Das DVID ist eine Organisation sogenannter ethischer Hacker, die Sicherheitslücken aufspürt und die betroffenen Firmen oder Organisationen darauf hinweist. Betroffen sind in diesem Fall die Enphase IQ Gateways. Die Kombination der ersten drei der sechs Schwachstellen soll es Angreifern ermöglichen, die volle Kontrolle über das Gateway und die angeschlossenen Geräte zu übernehmen, heißt es in der Erklärung von DVID. Allerdings gelte das nur, wenn das Gerät sich in einem nicht vertraunswürdigen Netzwerk befinde. Dazu gehören zum Beispiel öffentliches Internet und Gastnetzwerke.
DVID arbeite nun mit Enphase zusammen, um betroffene Gateways zu finden und den Patching-Prozess zu unterstützen. Der Hersteller Enphase hat nach eigenen Angaben rund vier Millionen Systeme in mehr als 150 Ländern im Einsatz. In der nächsten Version, die gerade an die Kunden ausgeliefert werde, sei diese Sicherheitslücke bereits behoben.
DVID: Schnelle Energiewende macht Sicherheitslücken wahrscheinlicher
Laut DVID gibt es eine „besorgniserregende Zunahme von Schwachstellen“ im Energiesektor. Dabei sieht die Hacker-Organisation auch einen Zusammenhang mit dem Tempo der Energiewende. Neue Technologien wie intelligente Netze und IoT-Geräte erhöhen demnach die Risikoanfälligkeit. Sicherheitsmaßnahmen könnten mit dem rasanten Innovationstempo häufig nicht mithalten. Angesichts der Bedeutung der Energieversorgung müsse daher der Cybersicherheit Priorität eingeräumt werden.
Es ist nicht das erste Mal, dass die DVID-Spezialisten ein Sicherheitsrisiko in dezentralen Solaranlagen ausmachen. Im Jahr 2022 fand der DIVD-Forscher Jelle Ursem ein sogenanntes GitHub-Repository, das die Anmeldedaten des Super-Admin-Kontos von „SolarMan“ enthielt. Diese seien für alle Besucher der Seite sichtbar gewesen. Mit diesen Zugangsdaten hätten Cyberkriminelle rund 1 Million Solarpanel-Wechselrichter weltweit verwalten können – was durch den Hinweis von DVID verhindert wurde.
„Wir haben bereits mehrere Schwachstellen bei Ladestationen und ihren Backends gefunden, die wir gemeldet haben“, ergänzt Harm van den Brink, Forscher im Bereich Energie bei DIVD. Laut der DIVD-Webseite sei bisher in jedem der untersuchten Solarstrom- oder Ladestationsysteme irgendeine Art schwerwiegender Sicherheitslücke aufgetaucht. „Wir bei DIVD hoffen aufrichtig, dass vorbeugende Maßnahmen ergriffen werden, um Schwachstellen und Schwachstellen zu beseitigen, bevor eine Katastrophe eintritt“, sagt van den Brink.
Auch die Niederländische Unternehmensagentur und Bitdefender haben vor wenigen Tagen Berichte über Sicherheitslücken in Solarsystemen in den Niederlanden beziehungsweise den USA veröffentlicht.
DVID verweist auf den vom finnischen IoT-Experten Mike Hyppönen formulierten Grundsatz: Wenn es smart ist, ist es angreifbar.
Quelle: DIVD | www.solarserver.de © Solarthemen Media GmbH
Foto: yingyaipumi / stock.adobe.com
