Die Hoymiles-Sicherheitslücke, die der Chaos Computer Club rund um den Forscher Benedikt „Hunz" Heinz offengelegt hat, ist ein echter Albtraum: Wechselrichter der Serien HM, HMS und HMT funken unverschlüsselt über 868 MHz und 2,4 GHz, als „Passwort" dient allein die Seriennummer, die jedes Gerät auf einen undokumentierten Rundruf hin im Klartext heraussendet. Damit lassen sich fremde Balkonkraftwerke im Vorbeifahren abschalten, in ihren Netzparametern verstellen oder per gefälschtem Firmware-Update dauerhaft zerstören, und einen Patch gibt es bis heute nicht.

Worum geht's überhaupt? 🧐

Der Chaos Computer Club hat zusammen mit dem Sicherheitsforscher Benedikt Heinz, in der Szene besser bekannt als „Hunz", gravierende Funklücken in Hoymiles-Wechselrichtern dokumentiert. Und das ist keine Nische: Hoymiles bedient rund 20 Prozent des europäischen Marktes für Mikrowechselrichter, also die kleinen Kästen, die in Balkonkraftwerken und auf vielen Dächern den Solarstrom ins Netz bringen. Wenn dort etwas grundlegend kaputt ist, betrifft das Hunderttausende Anlagen.

Ich hab die Meldung zuerst bei heise gelesen, und ehrlich: Mir ist beim Weiterlesen die Kinnlade runtergefallen. Das ist kein „theoretisch könnte man vielleicht", das ist „mit Elektroschrott aus der Bastelkiste im Vorbeifahren".

Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen
heise online über die vom CCC offengelegten Funklücken in Hoymiles-Wechselrichtern.

Was die Hoymiles-Sicherheitslücke so brisant macht 🔓

Die betroffenen Geräte ohne WLAN reden mit ihrer Steuerzentrale über Hoymiles' eigenes „DTU-Protokoll". DTU steht für Data Transfer Unit, das ist das Funk-Gateway, das die Wechselrichter mit der Cloud verbindet. Klingt harmlos, ist aber der Kern des Problems: Der Funkverkehr läuft komplett unverschlüsselt über 868 MHz und 2,4 GHz, und statt echter Kryptografie sichern nur simple Prüfsummen die Pakete ab. Prüfsummen, die man trivial neu berechnen kann.

Der eigentliche Hammer ist ein undokumentierter Rundruf-Befehl, den Hunz in der Firmware gefunden hat, intern „Gongfa" genannt. Schickt man diesen Broadcast raus, antwortet jeder erreichbare Wechselrichter brav mit seiner Seriennummer, im Klartext. Und diese Seriennummer ist gleichzeitig das einzige „Passwort" der Anlage. Wer sie hat, kann den Wechselrichter fernsteuern. Das ist ungefähr so, als würde dein Türschloss auf Zuruf laut seinen eigenen Schlüssel vorlesen.

Blinkenlights mit Balkonsolar
Chaos Computer Club: Analyse der Funk- und Firmware-Schwachstellen von Hoymiles-Wechselrichtern.

Vom Vorbeifahren zum Blackout: die Angriffe 🚗

Mit einem handelsüblichen 2,4-GHz-Modul und gerade mal 100 Milliwatt Sendeleistung hat Hunz die Antworten noch aus rund 350 Metern Entfernung eingefangen. Bei experimentellem „War-Walking" durch Nachbarschaften waren mit einem modifizierten Scanner in rund 20 Minuten zwei Dutzend fremde Anlagen lokalisiert. Aus dem Auto oder per Drohne skaliert das entsprechend.

Und dann? Ist ziemlich viel möglich. Mit der Seriennummer als Schlüssel lassen sich Wechselrichter an- und ausschalten, Einspeisung und Netzfrequenz verstellen, Leistungslimits manipulieren und, das ist der wirklich üble Teil, komplette Firmware-Updates einspielen. Wer die Netzparameter im „Grid Profile" verdreht oder gleich den Bootloader beziehungsweise ganze Flash-Sektoren löscht, kann Geräte dauerhaft unbrauchbar machen. Der CCC warnt ausdrücklich vor Bränden, elektrischen Unfällen und der Zerstörung der Hardware.

Skaliert man das gedanklich auf ganze Straßenzüge, wird aus dem Einzelschaden ein Netzstabilitätsproblem: Wenn sich viele Anlagen gleichzeitig schlagartig ab- oder umschalten lassen, ist das nichts, was ein Stromnetz gern hat.

Balkonkraftwerke: CCC findet Sicherheitslücken in Wechselrichtern von Hoymiles
ComputerBase fasst die Ergebnisse des CCC zu den Hoymiles-Funklücken zusammen.

Die technischen Reports zum Nachlesen 📄

Wer es ganz genau wissen will: Hunz hat zwei detaillierte technische Reports veröffentlicht, einen zu den Funk-Schnittstellen und der DTU-Kommunikation, einen zu den kritischen Over-the-Air-Lücken rund um Grid Profile und Firmware. Beide gibt's direkt als PDF beim CCC zum Download.

