PV-Anlagen fernabschaltbar?

Post by Georg Schwarz
https://www.golem.de/news/energiewende-bsi-warnt-vor-fernabschaltung-von-pv-anlagen-aus-china-2501-192572.html
wird über die Fernabschaltfähigkeit von PV-Anlagen geschrieben.
Wie wird der Fernzugriff auf diese Anlagen eigentlich authentisiert und
autorisiert?

In der Firmware fest eingetragene Passworte. Übliches Verfahren. Wenns
auffliegt, wirds dann immer gerne mit vergessenen Codes aus der
Entwicklungszeit "erklärt".

Post by Georg Schwarz
Trifft es i.a. zu, dass Hersteller PV-Anlagen abschalten könnten, haben
sie Fernzugriffsschnittstellen oder werden dort automatisch
Softwareupdates von ihnen eingespielt (über die sie natürlich jegliche
Funktionalität nachrüsten könnten oder die Anlage direkt bricken)?

Alles ist möglich.

--
bis denne

Georg Schwarz

2025-02-02 00:38:06 UTC

Post by Ruediger Lahl
In der Firmware fest eingetragene Passworte. Übliches Verfahren. Wenns
auffliegt, wirds dann immer gerne mit vergessenen Codes aus der
Entwicklungszeit "erklärt".

Was? Nur Passwort? Kann jeder nutzen, der es kennt/herausbekommt?
Nicht wenigstens über Public-Private-Key abgesichert, dass man
Exklusivität hat beim Ausnutzen?

Arno Welzel

2025-02-02 08:52:56 UTC

Post by Georg Schwarz

Post by Ruediger Lahl
In der Firmware fest eingetragene Passworte. Übliches Verfahren. Wenns
auffliegt, wirds dann immer gerne mit vergessenen Codes aus der
Entwicklungszeit "erklärt".

Was? Nur Passwort? Kann jeder nutzen, der es kennt/herausbekommt?
Nicht wenigstens über Public-Private-Key abgesichert, dass man
Exklusivität hat beim Ausnutzen?

Nein, wozu? Solange der Hersteller mit dem Mist durchkommt, wird es tun.
Zulassungsvorschriften, bei denen sowas geprüft wird und der Verkauf
ggf. verboten wird, gibt es meines Wissens nach nicht.

--
Arno Welzel
https://arnowelzel.de

Alexander Schreiber

2025-02-02 13:01:28 UTC

Post by Georg Schwarz

Post by Ruediger Lahl
In der Firmware fest eingetragene Passworte. Übliches Verfahren. Wenns
auffliegt, wirds dann immer gerne mit vergessenen Codes aus der
Entwicklungszeit "erklärt".

Was? Nur Passwort? Kann jeder nutzen, der es kennt/herausbekommt?
Nicht wenigstens über Public-Private-Key abgesichert, dass man
Exklusivität hat beim Ausnutzen?

Hartkodierte Passworte für den Admin-Zugang übers Netzwerk sind nunmal
der Industriestandard. Ist einfacher so. Hin und wieder fliegt das
mal auf und es wird versprochen, das Gewisslich Nie Wieder Zu Tun(TM),
bis es halt beim nächsten Mal mit einer anderen Username/Passwort Kombi
auffliegt. Solange sich die Konsequenzen für Hersteller und Lieferant
auf ein bisschen öffentliches Fingerzeigen (was in .de gerne mit einer
Klage wegen bösem Hackerangriff und "erheblicher krimineller Energie"[0][1]
beanwortet wird) beschränkt und es keine empfindlichen finanziellen
Konsequenzen hat, wird das auch so bleiben.

Man liest sich,
Alex.
[0] Leider kein Witz. Bei Herstellern/Lieferanten/Hostern/etc in .de
Sicherheitslücken zu melden wird gerne mit Klage beantwortet.
Also still lachen, auf keinen Fall melden und ggf. unter der
Hand gewinnbringend verkaufen - die wollen das so.
[1] Das Verbot der "bösen Hackertoolz!" zahlt nach wie vor Dividende ...

--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison

Ralph Aichinger

2025-02-02 08:58:14 UTC

Post by Ruediger Lahl
In der Firmware fest eingetragene Passworte. Übliches Verfahren. Wenns
auffliegt, wirds dann immer gerne mit vergessenen Codes aus der
Entwicklungszeit "erklärt".

Das glaube ich weniger. Die üblichen Chinesischen Cloudprodukte haben
schon einigermaßen aktuelle, und auch adäquate, Protokolle, z.B. MQTT.

Ändert halt nix dran, dass derjenige dem das Cloud-Backend gehört
de facto kontrollieren kann, was mit dem Wechselrichter passiert
(soferne er nicht vom Internet isoliert ist).

