News

Achtung, Hoymiles-Hack: Wie Tausende Balkonkraftwerke per Drohne gekapert und zerstört werden können

Hoymiles-Gate-Aufmacher

Stellt euch vor, die Sonne scheint, euer Balkonkraftwerk produziert fleißig Strom – und plötzlich schaltet jemand eure Anlage im Vorbeifahren einfach ab. Oder noch schlimmer: Er grillt das Gerät physisch. Genau dieser Sicherheitsalbtraum ist für Besitzer eines Hoymiles-Wechselrichters gerade potenziell Realität geworden. Der Chaos Computer Club (CCC) schlägt aktuell Alarm. Wir zeigen euch, wie gravierend die entdeckte Sicherheitslücke in den beliebten Mikrowechselrichtern wirklich ist, wie sich der Hersteller herausredet und mit welchen Tricks ihr eure Anlage jetzt schützen könnt.

Firmware-Fail: Ein geheimer Schlüssel, der keiner ist

Im Fokus des Skandals stehen die weit verbreiteten Hoymiles-Wechselrichter der HM-, HMS- und HMT-Serien. Diese bedienen laut eigenen Angaben rund 20 Prozent des europäischen Marktes. Der Sicherheitsforscher Benedikt Heinz (alias Hunz) hat die Funkkommunikation der Geräte analysiert und dabei fatale Mängel aufgedeckt.

hoymiles hms 1600 4t mikro wechselrichter
Hoymiles HMS-1600-4T: Die HMS-Serie ist eine der betroffenen Wechselrichter-Serien

Die Anlagen funken über die Frequenzbänder 868 MHz und 2,4 GHz völlig unverschlüsselt. Hobby-Bastler und Open-Source-Projekte wie OpenDTU oder AhoyDTU gingen bisher davon aus, dass Angreifer zumindest die individuelle Seriennummer des Geräts kennen müssen, um es fernzusteuern. Diese Nummer galt quasi als geheimer Schlüssel.

Doch der Forscher fand eine undokumentierte Funktion in der Firmware: Sendet man einen simplen Rundrufbefehl aus, antworten alle erreichbaren Hoymiles-Wechselrichter in der Umgebung brav und übermitteln ihre Seriennummer im Klartext zurück.

Intersolar 2024 Hoymiles neuer Wechselrichter

Angriff aus der Luft: Volle Kontrolle über euren Strom

Sobald der Angreifer die Seriennummer abgegriffen hat, steht ihm das System komplett offen. Da die Firmware Befehle nicht über eine echte kryptografische Authentifizierung absichert, sondern nur auf simple, leicht manipulierbare Prüfsummen setzt, kann jeder Befehl von außen eingeschleust werden.

Die Hacker können die Wechselrichter nach Belieben ein- oder ausschalten und Leistungslimits manipulieren. Über den ungeschützten Funkbefehl zur Firmware-Aktualisierung lässt sich sogar Schadsoftware aufspielen. Der Forscher demonstrierte das anhand eines Programms, das die Relais und LEDs des Wechselrichters in einer mörderischen Dauerschleife schaltete. Werden gezielt sensible Netzparameter verändert oder interne Speicherbereiche gelöscht, drohen Brände, elektrische Unfälle oder die völlige Zerstörung des Geräts.

solaranlage

Die Reichweite der Funksignale beträgt mehrere hundert Meter. Bei einem Test reichte ein modifizierter Scanner aus, um innerhalb von 20 Minuten zwei Dutzend fremde Anlagen zu lokalisieren. Schnallt man diese winzige Hardware unter eine Drohne, lassen sich ganze Wohngebiete systematisch erfassen und lahmlegen.

Ignoranz des Herstellers: Mails einfach „untergegangen“?

Das eigentlich Erschreckende an diesem Vorfall ist die absolute Ignoranz des Herstellers. Der CCC und das Bundesamt für Sicherheit in der Informationstechnik (BSI) versuchen bereits seit Februar 2026, Hoymiles auf diese klaffenden Sicherheitslücken hinzuweisen. Das Unternehmen reagierte monatelang überhaupt nicht.

Erst als chinesische Cyber-Behörden (CNCERT) eingeschaltet wurden, meldete sich Hoymiles zu Wort: Die Mails seien schlichtweg „untergegangen“. Man bearbeite das Problem jetzt mit höchster Priorität. Ein entsprechendes Software-Update ist allerdings erst für Mitte Oktober geplant! Bis dahin bleiben unzählige Anlagen schutzlos.

LIDL Parkside Balkonkraftwerk PBKW 300 A1 Smart Solarpanelvorne e1783587947502

Der CCC warnt völlig zu Recht vor einem systemischen Risiko: Wenn Hacker tausende Anlagen gleichzeitig abschalten, führt das zu einem plötzlichen Leistungseinbruch im Stromnetz. Die klare Forderung der Experten: Einspeisegeräte, die Updates ohne Authentifizierung via Funk akzeptieren, dürfen in der EU keine Marktzulassung mehr bekommen.

Erste Hilfe: Was ihr als Hoymiles-Besitzer jetzt tun müsst

Bis der offizielle Patch im Oktober erscheint, seid ihr auf Notlösungen angewiesen, um eure Hardware vor gezielten Sabotageakten zu schützen. Nutzt ihr die originale Software von Hoymiles, solltet ihr umgehend ein Diebstahlschutzpasswort vergeben, sofern eure Firmware-Version das bereits unterstützt. Das ist aber nur eine absolute Notlösung und hält euch zumindest Amateure vom Leib.

