PHOTOVOLTAIK · 07. JULI 2026
KI-generiert Balkonkraftwerk-Sicherheitslücke bei Hoymiles: Die eigentliche Schwachstelle sind die Prüfnormen
Rund 1,4 Millionen Balkonkraftwerke sind in Deutschland gemeldet, täglich kommen neue hinzu. Eine Recherche der ZEIT zeigt jetzt, wie leicht sich weit verbreitete Hoymiles-Wechselrichter per Funk fernsteuern und abschalten lassen. Der Befund ist ernst. Er weist über das einzelne Gerät hinaus auf eine Lücke in den Prüfnormen, die Cybersicherheit bislang gar nicht abfragen.
Anlass ist eine Recherche, die die ZEIT unter dem Titel „Hier steckt die Schwachstelle der Energiewende" veröffentlicht hat. Ein Sicherheitsforscher, der unter dem Namen Hunz für den Chaos Computer Club (CCC) arbeitet, spürte demnach in einem Augsburger Wohnviertel binnen einer Stunde 42 Balkonkraftwerke auf, deren Wechselrichter offen für Funkbefehle von außen waren. Bei einer Anlage, deren Eigentümer zugestimmt hatten, schaltete er das Gerät per Fernzugriff ab.
Die betroffenen Geräte stammen vom chinesischen Hersteller Hoymiles, Modelle der HM-Serie. Dass sie sich fremdsteuern lassen, liegt an einer Nachlässigkeit bei der IT-Sicherheit. Die eigentliche Balkonkraftwerk-Sicherheitslücke reicht aber weiter: Die Normen, die diese Geräte in Deutschland prüfen und zertifizieren, kennen das Wort Cybersicherheit bis heute nicht.
Ein Gerät kann jeden Prüfstempel tragen und trotzdem per Funk abschaltbar sein.
Ein Passwort, das die Anlage selbst verrät
Die Balkonkraftwerk-Sicherheitslücke ist technisch schlicht. Das Passwort für den Funkzugriff auf die Hoymiles-Wechselrichter besteht aus den letzten acht Stellen der Seriennummer. Auf ein einfaches Funksignal hin sendet die Anlage diese Seriennummer unverschlüsselt zurück. Wer mit einem passenden Funkgerät in der Nähe steht, bekommt das Passwort damit frei Haus geliefert.
Das Funkprotokoll ist öffentlich dokumentiert, ein Empfänger lässt sich für wenig Geld zusammenlöten. Wer das kombiniert, kann Anlagen abschalten, neu starten oder mit manipulierten Netzparametern füttern. Der CCC hat den Fund im technischen Bericht seines Forschers mit Funk-Logs von Mitte März belegt und an das Bundesamt für Sicherheit in der Informationstechnik sowie an Hoymiles gemeldet.
Reagiert hat der Hersteller lange nicht. Der CCC kontaktierte Hoymiles ab Februar, ebenso das BSI, ebenso die ZEIT-Rechercheure, jeweils ohne Antwort. Erst als sich das BSI an die chinesische Partnerbehörde CNCERT wandte, meldete sich Hoymiles Ende Juni: Die Mails seien „untergegangen„, man nehme die Sache „sehr ernst“ und mit „höchster Priorität".
Wenige Tage später kündigte der Hersteller eine aktualisierte Software mit stärkerer Verschlüsselung an, die Veröffentlichung sei für Mitte Oktober geplant.
Bis dahin bleibt das Problem beim Käufer. Viele kleine Anlagen sind gar nicht mit dem Internet verbunden und können deshalb kein Update empfangen, ihre Besitzer müssten erst eine Schnittstelle nachrüsten. Wie sie überhaupt erfahren sollen, dass ihr Gerät betroffen ist, bleibt offen. Ein halbes Jahr Schweigen, dann ein Update, das der Nutzer selbst einspielen muss: Das ist der Teil der Geschichte, an dem Hoymiles zu Recht in der Kritik steht.
Balkonkraftwerk-Sicherheitslücke: Warum das Netz davon nicht kippt
Im deutschen Marktstammdatenregister sind mittlerweile rund 1,4 Millionen Steckersolargeräte gemeldet. Die Sorge, jemand könne sie massenhaft abschalten und damit das Stromnetz destabilisieren, liegt nahe. Sie ist nach heutigem Stand unbegründet.
Selbst alle Balkonkraftwerke zusammengenommen haben zu wenig Leistung, um das Verbundnetz zu kippen. Das hält auch die ZEIT-Recherche ausdrücklich fest.
Das systemrelevante Risiko liegt woanders: bei großen Wechselrichtern im Utility-Maßstab, die ganze Solar- oder Windparks ans Netz anbinden. Genau dort sieht das BSI nach eigener Aussage „ein großes Risikopotenzial" und untersucht derzeit, wie viele der in Europa verbauten Geräte aus chinesischer Fertigung stammen. Diese Untersuchung ist berechtigt, nur eben am falschen Ort geführt: Balkonkraftwerke sind nicht die Anlagen, um die es dabei geht.
