Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-/Kundendaten an

In deutschen Objekten dürften einige Balkonkraftwerke und auch fest installierte Solaranlagen arbeiten, bei denen Wechselrichter des chinesischen Herstellers Deye verwendet werden. Der Hersteller ist ja schon mal unangenehm durch ein fehlende Trennrelais beim Wechselrichter für Balkonkraftwerke aufgefallen. Ein Leser hat mich bereits im Mai 2024 mit einem anderen Problem konfrontiert. Er konnte die Anlagendaten einer ihm komplett unbekannten Person einsehen. Mich interessiert, ob dies ein Einzelfall ist.


Anzeige

Deye-Wechselrichter mit Cloud-Anbindung

Seitdem Balkonkraftwerke boomen, finden sich Hunderttausende Wechselrichter von Deye in deutschen Haushalten. Die Geräte sind dabei über WLAN an das Internet angeschlossen und speisen die Daten in die Cloud in China. Mit im "Beipack" ist auch die Möglichkeit, dass der Hersteller Deye per Internet auf die Geräte zugreift und sich die Anlage manipulieren lässt. Weiterhin wäre es auch denkbar, dass der Hersteller über diesen Kanal sich im internen Netzwerk umsieht.

Deye Wechselrichter für Balkonkraftwerk
Deye SUN600G3 Modulwechselrichter für Balkonkraftwerk

Die Micro-Wechselrichter von Deye machten im Spätsommer 2023 aber vor allem durch das fehlende Schutzrelais (NA Schutzeinrichtung) Negativ-Schlagzeilen (siehe mein Blog-Beitrag Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei Überwachungssystemen). Inzwischen liefert Deye ja eine Relaisbox als NA Schutzeinrichtung für betroffene Anlagen aus, die zwischen Wechselrichter und Netzeinspeisestecker geschaltet wird. Ich hatte im Blog-Beitrag Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt! über die Relaisbox und die damit verbundenen Probleme berichtet.

Das zur Einstimmung, was mich wesentlich hibbeliger machen würde, ist der Umstand, dass zur Inbetriebnahme des Wechselrichters und der Relaisbox beide Komponenten per WLAN mit dem Internet verbunden werden müssen. Im Rahmen des Blog-Beitrags Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt! meldet sich der Support von Deye um Unterstützung zu gewähren. Dabei kam heraus, dass der Hersteller per Internet auf den Wechselrichter (und damit, sofern das nicht isoliert wurde, auch auf alle Geräte des lokalen Netzwerks) zugreifen kann. Die Benutzer sind dabei mit einer Cloud in China verbunden, wo die Daten der Solaranlage eingespeist werden und dann per Smartphone abgerufen werden können. Über diesen Themenkomplex hatte ich im Beitrag Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk berichtet.

Wenn falsche Anlagendaten angezeigt werden

Ein Blog-Leser hatte mich bereits Ende Mail 2024 per E-Mail kontaktiert, weil er ein Solarkraftwerk mit Deye-Wechselrichter betreibt und über meine nachfolgenden Beiträge auf den Blog gestoßen ist. Der Leser gibt an, sich über sein iPad nach längerer Zeit mal wieder in der Deye-Cloud angemeldet zu haben. Dort fielen ihm die Augen aus dem Kopf, als er einen Blick in die Anlagendaten warf.

  • Der Blog-Leser wohnt im bergischen Land und hat seine Anlage auch entsprechend angelegt und konfiguriert.
  • Bei der Anmeldung wurden ihm plötzlich die kompletten Anlagendaten einer ihm unbekannten Person in Thüringen angezeigt.

Nachfolgend ist ein Screenshot der betreffenden App-Seite, auf der die unter dem betreffenden Benutzerkonto verfügbaren Solaranlagen aufgeführt werden. Es gibt das BKWMATS des Blog-Lesers, aber noch eine weitere Anlage mit der Bezeichnung EriksHome Süd – die Adresse habe ich mal verschleiert.

Deye-Cloud-Anlagendaten

Meine Recherchen ergaben aber, dass es die betreffende Adresse gibt. Der Leser schrieb mir, dass er die betreffende Person telefonisch kontaktiert habe. Denn er konnte über den betreffenden Eintrag die kompletten Daten des fremden Betreibers, also Adresse, Telefonnummer, Anlagendaten per Internet abrufen.


Anzeige

Es sieht also so aus, als ob beim Cloud-Zugriff etwas mit der Indexierung der Benutzerkonten nicht sauber läuft und Anlagendaten falsch zugeordnet werden. An dieser Stelle kam beim Leser ein "ungutes Gefühl" auf, da er davon ausgehen muss, dass seine Anlagendaten über die Deye-Cloud bei irgend einem anderen Konto ebenfalls auftauchen.

Problem: Wie bereinigt man so etwas?

Der Leser schrieb mir mit Recht: "Das darf einfach nicht sein. " Er wollte von mir wissen, wie er so etwas melden könne – da die Mail aber bei mir unter "greifst Du die Tage auf" hängen blieb, habe ich nicht sofort geantwortet. Die Vermutung war, dass der Hersteller Deye in China sitzt (was aus diesem Impressum auch hervorgeht). Inzwischen habe ich den Leser kontaktiert und erfahren, dass der Anbieter Deye wohl auch eine Dependance in Nürnberg besitzt. Der Leser hat die deutsche Dependance kontaktiert, aber Antwort per Mail aus China bekommen.

Die Reaktion hat den Leser erstaunt, denn als er den Hersteller auf den Bug hinwies, habe dieser das bezweifelt. Die Antworten von Deye lauteten sinngemäß "wenn dort eine fremde Anlage unter dem Benutzerkonto auftaucht, hat der Nutzer diese in seinem Account auch angelegt". O-Ton des Lesers: "Das ist natürlich Blödsinn." Generöser Weise bot Deye dem Betroffenen an, zu helfen, die zweite Anlage aus dem Benutzerkonto auszutragen.

Das Problem: Gibt es mehr Betroffene?

Nun ist es ja nicht damit getan, dass man da in einem Benutzerkonto die "fehlerhaften" Anlagendaten löscht. Wenn ein Software-oder Indexfehler Daten und Konten verwürfelt, hilft das nicht weiter. Im dümmsten Fall wird dem Besitzer der Anlage der Datensatz aus der Deye-Cloud gelöscht. Zudem muss der Betroffene davon ausgehen, dass seine eigenen Daten bei einem fremden Konto auftauchen können.

Deye ist mit seinem Wechselrichtern nicht nur bei Balkonkraftwerken unterwegs (dort sind Micro-Wechselrichter im Einsatz). Es gibt auch Wechselrichter für größere Solaranlagen, ggf. mit Batteriespeicher. Die Screenshots, die ich einsehen konnte, zeigen mir, dass die fremde Anlage wohl auch eine Akku zum Speichern des Solarstroms besitzt. Spätestens wenn die Anlage dann gewerblich betrieben wird, hat Deye dann ja ein DSGVO-Problem, weil fremde aber persönliche Daten offen gelegt werden.

An dieser Stelle die Frage an die Leserschaft (bzw. die Leute, die zufällig über eine Suchmaschine hier einschlagen): Gibt es noch andere Fälle, in denen unter dem Deye-Cloud-Konto die Daten fremder Anlagen angezeigt werden? Bei einer Internetsuche habe ich auf die Schnelle nichts gefunden. Kurzum: Ist der obige Nutzer Einzelfall, oder kommt da noch mehr?

Ähnliche Artikel:
Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk
Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!
Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei Überwachungssystemen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

32 Antworten zu Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-/Kundendaten an

  1. Sebastian sagt:

    Wenn man sich mit Deye online verbinden [muss] – woher weiss ich das bevor ich das kaufe? (Die Frage nach dem warum kann man sich wohl inzwischen immer sparen – allgemeine Datengeilheit.)