Und ich hab keinen Zweifel, dass wenn der freundliche chinesische
Regierungsbeamte höflich beim IoT-Cloud betreiber anklopft, weil er
mal schnell alle Wechselrichter vom Typ XY abdrehen will, aus ähnlichen
Motiven wie Russen Öltanker Anker über Kabel ziehen lassen, der dann
kaum eine andere Möglichkeit hat, als "Ja" zu sagen.

/ralph

Ralph Aichinger

2025-02-02 00:26:53 UTC

Post by Georg Schwarz
In
https://www.golem.de/news/energiewende-bsi-warnt-vor-fernabschaltung-von-pv-anlagen-aus-china-2501-192572.html
wird über die Fernabschaltfähigkeit von PV-Anlagen geschrieben.
Wie wird der Fernzugriff auf diese Anlagen eigentlich authentisiert und
autorisiert?

Wird wohl änlich laufen wie bei vielen anderen IoT/SmartHome-Sachen
aus China: Man scannt irgendeinen QR-Code mit dem Handy, das per WLAN
den Wechselrichter konfiguriert, der verbindet sich per Internet zu
irgendeiner Cloud (AWS, oder was chinesisches, wie auch immer), und von
dort Kann der Hersteller natürlich alles mögliche machen, was er in der
Firmware vorsieht, vermutlich typischerweise auch abschalten.

Post by Georg Schwarz
Trifft es i.a. zu, dass Hersteller PV-Anlagen abschalten könnten, haben
sie Fernzugriffsschnittstellen oder werden dort automatisch

Vermutlich ja. Fernzugriffschnittstellen über ein Verbindung dieser
Geräte in die Cloud, über die man dann natürlich auch umgekehrt auf den
Wechselrichter zugreifen kann.

Post by Georg Schwarz
Softwareupdates von ihnen eingespielt (über die sie natürlich jegliche
Funktionalität nachrüsten könnten oder die Anlage direkt bricken)?

Ja, denk schon. Ist bei den billigen Funksteckdosen für ein paar Euro
das gleiche.

/ralph

Georg Schwarz

2025-02-02 00:38:04 UTC

Post by Ralph Aichinger
Wird wohl änlich laufen wie bei vielen anderen IoT/SmartHome-Sachen
aus China: Man scannt irgendeinen QR-Code mit dem Handy, das per WLAN

das Scannen eines QR-Codes dienst hier wohl nur dem Einlesen einer
Konfiguration, ist als Prozess also nicht wirklich relevant für die
Frage hier.

Post by Ralph Aichinger
den Wechselrichter konfiguriert, der verbindet sich per Internet zu
irgendeiner Cloud (AWS, oder was chinesisches, wie auch immer), und von
dort Kann der Hersteller natürlich alles mögliche machen, was er in der
Firmware vorsieht, vermutlich typischerweise auch abschalten.

das ist genau die Frage. Nur weil ein Gerät (hier Wechselrichter) sich
mit einem Cloud-System verbindet, heißt das nicht zwingend, dass er von
außen bzw. darüber manipulierbar ist. Das hängt eben von der
software/Firmware ab. Es wäre z.B. denkbar, dass nur Daten in die Cloud
geschrieben werden.

Post by Georg Schwarz
Trifft es i.a. zu, dass Hersteller PV-Anlagen abschalten könnten, haben
sie Fernzugriffsschnittstellen oder werden dort automatisch

Vermutlich ja. Fernzugriffschnittstellen über ein Verbindung dieser
Geräte in die Cloud, über die man dann natürlich auch umgekehrt auf den
Wechselrichter zugreifen kann.

wenn es so gestaltet ist.

Post by Georg Schwarz
Softwareupdates von ihnen eingespielt (über die sie natürlich jegliche
Funktionalität nachrüsten könnten oder die Anlage direkt bricken)?

Ja, denk schon. Ist bei den billigen Funksteckdosen für ein paar Euro
das gleiche.

na wie praktisch, dann muss man ja gar keinen Tanker mehr in die Ostsee
schicken, um dort mühsam mit dem Anker nach einem Unterseekabel zu
fischen. Da kann man viel bequemer und zielgerichteter (und
großflächigerer) bei Bedarf ausknipsen.
Auch kommerziell interessant. Dagegen wären Verschlüsselungstrojaner
echt oldschool.

Marcel Mueller

2025-02-02 01:53:33 UTC

Post by Georg Schwarz
das ist genau die Frage. Nur weil ein Gerät (hier Wechselrichter) sich
mit einem Cloud-System verbindet, heißt das nicht zwingend, dass er von
außen bzw. darüber manipulierbar ist. Das hängt eben von der
software/Firmware ab. Es wäre z.B. denkbar, dass nur Daten in die Cloud
geschrieben werden.

Da du die Software aber nichts kennst, kann sie jede beliebige Funktion
haben. Sie könnte z.B. dein Heimnetz ausspähen (wenn du sie lässt), oder
(wahrscheinlicher) einfach nur Sicherheitslücken aufweisen.
Ich packe so Geraffel immer ins Gast-WLAN.