Auch der Reflex, aus der Herkunft des Herstellers die Ursache zu machen, trägt nicht. Sicherheitsforscher von Bitdefender fanden 2024 Schwachstellen im Verwaltungsportal Solarman, über das auch Deye-Wechselrichter gesteuert werden, ein Hersteller mit deutlich engerer Anbindung an den europäischen Markt. Das Problem ist ein Protokoll- und Normproblem der ganzen Branche, kein chinesisches.
Zwei Zerstörungen, nur eine davon bewiesen
Der CCC formuliert seinen Fund als Zerstörung. In der Pressemitteilung ist von Anlagen die Rede, die sich „dauerhaft physisch zerstören" ließen. Auch die ZEIT übernimmt das, allerdings im Konjunktiv: Hunz könne die Wechselrichter „auch zerstören, indem er sie gezielt überlastet" - er sei davon überzeugt. Überzeugung ist keine Demonstration.
Im eigenen technischen Bericht trennt sich, was gezeigt wurde, von dem, was behauptet wird. Belegt mit Logs ist die Manipulation der Netzeinstellungen per Funk und ein Firmware-Austausch ohne jede Authentifizierung, dafür reichen Seriennummer und eine simple Prüfsumme. Belegt ist auch das Löschen der Flash-Speicher: Danach ist das Gerät vollständig funktionsunfähig und nur noch reparierbar, wenn jemand das Gehäuse öffnet und es per JTAG-Schnittstelle neu programmiert. Das ist ernst zu nehmen, ein solches „Bricking“ legt ein Gerät für den Laien endgültig lahm.
Der Bericht benennt zudem ein Schädigungspotenzial jenseits davon: Wer die Firmware kontrolliert, kann auch die Ausgangsspannung des Wechselrichters manipulieren, was der Forscher selbst als Risiko für Sachschäden und Brände einordnet. Die konkrete Zerstörung durch gezielte Überlast hat er allerdings nach eigener Aussage nicht vorgeführt, ihm fehlte dafür ein geeignetes Test-Setup.
In einer Fußnote hält er sogar fest, dass ein naiver Überlastversuch den Wechselrichter wegen seiner eigenen Netzüberwachung wahrscheinlich nur abschalten würde, nicht zerstören. Die physische Zerstörung taucht im Bericht nur als theoretische Möglichkeit im Kapitel über mögliche Folgen auf. „Wechselrichter ruinieren durch Überladung? Wie soll das gehen? Das ist doch Quatsch", sagt etwa Holger Laudeley, der seit Jahren Balkonkraftwerke verkauft und seit dem Deye-Sicherheitsfall 2023 als sicherheitskritische Stimme in der Szene gilt.
Seine Zweifel decken sich mit einer Fußnote im CCC-Bericht, wonach die Netzüberwachung des Wechselrichters einen Überlastversuch abfangen und das Gerät bloß abschalten würde. Die Schutzschaltungen von Mikrowechselrichtern gegen Überstrom und Übertemperatur wirken in dieselbe Richtung.
Das ist kein Vorwurf an den CCC, der Fund selbst ist sorgfältig dokumentiert und das Bricking real. Es ist ein Hinweis darauf, dass die öffentliche Zuspitzung weiter reicht als das, was der technische Bericht belegt.
Normkonform heißt nicht cybersicher
Cleanthinking hat über Hoymiles schon einmal berichtet, damals fiel das Urteil positiver aus. 2023 geriet Konkurrent Deye in die Kritik, weil dessen Mikrowechselrichter ohne das in der Norm VDE-AR-N 4105 vorgeschriebene Kuppelschalter-Relais auf den Markt kamen und zudem Grenzwerte der elektromagnetischen Verträglichkeit rissen (mehr zum Deye-Fall). Ein Teardown der Geräte zeigte damals, dass Hoymiles das vorgeschriebene Relais verbaut und die Norm erfüllt hatte. Der Hersteller kam als der sauberere aus der Geschichte heraus (Hoymiles 2023 im Vergleich).
Drei Jahre später patzt derselbe Hersteller, der damals die Produktnormen erfüllte. Das ist der eigentliche Erkenntnisgewinn dieser Geschichte: VDE-AR-N 4105 prüft die Netzverträglichkeit. CE-Kennzeichnung und EMV-Normen prüfen elektrische und elektromagnetische Sicherheit. Keine dieser Prüfungen fragt danach, ob sich das Gerät per Funk kapern lässt.
Ein Wechselrichter kann jede dieser Prüfungen bestehen und trotzdem ein offenes Scheunentor für Funkbefehle sein, weil niemand im Zertifizierungsprozess danach gesucht hat. Diese Lücke ist strukturell, sie betrifft nicht nur Hoymiles und nicht nur Balkonkraftwerke.
