Pflästerlipolitik.

Deutschland hat nun 40GW unregulierte Fotovoltaik. Das Cyberproblem kommt einfach oben drauf.

Ich bin davon überzeugt, dass solche Dinger auch ohne Internet und "Updates" laufen können müssen.

Nicht nur Solaranlagen, auch Autos gehören zum Beispiel dazu. Am liebsten würden sie uns allen in den Hintern kriechen und dort Daten sammeln.

Macht was, ihr seid da am größerem Hebel.

Schade das der normal Bürger keine Möglichkeiten hat vorher festzustellen ob die #PV auch ohne APP und #Internet auskommt.

Leider gibt es da auch von @balkonsolar keine Infos drüber.

Auch wenn die in deren Vorträgen sagen das man die nicht ans Netz hängen soll.

Nein, liebes BSI, die Forscher*innen haben 93 Schwachstellen gefunden und davon waren 46 neu. Von den 93 Schwachstellen waren nur 14 bei Wechselrichtern, entsprechend von den 46 neuen noch einmal vermutlich deutlich weniger.

Die meisten Schwachstellen waren bei PV-Apps und Cloud-Diensten.

Eure Infografik ist schlichtweg falsch.

ich finde diese Nachricht mehr verwirrend und verunsichernd als klärend und unterstützend. Der verlinkte Heise-Bericht selbst enthält keine Liste von Herstellern und Modellen, der Forescout report ist komplex, seine Table 3 enthält eine Mischung aus "neuen" Geräte- und Cloud-Schwachstellen, ein Sungrow Dongle ist die einzige konkret genannte Hardware, kein Wechselrichter!

Ich würde mir von Ihnen eine Aufbereitung der betroffenen Geräte und erforderlichen Maßnahmen wünschen.

Zwecks Auffindbarkeit ein paar Hastags dazu:
Untersuchte Hersteller: #Huawei #Sungrow #GinlongSolis #Goodwatt #GoodWe #SMA
Allgemein: #PV #WR #Wechselrichter #Solar #Inverter #SunDown #Forescout #China #Hacker #SmartHome #IoT
https://www.forescout.com/research-labs/sun-down-a-dark-side-to-solar-energy-grids/
@bsi

Recommendations
Manufacturers
Development • Devices: holistic security architecture including secure boot, binary hardening, anti-exploitation features, permission separation etc
• Applications: proper authorization checks on web applications, mobile applications and cloud backends
Testing • Regular penetration testing on applications and devices • Consider bug bounty programs
Monitoring Web Application Firewalls Remember that a WAF does not protect against logical flaws

Users
Residential and commercial users • Change default passwords and credentials • Use role-based access control • Configure the recording of events in a log • Update software regularly • Backup system information • Disable unused features • Protect communication connections
Commercial and utility installations (in addition) •
Include security requirements into procurement considerations
• Conduct a risk assessment when setting up devices • Ensure network visibility into solar power systems • Segment these devices into their own sub-networks • Monitor those network segments

wow. Heise als Referenz? Junge, junge, junge…

Langsam wird’s bei euch wirklich gruselig.