Post by Georg Schwarz

Post by Ralph Aichinger
Ja, denk schon. Ist bei den billigen Funksteckdosen für ein paar Euro
das gleiche.

Nicht unbedingt. Eine Funksteckdose sollte keinen Internetzugang haben -
wozu auch?

Post by Georg Schwarz
na wie praktisch, dann muss man ja gar keinen Tanker mehr in die Ostsee
schicken, um dort mühsam mit dem Anker nach einem Unterseekabel zu
fischen. Da kann man viel bequemer und zielgerichteter (und
großflächigerer) bei Bedarf ausknipsen.
Auch kommerziell interessant. Dagegen wären Verschlüsselungstrojaner
echt oldschool.

Angriffe auf Analgen sind keineswegs neu. Siehe z.B. Stuxnet.

Marcel

Ralph Aichinger

2025-02-02 07:29:10 UTC

Post by Marcel Mueller
Nicht unbedingt. Eine Funksteckdose sollte keinen Internetzugang haben -
wozu auch?

Zur Konfiguration und Erreichbarkeit aus dem Internet/vom Handy.

https://www.espforbeginners.com/guides/home-automation-tuya/

Vermutlich sind so 90% der Steckdosen und anderen Smart-Home-Devices
auf Amazon, die teuren Markenprodukte ausgenommen, Tuya-basiert.

Ja, es gibt auch noch die altert??mlichen aus den 1980er-Jahren, aber
die sterben langsam aus, und haben halt keinerlei sinnvolle
Fernsteuerbarkeit vom Computer weg.

/ralph

Marcel Mueller

2025-02-02 16:18:24 UTC

Post by Marcel Mueller
Nicht unbedingt. Eine Funksteckdose sollte keinen Internetzugang haben -
wozu auch?

Zur Konfiguration und Erreichbarkeit aus dem Internet/vom Handy.
https://www.espforbeginners.com/guides/home-automation-tuya/
Vermutlich sind so 90% der Steckdosen und anderen Smart-Home-Devices
auf Amazon, die teuren Markenprodukte ausgenommen, Tuya-basiert.
Ja, es gibt auch noch die altert??mlichen aus den 1980er-Jahren, aber
die sterben langsam aus, und haben halt keinerlei sinnvolle
Fernsteuerbarkeit vom Computer weg.

Eigentümlich. Wer braucht eine Steckdose, die ohne Internetverbindung
nicht funktioniert?

Ich meine, dass die Heizung ohne Strom nicht läuft, ist klar. Aber wenn
jetzt auch noch der Strom ausfällt bzw. die Schalter nicht mehr
funktionieren, wenn das Internet vom Provider mal hustet, finde ich
befremdlich.

Marcel

Ralph Aichinger

2025-02-02 16:38:51 UTC

Post by Marcel Mueller
Eigentümlich. Wer braucht eine Steckdose, die ohne Internetverbindung
nicht funktioniert?

Es geht nicht um "ohne Internetverbindung nicht funktioniert", sondern
darum, dass ohne Cloud der Durchschnittsuser dank NAT das einfach von
extern nicht am Handy konfiguriert kriegt.

Post by Marcel Mueller
Ich meine, dass die Heizung ohne Strom nicht läuft, ist klar. Aber wenn
jetzt auch noch der Strom ausfällt bzw. die Schalter nicht mehr
funktionieren, wenn das Internet vom Provider mal hustet, finde ich
befremdlich.

Damit steuert man keinen Kühlkreislauf fürs Atomkraftwerk, sondern eher
die Weihnachtsbeleuchtung.

/ralph

Thomas Einzel

2025-02-02 23:23:34 UTC

Post by Marcel Mueller
Nicht unbedingt. Eine Funksteckdose sollte keinen Internetzugang haben -
wozu auch?

Zur Konfiguration und Erreichbarkeit aus dem Internet/vom Handy.
https://www.espforbeginners.com/guides/home-automation-tuya/
Vermutlich sind so 90% der Steckdosen und anderen Smart-Home-Devices
auf Amazon, die teuren Markenprodukte ausgenommen, Tuya-basiert.
Ja, es gibt auch noch die altert??mlichen aus den 1980er-Jahren, aber
die sterben langsam aus, und haben halt keinerlei sinnvolle
Fernsteuerbarkeit vom Computer weg.

Eigentümlich. Wer braucht eine Steckdose, die ohne Internetverbindung
nicht funktioniert?

Keiner. Aber die recht gebräuchlichen Shellys funktionieren, wenn man
das möchte, out of the box lokal (via Webbrowser oder manche auch mit
Taster am Gerät) und via Internet. Man kann auch ohne die prinzipielle
Funktion einzubüßen eine der beiden Varianten weglassen.

