud-Diensten. Abhängig vom Hersteller übertragen einige Systeme beispielsweise Daten an Amazon Web Services (AWS) in den USA oder der EU, an Microsoft Azure in Brasilien, an Alibaba Cloud in China, oder an Rechenzentren in den Niederlanden. Diese Übertragungen erfordern ein hohes Maß an Vertrauen in die jeweiligen Cloud-Dienstleister und deren Sicherheitsvorkehrungen. Die Übertragung sensibler Informationen über internationale Grenzen hinweg bedarf nicht nur der technischen Zuverlässigkeit, sondern auch der Einhaltung unterschiedlicher Datenschutzbestimmungen. Dies verdeutlicht die Komplexität und den globalen Charakter der Datensicherheit im Kontext der dezentralen Energieerzeugung.
Es ist unwahrscheinlich, dass einzelne exponierte Geräte großflächige Ausfälle in der dezentralen Energieversorgung verursachen können. Stattdessen könnten Angreifer aber Cloud-Dienste ins Visier nehmen, die mehrere Geräte gleichzeitig verwalten und steuern, um diese für schädliche Zwecke zu kontrollieren. Entsprechend wichtig sind die Sicherheitsmaßnahmen der Cloud-Provider, um solche Angriffe zu verhindern.
Cyberkriminelle können durch Methoden wie Phishing, Brute-Forcing von Passwörtern oder das Ausnutzen bekannter Sicherheitslücken Benutzerkonten mit Fernverwaltungsfunktionen übernehmen. Sobald sie sich Zugang verschafft haben, können sie vorhandene Daten manipulieren und die Anlagen aus der Ferne steuern, sofern die Cloud-Dienste dies erlauben.
Empfehlungen zum Schutz
Die Sicherheitsforscher von Trend Micro geben klare Handlungsempfehlungen, um Anlagenbetreiber und Techniker zu unterstützen:
- Begrenzung des Fernzugriffs: Es wird empfohlen, den Fernzugriff auf die Steuerungsschnittstelle zu begrenzen. Insbesondere die direkte Exposition von Systemen im Internet sollte vermieden werden.
- Passwortschutz: Die Änderung von Standardpasswörtern und die Aktivierung von Passwortschutz sind entscheidend, um unbefugten Zugriff zu verhindern.
- Trennung des Netzwerkinterfaces: Die Forscher empfehlen außerdem die Trennung des Netzwerkinterfaces der Inverter von anderen lokalen Netzwerken, um die Anfälligkeit gegenüber potenziellen Angriffen zu reduzieren.
- Zusammenarbeit mit externen IT-Security-Experten: Es wird geraten, bewährte Sicherheitspraktiken zu beachten und eine Zusammenarbeit mit externen IT-Security-Experten in Betracht zu ziehen.
„Die Studienergebnisse betonen die Bedeutung eines ausgewogenen IT-Sicherheitsansatzes in der sich wandelnden Landschaft der dezentralen Energieerzeugung.", so Udo Schneider, Security Evangelist Europe bei Trend Micro. „Die Integration erneuerbarer Energien erfordert nicht nur technische Innovationen, sondern auch eine sorgfältige Berücksichtigung von Sicherheitsaspekten, um den reibungslosen Betrieb und die Vertrauenswürdigkeit dieser Systeme zu gewährleisten. Cybersecurity spielt eine maßgebliche Rolle bei der Sicherstellung einer leistungsfähigen Energieversorgung." Details finden sich im Bericht Distributed Energy Generation Gateway (In)Security.
2015
Erbsenzählermodus ein
Günter, Du meinst Photovoltaik, nicht Solar. Solarthermie macht das Wasser warm, PV-Anlagen erzeugen den Strom.
