Sicherheitslücke: Hoymiles-Wechselrichter von Balkonkraftwerken leicht hackbar
Sicherheitslücke bei Hoymiles-Wechselrichtern entdeckt

Ein Sicherheitsforscher des Chaos Computer Clubs (CCC) hat eine gravierende Sicherheitslücke in Wechselrichtern des chinesischen Herstellers Hoymiles entdeckt, die in vielen Balkonkraftwerken in Deutschland verbaut sind. Wie die „Zeit“ berichtet, können Angreifer die Geräte per Funk manipulieren, sie abschalten oder überlasten. In Deutschland sind rund 1,4 Millionen Balkonkraftwerke registriert, ein Großteil davon nutzt Hoymiles-Wechselrichter.

Schwachstelle im Kommunikationsprotokoll

Der CCC-Hacker mit dem Pseudonym Hunz demonstrierte der „Zeit“ die Lücke. Demnach nutzt Hoymiles bei seinen Wechselrichtern stets die letzten acht Stellen der Seriennummer als Passwort. Diese Nummern sollten eigentlich nur dem Hersteller und dem Käufer bekannt sein. Hunz entdeckte jedoch eine Lücke im Kommunikationsprotokoll: „Ein kurzer, per Funk an sie geschickter Befehl bringt die Anlagen dazu, ebendiese Seriennummer zurückzufunken, so als würden sie im Schlaf reden“, heißt es im Artikel. Die relevanten technischen Informationen sind öffentlich verfügbar, und die nötigen Geräte lassen sich günstig zusammenlöten.

Angriff in Augsburg demonstriert

Wie verbreitet die Schwachstelle ist, zeigte Hunz in Augsburg: Innerhalb einer Stunde identifizierte er 42 Anlagen, die er hacken konnte. Angreifer können sich so in die Geräte einloggen, sie fernsteuern, an- oder abschalten und gezielt überlasten. Die Datenübertragung erfolgt unverschlüsselt.

Breites Pickt-Banner — kollaborative Einkaufslisten-App für Telegram

Hersteller reagiert erst nach BSI-Kontakt

Der CCC informierte Hoymiles bereits im Februar über das Problem, erhielt aber zunächst keine Reaktion. Erst nachdem das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die chinesische Behörde CNCERT kontaktierte, reagierte Hoymiles Ende Juni und kündigte ein Sicherheitsupdate für Mitte Oktober an. Da die Wechselrichter in der Regel nicht mit dem Internet verbunden sind, müssen Nutzer das Update manuell einspielen.

Hoymiles verspricht Besserung

Hoymiles teilte mit, man nehme die Sicherheitsprobleme „sehr ernst“ und arbeite „mit der höchsten Priorität“ an einer Lösung. Das Update werde eine neue, bessere Verschlüsselung enthalten. Bereits 2023 war Hoymiles wegen Lücken in seinem Cloudservice in die Schlagzeilen geraten. Der SPIEGEL berichtete im Oktober 2025 ausführlich über die Angreifbarkeit von Balkonkraftwerken.

Pickt After-Article-Banner — kollaborative Einkaufslisten-App mit Familien-Illustration