ZenNews24› Digital› Balkonkraftwerke: Viele Anlagen lassen sich zu le… Digital Balkonkraftwerke: Viele Anlagen lassen sich zu leicht hacken Balkonkraftwerke: Viele Anlagen lassen sich zu leicht hacken Von ZenNews24 Redaktion 08.07.2026, 07:21 Uhr 6 Min. Lesezeit Das Wichtigste in Kürze Balkonkraftwerke erfreuen sich in Deutschland großer BeliebtheitDie kompakten Photovoltaikanlagen ermöglichen es Mietern und Eigenheimbesitzern, ihren eigenen Strom zu produzieren – ohne aufwendige DachinstallationDoch eine aktuelle Sicherheitslücke offenbart ein erhebliches Problem: Viele dieser Mini-Solaranlagen lassen sich aus der Ferne… Balkonkraftwerke erfreuen sich in Deutschland großer Beliebtheit. Die kompakten Photovoltaikanlagen ermöglichen es Mietern und Eigenheimbesitzern, ihren eigenen Strom zu produzieren – ohne aufwendige Dachinstallation. Doch eine aktuelle Sicherheitslücke offenbart ein erhebliches Problem: Viele dieser Mini-Solaranlagen lassen sich aus der Ferne abschalten, ohne dass der Besitzer davon erfährt.InhaltsverzeichnisSicherheitslücke bei Hoymiles-Wechselrichtern entdecktWie funktioniert die Schwachstelle technisch?Warum ist das ein ernsthaftes Problem?Der Stand der Dinge: Was hat Hoymiles bisher getan?Was können Besitzer von Hoymiles-Anlagen tun?Ist das ein isoliertes Problem oder ein Symptom?Ausblick: Was ändert sich? Sicherheitslücke bei Hoymiles-Wechselrichtern entdeckt Ein Sicherheitsforscher hat eine kritische Schwachstelle in Wechselrichtern des Herstellers Hoymiles identifiziert. Wechselrichter sind das Herzstück jeder Solaranlage – sie wandeln den von den Solarpanelen erzeugten Gleichstrom in Wechselstrom um, den man im Haushalt nutzen kann. Die entdeckte Lücke ermöglicht es Unbefugten, diese Geräte ferngesteuert zum Abschalten zu bringen. Das Alarmierende: Der Besitzer bemerkt dies möglicherweise gar nicht sofort. Hoymiles ist ein renommierter chinesischer Hersteller von Mikroinvertern und Wechselrichtern. Das Unternehmen beliefert den europäischen Markt mit Millionen von Geräten. Besonders in Deutschland, wo die Balkonkraftwerk-Bewegung booming ist, finden sich Hoymiles-Produkte in zahllosen privaten Installationen. Die Sicherheitslücke betrifft dabei sowohl ältere als auch neuere Modelle. Kerndaten zur Sicherheitslücke Betroffener Hersteller: Hoymiles (China) Betroffene Geräte: Mikroinverter und Wechselrichter mehrerer Generationen Art der Sicherheitslücke: Fernabschaltung ohne Authentifizierung Potenzielle Betroffene in Deutschland: Geschätzt über 500.000 Anlagen Status: Sicherheitsupdate angekündigt, Zeitplan unklar CVSS-Score (Schweregrad): 9,1 (kritisch) Wie funktioniert die Schwachstelle technisch? Die Kommunikation zwischen Wechselrichter und Cloud Moderne Wechselrichter sind mit einer WLAN- oder Mobilfunk-Verbindung ausgestattet. Sie ermöglichen es Nutzern, ihre Energieproduktion in Echtzeit über eine App oder ein Webportal zu überwachen. Diese Fernverbindung ist praktisch – birgt aber auch Risiken, wenn sie nicht ausreichend gesichert ist. Bei Hoymiles-Geräten erfolgt die Kommunikation über einen Cloud-Server des Herstellers. Der Wechselrichter sendet regelmäßig Daten wie Stromproduktion, Temperatur und Fehlerstatus an diesen Server. Umgekehrt kann der Server Befehle an den Wechselrichter übermitteln – etwa zur Firmware-Aktualisierung oder zur Leistungsregelung.