Erbsenzählermodus aus
Das ist ein gutes und wichtiges Thema. Mein persönlicher Eindruck (als Eigentümer einer PV-Anlage nebst Speicher) auf dem Dach meines Hauses und einer ganzen Reihe von Gesprächen ist, dass die ausführenden Firmen (sind ja i.d.R. Elektroinstallateure) mit der Digitalisierung überfordert sind. Die Architektur der Anlagen sieht aber nicht vor, dass der Eigentümer der Anlage, selbst an die Konfiguration herankommt. Teilweise hat man extra Hürden eingebaut, dass man z.B. eine Kundennummer des Elektrikers braucht o.ä. Das mag auch nicht unbegründet sein, es ist aber so, dass die Elektroinstallateure eben oftmals keine Erfahrung mit Cybersicherheit haben, weil es nicht in ihrem Ausbildungsberuf vorkommt. Der IT'ler erkennt vielleicht eine in Sachen IT-Sicherheit falsche Einstellung am Wechselrichter, kann sie aber nicht ändern. Der Elektriker traut sich nicht, die Option umzustellen, weil er sich nicht auskennt. Er wird es vielleicht auf Anordnung des Eigentümers (seines Kunden) machen, ggf. dann das Thema "dann erlischt in diesem Moment die Garantie". aufmachen. Und schon geht die Debatte los.
Bestimmte Wechselrichter von SMA haben z.B. ein Problem mit der Netzwerkverbindung, wenn im gleichen Netz auch MagentaTV der Telekom aktiv ist. Beide nutzen IGMPv3 für irgendwelche use-cases und einer von beiden Herstellern hat (so ist zu vermuten) das RFC nicht sauber gelesen bzw. umgesetzt.
Wenn BHKWs über das Internet erreichbar sind, beim Nachbarn jeder mit etwas Sachverstand das Garagentor öffnen kann, … das ist sicherlich eine Designfrage der Hersteller und eine "Betreiberpflicht" des Eigentümers. Dem ausführenden Handwerker kommt hierbei eine wichtige Schnittstellenfunktion zu. Wenn mir in der IT jemand eine webbasierte Software anbietet, die man nicht mit einem SSL-Zertifikat absichern kann, dann beschaffen wir diese Software nicht. Hersteller und ausführende Unternehmen gehen nach meinem persönlichen Eindruck häufig zu pragmatisch mit diesen Themen um.
Die SMA-Sache ist m.M.n. ein reines Versagen von SMA.
Die betroffenen Geräte dieses Herstellers finden sich per Multicast über IGMP, d.h. machen eine Gruppe im Netz auf über dass sie sich u.A. mitteilen wer mit wem kommunizieren will. Da man aber jederzeit aus dem Netz fliegen oder sich die Konfiguration/Topologie ändern kann, muss eine solche Gruppe regelmäßig erneuert werden (15 Minuten oder so). MultiCast-Datenverkehr muss aber von dummen Switches immer an alle aktiven Ports zugestellt werden, was im Falle von IP-TV (wo das massiv genutzt wird) eher doof ist, weil da einige Megabit zusammenkommen. Deshalb gibt es schlaue Switches (und quasi alle Router), die beobachten an welchen Ports welche Gruppe ist. Dazu ist es aber notwendig, dass sich alle Gruppen an die Regeln halten und regelmäßig die Mitgliedschaft erneuern und halbwegs abwärtskompatibel zu alten IGMP-Versionen sind.
Genau die Erneuerung der Gruppen macht SMA aber nicht bzw. viel zu selten oder sonst irgendwie falsch, so dass es Probleme gibt, so bald irgend eine Optimierung (IGMP Snooping) läuft. Für IP-TV ist diese Optimierung aber mehr oder weniger Pflicht, und bei vielen Gigabit-Switches (auch dummen/nicht managebaren) ist es deshalb aus Geschwindigkeitsgründen im Hintergrund aktiv.
Ergebnis: Kommunikation von SMA bricht weg. SMA sagt, der Rest der Welt macht es falsch.