Da kann man Leute fragen, die wissen wie man so etwas realisiert ohne
derartige Schwachstellen mit einzubauen, du und ich gehören dazu,
Heizungsbauer z.B. eher seltener.

--
Thomas

Wendelin Uez

2025-02-03 16:42:11 UTC

Post by Marcel Mueller
Eigentümlich. Wer braucht eine Steckdose, die ohne Internetverbindung
nicht funktioniert?

Die Steckdosen werden über WLAN an den Router gebunden, und der Router
verbindet sie mit dem Internet. Kann man vielleicht verhindern, aber dann
ist ein mehr oder weniger wichtiger Teil der Funktionalität, nämlich
Steuerung aus der Ferne, halt weg.

Schön wäre es, wenn die Funksteckdose über Internet nur mit einem
konfigurerten Gerät, dem Besitzer-Smartphone, übers Internet kommunizieren
dürfte, aber das müsste der Router kontrollieren, und eine FritzBox z.B.
dürfte das nicht können.

Marc Haber

2025-02-04 09:06:47 UTC

Post by Wendelin Uez
Schön wäre es, wenn die Funksteckdose über Internet nur mit einem
konfigurerten Gerät, dem Besitzer-Smartphone, übers Internet kommunizieren
dürfte, aber das müsste der Router kontrollieren, und eine FritzBox z.B.
dürfte das nicht können.

Mit IPv6 würde das gehen. Mit IPv4 nicht, dazu haben wir seit 30
Jahren nicht mehr genug Adressen.

Aber eigentlich will man solche Geräte auch eher in einer
kontrollierten Umgebung haben, d.h. das Besitzer-Smartphone sollte
einen VPN-Tunnel haben.

Grüße
Marc

Ralph Aichinger

2025-02-04 09:56:35 UTC

Post by Marc Haber
Aber eigentlich will man solche Geräte auch eher in einer
kontrollierten Umgebung haben, d.h. das Besitzer-Smartphone sollte
einen VPN-Tunnel haben.

Das seh ich nicht so. Wobei ich auch nichts superlebenswichtiges
im "Smart Home" habe, d.h am meisten Schaden kann man vermutlich mit dem
Garagentor anrichten, wenn man es bösartigerweise bei offener Rückklappe
unseres Autos schließt ;)

Mein HA ist hinter einem nginx mit TLS gesichert, und ich vertraue auf
die Kompetenz der HA-Leute.

Hingegen finde ich es auf einem Privattelefon schon etwas mühevoll ein
VPN zu konfigurieren, das muß ich dann ja z.B. auch bei dem meiner Frau
machen.

/ralph

Ruediger Lahl

2025-02-04 10:04:42 UTC

Post by Ralph Aichinger
Hingegen finde ich es auf einem Privattelefon schon etwas mühevoll ein
VPN zu konfigurieren, das muß ich dann ja z.B. auch bei dem meiner Frau
machen.

Auf Telefonseite ist das beispielsweise mit einer Fritzbox und Wireguard
schnell erledigt und die FB richtet man dafür genau einmal ein.

https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/

--
bis denne

Ralph Aichinger

2025-02-04 12:58:08 UTC

Post by Ruediger Lahl
Auf Telefonseite ist das beispielsweise mit einer Fritzbox und Wireguard
schnell erledigt und die FB richtet man dafür genau einmal ein.

Wer will mit seinem Handy immer eine Fritzbox mitschleppen?

/ralph

Ruediger Lahl

2025-02-04 13:55:05 UTC

Post by Ruediger Lahl
Auf Telefonseite ist das beispielsweise mit einer Fritzbox und Wireguard
schnell erledigt und die FB richtet man dafür genau einmal ein.

Wer will mit seinem Handy immer eine Fritzbox mitschleppen?

Alter Sack! AVM bietet trendige shoulder straps für die effBEE. Aber nur
für die 75doubleX- und die pro-Series! 198 € das Stück. Must HAVE! Shop NOW!

--
bis denne

Arno Welzel

2025-02-05 10:13:35 UTC

Post by Ruediger Lahl
Auf Telefonseite ist das beispielsweise mit einer Fritzbox und Wireguard
schnell erledigt und die FB richtet man dafür genau einmal ein.

Wer will mit seinem Handy immer eine Fritzbox mitschleppen?

Wieso "mitschleppen"?

--
Arno Welzel
https://arnowelzel.de

Marc Haber

2025-02-04 11:52:51 UTC

Post by Marc Haber
Aber eigentlich will man solche Geräte auch eher in einer
kontrollierten Umgebung haben, d.h. das Besitzer-Smartphone sollte
einen VPN-Tunnel haben.

Ja, aber eine Chinasteckdose die vermutlich nur sehr sparsam
Softwareupdates erhält würde ich nicht ungeschützt im Internet haben
wollen.

Grüße
Marc

Ralph Aichinger

2025-02-04 13:16:47 UTC

Post by Marc Haber
Ja, aber eine Chinasteckdose die vermutlich nur sehr sparsam
Softwareupdates erhält würde ich nicht ungeschützt im Internet haben
wollen.

Klar, bei mir geht auch die Chinasteckdose nicht ins Internet, sondern
wenn man will über das "Application Layer Gateway" HomeAssistant ;)

/ralph -- und die Chinasteckdose ist meist aus Bulgarien

Arno Welzel

2025-02-05 10:14:34 UTC

Post by Marc Haber
Ja, aber eine Chinasteckdose die vermutlich nur sehr sparsam
Softwareupdates erhält würde ich nicht ungeschützt im Internet haben
wollen.

Klar, bei mir geht auch die Chinasteckdose nicht ins Internet, sondern
wenn man will über das "Application Layer Gateway" HomeAssistant ;)
/ralph -- und die Chinasteckdose ist meist aus Bulgarien

Oder sie benutzt Tasmota, was man selber compilieren und auf der
Steckdose installieren kann:

<https://arnowelzel.de/wlan-steckdose-mit-tasmota-delock-11827>

--
Arno Welzel
https://arnowelzel.de

Arno Welzel

2025-02-05 10:12:43 UTC

Post by Marc Haber
Aber eigentlich will man solche Geräte auch eher in einer
kontrollierten Umgebung haben, d.h. das Besitzer-Smartphone sollte
einen VPN-Tunnel haben.

Das seh ich nicht so. Wobei ich auch nichts superlebenswichtiges
im "Smart Home" habe, d.h am meisten Schaden kann man vermutlich mit dem
Garagentor anrichten, wenn man es bösartigerweise bei offener Rückklappe
unseres Autos schließt ;)
Mein HA ist hinter einem nginx mit TLS gesichert, und ich vertraue auf
die Kompetenz der HA-Leute.
Hingegen finde ich es auf einem Privattelefon schon etwas mühevoll ein
VPN zu konfigurieren, das muß ich dann ja z.B. auch bei dem meiner Frau
machen.

Wireguard mit der Fritz!Box ist aber nicht sehr mühevoll. Da genügt es,
in der Wireguard-App den QR-Code zu scannen, den die Fritz!Box einem
direkt anzeigt, wenn man eine neue Client-Verbindung anlegt. Und danach
kann man für das ein- und ausschalten der Verbindung direkt eine Kachel
in die Schnell-Einstellungen von Android legen, die man beim
herunterziehen der Benachrichtigungsleiste angezeigt bekommt.

--
Arno Welzel
https://arnowelzel.de

Ralph Aichinger

2025-02-05 12:07:04 UTC

Post by Arno Welzel
Wireguard mit der Fritz!Box ist aber nicht sehr mühevoll. Da genügt es,
in der Wireguard-App den QR-Code zu scannen, den die Fritz!Box einem
direkt anzeigt, wenn man eine neue Client-Verbindung anlegt.

Ich hab eh Wireguard auch auf meinem Router laufen, ich scheue eher die
Handyseitige Konfiguration. Das Bedürfnis vom Handy aus in mein Netzwerk
zu kommen hab ich auch sonst nicht.

Post by Arno Welzel
Und danach
kann man für das ein- und ausschalten der Verbindung direkt eine Kachel
in die Schnell-Einstellungen von Android legen, die man beim
herunterziehen der Benachrichtigungsleiste angezeigt bekommt.

Wenn ich übers Webinterface von HomeAssistant gehe brauche ich eben
clientseitig gar nix machen, und die IoT-Devices müssen auch dem
Internet nicht direkt ausgesetzt werden. Dafür hat man ja eine
vereinheitlichende Middleware wie Home Assistant.

Hat auch den Vorteil, dass Home Assistant eine gute Handyapp hat.

/ralph

Arno Welzel

2025-02-07 18:50:59 UTC

Ich hab eh Wireguard auch auf meinem Router laufen, ich scheue eher die
Handyseitige Konfiguration. Das Bedürfnis vom Handy aus in mein Netzwerk
zu kommen hab ich auch sonst nicht.

Ich schon - für HomeAssistant ;-).

Wenn ich übers Webinterface von HomeAssistant gehe brauche ich eben
clientseitig gar nix machen, und die IoT-Devices müssen auch dem
Internet nicht direkt ausgesetzt werden. Dafür hat man ja eine
vereinheitlichende Middleware wie Home Assistant.
Hat auch den Vorteil, dass Home Assistant eine gute Handyapp hat.

Und HomeAssistant ist bei Dir öffentlich erreichbar? Oder nutzt Du das
nur, wenn Du zu Hause bist?

--
Arno Welzel
https://arnowelzel.de

Ralph Aichinger

2025-02-07 18:54:46 UTC

Post by Arno Welzel
Und HomeAssistant ist bei Dir öffentlich erreichbar?