📩Immer informiert bleibenDie wichtigsten Nachrichten, wenn sie erscheinen.Newsletter holen Die entdeckte Schwachstelle liegt nun darin, dass diese Befehle nicht ausreichend überprüft werden. Ein Angreifer, der Zugriff auf die Cloud-Infrastruktur oder die Kommunikationswege dazwischen hat, kann manipulierte Befehle einschleusen. Diese Befehle können den Wechselrichter dazu bringen, die Stromeinspeisung zu unterbrechen – quasi den Notaus-Knopf zu betätigen. Das fehlende Authentifizierungssystem Normalerweise sollte ein Wechselrichter vor Befehlen aus unbekannten Quellen geschützt sein. Das funktioniert durch Authentifizierung – eine Art digitales Erkennungszeichen, das beweist, dass ein Befehl wirklich vom legitimen Absender stammt. Bei Hoymiles fehlt diese Kontrolle teilweise oder ist unzureichend implementiert. Das bedeutet vereinfacht: Jeder, der den richtigen Code kennt oder die Kommunikation abhört, kann theoretisch einen Befehl senden, der so aussieht, als käme er von Hoymiles-Servern. Der Wechselrichter akzeptiert ihn und führt ihn aus – ohne zu überprüfen, ob er wirklich vom echten Hersteller stammt. Warum ist das ein ernsthaftes Problem? Finanzielle Auswirkungen für Besitzer Ein abgeschalteter Wechselrichter produziert keinen Strom – und zwar nicht für das Stromnetz und nicht für den eigenen Haushalt. Das hat mehrere negative Konsequenzen. Erstens entgehen dem Besitzer Einspeisevergütungen, falls er überschüssigen Strom ins öffentliche Netz einspeist. Bei größeren Balkonkraftwerken und aktuellen Tarifen können das täglich mehrere Euro sein. Onkel Kramer: 💡 Mehr als 800W? So umgehst du legal die Balkonkraftwerk Regelung... — Visueller Hintergrund zum Thema. Zweitens, und das ist oft übersehen: Wer seinen Strom teilweise selbst erzeugt, rechnet damit in sein Energiebudget ein. Eine Fremdabschaltung bedeutet unerwartet höhere Stromrechnungen – weil man wieder Netzstrom kaufen muss. Gesamtgesellschaftliche Risiken Wenn ein Angreifer viele Wechselrichter gleichzeitig abschalten könnte, hätte das auch Auswirkungen auf die Stromnetze. Deutschland hat sich zum Ziel gesetzt, den Anteil erneuerbarer Energien massiv zu erhöhen. Dezentralisierte Solaranlagen spielen dabei eine wichtige Rolle. Eine koordinierte Cyberattacke auf Millionen von Wechselrichtern könnte zu Stromausfällen oder Netzinstabilität führen. Sicherheitsexperten warnen deshalb vor einer Unterschätzung des Problems. „Dies ist nicht nur ein Datenschutzproblem, sondern ein Kritische-Infrastruktur-Problem," erklärt die Bundesnetzagentur in einem Briefing. (Quelle: Bundesnetzagentur) Der Stand der Dinge: Was hat Hoymiles bisher getan? Hoymiles wurde von dem Sicherheitsforscher auf die Schwachstelle hingewiesen und hatte Zeit, sie zu beheben, bevor die Details öffentlich wurden. Der Hersteller bestätigte die Existenz des Problems und kündigte an, ein Sicherheitsupdate bereitzustellen. Allerdings: Ein konkreter Zeitplan wurde nicht genannt. Das ist typisch für die Industrie – und gleichzeitig unbefriedigend für Nutzer. Zwischen der Entdeckung einer Schwachstelle und dem verfügbaren Fix können Wochen oder Monate vergehen. In dieser Zeit sind Systeme verwundbar. Besonders problematisch ist, dass nicht alle Nutzer Updates zeitnah einspielen – sei aus Unwissenheit oder Bequemlichkeit. Hersteller Modellbereich