    • Hobbyperte sagt:

      Bei Geräten mit irgendwelchen WLAN-Funktionen, egal ob Zahnbürste, Rasierer, Blutdruckmeßgerät, Balkonkraftwerk … ist inzwischen (seit sehr langer Zeit) davon Auszugehen, dass das immer über die Server der jeweiligen Firma Umgeleitet wird … die Datengier ist unersättlich und der Tiefschlaf der Politik unendlich!

      • Luzifer sagt:

        Nö… man muss sich aber vorher schlau machen, ich meide grundsätzlich Hardware welche Cloud oder always on über Herstellerserver nutzt. Ok einmal verbinden zum Registrieren ist erlaubt danach muss das auch lokal laufen oder wird eben nicht gekauft.

        Da mein Haus vollkommen smart läuft (Auch Backofen, Kühlschrank; Waschmaschine, Kaffeemaschine, Musik und Licht mir per Beacon von Raum zu Raum folgen etc.) dabei aber kein Einziges Bit meine Server & Haus verlassen, weis ich das das auch geht… mit entsprechender Wahl der Geräte!

        Und sorry Deye … mehr gibt es dazu nicht zu sagen! You get what you paid for!

      • Fritz sagt:

        Ich betreibe auch zu Hause mehrere WLANs (Freunde und Besucher dürfen gerne ins Internet, haben in meinem privaten Netz aber nichts zu suchen), ein drittes für die ganzen smarten Geräte mit eigener ACL-Tabelle ist da Pflicht und auch nicht so schwer einzurichten.

    • Anonym sagt:

      Lektüre: dr-datenschutz.de/fehlende-datenschutzkonformitaet-ein-sachmangel-digitaler-waren/

    • nook sagt:

      Sebastian: "…verbinden [muss] – woher weiss ich das bevor ich das kaufe? …"

      Ein Blick in`s manual des WR sollte weiter führen.

      "Sollte", weil ich bei vielen Anbietern sehr lange auf Seiten mit buntesten Werbeversprechen suchen musste um überhaupt ein manual zu finden.

      Darin dann nicht immer die detaillierte Info die ich suchte.

      Etliche Anbieter / Vertriebler hatte ich angeschrieben, die Antwortquote und -qualität enttäuschend. Ich habe es gelassen!

      • Anonym sagt:

        >>> Ich habe es gelassen! <<<

        Gefällt mir!

      • Luzifer sagt:

        Tja und solche Produkte die kein ordentlich Handbuch/Datenblatt etc. bieten kauft man nicht! Real Simple! Es gibt auch Hersteller die da vorbildlich sind und nicht auf Cloud & Co setzen… nur eben nicht für ein Apple &Ei… Geiz ist nicht Geil!

  2. Pau1 sagt:

    Nur weil Fremder auf ein Iot device zugreifen kann, liegt diesem nicht gleich das ganze Hausnetz zufüßen.
    Zum einen wird das Iot-device zum chinesischen Server aufbauen und nicht umgekehrt. Das kann eine Firewall verhindern.
    Zum anderen sind Gast-WLANs so konfiguriert, dass sie andere Hosts unter derselben SSID nicht sehen/verbinden können, und solche iot-Geräte sind üblicherweise ein Gastnetz verbannt. So sind auch die Geräte untereinander gegenseitig geschützt,
    trotz gleicher SSID.
    Bitte keine Panikmache Günter :)

    Anyway:
    Man müsste AVM bitten, VLANs zu zulassen.
    Und natürlich ist es ein Unding, wenn man ein gekauftes Gerät erst mit Eingabe persönlicher Daten beim Hersteller aktivieren kann.
    Das ist heute leider bei jedem Drucker und BEV so.
    Ein gängiges Betriebssystem will das auch.,..

    • Pau1 sagt:

      leider funktioniert die edit bei mir derzeit nicht.