Das Muster reicht über Solar hinaus
Vernetzte Haustechnik hat dieses Problem generell, nicht nur der Wechselrichter am Balkon. Wärmepumpen mit Cloud-Anbindung, Smart-Home-Steuerungen, Ladestationen für E-Autos: Überall dort, wo ein Hersteller Funktion vor Absicherung stellt, entstehen dieselben offenen Flanken. Solar ist in dieser Geschichte der Aufhänger, weil hier gerade jemand genau hingeschaut hat. Die Ursache liegt in der Produktentwicklung der gesamten IoT-Branche, nicht im Energieträger.
Der CCC-Sprecher Dirk Engling bringt das größere Bild auf den Punkt: „Kritische Infrastruktur beginnt nicht erst bei großen Kraftwerken, sondern bereits im Vorgarten", sagt er und fordert ein Ende des „Wilden Westens" bei vernetzten Geräten. Der CCC verlangt, dass Geräte ohne digital signierte, authentifizierte Firmware-Updates künftig keinen Marktzugang mehr in der EU bekommen sollen.
Was jetzt kommt: der Cyber Resilience Act
Genau diese Forderung ist auf EU-Ebene bereits Gesetz, nur greift sie noch nicht scharf. Der Cyber Resilience Act ist seit Ende 2024 in Kraft, die Meldepflicht für aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle gilt ab September 2026. Die verbindliche Pflicht zu Security-by-Design und zu Sicherheitsupdates über die gesamte Produktlebensdauer greift erst ab Dezember 2027.
Hoymiles verstößt mit seinem unsignierten Firmware-Update also nicht gegen eine geltende CRA-Pflicht, die gibt es in dieser Form noch nicht. Der Hersteller ist einer der letzten Fälle vor dem scharfen Regime. Ab Ende 2027 wird genau das, was Hunz in Augsburg vorführte, ein Gesetzesverstoß und keine Grauzone mehr sein. Wer heute vernetzte Energietechnik verkauft, hat mit dieser Frist eine letzte Chance, Sicherheit von Anfang an einzubauen, statt sie später teuer nachzurüsten.
Lesen Sie auch: Vom Verbraucher zum Prosumer: Was ein Balkonkraftwerk wirklich bringt
Bis dahin bleibt die Community die Instanz, die solche Lücken aufdeckt. Der CCC hat mit seinem Fund genau die Funktion erfüllt, die Prüfnormen bislang nicht abdecken. Auch das freie Firmware-Projekt OpenDTU, das Hoymiles-Wechselrichter mit eigener, offener Software betreibt, arbeitet an einer verschlüsselten Alternative.
Bin ich betroffen, und was tun?
Betroffen sind Hoymiles-Mikrowechselrichter der HM-Serie, etwa HM-1000, HM-1200 und HM-1500, die über die herstellereigene Funkschnittstelle fernsteuerbar sind. Wer eine Anlage mit Hoymiles-Wechselrichter besitzt, kann beim Hersteller oder über den Fachbetrieb erfragen, ob das eigene Modell in der betroffenen Serie liegt.
Eine sichere Firmware mit stärkerer Verschlüsselung hat Hoymiles für Mitte Oktober angekündigt. Bis dahin bleibt als einzige Minimalhürde, ein individuelles Passwort für die Funkschnittstelle beziehungsweise die WLAN-Datenerfassung (DTU) zu setzen, sofern das Gerät das zulässt, statt beim Werksstandard zu bleiben. Anlagen ohne jede Internet- oder Funkanbindung sind von der Lücke nicht betroffen, sie lassen sich schlicht nicht per Funk erreichen.
Stand: 7. Juli 2026. Wir aktualisieren diesen Artikel, sobald Hoymiles die angekündigte Software veröffentlicht hat.
Die Energiewende scheitert nicht an einem Passwort
Ein Hersteller hat ein halbes Jahr lang Warnungen ignoriert und wälzt die Update-Last jetzt auf Laien ab, die ihre Anlage kaum je wieder anfassen. Das ist der berechtigte Vorwurf an Hoymiles. Die Lücke selbst belegt nicht, dass Balkonkraftwerke unsicher sind. Sie belegt, dass die Prüfnormen Cybersicherheit bislang schlicht nicht kennen.
Elektrische Sicherheit ist bei Solartechnik heute selbstverständlich, niemand käme auf die Idee, ein Gerät ohne CE-Zeichen zu kaufen. Cybersicherheit braucht dieselbe Selbstverständlichkeit, und der Cyber Resilience Act wird sie ab 2027 einfordern. Der Fall Hoymiles taugt nicht als Argument gegen Balkonsolar. Er ist die Aufgabe, eine gute Technik so zu bauen, dass sie diesen Namen auch verdient.
QUELLEN
- ZEIT ONLINE: Balkonkraftwerke: Hier steckt die Schwachstelle der Energiewende, 7. Juli 2026.
- Chaos Computer Club: Blinkenlights mit Balkonsolar, 6. Juli 2026.
- heise online: Balkonkraftwerke: Sicherheitslücken in Verwaltungsplattform Solarman entdeckt, 2024.