Photovoltaik-Anlagen mit erheblichen Sicherheitslecks

Solar- und Photovoltaikanlagen sind als vernetzte Objekte offenbar genauso gut oder schlecht gesichert wie zahlreiche andere Geräte mit Bezug zum Internet der Dinge (IoT). Das hat jetzt der niederländische Sicherheitsforscher Willem Westerhof belegt. Er hat mehrere Sicherheitslücken in den in den Anlagen verbauten Wechselrichtern entdeckt, die sich aus der Ferne ausnutzen lassen. Darüber wäre es Unbefugten möglich gewesen, nach Belieben von Gleichstrom auf Wechselstrom umzuschalten.


Die Schwachstellen wurden von Westerhof bereits Ende 2016 im Rahmen einer akademischen Arbeit entdeckt. Vor der Veröffentlichung wurde dem Hersteller, der deutschen Firma SMA, aber Zeit gegeben, sie zu beheben.

Die Lücken hätten Westerhof zugolge ausgenutzt werden können, um in einer koordinierten Aktion das europäische Stromnetz anzugreifen und eventuell sogar lahmzulegen. Das durch die Schwachstellen denkbare Angriffsszenario hat Westerhof nach dem ägyptischen Sonnengott “Horus” benannt und umfassend beschrieben. Denn der Angriff könnte, so Westerhof, “dieselben Auswirkungen wie eine Sonnenfinsternis” haben.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

In Europa sind laut Westerhof Photovoltaikanlagen mit einer Gesamtleistung von über 90 Gigawatt installiert. Ein Angreifer, der den Energiefluss aus einer großen Anzahl dieser Anlagen manipulieren kann, wäre daher in der Lage, Stromspitzen oder Leistungsabfälle im Bereich mehrerer Gigawatt zu verursachen.

Das wiederum hätte erhebliche Auswirkungen auf das gesamte europäische Stromnetz und könnte im großen Maßstab zu Ausfällen führen. Ein so provozierter, großflächiger Ausfall von 3 Stunden könnte an an einem sonnigen Tag im Juni bereits einen Schaden in Höhe von bis zu 4,5 Milliarden Euro verursachen.

Horus-Szenario basiert auf insgesamt 17 Schwachstellen

Der niederländischen Tageszeitung Volkskrant zufolge, die zuerst über Westerhofs Erkenntnisse berichtet hatte, zieht einen Vergleich mit der geplanten aber unprofessionell durchgeführten Abkopplung einer Hochspannungsleitung in Deutschland 2006.

Damals wurden lediglich 5 Gigawatt vom Netz genommen, die Auswirkungen waren erheblich: Nicht nur bis zu zehn Millionen Haushalte waren davon betroffen, sondern auch der Bahnverkehr wurde erheblich beeinträchtigt.

Westerhof hat in der Software der Wechselrichter insgesamt 17 inzwischen behobene Schwachstellen entdeckt, von denen einige als kritisch eingestuft werden, weil sie es Unbefugten erlauben, das Geräte vollständig aus der Ferne zu kontrollieren. 14 der Lücken haben inzwischen CVE-Kennungen erhalten, sie reichen von CVE-2017-9851 bis CVE-2017-9864.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Der Sicherheitsforscher bemängelt insbesondere, dass es ihm nicht nur grundsätzlich möglich war, die Geräte zu übernehmen, sondern dass es dafür sogar mehrere Wege gab. Anders gesagt: Der Hersteller hat nicht nur geschlafen, sondern in Bezug auf die IT-Sicherheit seiner Geräte nach Ansicht von Westerhof gründlich versagt.

Die Firma SMA ist in ihrem Bereich eines der führenden Unternehmen. Diese Wechselrichter kommen bei rund einem Viertel der in Europa installierten Anlagen zum Einsatz. Die Sicherheitsforscher von ITsec, dem Unternehmen, bei dem Westerhof während der Entdeckung der Lücken arbeitet, weisen zudem darauf hin, dass es sehr wahrscheinlich sei, dass Mitbewerber ähnlich unvorsichtig gewesen sind und sich auch deren Geräte in ähnlicher Weise aus der Ferne angreifen lassen.

[mit Material von Reynald Fléchaux, silicon.fr]

Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

16 Stunden ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

1 Tag ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

2 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

3 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

4 Tagen ago