Sicherheitslücken bei SMA Wechselrichtern

  • Wird sich zeigen wie konkret das ist.


    "Diverse Solarstromanlagen sollen kritische Sicherheitslücken aufweisen. Eine Attacke könnte einen kontinentalen totalen Stromausfall auslösen, warnt ein Sicherheitsforscher.Der betroffene deutsche, weltweit umsatzstärkste Hersteller SMA Solar Technology bestätigte gegenüber heise Security Sicherheitslücken in einigen Modellen.


    [..]


    SMA weiß seit Ende 2016 Bescheid, erklärt Westerhof. Anfang 2017 informierte er Verantwortliche im Energie-Sektor und der Politik. Alle Beteiligten sollen sich ihm zufolge sehr kooperativ verhalten haben und unter anderem miteinander an Lösungen arbeiten.


    SMA versicherte gegenüber heise Security, dass Sicherheitspatches in der Mache sind. Konkret sind die Modelle Sunny Boy TLST-21 und TL21, sowie Sunny Tripower TL-10 und TL-30 betroffen.


    -----


    EDIT:


    Habe mir mal die Beschreibungen der einzelnen Lücken durchgelesen ( https://horusscenario.com/practical-proof/ ). Ziemlich Haarsträubend. Peinlich und ein Armutszeugnis für SMA, dass sie es trotz vorheriger Info ( Responsible disclosure / seit Dez 2016) nicht hinbekommen haben diese Lücken zu beheben. Also in knapp 8 Monaten. In Anbetracht dessen ist das ziehen des Netzwerksteckers sinnvoll solange kein Update da ist :!:

  • Als die ersten bluetooth SMA Dinger rauskamen haben wir SMA schon angefragt, was mit der Sicherheit ist. Wir konnten ja auch schon im Empfangsbereich des BT die Dinger sabotieren..... Aber so gehen halt die Jahre ins Land..... :mrgreen:


    Deshalb binde ich meine Speicher in kein Netzwerk ein - hehehe..... Hab das heute auch Autarctech erklärt..... Irgendwann verstehen das die Leute dann schon....

    Zu wissen, was man weiß, und zu wissen, was man tut, das ist Wissen.
    Wer mehr zum DC Speicher wissen will erreicht mich per PN !

  • Heise ist inzwischen die neue Bildzeitung 2.0.... jedes System das nach Hause telefoniert, oder per dyndns einfach Mal so nach draussen gelassen ist, ist unsicher..... Das ist doch nichts neues....?


    Für mich gibt es nur systeme mit offenen API schnittstellen mit denen man die Daten selbst abrufen kann - kein Cloud, keine portfreischaltung, kein dyndns ...
    Zugriff von unterwegs ausschließlich per VPN.


    Das gilt für Wechselrichter, Kameras, iot Geräte, Smarthome, usw.
    Ich bin da einfach oldschool...



    Gesendet von meinem Redmi Note 2 mit Tapatalk

  • Zitat von Mastermind1

    Heise ist inzwischen die neue Bildzeitung 2.0.... jedes System das nach Hause telefoniert, oder per dyndns einfach Mal so nach draussen gelassen ist, ist unsicher..... Das ist doch nichts neues....?


    Es ist schon ein Unterschied ob es "sicher" implementiert ist, oder ob es Löcher im System hat!


    Das Statement von SMA kann man meiner Meinung nach nicht so ganz ernst nehmen, wenn es SMA wichtig wäre und vor allem SMA die Sicherheit ihrer Kunden was wert wäre, dann hätte man das ganze vor Veröffentlichung, innerhalb der letzten 8 Monate, bereits behoben und würde nun nicht versuchen die Situation klein zu reden und "eigene Fakten" präsentieren:


    http://www.sma.de/cyber-security-bei-pv-wechselrichtern.html


    Ich bin mal gespannt wie lange es nun dauert bis sich was tut und ob dann auch wirklich alle Lücken behoben werden.

  • Ich erwarte auch leider nicht das was passiert.
    Das ist im Bewusstsein des Management überhaupt nicht angekommen um was es geht und welche Auswirkung das hat.
    Security ist leider immer noch bei ganz vielen IoT oder Internet gekoppelten Geräten vernachässigt.

  • 12 Wochen - passiert ist immer noch nichts. :roll: Einem Freund der gerade baut und bei dem nächstes Jahr eine PV ansteht habe ich daher zwischenzeitlich von SMA abgeraten.


    Was versteht SMA unter zeitnah ?


    Zitat SMA:


    "Nichtsdestotrotz werden wir hierzu für die vier Gerätefamilien zeitnah ein Firmware-Update zur Adressierung
    dieser Thematik zur Verfügung stellen."


    Quelle:
    https://www.sma.de/fileadmin/c…r-Security-ADE1732_06.pdf