Eine gravierende Sicherheitslücke bei den weit verbreiteten Wechselrichtern des Herstellers Hoymiles ermöglicht es Angreifern, Balkonkraftwerke per Funk aus der Ferne zu steuern oder komplett abzuschalten. Da die Geräte vertrauliche Gerätedaten unverschlüsselt übertragen, reicht ein einfaches Funksignal für die Manipulation aus. Dies zeigt Besitzern betroffener Anlagen, warum sie bei künftigen Firmware-Updates wachsam sein müssen, um unbemerkt blockierte Stromerträge zu verhindern. Gleichzeitig beweist der Fall, dass die Prüfnormen für die dezentrale Energiewende dringend um verbindliche IT-Sicherheitsstandards ergänzen werden müssen, bevor neue Gesetze ab 2027 greifen.
Hintergrund: Hoymiles-Funklücke und andere Balkonkraftwerke
- Hardware: Beliebte Hoymiles-Wechselrichter mit ungesichertem Funk (sowohl HM- als auch HMS-Modelle ohne integriertes WLAN).
- Problem: Das Standard-Passwort besteht nur aus der Seriennummer und wird völlig unverschlüsselt übertragen.
- Auswirkung: Angreifer in Funkreichweite können Solaranlagen drosseln oder abschalten. Das Stromnetz ist als Ganzes jedoch nicht gefährdet.
- Status: Nationale Behörden sind seit Anfang 2026 informiert; eine flächendeckende, automatisierte Lösung fehlt bislang.
- Ausblick: Der Hersteller hat die Sicherheitslücke bestätigt und einen manuellen Firmware-Patch für Ende August angekündigt.
Der nicht dokumentierter Funk-Befehl verrät alles
Im Zentrum der kürzlich aufgedeckten Schwachstelle steht ein bisher unpubliziertes, nicht dokumentiertes Feature in der Firmware der Hoymiles-Mikrowechselrichter. Über einen simplen, per Funk abgesetzten Rundruf (Broadcast) lassen sich alle Geräte des Herstellers in der Umgebung lokalisieren.
Das Problem: Als Antwort auf diesen Ruf sendet der Wechselrichter seine individuelle Seriennummer völlig unverschlüsselt und mit voller Sendeleistung als Funksignal aus. Da das herstellerseitig voreingestellte Passwort zur Konfiguration und Steuerung des Geräts standardmäßig aus den letzten 8 Ziffern genau dieser Seriennummer besteht, kennen Angreifer damit sofort den geheimen Schlüssel.
Die für den Angriff notwendige Hardware ist kostengünstig und im freien Handel verfügbar. Laut Experten reichen einfache Elektronikbauteile sowie ein passendes Funkmodul für die gängigen Frequenzen 868 MHz oder 2,4 GHz aus, um die Anlage zu kontrollieren. Beim experimentellen „War-Walking“ – dem systematischen Abgehen von Wohngebieten – spürten Experten im Vorbeifahren Dutzende in Sekundenschnelle verwundbare Anlagen auf. Die Angriffshardware lässt sich zudem problemlos auf einer Drohne montieren, um eine größere Funkreichweite zu erzielen.
Betroffene Modelle: HM- und HMS-Serie im Visier
Die Schwachstelle betrifft entgegen ersten Vermutungen nicht nur vereinzelte Altgeräte, sondern auch die wichtigsten Produktlinien des Herstellers. Betroffen sind sowohl die ältere HM-Serie als auch die neuere HMS-Serie.
- Ältere HM-Serie: Diese Geräte kommunizieren auf der Frequenz 2,4 GHz (proprietäres Protokoll, kein Standard-WLAN) und sind in hunderttausenden älteren Balkonkraftwerken verbaut.
- Neuere HMS-Serie: Auch moderne Modelle (wie der beliebte HMS-600 oder HMS-800), die über die neuere Funkfrequenz 868 MHz laufen, nutzen exakt dasselbe unsichere Verfahren.
Wichtig zur Abgrenzung: Ausgenommen sind lediglich die Modellvarianten mit dem Suffix „-W“ (wie die HMS-W-Serie). Diese besitzen ein integriertes WLAN-Modul und nutzen für die Ersteinrichtung einen eigenen Hotspot, wodurch sie nicht über die hier beschriebenen Funkfrequenzen angreifbar sind.
Abschalten, Umkonfigurieren oder Zerstören
Sobald ein Angreifer das ausgelesene Passwort nutzt, stehen ihm eine Vielzahl an Manipulationsmöglichkeiten offen. Da die Authentifizierung über den Funkweg unzureichend abgesichert ist, lassen sich folgende Aktionen durchführen:
- Leistungsmanipulation: Die Einspeiseleistung der Solaranlage kann beliebig gedrosselt oder komplett abgeschaltet werden.
