Cyber Security bei PV-Wechselrichtern
Vor kurzem wurde in der niederländischen Presse ein Bericht von Willem Westerhof bezüglich Sicherheitslücken bei PV-Wechselrichtern veröffentlicht, in dem auch SMA erwähnt wird. Verständlicherweise hat dies zu Verunsicherung und Besorgnis bei unseren Kunden geführt. Wir möchten betonen, dass SMA mit den Inhalten des Beitrags nicht übereinstimmt, da einige der hier getätigten Aussagen nicht korrekt sind oder Tatsachen verzerrt dargestellt werden.
Die Sicherheit unserer Geräte hat für uns oberste Priorität und wir tun alles dafür, um unsere Wechselrichter und die entsprechenden Kommunikationsstellen vor Hacker-Angriffen zu schützen. Wir haben die angesprochenen Themen bereits technisch analysiert und arbeiten intensiv an der Behebung von möglichen Sicherheitslücken, die ausschließlich einige wenige, ältere Geräte unseres Portfolios betreffen. Um hier maximale Transparenz zu schaffen, möchten wir mit diesem Beitrag über die Hintergründe informieren.
Hier einige weitere Informationen zur Richtigstellung der Fakten:
- Aus dem SMA Portfolio sind die Modellreihen Sunny Boy TLST-21 und TL21 sowie Sunny Tripower TL-10 und TL-30 betroffen.
- Alle anderen Produkte entsprechen den neuesten Sicherheitsstandards gegen Cyber-Angriffe.
- Das in dem Artikel beschriebene Szenario eines Angriffs bei diesen Geräten ist hoch komplex und erfordert erhebliche Erfahrung eines potenziellen Hackers.
- Auch die genannten Geräte weisen einen umfassenden Schutz vor möglichen Hacker-Attacken aus, wenn die Maßnahmen unserer veröffentlichten Cyber Security-Richtlinien sorgfältig eingehalten werden.
- Alle Geräte, die nicht mit dem Internet verbunden sind, sind auch nicht direkt betroffen.
- Es gibt darüber hinaus kein „geheimes Super-Passwort“, wie der Autor an anderer Stelle behauptet. Unsere Wechselrichter werden mit einem voreingestellten Passwort ausgeliefert, welches auf unseren ausdrücklichen Hinweis vom Anwender nach der Installation zurückgesetzt und geändert werden sollte.
- Bezüglich möglicher Auswirkungen auf das öffentliche Stromnetz wird in dem Artikel die Aussage getroffen, dass SMA 17 GW Wechselrichterleistung im privaten Hausanlagen-Segment verkauft habe. Dies ist aber die gesamte Wechselrichter-Leistung, die SMA in diesem Segment auf den Markt gebracht hat. Die Leistung, die von den betroffenen Geräten produziert wird, betrifft hiervon nur einen Bruchteil. Darüber hinaus sind die Wechselrichter weltweit installiert. Daher sehen wir in keiner Weise das Risiko möglicher Instabilitäten bezüglich des öffentlichen Netzes, selbst im höchst unwahrscheinlichen Fall einer zeitgleichen Attacke der betroffenen Geräte.
Wie bereits erwähnt, hat die Sicherheit unserer Geräte oberste Priorität für uns und wir arbeiten kontinuierlich daran, die höchsten Sicherheitsstandards in unseren Geräten zu gewährleisten, um sie gegen mögliche Attacken bestmöglich zu schützen. Um dies zu erreichen, weisen wir unsere Kunden auf Basis der SMA Cyber Security-Richtlinien immer wieder aktiv darauf hin, diese sorgfältig durchzulesen und die dort empfohlenen Maßnahmen zu beachten. So lassen sich mögliche Cyber-Attacken wirkungsvoll abwehren.
Auf unserer Website findet ihr weitere Hintergründe und Fakten.
Für weitere Fragen könnt ihr gerne die Kommentarfunktion nutzen.