Lösung ist meist, eine möglichst dumme 100Mbit-Switch zu nutzen, um alle Solarkomponenten zu verknüpfen und dann zum Router zu gehen. Die flutet einfach immer alle Ports und gut ist. Dummerweise werden diese Switches aber kaum noch produziert…
Besser: ein VLAN aufmachen. Das ist aber für Laien nicht leistbar.
Alternativ: einen (alten) Router dazwischen hängen und nochmal NAT machen. Das kann zumindest wahrscheinlich jeder halbwegs affine Zocker.
Naja es hilft ungemein wenn man nicht alles in das selbe Netz hängt!
Machst du ja in Firmen auch nicht anders, die Produktionsmaschinen hängen nicht im selben Netzwerk wie die OfficeRechner / Server etc.
Grundsätzlich gilt: Keine Anlage mit Cloud Funktionalität oder gar Cloud Zwang. Wenn schon Fernzugriff (wozu eigentlich) dann über die eigene, sichere Infrastruktur. Mit Cloud ist sowieso Ende Gelände, wenn der Lieferant pleite geht oder einfach keine Lust mehr hat. Warum nur lassen sich so viele menschen ins Boxhorn jagen?
Bei einer PV-Anlage ist man schon daran interessiert, dass sie funktioniert und maximal effizient läuft. Das ist lokal nur mit erheblichem Aufwand zu machen, die Nutzung der Herstellerportale bietet hier echte Vorteile, z.B. den Vergleich mit anderen Anlagen in der Region und automatisierte Überwachung auf Abweichung.
Da alle mir bekannten Anlagen grundsätzlich auch bei Ausfall des Herstellerportals/der Kommunikation weiterlaufen, liegt m.M.n. auch kein Cloud-Zwang vor, man navigiert dann halt das Schiff vom Maschinenraum statt von der Brücke.
Wird bei entsprechenden Anforderungen auch so gebaut, dann muss man aber Mehraufwand vor Ort treiben (Firmwareupdates gegen Ausfälle, Überwachung) – kommt meist nur für größere Kunden die bereits Gebäudeleittechnik haben in Frage.
Was kann man den bei einer PV Anlage überhaupt aus der Ferne einstellen, dass die maximal effizient läuft?
Das mit den Daten/Analyse sehe ich noch ein, aber keine Ahnung ob und wie das wirklich durch die Firmen für "Finetuning" genutzt wird. Wenn dann geht es doch nur um Komplettausfälle oder mal eine Statistik, wenn man eine neue Anlage haben will.
Viele berauschen sich an den schönen Kurven, die aus China auf das Smartphone gebeamt werden – Risiken werden negiert. Ohne App nichts wert, ist ja bei vielen Dingen mittlerweile so.
Und ja, das mittels Raspberry Pi oder DTUs zu analysieren, macht Leuten wie mir Spaß, ist aber doch recht aufwändig und überfordert halt 99% – ohne Häme und voll nachvollziehbar!
Bei mir ist der Wechselrichter/das System über die Fritzbox abgeklemmt, der Hersteller weiß nicht, wo es läuft. Ohne Hilfsmittel kann ich immerhin den Tagesertrag direkt vom WR auslesen. Reicht in den meisten Fällen.
Vorher beraten lassen, ob das System auch ohne Cloud kann – da gibt's genügend Fälle, wo das nicht geht!
Es geht bei der Anbindung an Herstellerportale i.d.R. nur nachrrangig ums stellen und regeln, sondern darum nachzusehen wie die Tages/Wochen/Monatserträge im Vergleich zu den Prognosen oder anderen Anlagen sind.
Ein Ausfall einer Anlage kostet Ertrag und da ist i.d.R. keine Hupe dran, die meckert. Zumal wenn die Anlage keinen Strom hat (Feuerwehrschalter, Sicherung raus, …), aus welchem Grund auch immer, halt auch kein Alarm ausgelöst wird, von wem auch, ist ja Stromlos….