      Man kann dem Gerät das "nachhause telefonieren" ganz einfach vermiesen, in dem man man ihm per DHCP kein Default Gateway zuweisen lässt oder 0.0.0.0

      Mit einer Bösartigen Software darauf, die selbst das Default Gateway herausfindet, nutzt das natürlich nicht.

      Aber ich vermute mal, auch das in der Fritzbox nicht möglich?
      (und anderen Plaste Kisten außer vielleicht MicroTik)

      • M.D. sagt:

        | … das "nachhause telefonieren" ganz einfach vermiesen …

        Wenn das Gerät denn in dieser Konstellation auch vollumfänglich und dauerhaft funktioniert.

    • Alzheimer sagt:

      @Paul1
      "Zum anderen sind Gast-WLANs so konfiguriert, dass sie andere Hosts unter derselben SSID nicht sehen/verbinden können"

      Das mag vielleicht bei AVM-Geräten so sein, aber ich glaube nicht, dass man sich darauf verlassen kann, dass das bei den Wlan Router von allen Herstellern so ist, besonders bei Leihroutern mit vermurkster Firmware von den Providern.
      Wenn ich an die Fehler in der FW der Vodafone-Station denke, sieht man ja wie unfähig die Entwickler… oder besser "Bastler" der FW da sind.

    • HS sagt:

      Zum einen wird das Iot-device zum chinesischen Server aufbauen und nicht umgekehrt. Das kann eine Firewall verhindern.

      Wenn ein kontrolliertes Device von innen nach außen darf (zB 443) ist ein Tunnelaufbau möglich. Über diesen kann dann auch von außen in das Netz zugegriffen werden.

    • Anonymous sagt:

      Dazu braucht man keine VLANs (außer bei Anschluß per Kabel), nur separate Bridge/WLAN-Interfaces mit eigener SSID und FW-Zone. Über die FW-Zone wird das IoT-WLAN entprechend der persönlichen Wünsche beschränkt. OpenWrt unterstützt das schon lange. So kann man für verschiedene Gerätegruppen jeweils eigene Netz mit eigenen Regeln einrichten.

    • Ralph D. Kärner sagt:

      Du wirst ein Gastnetz haben, ich habe ein Gastnetz. Horst Müller aus der Gartengasse 1 in ichweissnichtwo hat es nicht mal geschafft, das WLAN umzubenennen, geschweigedenn, etwas anderes als den Startcode des Providers einzugeben.
      Du siehst das Problem?
      Generell sieht "Normalbürger" auch nicht so schnell, welches Gerät eventuell doch Daten aus dem lokalen Netz sammelt und weiterleitet.

      • Anonymous sagt:

        Ja, aber an einer etwas anderen Stelle. Die kinderleichte Einrichtung für jedermann ist nur ein Wunschtraum. Wenn man von einer Sache keine Ahnung hat, muß man halt eine Fachkraft engagieren und bezahlen. Ist dann leider teurer als der billige Plasterouter, sofern er überhaupt die notwendigen Features bietet.

    • BKWMATS sagt:

      Entschuldigung, aber das ist so nicht richtig. Ich bin der Betroffene User des WR. Und Deye sagt, ich hätte die fremde Anlage autorisiert. Dementsprechend habe ich Zugriff auf alle Daten der fremden Anlage und könnte diese verändern…Keinerlei Schutz für mein gegenüber, der auch nicht wusste, das es mich gibt. Und ich „vermute", für einen Wissenden ist dann der Weg ins fremde Heimnetz nicht mehr weit…

  3. Rausposaunen sagt:

    Die Grundschulklasse in China, welche die App ursprünglich als Tagesprojekt erstellt hat, ist gerade auf Klassenfahrt. Die Programmierung des Updates wurde daher an den nächsten Kindergarten übergeben… ;-)

  4. GüntherW sagt:

    Bei AP-Systems EZ-1M Wechselrichter kann man zumindest auf die lokale API umschalten und die Daten selber vom Wechselrichter abrufen bzw. sich eine Webanwendung basteln. Das Überwachen der Daten ist aber für den ordentlichen Betrieb aus meiner Sicht schon sinnvoll um ggf. Fehler und Probleme zu erkennen. Wechselrichter mit simpler Weboberfläche, die gar nicht nach Außen funken, gibt es wohl nicht so viele…..