Wireless Interface Vulnerabilities of Hoymiles Microinverters (PDF)
Technischer Report von Hunz zu den Funk-Schnittstellen und der DTU-Kommunikation. Direkt-Download beim CCC.
Critical Over-the-Air Vulnerabilities of Hoymiles Microinverters (PDF)
Technischer Report von Hunz zu Grid-Profile- und Firmware-Angriffen über die Luft. Direkt-Download beim CCC.

Der Offenlegungsprozess lief übrigens sauber nach Responsible-Disclosure-Regeln: Die Lücken wurden am 12. März 2026 formell an Hoymiles, das CERT-Bund und die Bundesnetzagentur gemeldet. Erst danach ging das Ganze im Juli an die Öffentlichkeit.

Und Hoymiles? Irritiert bis gar nicht 😤

Jetzt der Teil, der mich am meisten ärgert. Auf die Hinweise reagierte Hoymiles laut CCC „irritiert bis gar nicht", und einen Patch gibt es bis heute nicht. Immerhin: Der Hersteller hat inzwischen angekündigt, im Herbst (genannt wurden September beziehungsweise Oktober) eine neue Wechselrichter-Firmware mit Verschlüsselung nachzuliefern. Ob und wann die wirklich auf den bereits verbauten Geräten landet, steht auf einem anderen Blatt.

Der CCC fordert deshalb verbindliche Mindeststandards und ein Verbot von Einspeisegeräten in der EU, die Firmware-Updates per Funk ohne kryptografische Authentifizierung akzeptieren. Und ehrlich, das ist das absolute Minimum.

Kleiner Nebeneffekt der angekündigten Verschlüsselung: Auch Community-Tools wie OpenDTU, mit denen viele Bastler ihre Hoymiles-Wechselrichter unabhängig von der Cloud auslesen, dürften damit ausgesperrt werden. Sicherheit ja, aber bitte nicht auf Kosten der Offenheit.

tbnobody/OpenDTU
Open-Source-Firmware, um Hoymiles-Wechselrichter lokal und ohne Hersteller-Cloud auszulesen.

Was du jetzt tun kannst 🛡️

Kurz die Realität: Einen echten Fix gibt es aktuell nicht, nur Schadensbegrenzung. Trotzdem lohnt sich ein Blick:

  • Betroffen? Vor allem HM-, HMS- und HMT-Geräte ohne WLAN. Achtung: Die gleiche Technik steckt auch in baugleichen Geräten unter den Marken E-Star, Solenso und TSUN.
  • Diebstahlschutz-Passwort setzen. Hoymiles bietet in App und DTU eine Passwortfunktion, die den offenen Zugriff zumindest erschwert.
  • Abfrageintervall hochsetzen. Je seltener gefunkt wird, desto weniger Angriffsfläche bietet die Anlage.
  • Im Zweifel physisch trennen. Wer auf Nummer sicher gehen will, nimmt die Module kurzzeitig vom Netz, gerade wenn öffentlich über konkrete Angriffe berichtet wird.

Ein echtes Patch-Pflaster ist das alles nicht, aber es senkt die Wahrscheinlichkeit, dass ausgerechnet deine Anlage das nächste Opfer eines gelangweilten War-Walkers wird.

Warum mich das wurmt 🤔

Wir reden hier nicht über ein vergessenes Debug-Flag in irgendeiner Nischen-Hardware. Wir reden über Geräte, die direkt am Stromnetz hängen, millionenfach verkauft werden und per Design fernsteuerbar sind, nur eben ohne jede ernsthafte Absicherung. Und der Hersteller reagiert „irritiert". Das erinnert mich stark an eine andere Geschichte, die ich hier schon aufgeschrieben habe: dass ausgerechnet Sicherheitsversprechen von Herstellern oft genau dann brechen, wenn man sich drauf verlässt.

Sophos und die gebrochenen Versprechen: Wie sicher ist unsere Sicherheitssoftware wirklich? 🔒
Sophos hat Sicherheitslücken verschwiegen und Backdoors eingebaut. Was bedeutet das für die IT-Sicherheit und welche Lehren ziehen wir daraus?

Der Unterschied: Bei Solar-Hardware geht's nicht nur um Datenschutz, sondern um physische Sicherheit und um Netzstabilität. Und da ist „wir liefern vielleicht im Herbst was nach" einfach zu wenig.

Fazit 🚀

Die Hoymiles-Sicherheitslücke ist ein Lehrstück dafür, wie man Embedded-Sicherheit nicht macht: unverschlüsselter Funk, Seriennummer als Passwort, ein undokumentierter Rundruf, der genau diese Seriennummer verrät, und ein Firmware-Update-Mechanismus ohne Signaturprüfung. In Summe reicht das, um fremde Balkonkraftwerke im Vorbeifahren abzuschalten oder zu zerstören.

Solange kein sauberer Patch da ist, heißt es: Diebstahlschutz-Passwort setzen, Intervalle hochziehen, betroffene Modelle im Blick behalten und die Ankündigungen von Hoymiles kritisch verfolgen. Und für die Branche insgesamt: Krypto ist bei netzgekoppelter Hardware kein Nice-to-have. Danke an Hunz und den CCC, dass sie das so schonungslos offengelegt haben.