Ja,

http://ha.h5.or.at

/ralph

Thomas Einzel

2025-02-02 13:42:05 UTC

Natürlich. Allerdings sammelt sich im Laufe der Zeit im Gast (W)LAN
zahlreich viel wichtiges Geraffel - und das muss teilweise sogar
untereinander kommunizieren, weil sonst PV Überschussladen des Autos
genau sowenig funktioniert wie die Fernsteuerung der Shellys vom
Wechselrichter/Energiemanagementsystem, zukünftig kommt noch die
netzdienliche Steuerung nach §14a EnWG dazu, u.a. auch für jede neue
(seit 01.01.24) Wärmepumpe ab 4,2kW - auch wenn man keine PV hat.

Wenn man stückweise die Kommunikation zwischen den Geräten erlauben
kann, kann man auch Internetradios o.ä. von IoT Zeugs im Gastnetz "ein
bisschen" trennen, sonst wird alles noch schwieriger.
Die in der Regel besser gewarteten und "zugenagelten" Linux/Windows
PC/Server/mobilen Geräte tummeln sich dann im Clientnetz, aber die
Sicherheitsprobleme können so eher im (einzigen) Gastnetz entstehen.

Die Router(-Multifunktionsgeräte), die mehrere VLAN mit mehreren echten
DMZ ermöglichen, sind als Fertiggeräte eher selten und da im
(semi)Professionellen Bereich anzutreffen. Aber IMO sind sie bereits
heute im Privatbereich falls o.a. Gerätschaften da sind sinnvoll bis nötig.

--
Thomas

Marcel Mueller

2025-02-02 17:15:34 UTC

Post by Thomas Einzel

Post by Marcel Mueller
Da du die Software aber nichts kennst, kann sie jede beliebige
Funktion haben. Sie könnte z.B. dein Heimnetz ausspähen (wenn du sie
lässt), oder (wahrscheinlicher) einfach nur Sicherheitslücken aufweisen.
Ich packe so Geraffel immer ins Gast-WLAN.

Natürlich. Allerdings sammelt sich im Laufe der Zeit im Gast (W)LAN
zahlreich viel wichtiges Geraffel - und das muss teilweise sogar
untereinander kommunizieren,

Untereinander gibt's bei mir nicht.

Post by Thomas Einzel
weil sonst PV Überschussladen des Autos
genau sowenig funktioniert wie die Fernsteuerung der Shellys vom
Wechselrichter/Energiemanagementsystem, zukünftig kommt noch die
netzdienliche Steuerung nach §14a EnWG dazu, u.a. auch für jede neue
(seit 01.01.24) Wärmepumpe ab 4,2kW - auch wenn man keine PV hat.

Und wenn man kein Internet hat? Das soll bei älteren Leuten vorkommen,
und bei vermieteten Objekten indirekt auch.

Faktisch muss man demnächst wohl auch im Privathaushalt eine komplette
Netzwerkkonfiguration mit VLANs etc. machen, wenn man noch halbwegs
betriebssicher sein will.

Post by Thomas Einzel
Wenn man stückweise die Kommunikation zwischen den Geräten erlauben
kann, kann man auch Internetradios o.ä. von IoT Zeugs im Gastnetz "ein
bisschen" trennen, sonst wird alles noch schwieriger.

So Geraffel kommt mir gar nicht erst ins Haus. Das landet ja doch nur
auf dem Elektroschrott. Nach wenigen Jahren ist die Software veraltet
und kommt mit den dann üblichen Standards nicht mehr klar. Oder aber der
Hersteller hat die notwendige Cloud platt gemacht, z.B. weil der Laden
verkauft wurde. Von Sicherheitslücken und Datenschutzverstößen ganz zu
schweigen.

Internetradio spielt bei mir ein MPD auf einem Raspi. Da gibt es auch in
10 Jahren noch Updates. Falls verfügbar spiele ich damit aber lieber die
DVB-S Streams, die sind stabiler.

Post by Thomas Einzel
Die in der Regel besser gewarteten und "zugenagelten" Linux/Windows
PC/Server/mobilen Geräte tummeln sich dann im Clientnetz, aber die
Sicherheitsprobleme können so eher im (einzigen) Gastnetz entstehen.

Ja, auch mit Isolation kann man nicht verhindern, dass die Geräte früher
oder später Teil eines Botnetz werden.

Die neuen EU-Regeln zu Software-Updates helfen da auch nur bedingt. Die
sind ähnlich zum Glühlampenverbot primär ein Konjunkturprogramm, weil
die Geräte jetzt ein Haltbarkeitsdatum bekommen, jenseits dessen ein
weiterbetrieb fahrlässig ist. Und das könnte auch haftungsrechtliche
Aspekte auf den Plan bringen.

Post by Thomas Einzel
Die Router(-Multifunktionsgeräte), die mehrere VLAN mit mehreren echten
DMZ ermöglichen, sind als Fertiggeräte eher selten und da im
(semi)Professionellen Bereich anzutreffen.

Ack. Und die muss man ja auch erst mal konfigurieren können.

Kann natürlich sein, dass es da ähnlich wie bei Firewalls demnächst
automatische Standardkonfigurationen gibt, die für die einfachen Fälle
ausreichen.

Post by Thomas Einzel
Aber IMO sind sie bereits
heute im Privatbereich falls o.a. Gerätschaften da sind sinnvoll bis nötig.

Marcel

Thomas Einzel

2025-02-02 23:32:48 UTC

...

... zukünftig kommt noch die netzdienliche
Steuerung nach §14a EnWG dazu, u.a. auch für jede neue (seit 01.01.24)
Wärmepumpe ab 4,2kW - auch wenn man keine PV hat.

Und wenn man kein Internet hat? Das soll bei älteren Leuten vorkommen,
und bei vermieteten Objekten indirekt auch.

Vermutlich (weil wirklich genaueres wissen derzeit auch VNB und MSB nicht):

IMS (das hat dann irgendeine SIM, rate mal wer indirekt bezahlt) vom
Messstellenbetreiber, Smart Meter Gateway, Steuerbox und eine saftige
Rechnung vom Elektriker, der diese Schaltelektrik aus dem vergangenen
Jahrtausend einbaut. Der Maurer/Putzer und Maler schicken weitere
Rechungen wenn nicht alles mit Kanälen und Leerrohren ausgestattet ist.

Schau einfach ins EnWG, §14a.

--
Thomas

Ralph Aichinger

2025-02-03 06:08:51 UTC

Post by Thomas Einzel
Wechselrichter/Energiemanagementsystem, zukünftig kommt noch die
netzdienliche Steuerung nach §14a EnWG dazu, u.a. auch für jede neue
(seit 01.01.24) Wärmepumpe ab 4,2kW - auch wenn man keine PV hat.

Und wenn man kein Internet hat? Das soll bei älteren Leuten vorkommen,
und bei vermieteten Objekten indirekt auch.

Da gibt es ein paar Verfahren, z.B. Anbindung über die Stromleitung
selbst (PLC), ähnlich wie früher bei den Runsteuerempfängern für
Nachtstrom, oder über diverse dedizierte Funkprotokolle wie LoraWAN.

/ralph

Thomas Einzel

2025-02-03 10:24:05 UTC

Und wenn man kein Internet hat? Das soll bei älteren Leuten vorkommen,
und bei vermieteten Objekten indirekt auch.

LoraWAN uns andere ähnliche Verfahren größerer Reichweite mit niedriger
Übertragungsrate werden z.B. zur Ablesung von Wasserzählern von den
Versorgern genutzt.
Für Elektroenergie könnte man das auch für die sogenannten oder auch
modernen Meßeinrichtung nutzen. Für Abfrage und Steuerungsintervalle im
1/4h Takt der intelligenten Messsysteme sind sie nicht geeignet, da
fallen je "Antennenstandort" einfach zu große Datenmengen je 1/4h an -
so hörte ich.

Für PLC müsste an _jedem_ Niederspannungstrafo etwas gebaut werden und
PLC hat leichte, unschöne Nebeneffekte.

Ich hörte, dass das offenbar auf Mobilfunk hinausläuft, IIRC sogar wenn
der Kunde Internet hat und einen Transitweg kostenfrei anbietet. "Zu
unsicher im Betrieb".

Die "Messlokation" ist aber oft im Keller, gut von Stahlbeton umgeben.
Da hat LoraWAN und Mobilfunk Probleme. Wahrscheinlich alles
konzeptionell noch nicht ganz fertig betrachtet.

--
Thomas

Ralph Aichinger

2025-02-03 11:40:09 UTC

Post by Thomas Einzel
Für PLC müsste an _jedem_ Niederspannungstrafo etwas gebaut werden und
PLC hat leichte, unschöne Nebeneffekte.

Ich bin Funkamateur, ja, kenn ich.

Aber ich glaube in meinem Einzugsgebiet wird das per PLC gemacht.

https://www.linznetz.at/media/linz_netz_website/netz_dokumente/linznetz-faq-smartmeter.pdf

| Die Datenübertragung zwischen Zähler und
| Trafostation erfolgt ausschließlich mit der bewährten
| Powerline-Technologie („PLC“), das heißt die Daten
| werden direkt über die Starkstromnetzleitungen
| übertragen. Von der Trafostation zur Zentrale
| des Netzbetreibers erfolgt die Datenübertragung in der
| Regel über die eigene Glasfaser- und
| Kupferkabelinfrastruktur.

Post by Thomas Einzel
Ich hörte, dass das offenbar auf Mobilfunk hinausläuft, IIRC sogar wenn
der Kunde Internet hat und einen Transitweg kostenfrei anbietet. "Zu
unsicher im Betrieb".