    Die lokale API "deaktiviert" wohl nebenbei auch die Cloud, was ich leider auch feststellen musste. Steht auch nirgendwo so geschrieben. Als Monitoring-Plattform finde ich das jetzt nicht so schlecht. Die Beschreibungen und die Programmierung von vielen Wechselrichtern oder vielen Produkten ist aber generell wohl nicht so besonders gut.

    Nebenbei macht der Wechselrichter auch ein eigenes WLAN auf, ich weiß nicht mal warum…. Hab den noch nicht so lange, aber erstmal ins eigene VLAN gepackt.

  5. Luke Sky sagt:

    Einen Zwang zur Cloud-Anmeldung gibt es meines Wissens für Deye-Wechselrichter nicht.
    Ich überwache die Stromprodukton meines (Deye-)Balkonkraftwerks mit dem frei vergügbaren "Home-Assistant" über eine smarte Steckdose. Anleitungen hierfür gibt's z.B. bei Youtube. Funktioniert super :-)

  6. Anonym sagt:

    >>> Cloud Account zeigt fremde Anlagen-/Kundendaten an <<<

    'Ich gönne es allen' wollte ich schon schreiben. Dann fiel mir aber ein, dass durch zerstörerische Fremdzugriffe auch Leib und Leben von Mitbewohnern der Billig-PV-Fanatiker gefährdet sein könnten.

  7. Marko sagt:

    Ja, Deye hat eine Cloud Anbindung. So wie nahezu jedes andere "smarte" Gerät was mit Aufbereitung von Daten arbeitet! Und die meisten davon liegen in Amerika oder China….. wählt euren Dämon selbst.

    Aber wer das nicht mag: einfach die Internetverbindung im Router für das Gerät gesperrt, und schon ist diese Cloud-Anbindung Geschichte! Das Balkonkraftwerk funktioniert natürlich auch ohne diese Anbindung!
    Nur hat man dann halt keine einfache Darstellung der Daten des Geräts…..schöne Grafiken usw. mehr.
    Das läßt sich natürlich auch alles viel besser selbst erstellen im eigenen Smart-Home. Aber wer die hübschen fremderstellten Daten sehen möchte….der nutzt halt die Cloud.

  8. Günter Born sagt:

    Es geht im Beitrag um den Punkt, dass der Nutzer fremde Daten sieht, und das darf nicht sein. Dass es die Möglichkeit gibt, den WR auch lokal zu betreiben, ist eine andere Baustelle.

  9. ThoBee sagt:

    Ich hab ein Apsystems ez1m, der kann komplett über Cloud laufen, oder aber direkt im offline Modus, mit lokaler API, die zudem gut dokumentiert ist.

    Das Ding hängt in meinem gekapselten IOT WLAN und schnurrt vor sich hin, Datenauswertung läuft über influxdb mit grafana davor.

  10. Norddeutsch sagt:

    @BKWMATS – nutzt Du (nach Bildern) nur die Deye-App – oder ist auch ein Portal im WWW per Browser nutzbar? Gründe für die Frage:

    a| Apps lassen sich für mich schwieriger tracen und analysieren
    b| ein Webinterface und API-Traffic habe ich schneller im Shark
    c| Siehst Du eine eindeutige Anlagen oder Account-Nr, ist diese identisch mit Deinem Fremdkontakt? Wie lauten beide (hier bitte pseudonymisieren, jedoch Aufbau nicht verfäschen!)?
    d| Hat der Fremdkontakt auch eine App, was sieht er?
    e| Schwächen der Anbindung sind mir schon länger bekannt

    …Auch wenn erstes Gefühl eher falsche DB-Einträge in der Web-DB oder UID-Probleme sagt (zB Race, konkurrierende oder falsch zugeteilte User-PKs bei Account-Create).

