Security Analysis of Solar Microinverters
Security Analysis of Solar Microinverters
In 2024, the number of registered micro inverters used for so called "Balkonkraftwerke" doubled to around 780,000 [10]. Previous work has not addressed the cyber security of these devices in an academic way although this high number of micro inverters can have an impact on the electricity grid. Therefore, there is a high need for strong security of these devices. In this thesis, we analyze the cyber security of mi- croinverters of seven different manufacturers. We develop a structured procedure to analyse the cyber security of all the different models in the same way. We show that there is a high number of vulnerabilites in nearly all ecosystems by using a customized attacker model and a special test setup. We find vulnerabilites in the app, the devices, the backend and the communication inbetween. In addition, we define our procedure in order to report the vulnerabilites to the manufactur- ers, but more than half of the manufacturers do not respond at all to our reports. This thesis shows the different vulnerabilities and their possible impact on the security of personal data as well as the risk of device takeovers and of the compromisation of the backend.
Im Jahre 2024 hat sich die Anzahl der registrierten Mikrowechselrich- ter, im Kontext der so genannten Balkonkraftwerke, auf etwa 780.000 verdoppelt. Diese hohe Anzahl der Mikrowechselrichter kann einen Einfluss auf das Stromnetz haben, sodass die IT-Sicherheit dieser Geräte von großer Bedeutung ist. Dennoch wurde die Sicherheit die- ser Geräte im akademischen Umfeld bisher nicht untersucht. In der vorliegenden Arbeit analysieren wir daher die IT-Sicherheit von Mi- krowechselrichter Ökosystemen von sieben verschiedenen Herstellern. Der dazu von uns entwickelte Prozess beinhaltet ein zugeschnittenes Angreifermodell und ein spezielles Test Setup sowie ein strukturier- tes Vorgehen zur Meldung der gefundenen Schwachstellen an die Hersteller. Schwachstellen finden sich dabei sowohl in der App, im Gerät, im Backend und in der Kommunikation zwischen diesen. Diese Sicherheits-Schwachstellen haben Einfluss auf die Sicherheit persön- licher Daten und bergen teilweise das Risiko einer Übernahme der Geräte bzw. des Backends. Die Meldung an die Hersteller bietet die- sen die Möglichkeit, die IT-Sicherheit ihrer Ökosysteme zu erhöhen. Die Hälfte der Hersteller hat allerdings bis zur Abgabe dieser Arbeit keinerlei Reaktion gezeigt.