Oder halt irgendwelche Fehlermeldungen, die aufschlagen und auf (temporäre) Störungen hinweisen (z.B. Isolationsfehler bei Feuchtigkeit + fehlerhaften Modulen/Installation), Alterungserscheinungen der Elektronik…
Die Anlagen stehen nicht nur auf Einfamilienhäusern – bei Mietshäusern, Betriebsgeländen und im Wald/auf dem Feld interessiert sich keiner täglich dafür, ob die Anlage läuft. Da da auch kein Motor tuckert bekommt man das schlichtweg nicht mit, ob die Anlage überhaupt an ist, und selbst bei kleineren Anlagen kann es schnell um mehrere hundert Euro Ausfall gehen.
Photovoltaik ist (auch auf Einfamilienhäusern) stinklangweilig – nach 2 Jahren kümmert sich da keiner mehr drum, was die Anlage macht, da stehen Anlagen ohne Überwachung gern mal 6 Monate still (alles schon gehabt…).
Stellen und Regeln können nur relativ wenige Portale, das ist ziemlich neue Technik. SMA hat so etwas, Huawei auch. Da geht es im Wesentlichen darum, die Anlage so zu parametrieren dass man Sie am Standort betreiben darf, das ist mehr oder weniger den Vorgaben des Netzbetreibers geschuldet und eher einmalig.
Oder man stellt halt fest, dass der Betrieb wegen irgendwelcher Störungen vor Ort (Industriebetriebe, Alterung…) eher schlecht läuft und passt die Parameter geringfügig an.
Eigenverbrauchsoptimierung gibt es auch, aber dass geht dann eher in Richtung Cloud-Zwang, wenn das Internet braucht, das will keiner…
Hallo Günther,
ich habe gerade mal bei meiner Victron-Anlage geschaut, was man einstellen kann:
Man kann die gröbsten Betriebsmodi einstellen:
On/Charger only/Inverter only/Off
Stromlimit 3/6/10/13/16/25/32/63A (!)
Das ESS (Energy Storage System)
Optimized with battery life/…without battery life/keep batteries charged/external Control
Battery SOC (State of charge – minimale Ladung der Akkus, vornehmlich um keinen Schaden zu nehmen): default: 10% (ist aber mit Battery Life dynamisch, abh. vom durchschnittl. tägl. Ertrag der PV-Anlage)
Man kann die Relais der Wechselrichter ein-/ausschalten, die abh. von bestimmten Zuständen (z. B. PV-Ertrag) schalten.
Alles in allem brauche ich diese Einstellungen nicht auf dem Portal. Ehrlich gesagt finde ich die Strombegrenzung per Webseite zu schalten auch ein bisschen fragwürdig.
Ich glaube aber, es geht hier eher um "Zugänglichkeit" der Einstellungen für nicht-IT-Affine Besitzer dieser Anlagen. Es ist für den Hersteller deutlich einfacher, das Steuergerät mit DHCP im Heimnetz und dann in der Cloud anzumelden und diese Einstellungen dem Nutzer zugänglich zu machen, als unbedarften Nutzern zu Support zu leisten und erklären, wie sie die IP der Geräte herausfinden, sich darauf anmelden, warum das nur in ihrem Netz geht – "sind Sie auch mit dem WLAN verbunden?" etc.
allerings…
https://www.heise.de/ratgeber/Risiko-Cloudabschaltung-Wenn-einwandfreie-Hardware-ploetzlich-nutzlos-wird-9590403.html
Leider hat die Studie kaum wirklich große Hersteller (SMA, Huawei, Sungrow) berücksichtigt, das wäre wesentlich interessanter gewesen.
Aber im Allgemeinen gilt meiner Erfahrung nach für PV-Anlagen genau das, was für alle Industrieanlagen gilt: Sicherheit auf Netzwerkebene ist nicht vorhanden und muss durch Netztrennung und isolation hergestellt werden.
Die internen Protokolle können meist nicht mal Authentifizierung, geschweige denn Verschlüsselung (z.B. das "hochmoderne" Sunspec = Modbus).
Extern zu den Herstellerportalen sieht es oft besser aus, da wird aber meist nichts dokumentiert und alles ist hochgeheim, was angeblich der Sicherheit dient – wenn der Kunde dann aber mal eine ernsthafte Firewall dazwischen hängen (die Ausgehenden Verkehr filtert) will ist er quasi chancenlos.
Wer Fernwartung will, muss m.M.n zwingend VPN nehmen. Portweiterleitungen etc. sind grob unverantwortlich, da die Geräte selbst wenn sie verschlüsselte Protokolle verwenden zumeist nicht mal gegen primitivste Brute-Force Angriffe geschützt sind (Rate-Limiting, komplexe Passworte,…), geschweige denn Sicherheitsupdates für Ihre Firmware (z.B. Webserver) erhalten.
bei mir läuft nur ein Datalogger mit und der hängt im Gastnetz, verwaltet wird alles lokal am Wechselrichter und das Passwort stand im Handbuch, von außen gibt es keinen Zugriff und ist auch nicht erwünscht. Dass die Hersteller oder Netzbetreiber das anders sehen, das mag sein, zeigt aber auch das Problem des ganzen Unsinns auf: es wird zu kompliziert. Wird es kompliziert, wird es teuer und das ist das Problem. Anmelden der Anlage durch den Meister? 600€. Später Batterie anschließen? Wieder Beratungs- und Anmeldekosten. Im Vorfeld: Netzbetreiber und Meister verabreden sich (oder nicht), bei der Demonstration der Vorplanung vor Ort. Nun kommt der Wunsch auf, eine Wallbox zu installieren: Aufwände, Kosten, sinnlose Gespräche und Zeitverschwendung.
Das ist gequirlter Mist^3 und wer Spaß hat, soll PV und den Rest machen, aber eine Wende irgendwohin wird es damit nicht geben. Wir brauchen zentrale Kraftwerke, mit Kohle, Öl, Gas oder von mir aus Brennstäben, dann können die bestehenden Netze genutzt werden und alles funktioniert.
Geräte, die ohne Internet nicht steuerbar sind = Schrott.
Nett pauschalisiert. Blöd, das die dezentrale Stromversorgung ohne eine zentrale Regelung nicht auskommen wird. Betrifft PV eher am Rande, wenn aber künftig EV oder Heimspeicher Lastspitzen abfangen sollen, dann werden sie dazu ferngesteuert werden. Oder sollen die anfangen einzuspeisen wenn die Netzfrequenz spürbar einbricht?
Ich brauche nicht mal eine zentrale Regelung. Ich sehe es am SMA-Solarmanager, wo mir das Sunny-Portal Prognosen über den Ertrag am Tag anzeigt. So lässt sich planen, wann bestimmte Verbraucher (Waschmaschine, Spülmaschine etc.) eingeschaltet werden sollen. Machen wir zur Zeit manuell, das ist aber auch per Funk-Steckdose möglich. Ich bin mir nicht sicher, könnte mir aber vorstellen, dass SMA diese Tagesprognosen auch mit heranzieht, um die Ladung der Akkus zu steuern.
Einiges kann ich zwar auch direkt am SMA-Wechselrichter sehen – ich habe die Zugangsdaten erhalten. Aber alles, was Prognosen und Statistiken betrifft, steht mir dort nicht zur Verfügung. Was hier noch auf meiner Agenda steht: Die Isolierung der Anlage gegenüber dem Heimnetzwerk – und ggf. Recherche, ob es da weitere Probleme gibt (z.B. Absicherung der Protokolle zwischen Smartmeter, Solarmanager, Akku-Speicher und Wechselrichter, sowie Zugriff von außen).
Was ich auf jeden Fall schon festgestellt habe: Eine Autorisierung zum Zugriff auf die Steuereinheit des Wechselrichters ist zwingend erforderlich. Und Brute-Force-Angriffe dürften auch schwierig werden – ich hatte mir das vom Anlagenbauer am Telefon mitgeteilte Passwort nicht korrekt aufgeschrieben und wurde nach drei vergeblichen Anmeldeversuchen für längere Zeit von der Anmeldung gesperrt.