- Netzprofiländerungen: Angreifer können die länderspezifischen Netzprofile manipulieren, was im schlimmsten Fall zu einer Überspannung führen kann.
- Firmware-Manipulation: Da die Geräte Firmware-Updates per Funk ohne ausreichende kryptografische Absicherung akzeptieren, lässt sich die originale Steuersoftware überschreiben oder komplett löschen. Im Test der Forscher gelang es dadurch, einen Wechselrichter dauerhaft unbrauchbar zu machen (Software-Brick).
Für die Betreiber bedeutet dies im besten Fall einen unbemerkten Ertragsausfall, im schlimmsten Fall die physische Zerstörung der teuren Hardware.
Keine Gefahr für das Stromnetz, aber ein Problem für den Verbraucher
Nach Bekanntwerden der Sicherheitslücke kam schnell die Sorge auf, dass Cyberkriminelle durch massenhaftes, gleichzeitiges Abschalten von Mini-PV-Anlagen das deutsche oder europäische Stromnetz destabilisieren könnten. In Deutschland sind mittlerweile rund 1,4 Millionen Steckersolargeräte im Marktstammdatenregister registriert.
Die Auswertung der Daten gibt hier jedoch Entwarnung, denn selbst wenn zehntausende Balkonkraftwerke zeitgleich vom Netz getrennt würden, reicht die kumulierte Einspeiseleistung bei weitem nicht aus, um das europäische Verbundnetz in Bedrängnis zu bringen. Das Risiko ist somit kein systemisches Blackout-Szenario, sondern ein Verbraucherschutz- und Qualitätsproblem.
Hersteller ignoriert Problem: Das Dilemma mit den Updates
Nationale Behörden wie das CERT-Bund und die Bundesnetzagentur wurden bereits im Februar und März 2026 über das Problem informiert. Der chinesische Hersteller Hoymiles, der in Europa bei Mikrowechselrichtern einen Marktanteil von rund 20% hält, reagierte monatelang kaum oder zeigte Unverständnis. Laut Berichten von IT-Sicherheitsexperten stellte sich das Unternehmen bisher weitgehend taub, weshalb bis heute ein offizieller, flächendeckender Software-Patch fehlt.
Erst nach langem Schweigen signalisierte das Unternehmen, dass es an einem Software-Patch arbeite. Hier stoßen Betreiber jedoch auf ein infrastrukturelles Problem. Da Balkonkraftwerke in der Regel als reine Einspeisegeräte arbeiten und selten direkt permanent mit dem Internet verbunden sind, können Sicherheitsupdates nicht einfach im Hintergrund („Over-the-Air“) installiert werden. Verbraucher müssen die Firmware-Updates mühsam und manuell über herstellereigene Apps oder DTU-Steuereinheiten (Data Transfer Unit) aufspielen, sobald der Hersteller diese irgendwann bereitstellt.
Fehlende IT-Prüfnormen
Der Fall Hoymiles zeigt ein strukturelles Defizit beim schnellen Ausbau der dezentralen Energiewende. Bisherige Zertifizierungs- und Prüfverfahren für Wechselrichter konzentrieren sich fast ausschließlich auf die elektrische Sicherheit und die Netzverträglichkeit. Die Cybersicherheit der verbauten Funk- und IT-Komponenten wird von den aktuellen Prüfnormen schlichtweg ignoriert. Eine Anpassung verspricht hier erst der europäische Cyber Resilience Act (CRA), der ab 2027 verbindliche, gesetzliche Mindeststandards für die IT-Sicherheit von vernetzten IoT-Geräten und Einspeiseanlagen vorschreibt. Doch bis dahin sind Verbraucher im Grunde auf sich allein gestellt.
Als Sofortmaßnahme wird allen Besitzern eines betroffenen Hoymiles-Geräts empfohlen, in der originalen Steuereinheit (DTU) umgehend ein starkes, individuelles Passwort (oft als Diebstahlschutz-Passwort deklariert) zu setzen, um zumindest die einfachsten Angriffsvektoren über Standard-Werksschlüssel zu blockieren. Für technisch versierte Nutzer lohnt sich außerdem ein Blick auf etablierte Open-Source-Alternativen wie OpenDTU oder AhoyDTU, deren Entwickler-Communitys Sicherheitsaspekte oft transparenter handhaben.
Quellen / Weiterlesen
Blinkenlights mit Balkonsolar | Chaos Computer Club
Sicherheitslücke bei Hoymiles Wechselrichtern | Balkon Solar
Sicherheitsforscher decken erneut Sicherheitslücke bei Hoymiles-Wechselrichtern auf | Photon
Experten finden Sicherheitslücke: Jedes fünfte Balkonkraftwerk ist betroffen | CHIP
Balkonkraftwerk-Sicherheitslücke bei Hoymiles: Die eigentliche Schwachstelle sind die Prüfnormen | CleanThinking
Bildquelle: CCNull – Marco Verch


