ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Smart Home

Balkonkraftwerk: Deye-Wechselrichter erhalten Update gegen Lücke auto­matisch

Frank Hüber
126 Kommentare
Balkonkraftwerk: Deye-Wechselrichter erhalten Update gegen Lücke auto­matisch
Bild: fabersam

Die Mikro-Wechselrichter des Herstellers Deye, die in zahlreichen Balkonkraftwerken und in Deutschland auch beim Mini-PV-Angebot des Discounters Netto in Form des Wechselrichters SUN600G3-EU-230 mit 2 MPP-Trackern eingesetzt werden, weisen eine Sicherheitslücke auf, die bislang nur manuell per Update geschlossen werden konnte.

Zugang über Access-Point lässt sich nicht abschalten

Nun hat Deye jedoch angekündigt, das Firmware-Update automatisch auf allen Wechselrichtern einzuspielen, die mindestens 30 Minuten mit dem Internet verbunden sind. Die Sicherheitslücke in dem WLAN-Logger des Wechselrichters, der sich mit Servern von Solarman verbindet, um die Stromproduktion zu protokollieren, verhindert, dass Nutzer den eingebauten WLAN-Access-Point abschalten und den Standardschlüssel 12345678 ändern können. Zwar lässt sich in den Firmware-Versionen MW3_15U_5406_1.47 und MW3_15U_5406_1.471 der Schlüssel ändern, dauerhaft gespeichert wurde er jedoch nicht. Erst die Firmware MW3_16U_5406_1.53 schafft hier Abhilfe.

Update nicht mehr nur bei Support-Anfrage

Obwohl die Sicherheitslücke bereits seit Januar 2023 bekannt ist, erfolgte bislang keine automatische Auslieferung an mit dem Internet verbundene Wechselrichter, sondern Nutzer mussten das Firmware-Update per E-Mail bei Deye anfordern – eine Antwort dauerte dann mitunter 14 Tage. Seit einigen Tagen soll das Update nun jedoch automatisch aufgespielt werden. Es empfiehlt sich deshalb, den Wechselrichter, wenn er bislang nicht mit dem Internet verbunden ist, über ein Gast-WLAN zumindest zeitweise mit dem Internet zu verbinden und abzuwarten, bis das Firmware-Update automatisch eingespielt wurde. Welche Firmware-Version der Deye-Wechselrichter derzeit nutzt, kann in der Weboberfläche des Geräts oder die Solarman-Plattform im Browser eingesehen werden.

Update auch bei Offline-Betrieb nötig

Alle Besitzer eines Deye-Wechselrichters sollten das Update einspielen, auch wenn das Gerät nicht dauerhaft mit dem Internet verbunden ist, da sich andere Personen in der Nähe jederzeit über den Access-Point einloggen und so gegebenenfalls auch an die Zugangsdaten des WLANs des Nutzers gelangen können. Inzwischen hat die Sicherheitslücke in den Deye-Wechselrichtern die CVE-Nummer CVE-2023-0808 erhalten.

Auch die in Deutschland unter den Marken Bosswerk und Revolt verkauften Wechselrichter von Deye sind betroffen.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz