Ungeschützt per Funk: Die Sicherheitslücken der Hoymiles-Wechselrichter
Mikrowechselrichter des chinesischen Herstellers Hoymiles lassen sich mit einem Funkmodul für wenige Euro aus mehreren hundert Metern erkennen, abschalten und dauerhaft unbrauchbar machen. Schuld ist ein proprietäres Funkprotokoll ohne jede Verschlüsselung. Ein Sicherheitsforscher hat die Angriffe an eigenen Geräten vorgeführt.
- Das Funkprotokoll der Hoymiles-Wechselrichter kennt keine Kryptografie: Als einzige Hürde dient die Seriennummer – und die verrät jeder Wechselrichter auf einen undokumentierten Rundruf hin unverschlüsselt.
- Betroffen sind die Serien HM, HMS und HMT ohne WLAN sowie baugleiche Geräte der Marken E-Star, Solenso und TSUN; die Funkreichweite reicht bis rund 350 Meter.
- Nach heutigem Recht ist das kein Verstoß: Die scharfen Pflichten des EU Cyber Resilience Act zu signierten Updates greifen erst ab Dezember 2027.
Wechselrichter wandeln den Gleichstrom von Solarmodulen in netzüblichen Wechselstrom um. Bei Balkon- und kleineren Dachsolaranlagen erledigen das meist Mikrowechselrichter, kompakte Geräte direkt am Modul. Hoymiles führt diesen Markt an und bedient nach eigenen Angaben rund 20 Prozent des europäischen Markts. In Deutschland sind derzeit etwa 1,4 Millionen Balkonkraftwerke gemeldet, ein erheblicher Teil davon mit Hoymiles-Technik. Genau diese Verbreitung macht die neuen Befunde brisant. Der Sicherheitsforscher Benedikt Heinz, in der Szene als „Hunz“ bekannt, hat die Lücken zusammen mit dem Chaos Computer Club (CCC) aufgedeckt und in zwei technischen Berichten beschrieben.
Wie funktioniert der Angriff?
Wechselrichter ohne WLAN steuert Hoymiles über ein eigenes „DTU-Protokoll“. DTU steht für Data Transfer Unit, das Funk-Gateway zwischen Gerät und Cloud. Bastler rund um die Open-Source-Projekte OpenDTU und AhoyDTU haben dieses Protokoll ab 2021 nachgebaut, um ihre Anlagen ohne Herstellercloud auszulesen. Dabei zeigte sich früh: Das Protokoll verschlüsselt nichts – weder Inhalt noch Integrität noch Echtheit.
Die einzige Hürde ist die Seriennummer, genauer deren letzte acht Stellen. Wer sie kennt, sendet Befehle. Das galt als unkritisch, weil man die Seriennummer fremder Anlagen normalerweise nicht kennt. Diese Annahme hat Hunz widerlegt. In der Firmware fand er einen undokumentierten Rundrufbefehl, intern „Gongfa“ genannt. Auf diesen Rundruf antwortet jeder erreichbare Wechselrichter mit seiner Seriennummer im Klartext – die vermeintlich geheime Hürde kommt frei Haus.
Die HM-Serie funkt auf 2,4 GHz, die Serien HMS und HMT auf 868 MHz. Die Reichweite ist erheblich. Laut Bericht empfing Hunz Antworten über rund 350 Meter, mit einem handelsüblichen 2,4-GHz-Modul und 100 Milliwatt Sendeleistung. Bei einem eigenen Testlauf fand sein selbstgebauter Scanner binnen 20 Minuten 24 fremde Wechselrichter samt Seriennummer. Für ein Wohnviertel in Augsburg nennt das Fachportal cleanthinking unter Berufung auf eine Recherche der Wochenzeitung „Die Zeit“ 42 offene Anlagen innerhalb einer Stunde. Wer die Angriffshardware klein baut, könnte sie sogar auf eine Drohne schrauben.
Was können Angreifer konkret anrichten?
Mit der Seriennummer lässt sich ein Wechselrichter ein- und ausschalten und seine Leistung verstellen. Schwerer wiegen zwei Befunde aus dem zweiten Bericht: Auch das Netzprofil und die Firmware lassen sich über Funk ändern. Das Netzprofil (Grid Profile) legt fest, wie das Gerät einspeist – Spannungs- und Frequenzgrenzen und den Inselschutz. Der Inselschutz trennt die Einspeisung, sobald das öffentliche Netz ausfällt, und schützt so etwa Servicepersonal an vermeintlich toten Leitungen. Hunz konnte dieses Profil ändern: Das Protokoll sichert es nur mit einer Prüfsumme (CRC) gegen Übertragungsfehler, nicht mit einer Signatur gegen Absicht.
Ein Angreifer verändert das Profil und rechnet die Prüfsumme einfach neu. Noch weiter reicht der Firmware-Angriff. Firmware-Updates akzeptiert der Wechselrichter über Funk ohne zusätzliche Authentifizierung, allein anhand der Seriennummer. Hunz spielte an seinem Testgerät eine eigene Firmware auf, die Relais und Leuchtdioden im Dauertakt schaltete. Er löschte zudem Speicherbereiche gezielt, bis hin zum Bootloader, dem Startprogramm des Geräts. Danach lief der Wechselrichter nicht mehr und ließ sich nur durch Öffnen des Gehäuses und Neubeschreiben per JTAG-Schnittstelle retten. Hier lohnt Präzision.
Das dauerhafte Unbrauchbarmachen durch Löschen des Speichers hat Hunz an seinem eigenen Gerät vorgeführt; dieses Bricking ist belegt. Die physische Zerstörung durch elektrische Überlast dagegen führt der Bericht nur als theoretische Folge auf – eine Fußnote darin räumt sogar ein, dass die Netzüberwachung des Wechselrichters einen Überlastversuch abfangen und das Gerät schlicht abschalten dürfte.
Welche Geräte sind betroffen – und wie viele?
Getestet hat Hunz stellvertretend die Modelle HM-400 und HMS-600. Als verwundbar listet er die Serien HM, HMS und HMT in ihren Leistungsklassen; auf mehrere Modell-IDs erhielt er im Test eine Antwort. Da viele Geräte dieselbe Kennung teilen, geht er von breiter Betroffenheit aus. Wichtig für Käufer: Hoymiles-Technik steckt auch in fremden Marken. Hunz nennt die Handelsnamen E-Star (für die HERF-Modelle), Solenso und TSUN. Wer ein solches Gerät betreibt, kann betroffen sein, ohne den Namen Hoymiles je gelesen zu haben. Neuere Geräte mit WLAN- und Bluetooth-Anbindung samt Passwort sind nach bisherigem Stand nicht auf dieselbe Weise angreifbar; ob sie zusätzliche Schutzmechanismen enthalten, konnte der Forscher nicht abschließend klären. Wie viele der gemeldeten Balkonkraftwerke verwundbare Hoymiles-Geräte sind, lässt sich nicht beziffern.
Wie reagieren Hersteller und Behörden?
Der Offenlegungsprozess zog sich. Hunz’ erster Anruf bei Hoymiles Deutschland scheiterte; ein Rückruf kam zwar zustande, doch die Erklärung des Problems misslang auf Deutsch wie Englisch. Mitte März 2026 folgte die formale Meldung an Hoymiles, CERT-Bund und Bundesnetzagentur. Wie haus-garten-test und cleanthinking übereinstimmend unter Berufung auf die ZEIT-Recherche berichten, kontaktierten CCC und BSI den Hersteller ab Februar – ohne Antwort.
Erst als das BSI die chinesische Partnerbehörde CNCERT einschaltete, meldete sich Hoymiles Ende Juni; die Mails seien untergegangen. Da hatte der CCC die Lücken bereits öffentlich gemacht und verbindliche Mindeststandards für die IT-Sicherheit von Einspeisegeräten gefordert. Die Aufsichtsbehörden bewerten das Netzrisiko zurückhaltend: Ein koordiniertes Abschalten vieler Anlagen könnten die Netzbetreiber auffangen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die Sache kritischer: Ein Sprecher sprach von einem „großen Risikopotenzial“ bei Wechselrichtern chinesischer Hersteller. Hunz selbst enthält sich einer Bewertung des Netzrisikos – dafür fehle ihm der Überblick; das müssten Behörden und Netzbetreiber leisten. Es ist nicht das erste Mal, dass Hoymiles auffällt: Schon 2023 klaffte eine Lücke in der S-Miles-Cloud des Herstellers, die nach Bekanntwerden geschlossen wurde.
Was bringt der angekündigte Patch – und was nicht?
Für Mitte Oktober hat Hoymiles ein Update angekündigt. Belastbar ist der Stand nur eingeschränkt: Eine offizielle Sicherheitsadvisory mit Bezug zu den Schwachstellen fehlt. In einem Community-Forum zitieren Entwickler eine Hoymiles-interne Ankündigung, wonach eine neue Firmware es OpenDTU unmöglich machen soll, die Wechselrichter zu manipulieren. Dort ist von September die Rede – im Widerspruch zum Oktober-Termin der Medien.
Zwei Dinge fallen auf. Erstens zielt die Ankündigung zuerst auf die Sperre von Drittsoftware, nicht auf den Schutz des Kunden. Zweitens ordnet die Community ein, die Verschlüsselung betreffe womöglich nur die WLAN-Modelle, das reine Auslesen bleibe unverschlüsselt, und ausgerollt werde das Update über eine Cloud-Anbindung. Beides ist Einschätzung aus einem Forum, keine bestätigte Herstellerangabe.
Sollte es zutreffen, bliebe die verwundbare Klasse – funkbasierte Geräte ohne WLAN und Cloud – teils außen vor, und die Verteilung hinge an einer Anbindung, die viele Betreiber bewusst meiden. Einen robusten Kurzfix für das Firmware-Problem hält Hunz ohnehin für unrealistisch; nötig seien digitale Signaturen auf Basis von Public-Key-Kryptografie und eine physische Bestätigung durch den Besitzer vor jedem Update. Der Rundrufbefehl lässt sich kurzfristig entfernen, das unauthentifizierte Aufspielen von Firmware nicht.
Was der Fall über die Regulierung verrät
Bemerkenswert: Mit dem unsignierten Funk-Update verstößt Hoymiles gegen keine geltende Pflicht. Der EU Cyber Resilience Act (CRA), das europäische Gesetz für die Cybersicherheit vernetzter Produkte, gilt zwar seit Ende 2024. Doch die Meldepflicht für aktiv ausgenutzte Schwachstellen greift erst ab September 2026, die Pflicht zu Security-by-Design und zu Updates über die gesamte Produktlebensdauer sogar erst ab Dezember 2027. Was Hunz vorgeführt hat, wäre ab Ende 2027 ein Gesetzesverstoß – heute ist es eine Grauzone.
Was Betreiber jetzt tun können
Eine vollständige Absicherung gibt es bis zu einer neuen Firmware nicht. Sinnvoll sind dennoch mehrere Schritte. Wer eine originale Hoymiles-DTU nutzt, sollte umgehend ein eigenes Passwort setzen. Das verhindert vor allem, dass ein Angreifer selbst ein Passwort vergibt und den Besitzer aussperrt; gegen fremde Firmware hilft es nach aktuellem Stand nicht. Wer OpenDTU oder AhoyDTU einsetzt, erhöht das Abfrageintervall drastisch – auf 15 Minuten bis mehrere Stunden – und verkleinert so die Angriffsfläche. Die einzige sichere Maßnahme bleibt, die Solarmodule vom Wechselrichter zu trennen, denn das Gerät versorgt sich aus deren Gleichstrom selbst.
Fazit
Der Fall Hoymiles ist kein Argument gegen Balkonsolar und keine Frage des Herkunftslands. Er zeigt eine Lücke zwischen bestehendem Recht und scharfem Vollzug: Ein Massenprodukt speist ins öffentliche Netz ein, ohne Grundlagen wie signierte Updates – und das ist bis Ende 2027 legal. Ob der angekündigte Patch die eigentliche Schwachstelle schließt oder vor allem Open-Source-Projekte aussperrt, bleibt offen. Damit wird der Fall zum Testlauf dafür, ob der Cyber Resilience Act hält, was er verspricht.
Betroffen sind laut den Sicherheitsforschern die Serien HM, HMS und HMT ohne WLAN sowie baugleiche Geräte unter den Marken E-Star, Solenso und TSUN. Das eigene Modell lässt sich über die Hersteller-App oder den Aufdruck am Gerät prüfen. Neuere Geräte mit WLAN- und Bluetooth-Anbindung samt Passwort sind nach bisherigem Kenntnisstand nicht auf dieselbe Weise angreifbar.
Wer eine originale Hoymiles-DTU nutzt, sollte ein individuelles Passwort setzen; das schützt gegen ein Aussperren, nicht aber gegen das Aufspielen fremder Firmware. Bei OpenDTU oder AhoyDTU lässt sich das Abfrageintervall stark erhöhen, um die Angriffsfläche zu verringern. Die einzige definitive Maßnahme bis zu einer neuen Firmware ist, die Solarmodule vom Wechselrichter zu trennen.
Der Sicherheitsforscher konnte an seinem eigenen Testgerät den Bootloader löschen; danach war das Gerät nur noch durch Öffnen des Gehäuses und Neubeschreiben per JTAG reparierbar. Dieses Unbrauchbarmachen ist technisch belegt. Eine physische Zerstörung durch elektrische Überlast führt der Bericht dagegen nur als theoretische Möglichkeit auf.
Hoymiles hat ein Update angekündigt; genannt wurden September beziehungsweise Mitte Oktober, der Termin ist also unscharf. Eine offizielle Sicherheitsadvisory des Herstellers liegt nicht vor. Offen ist zudem, ob das Update auch die funkbasierten Geräte ohne WLAN und Cloud-Anbindung erreicht.
Die veröffentlichte Untersuchung bezieht sich auf Hoymiles und dessen baugleiche Marken E-Star, Solenso und TSUN. Für andere Hersteller wie Anker Solix liegt kein vergleichbarer öffentlicher Befund zu dieser Funk-Schwachstelle vor. Das bedeutet nicht, dass andere Systeme grundsätzlich sicher sind, sondern nur, dass sie nicht Teil dieser Untersuchung waren.











