Notebookcheck Logo

Balkonkraftwerke: Schwere Sicherheitslücke bei Firmware von Deye-Mikrowechselrichtern

Balkonkraftwerke mit Deye-Mikrowechselrichter weisen schwere Sicherheitslücke auf (Bild: Deye)
Balkonkraftwerke mit Deye-Mikrowechselrichter weisen schwere Sicherheitslücke auf (Bild: Deye)
Viele Balkonkraftwerke kommen mit dem beliebten Mikrowechselrichter von Deye, der auch unter anderen Namen, wie etwa Revolt oder Bosswerk vertrieben wird. Mit dessen Hilfe kann man den Solarstrom seiner Mini-Photovoltaik-Anlage direkt nutzen. Allerdings wird der Deye-Wechselrichter mit unsicherer Firmware geliefert und ein Update erhält man nur auf Umwegen. Wie man das Problem löst, erfährt man in diesem Artikel.

Etliche Balkonkraftwerke kommen mit dem beliebten Mikrowechselrichter von Deye, der über eine WLAN-Anbindung verfügt, sodass man seine Mini-PV-Anlage über die Solarman-Smart-App steuern und überwachen kann. Allerdings weisen diese mit bestimmten Firmwares Sicherheitslücken auf, weshalb jede Person, die sich in der Nähe der Photovoltaik-Anlage befindet, sich damit verbinden und somit auf das Passwort sowie die SSID des Routers zugreifen kann.

Der Deye-Mikrowechselrichter läuft beim Händler Pearl unter dem Namen Revolt, beim Onlineshop Greenakku heißt er Bosswerk und bei Netto wird der Herstellername Deye genutzt. Das verbinden des Mikrowechselrichters mit dem eigenen WLAN Netzwerk gescheit zuerst über einen Access-Point mit dem Schlüssel 12345678. Anschließend wählt man sich mit seinen Zugangsdaten ins Heimnetz ein. Dann wird man aufgefordert den Schlüssel zu ändern, aber da der Speicherbutton nicht funktioniert, wird vom System weiterhin der allgemein bekannte Schlüssel verwendet.

Wer den Zugriff auf das Heimnetzwerk einmal hat, kann nicht nur sensible Daten klauen, sondern auch große Schäden verursachen, indem etwa auch auf den Wechselrichter zugegriffen werden und diesen etwa umschalten kann.

Von dem Problem betroffen sind etwa die Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471 und möglicherweise weitere. Um das Problem zu lösen, ist es nicht empfehlenswert auf den Vorschlag von Netto, welcher einer der Händler ist, zu hören. Denn Netto gibt den risikobehafteten Hinweis, den Wechselrichter über ein Gäste-WLAN zu verbinden, was aber weder das Grundproblem löst noch sicher ist:

Wir empfehlen, den Mikrowechselrichter in ein separates Gäste-WLAN und nicht in das normale Heimnetzwerk einzubinden. [...] Wir empfehlen zusätzlich eine Zugangsüberprüfung per MAC-Adresse im genutzten WLAN einzurichten, um bestmöglichen Schutz vor externem Eindringen in das WLAN zu erhalten.

Doch viele Nutzer des Wechselrichters haben in Online-Foren das Problem vielfach diskutiert und etwa auf Reddit verschiedene Lösungswege ausprobiert, von denen sich einige gut bewährt haben. Ziel ist es, die neue Firmware-Version MW3_16U_5406_1.53 auf den Deye zu übertragen. Hierzu sendet man eine englischsprachige E-Mail an den Deye-Support ([email protected]), in welcher man seine entsprechende Seriennummer angibt, sowie den Wunsch nach einem neuen Update äußert. Anschließend kann es einige Tage dauern, bis das Update erfolgt, ohne dass man darüber per E-Mail explizit informiert wird.

Über eine App lässt sich der Deye-Mikrowechselrichter ansteuern. (Bild: Solarman)
Über eine App lässt sich der Deye-Mikrowechselrichter ansteuern. (Bild: Solarman)

Quelle(n)

Alle 4 Beträge lesen / Antworten
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2023-02 > Balkonkraftwerke: Schwere Sicherheitslücke bei Firmware von Deye-Mikrowechselrichtern
Autor: Nicole Dominikowski,  5.02.2023 (Update:  5.02.2023)