    Ein Portal von Deye zum Management ist übrigens www deyecloud.com – dies mit zum Thema passendem Sicherheits-Popup bei Login:

    Welcome to DeyeCloud
    We attach great importance to the security of your personal data and your right of privacy. Please spend some time to familiarize yourself with our T&Cs and Privacy Policy before use DeyeCloud services. …

    … nun, hier hat das attachen von Security wohl nicht so geklappt …

    • BKWMATS sagt:

      Hi,
      C: Ich sehe alles, Seriennummern, Accountdaten, etc. komme in jedes Untermenue. Ich könnte die Anlagendaten ändern, alles abfragen. Wie eben bei meiner eigenen Anlage. Alles in der cloud. In der App ist nur meine Anlage.
      Identisch ist da nichts. Der andere Anlagenbetreiber sieht mich nicht. Er ist auch nicht besorgt, eher erheitert…

  11. Stefan sagt:

    Da mein Deye SUN-M80G4-EU-Q0 800W Wechselrichter noch auf 600W gedrosselt zu sein scheint, habe ich den Händler gefragt, wie ich das ändern kann, denn das Webinterface hat keine solche Einstellung. (Ich hatte extra einen Deye-Wechslrichter gekauft, weil die nach meiner Recherche die einzigen sind, welche ein Webinterface haben und somit ohne Cloud konfiguriert und ausgelesen werden können).

    Der Händler fragte mich dann nach der AP-Seriennummer, welche ich auch brav übermittelte. Später beschwerte er sich, dass der nicht auf meinen Wechselrichter zugreifen könne, weil dieser nicht mit dem Internet verbunden sei!

    Mit viel gutem Willen unterstelle ich dem Händler einfach nur grenzenlose Naivität (und Dummheit), denn wäre ihm der Zugriff (ohne Ankündigung und Erlaubnis) geglückt, wäre dies ein Straftatbestand gemäß §202a StGB.

    Das diese Seriennummer zugleich der Zugriffskontrolle dient, ist nicht offensichtlich und stellt unabhängig vom hoffnungslos überforderten Händler ein schwerwiegendes Sicherheitsproblem dar. Denn die Seriennummer ist zugleich der Standart-Name des AP-Netzwerkes. D.h. ist der Wechselrichter mit den Voreinstellungen mit dem Internet verbunden, kann jeder in der Umgebung die AP-Seriennummer auslesen und auf mein Gerät zugreifen.

    Parallel zum Händler hatte ich noch den Hersteller um Hilfe gebeten (um die Drosselung auf 600W aufzuheben). Außer der typischen chinesischen Ignoranz gegenüber Sicherheitsbedenken (die sind völlig unbegründet da der Datenschutz von Deye sehr hoch gehalten wird) kam dabei folgendes ans Licht: Es ist möglich den Invertern übers Internet Kommandos zu senden. Eins davon, welches in der Solarmann APP freigeschaltet ist (wer solche Software installiert ist selber schuld), ist die Einstellung der Leistungsbegrenzung von 0 bis 100%. Ist der Wechselrichter mit dem Internet verbunden, ist dem Hersteller somit möglich, die Leistung auch auf 0 zu beschränken und danach Zugriff über die Cloud zu kappen. Ich frage mich, ob es auch ein Kommando gibt, um den Wechselrichter leicht asynchron zu betrieben, gerade so, das der Leistungsschutzschalter nicht auslöst … Der Putin braucht dafür teure Raketen …

    Man fasst es nicht.

    (Die Korrespondenz mit dem Händler und dem Hersteller kann ich dem Betreiber bei Bedarf vorlegen.)

    • BKWMATS sagt:

      zu Stefan: Unglaublich. Das ist ja für jeden Ottonormalverbraucher nirgends ersichtlich. Vor dem Kauf eh nicht, danach eher versierten Technikverstehern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.