Was ich auch festgestellt habe: Die Anlage läuft auch ohne Zugriff auf das Internet – mir fallen dann halt einige Informationen weg. Würde SMA "die Server in der Cloud" abschalten, liefe die Solaranlage weiter, aber mit Komforteinbußen. Kritischer sähe ich Schwachstellen im Bereich Update-Installation und im Bereich der Kommunikation, die Angreifern den Zugriff auf die Komponenten und mein Netzwerk per Internet ermöglichen würden.
Hier ist wieder das alte "Katze beißt sich in den Schwanz"-Problem angesprochen. Ich habe mit dem Solaranlagenbauer 2022 zusammen gesessen. Dabei gab es gleich mehrere Probleme:
a) 2022 gab es einen Engpass an Komponenten, da war nicht die Frage "welches Schweinerl hätten's denn gerne", sondern "was bekommen wir überhaupt. Bestellung im Sept. 2022 – Inbetriebnahme im September 2023.
b) der Solaranlagenbauer hat ganz klar gesagt "ich habe die Komponenten a, b, und c von deutschen Herstellern seit 20 Jahren im Programm, da weiß ich, was die leisten und hab bei Problemen meine Erfahrungen/Ansprechpartner".
Nun hätte ich bei b noch sagen können "ich möchte aber xyz als Wechselrichter und die Module von abc". Aber erstens fehlt mir dazu die Erfahrung und das Fachwissen und zweitens hätte der Solaranlagenbauer gesagt "Ok, suche dir einen anderen Anbieter". Die lokal agierende Firma ist bis zum Stehkragen ausgebucht und ich habe bei Anlagenbesitzern nachgefragt, die dann die Empfehlung für den Anbieter ausgesprochen haben. Im Rückblick kann ich persönlich sagen: War die richtige Entscheidung bezüglich der Auswahl der Firma, da hat alles bis auf den Tag genau mit Vorlauf von 3 Monaten bei Terminen geklappt und bei Fragen habe ich den kurzen Draht zum jungen Geschäftsführer, der mir die Fragen schnell beantwortet. Ich hatte 2022 einige Anfragen gestellt – realistisch als Auftragnehmer bliebt am Ende nur eine lokale Firma.
Und dass jemand im Wechselrichter oder Akku-Speicher Anpassungen vornehmen kann, wie hier teilweise kolportiert wird, dürfte in 99,99 % der Fälle nicht realistisch sein. Es sei denn, er beschäftigt sich selbst intensiv mit dieser Technik. Ich habe einige Forendiskussionen in Solarportalen zu speziellen Fragen verfolgt – da geht es oft mit wilden Theorien in die Diskussion, die nur mit viel Fachwissen und Recherchen widerlegt oder übernommen und umgesetzt werden können. Imho für das Groß der PV-Solaranlagenbesitzer schlicht keine Option.
Auch bei SMA ist Sicherheit oftmals Augenwischerei.
Gerade alte Geräte waren da Albtraumhaft. Da wurde man in der GUI nach einem Passwort gefragt, wenn man netzrelevante Parameter ändern wollte. Das fragte aber *nur* die GUI ab, auf dem Draht ging es auch ohne….
Daran hat sich bis heute nicht viel geändert, vieles ist nur auf die GUI beschränkt und "security by obscurity" ist das Motto der Entwickler.
Die kompletten Protokolle, die SMA auf der Leitung spricht sind IIRC ohne autorisierung (z.B. zwischen Zähler, Datenlogger und Wechselrichter zur Eigenverbrauchssteuerung), weil die in einem gesicherten Netz laufen sollen sollen (wie der restliche Industriekram auch).
Für bestimmte Änderungen braucht man ein Passwort, aber da gibt es IIRC weder Logging noch Rate-Limiting.