Hallo,
neben Sicherheitslücken in Soft- und Hardware, ist die Schwachstelle Mensch das größte Risiko. Die IPs von über 7.700 „Sunny WebBox“ sind bekannt und bei ca. 40-50 % ist trotz Sicherheitshinweis noch das Standardpasswort für die Benutzergruppe „Installateur“gesetzt. Letztlich wird die Verantwortung da beim Betreiber liegen, aber wie geht man konstruktiv mit dieser Erkenntnis (auch mit konkret bekannten Einzelfällen) um?
Hallo Jens,
das Produkt SMA Sunny WebBox ist grundsätzlich nicht Gegenstand der Untersuchung und des Berichts von Herrn Willem Westerhof.
Wir möchten deine Frage natürlich dennoch beantworten: SMA hat bereits ein Update für die SMA Sunny WebBox geliefert und in zwei Mailingaktionen (in den Jahren 2011 und 2015) sowie durch Webveröffentlichungen die Nutzer gebeten, zahlreiche Maßnahmen umzusetzen (wie z.B. für eine sichere Internet-Konnektivität zu sorgen, die Default-Passwörter zu ändern bzw. aktuelle Firmware einzuspielen). 90% der User sind dieser Bitte auch gefolgt. Ca. weniger als 10% aller betroffenen Anlageneigentümer sind dem allerdings noch nicht gefolgt oder waren für uns nicht erreichbar, da wir z.B. wenn WebBoxen über andere Portale als das SMA Sunny Portal betrieben werden auch keine Adress- oder E-Mail Informationen haben. Es gibt technisch für uns keine Möglichkeit einer Zwangsänderung der Kennwörter. Hier sind wir auf die Kooperation der Betreiber und Eigentümer angewiesen. Dennoch bemühen wir uns weiterhin, so viele Betroffene wie möglich weiter zu informieren.
Viele Grüße,
Carolin
In dem besagten Heise-Artikel steht „….SMA versicherte gegenüber heise Security, dass Sicherheitspatches in der Mache sind.“
Und weiter „…SMA weiß seit Ende 2016 Bescheid..“. Nun stellt sich mir als Kunde die Frage, wann wird ein Update mit der Lösung der Probleme bereitgestellt? Es sind immerhin 8 Monate ins Land gegangen. Oder will (oder darf) SMA die Lücken garnicht patchen?
LINK:https://www.heise.de/security/meldung/Horus-Scenario-Sicherheitsforscher-skizziert-Blackout-in-Europa-aufgrund-angreifbarer-3795234.html
Gruß
MH
Hallo Herr Hagedorn,
Vielen Dank für die Anfrage!
Wir arbeiten an Patches, aber es gibt immer noch Unklarheiten bezüglich der gemeldeten Schwachstellen. Einige Meldungen des Sicherheits-Ingenieurs sind nicht korrekt, was wir erstmal berichtigen müssen. Darüber hinaus wurden gemeldete Schwachstellen bereits teilweise behoben.
Viele Grüße,
Carolin
Hallo Frau Rost,
Danke für Ihre schnelle Antwort. Ich bin halt etwas irritiert, was die lange Zeit seit der Meldung der Probleme angeht. Ich würde Sie bitten uns (Kunden) auf dem Laufenden zu halten.
Als Workaround bis zum Erscheinen des finalen Patches würde ich sonst meine Anlage vom „Netz“ (I-NeT) nehmen. Das würde sicher auch für Sie (Thema Datenhandel) Konsequenzen haben, wenn es sich rumspricht.
Danke für die Info´s und Gruß
MH
Hallo Herr Hagedorn,
über die bekannten Kommunikationsschnittstellen (Sunny Portal, Sunny Places, Blog, etc.) halten wir unsere Kunden immer auf dem Laufenden und informieren über Updates etc.
Zur Sicherheit Ihrer Anlage: Wenn diese entsprechend der SMA Cyber Security Richtlinien installiert und angeschlossen wurde, besteht für Sie kein Grund zur Sorge. Hier noch einmal der Link zum Dokument: SMA Cyber Security Richtlinien (http://www.sma-sunny.com/wp-content/uploads/2017/08/CyberSecurity-TI-de-10.pdf). Wenn Sie die dort aufgeführten empfohlenen Maßnahmen berücksichtigt haben, sind keine zusätzlichen Maßnahmen bezüglich der Anlagensicherheit erforderlich.
Viele Grüße,
Carolin