Sicherheitslücken in Gateway-Geräten von Enphase gefunden

Stadt mit blauem Leuchten, Symbol für VernetztheitFoto: yingyaipumi / stock.adobe.com
"Wenn es smart ist, ist es angreifbar" lautet ein Grundsatz der IT-Sicherheit.
Das Dutch Institute for Vulnerability Disclosure (DVID) hat in den Gateways von Enphase insgesamt sechs Sicherheitsschwachstellen gefunden. Gemeinsam mit dem Hersteller sollen diese nun behoben werden.

Das DVID ist eine Organisation sogenannter ethischer Hacker, die Sicherheitslücken aufspürt und die betroffenen Firmen oder Organisationen darauf hinweist. Betroffen sind in diesem Fall die Enphase IQ Gateways. Die Gateways sind dafür zuständig, die einzelnen Geräte mit dem Internet zu verbinden, was wiederum für die Nutzung der cloudbasierten Software nötig ist. Die Kombination der ersten drei der sechs Schwachstellen soll es Angreifern ermöglichen, die volle Kontrolle über das Gateway und die angeschlossenen Geräte zu übernehmen, heißt es in der Erklärung von DVID. Allerdings gelte das nur, wenn das Gerät sich in einem nicht vertraunswürdigen Netzwerk befinde. Dazu gehören zum Beispiel öffentliches Internet und Gastnetzwerke.

DVID arbeite nun mit Enphase zusammen, um betroffene Gateways zu finden und den Patching-Prozess zu unterstützen. Der Hersteller Enphase hat nach eigenen Angaben rund vier Millionen Systeme in mehr als 150 Ländern im Einsatz.

Hans Van Antwerpen, Chief Technology Officer bei Enphase Energy, bestätigt, von DIVD auf die „potenzielle Schwachstelle“ hingewiesen worden zu sein und diese umgehend behoben zu haben. Es seien keine Enphase-Kunden von Angriffen betroffen gewesen. Das nötige Update erfolge automatisch, sodass die Kunden nichts unternehmen müssten.

DVID: Schnelle Energiewende macht Sicherheitslücken wahrscheinlicher

Laut DVID gibt es eine „besorgniserregende Zunahme von Schwachstellen“ im Energiesektor. Dabei sieht die Hacker-Organisation auch einen Zusammenhang mit dem Tempo der Energiewende. Neue Technologien wie intelligente Netze und IoT-Geräte erhöhen demnach die Risikoanfälligkeit. Sicherheitsmaßnahmen könnten mit dem rasanten Innovationstempo häufig nicht mithalten. Angesichts der Bedeutung der Energieversorgung müsse daher der Cybersicherheit Priorität eingeräumt werden.

Es ist nicht das erste Mal, dass die DVID-Spezialisten ein Sicherheitsrisiko in dezentralen Solaranlagen ausmachen. Im Jahr 2022 fand der DIVD-Forscher Jelle Ursem ein sogenanntes GitHub-Repository – einen Speicherort, in dem zum Beispiel Codes und Versionen von Software abgelegt werden können. Es enthielt die Anmeldedaten eines umfangreichen Admin-Kontos mit dem Usernamen „SolarMan“. Diese seien für alle Besucher der Seite sichtbar gewesen. Mit diesen Zugangsdaten hätten Cyberkriminelle rund 1 Million Solarpanel-Wechselrichter weltweit verwalten können – was durch den Hinweis von DVID verhindert worden sei.

„Wir haben bereits mehrere Schwachstellen bei Ladestationen und ihren Backends gefunden, die wir gemeldet haben“, ergänzt Harm van den Brink, Forscher im Bereich Energie bei DIVD. Laut der DIVD-Webseite sei bisher in jedem der untersuchten Solarstrom- oder Ladestationsysteme irgendeine Art schwerwiegender Sicherheitslücke aufgetaucht. „Wir bei DIVD hoffen aufrichtig, dass vorbeugende Maßnahmen ergriffen werden, um Schwachstellen und Schwachstellen zu beseitigen, bevor eine Katastrophe eintritt“, sagt van den Brink.

Auch die Niederländische Unternehmensagentur und Bitdefender haben vor wenigen Tagen Berichte über Sicherheitslücken in Solarsystemen in den Niederlanden beziehungsweise den USA veröffentlicht.

DVID verweist auf den vom finnischen IoT-Experten Mike Hyppönen formulierten Grundsatz: Wenn es smart ist, ist es angreifbar.

Quelle: DIVD | www.solarserver.de © Solarthemen Media GmbH

Dieser Artikel wurde nachträglich um die Position von Enphase ergänzt.

Schließen