Selbst wenn: Die Dinger ziehen die Zeit aus dem Internet (SMA-eigener Server), da kann man also auch an der Uhr drehen.
Wenn Modbus aktiv ist (SUNSPEC), hat man sowieso verloren, da besteht nicht mal die theoretische Möglichkeit von Autorisierung, Sollwerte Vorgeben kann man damit aber. Es gibt tatsache Anlagen im Netz, die eine Portweiterleitung für Modbus haben… Man kann auch einfach mal bei Shodan.io nach SMA suchen, viel Spaß….
Neu ist allerdings, dass die Komponenten online-Updates ziehen, d.h. manipulierte Updates sind denkbar. Soweit ich das verstanden habe, ist das sogar eine Art VPN, d.h. Steuerung/Parametrisierung ist auch möglich.
Die ehemalige Danfoss-Technik (von SMA übernommen) ist im übrigen Linux-basiert, vermutlich sogar direkt ein Debian (zumindest legt die Windows-Software einen lokalen Apt-Paketcache an).
Ich finde gerade den Vortrag/das Video zur Photovoltaik nicht, aber da gab es mal was vom CCC/C3 dazu glaube ich – da sind inzwischen viele Funktionen zur Steuerung dazugekommen.
TL;DR: So etwas gehört in ein eigenes, gesichertes Netz mit einer gut konfigurierten Firewall und Fernzugriff per VPN. Wenn das Herstellerportal aktiv ist, muss man hoffen dass der Hersteller nicht gehackt wird, sonst hilft auch das nicht.
Ist aber nur ein Problem wenn du überschüssige Energie einspeist … geht bei mir in den Batteriespeicher. Fällt mehr an schaltet sich die Anlage ab. Ich brauch schließlich nicht mehr Energie als ich verbrauche. 80 % Energieautark (100% wären möglich, aber in D haben wir so Gesetze die abseits von unerschlossenen Gebieten den Hausanschluß gesetzlich vorschreiben)
Alles läuf da auf dem Smarthome Server welcher in einem eigenen Netztwerk hängt und der Server im Haustechnikraum steht. Verbindung nach aussen? Keine! Kann zwar nen VPN auf Service Anfrage schalten, wurde bisher aber nicht benötigt!
Aufwachen! Das Gegenteil ist der Fall – zumindest in einer privaten Anlage.
Vielleicht sollte man sich erstmal Gedanken machen, was elektrisch in einer PV-Anlage passiert. Da ist auch für nichts u. gar nichts eine Online-Steuerung nötig.
Das ist wie die, in diesem Block schon angesprochene, Internetverbindung einer Waschmaschine.
Ehrlich gesagt landen tendenziell die Geräte eher im "Schrott", die über Internet steuerbar sind. Entweder weil dort notwendige Updates gezogen werden, Registrierungen notwendig sind oder die Cloud direkt in die Software eingebunden ist. Fällt das weg, kann man den Kram fast wegschmeißen. Ebenfalls sind tendenziell auch die Handbücher schlechter/nicht vorhanden, weil bestimmte Sachen über automatische Einrichtung laufen.
wie gesagt, PV ist eine nette Spielerei, aber kein Game-Changer. Wie auch? Im Winter wird fast 25% des Energiebedarfs benötigt, aber da macht die PV schlapp. Fazit: Geldverschwendung ohne großen Nutzen, von der Verschandelung des Stadtbildes mal abgesehen.
Für eine Spielerei brauchts kein Online Zugang und keine Steuerung von außen.
Die Regelung ist auch egal, das sollen sich die Netzbetreiber mal was einfallen lassen, ich möchte jedenfalls keine Regelung von extern im Haus, geschweige denn in ganzen Stadtvierteln.
Oder sind wir jetzt ein Schwellenland? Möglicherweise steuern wir tatsächlich darauf hinaus.
Deckt sich mit meinen Recherchen:
https://media.ccc.de/v/37c3-11810-decentralized_energy_production_green_future_or_cybersecurity_nightmare