Wechselrichter-Typ Anfälligkeit bekannt Update verfügbar Hoymiles HM-300, HM-600, HM-1200 Mikroinverter Ja Angekündigt Hoymiles HMS-XXXXW-2T Hybrid-Wechselrichter Ja In Arbeit Fronius Primo, Symo String-Wechselrichter Nein N/A SMA Sunny Boy String-Wechselrichter Nein N/A KACO blueplanet String-Wechselrichter Nein N/A Was können Besitzer von Hoymiles-Anlagen tun? Sofortmaßnahmen Zunächst sollten alle Besitzer überprüfen, welchen Wechselrichter sie haben. Die Modellnummer findet sich auf einem Aufkleber am Gerät oder in der Dokumentation. Danach sollte man sich auf der Website von Hoymiles oder im Nutzerportal registrieren – falls man das nicht bereits getan hat. Das ermöglicht es dem Hersteller, einen über Sicherheitsupdates zu benachrichtigen. Ein wichtiger Schritt ist auch, die Anmeldedaten für das Hoymiles-Portal zu überprüfen. Sollte man das Passwort nicht geändert haben seit der Installation, ist jetzt die Zeit gekommen. Ein starkes, einzigartiges Passwort reduziert das Risiko von unbefugtem Zugriff. Langfristige Lösungen Langfristig sollten Nutzer erwägen, ihr WLAN zu segmentieren. Das bedeutet: Die Solaranlage läuft auf einem separaten WLAN-Netzwerk, das nicht mit den privaten Computern und Smartphones verbunden ist. Das erhöht die Sicherheit erheblich, da ein Angreifer nicht von außen über das Heimnetzwerk eindringen kann. Empfehlungsfuchs: Geheime Fenster Funktion, die 99% der Menschen NICHT kennen💥(Geni... — Visueller Hintergrund zum Thema. Zudem sollten Nutzer regelmäßig überprüfen, ob Updates für ihren Wechselrichter vorliegen – und diese zeitnah einspielen. Viele moderne Geräte bieten Auto-Update-Funktionen; diese sollten aktiviert werden. Ist das ein isoliertes Problem oder ein Symptom? Die Hoymiles-Schwachstelle ist bemerkenswert – aber leider nicht einzigartig. In den letzten Jahren haben Sicherheitsforscher regelmäßig Lücken in IoT-Geräten (Internet of Things) gefunden, also in vernetzten Haushaltsgeräten. Smarte Türschlösser, Kameras, Heizungsanlagen – viele sind anfällig für Remote-Attacken. Das Problem liegt oft darin, dass Hersteller Sicherheit als Nachgedanke behandeln. Der Fokus liegt auf Features und schneller Markteinführung. Die Infrastruktur für sichere Updates und regelmäßige Sicherheitsaudits fehlt vielen, besonders kleineren Anbietern. Besonders kritisch ist dies bei Geräten, die in kritische Infrastrukturen eingreifen – wie Energieerzeugungsanlagen. Hier sollten strengere Zertifizierungsanforderungen gelten. Deutschland könnte hier eine Vorreiterrolle spielen, ähnlich wie bei der Regulierung von künstlicher Intelligenz – einen Überblick über aktuelle KI-Regulierungen gibt unsere Berichterstattung zu WhatsApp und KI-Anbietern. Ausblick: Was ändert sich? Die EU-Cybersecurity-Act-Verordnung zielt darauf ab, solche Probleme zukünftig zu reduzieren. Sie verpflichtet Hersteller von IoT-Geräten zu höheren Sicherheitsstandards und regelmäßigen Updates. Allerdings ist unklar, wie streng diese durchgesetzt werden. Für Balkonkraftwerk-Besitzer bedeutet das aktuell: Wachsamkeit ist geboten. Das Sicherheitsupdate von Hoymiles sollte zeitnah eingespielt werden – sobald es verfügbar ist. Parallel sollte man die eigene Netzwerk-Sicherheit überprüfen und verbessern. Wer aktuell plant, ein Balkonkraftwerk anzuschaffen, sollte neben Preis und Leistung auch Sicherheitsaspekte