Betreibt ihr euer System über beliebte Open-Source-Lösungen wie AhoyDTU oder OpenDTU, solltet ihr die Abfrageintervalle in den Einstellungen drastisch erhöhen. Das reduziert den ständigen Funkverkehr und macht euch für Scanner zumindest unsichtbarer. Wer auf Nummer sicher gehen will und Angst vor physischer Zerstörung hat, dem bleibt aktuell nur der harte Schnitt: Die Solarmodule komplett vom Wechselrichter trennen.

Dass ein Marktführer die IT-Sicherheit derart vernachlässigt, ist ein absolutes Armutszeugnis. Aber nun zu euch: Habt ihr einen betroffenen Hoymiles-Wechselrichter im Einsatz? Kappt ihr jetzt aus Angst vor Hackerangriffen die Kabel, oder wartet ihr entspannt auf das Update im Herbst? Schreibt es uns in die Kommentare!

Quelle(n):

39e083e7f3e1446b994d688d1a908aa0

Wenn du über einen Link auf dieser Seite ein Produkt kaufst, erhalten wir oftmals eine kleine Provision als Vergütung. Für dich entstehen dabei keinerlei Mehrkosten und dir bleibt frei wo du bestellst. Diese Provisionen haben in keinem Fall Auswirkung auf unsere Beiträge. Zu den Partnerprogrammen und Partnerschaften gehört unter anderem eBay und das Amazon PartnerNet. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Profilbild von Thommy

Thommy

Wenn ich nicht gerade mit Familie und Freunden unterwegs bin, findet man mich im Bastelkeller. Dort tüftele ich zwischen Multiplex Easystar-Klonen, Impeller-Jets, RC-Crawlern und insbesondere meinem geliebten Anycubic Mega S, dem möglichst bald noch weitere 3D-Drucker folgen sollen.

Sortierung: Neueste | Älteste

Kommentare (6)

  • Profilbild von Ganser
    0 # 09.07.26 um 17:58

    Ganser

    Mein Nachbar hat so einen. Wie kann ich seinen Balkon abfackeln? Er nervt mich immer mit seinem Staubsaugerroboter obwohl ich ihm gesagt habe, er darf es ab 22:00 nicht mehr einschalten, schaltet er es jetzt demonstrativ um 23:00 ein. Kann nicht schlafen.

  • Profilbild von Patrick F.
    0 # 09.07.26 um 16:45

    Patrick F.

    Ich bin selbst in der Cyber Sicherheit tätig und treibe Schwachstellenmanagement voran.
    Bei technischen Schwachstellen gibt es jeweils einen Grad der Schwere, sogegannter CVSS-Wert und ein EPSS Wert, der die Wahrscheinlich ausgibt für ein Ausnutzen angibt. Offiziell gibt es Stand jetzt für beides noch keine Werte und es existiert keine Internationale Schwachstellennummer, kurz CVE.

    Allgemein ist das Ausnutzen der Attacken für IT-ler oder ein Script Kiddies einfach möglich, allerdings was möchte der Angreifer damit bezwecken? Aus meiner Sicht werden ein paar Freaks mal als "bösen Jungen Streich" den Nachbarn ärgern, aber mehr auch nicht.

    Von daher sehe ich das recht entspannt und warte auf einen Patch.

    Schlimmer finde, dass es überall Anleitungen gibt, wie man die Attacke ausnutzen kann, sodass es jeder Depp (ohne IT-Kenntnisse) quasi ausnutzen kann.

  • Profilbild von Uwe R.
    0 # 09.07.26 um 15:49

    Uwe R.

    Viel Panik um nix. Das passiert wenn Laien ohne technisches Verständnis auf Clickbaits einer angeblichen Techseite wie heise.de reinfallen. Dort im Forenbeitrag gibts genug Beiträge die diese "Bedrohung" technisch und sachlich richtig einordnen.

  • Profilbild von Troy_
    0 # 09.07.26 um 13:20

    Troy_

    Schöner heise.de c&p. Kann man nix sagen..

  • Profilbild von kaeptnplanet
    1 # 09.07.26 um 12:45

    kaeptnplanet Gadget-Nerd

    Die Sicherheitswarnung in allen Ehren. Aber ist das nicht alles n bisschen arg hochgekocht? Das ist doch ein sehr theoretischer Fall. In meinen Augen ähnlich theoretisch wie die Angst vorm SmartLock-Hacker.

    Wenn mir einer schaden will, betreibt er doch nicht diese Super-Aufwand, sondern zerkratzt mir einfach die Karre. So haben wir hier doch schon immer Konflikte gelöst… ;D

    • Profilbild von B-e-r-n-d
      1 # 09.07.26 um 13:16

      B-e-r-n-d Hobby-Bastler

      So sehe ich das auch.
      Und wenns an die PV gehen soll, dann je nach höhe, abstand und Winkel eine Stahlkugel per Steinschleuder 😉

Kommentar schreiben

Name
E-Mail
Diese E-Mail-Adresse wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen. Halte dich für ein wertschätzendes Miteinander an unsere Community-Guidelines.