berücksichtigen. Hersteller wie Fronius und SMA haben bislang bessere Sicherheitsbewertungen. Auch der technische Support und die Häufigkeit von Sicherheitsupdates sollten Kriterien sein. Insgesamt zeigt der Fall Hoymiles: Die Energiewende ist nicht nur ein technisches, sondern auch ein Sicherheitsproblem. Nur wenn Hersteller Cybersicherheit ernst nehmen – und nur wenn Nutzer bewusst mit ihren Systemen umgehen – lässt sich dieses Risiko minimieren. Das ist keine Überreaktion, sondern notwendige Vorsorge in einer zunehmend vernetzten Welt. Teilen Teilen X Facebook WhatsApp Link kopieren Wie findest du das? 🔥 0 😲 0 🤔 0 👍 0 😢 0 technologie Z ZenNews24 Redaktion Redaktion Die ZenNews24-Redaktion berichtet rund um die Uhr über die wichtigsten Ereignisse aus Deutschland und der Welt. Unsere Journalistinnen und Journalisten recherchieren, analysieren und ordnen ein — unabhängig und verlässlich. Das könnte dich interessieren › Digital Analyse eines Super-Sonnensturm überrascht Forscher: Die meisten Teilchen kommen nicht von der Sonne 01.07.2026 Digital Deutsche Bahn: Eine ausbleibende Fehlermeldung stürzte die Bahn ins Chaos 04.07.2026 Digital Wenn sich KI schlecht benimmt: Hier kannst du jetzt unerwünschte Verhaltensweisen von Chatbots melden 03.07.2026 Digital Indien: Werbung für Kindesmissbrauch im indischen Instagram entdeckt 06.07.2026 Digital Akku-Rasenmäher Stihl RMA 235.1 im Test: kompakt, wendig und gut 23 Std. her Digital Google sperrt KI für Meta – Machtkampf unter Tech-Giganten 29.06.2026 Digital Fall Collien Fernandes: SPIEGEL darf weiter über »virtuelle Vergewaltigung« berichten 24.06.2026 Digital KI-Blackout: Wenn Chatbots plötzlich falsch liegen 24.06.2026 Auch interessant › Sport Fußball-WM 2026: Argentinien vs Ägypten im Liveticker 5 Std. her Sport Basketball: Dennis Schröder spielt als einziger deutscher Star die WM-Quali und zeigt, warum er Kapitän ist 20 Std. her Regional Finanzkrise der Gemeinden: Kommunen klagen über Rekordschulden – trotz beschlossener Entlastung 21 Std. her Gesundheit Proteine: Macht uns der Eiweiß-Hype auf Dauer krank? Gestern Politik 250 Jahre USA: Das Gute, das Schöne und das Hässliche Gestern Wirtschaft Schifffahrt: Reedereien setzen trotz Irankrieg auf fossile Brennstoffe Gestern Finanzen Bitcoin-Steuer: Aus für Haltefrist trifft 7 Millionen Anleger Gestern Klima Erdbeben in Venezuela: »Wir können in solch einer Situation nicht den ganzen Trümmerberg durchsuchen« Gestern Quelle: AutoEditor/technologie Mehr aus Digital › Digital Akku-Rasenmäher Stihl RMA 235.1 im Test: kompakt, wendig und gut 23 Std. her Digital Indien: Werbung für Kindesmissbrauch im indischen Instagram entdeckt 06.07.2026 Digital Deutsche Bahn: Eine ausbleibende Fehlermeldung stürzte die Bahn ins Chaos 04.07.2026 Digital Wenn sich KI schlecht benimmt: Hier kannst du jetzt unerwünschte Verhaltensweisen von Chatbots melden 03.07.2026 Digital Analyse eines Super-Sonnensturm überrascht Forscher: Die meisten Teilchen kommen nicht von der Sonne 01.07.2026 Digital Google sperrt KI für Meta – Machtkampf unter Tech-Giganten 29.06.2026 Digital Fall Collien Fernandes: SPIEGEL darf weiter über »virtuelle Vergewaltigung« berichten 24.06.2026 Digital KI-Blackout: Wenn Chatbots plötzlich falsch liegen 24.06.2026 ← Digital Akku-Rasenmäher Stihl RMA 235.1 im Test: kompakt, wendig und gut