Nicht notwendigerweise, siehe oben.

Post by Thomas Einzel
Die "Messlokation" ist aber oft im Keller, gut von Stahlbeton umgeben.
Da hat LoraWAN und Mobilfunk Probleme. Wahrscheinlich alles
konzeptionell noch nicht ganz fertig betrachtet.

Fast ganz Europa hat Smart Meter, nur ihr Deutschen habt
damit noch Probleme.

/ralph -- nein, ob dann schon was sinnvolles damit gemacht
wird, das ist auch nicht klar, aber angeschraubt sind
sie außerhalb von Deutschland fast überall.

Marc Haber

2025-02-03 12:01:38 UTC

Post by Thomas Einzel
Für PLC müsste an _jedem_ Niederspannungstrafo etwas gebaut werden und
PLC hat leichte, unschöne Nebeneffekte.

Ich bin Funkamateur, ja, kenn ich.
Aber ich glaube in meinem Einzugsgebiet wird das per PLC gemacht.

Die Beschränkung unserer PV-Anlage auf 70 % ihrer Leistung geschieht
übe Funk, es gibt dafür eine Außenantenne am Haus und eine Leitung zu
einem Empfänger, der vor dem Stromzähler auf einem klassischen
Zählerkreuz montiert ist, während alle Zähler auf EHz-Steckplätzen
stecken. Im Nachbarhaus steckt an dieser Stelle ein ähnlicher
Empfänger für die Abschaltung der Wärmepumpe.

Aber in diesem Thread geht es doch eher um die Abschaltung von
Fotovoltaikanlagen auf politisches Geheiß durch die Regierung des
Landes, in dem die Hersteller der Wechselrichter sitzen, vermutlich
als Verschwörungstheorie oder hybride Kriegsführung?

Grüße
Marc

Georg Schwarz

2025-02-06 21:54:04 UTC

Post by Marc Haber
Aber in diesem Thread geht es doch eher um die Abschaltung von
Fotovoltaikanlagen auf politisches Geheiß durch die Regierung des
Landes, in dem die Hersteller der Wechselrichter sitzen, vermutlich
als Verschwörungstheorie oder hybride Kriegsführung?

Du kannst es Verschwörungstheorie nennen.
Vermutlich hättest Du das vor zehn Jahren auch noch zu der Vorstellung,
dass auf gesetzlichen Beschluss eine populäre chinesische
Unterhaltungsab bei Apple oder Google rausgeworfen wird oder dass ein
chinesischer Frachter in der Ostsee mit dem Anker nach Unterseekabeln
fischt, gesagt.
Ich finde man braucht mittlerweile nicht allzuviel Phantasie mehr.
Bei 5G-Ausrüstung wurde ja auch ein massives Bohai veranstaltet. Ist die
Stromversorgung weniger kritisch?

Georg Schwarz

2025-02-02 13:56:50 UTC

Post by Marcel Mueller
Da du die Software aber nichts kennst, kann sie jede beliebige Funktion
haben. Sie könnte z.B. dein Heimnetz ausspähen (wenn du sie lässt), oder
(wahrscheinlicher) einfach nur Sicherheitslücken aufweisen.
Ich packe so Geraffel immer ins Gast-WLAN.

das hilft gegen Ausnutzung von Lücken oder "Fernzugängen" zu diesem
Gerät gar nichts.

Post by Marcel Mueller
Angriffe auf Analgen sind keineswegs neu. Siehe z.B. Stuxnet.

natürlich nicht. Nur hatte Siemens keinen Fernzugriff, der
missbraucht/genutzt wurde. Die Angriffswege und damit auch die
Angriffsrisiken sind komplett verschieden.

Ralph Aichinger

2025-02-02 07:45:05 UTC

Post by Georg Schwarz
das Scannen eines QR-Codes dienst hier wohl nur dem Einlesen einer
Konfiguration, ist als Prozess also nicht wirklich relevant f?r die
Frage hier.

Klar, nur es ist insofern relevant, um zu sagen: Die Konfiguration wird
bei sowas typischerweise cloud-basiert mit dem Handy gemacht. Der Zugang
aufs Internet wird typisch uebers Handy und dessen Konfigurationsapp, oft
uebers WLAN konfiguriert.

Post by Georg Schwarz
das ist genau die Frage. Nur weil ein Ger?t (hier Wechselrichter) sich
mit einem Cloud-System verbindet, hei?t das nicht zwingend, dass er von
au?en bzw. dar?ber manipulierbar ist. Das h?ngt eben von der
software/Firmware ab. Es w?re z.B. denkbar, dass nur Daten in die Cloud
geschrieben werden.

Denkbar ist vieles, aber die Firmware ist typisch ein binaerer Blob,
die Hersteller geben nix raus, die Kommunikation in die Cloud ist oft
verschluesselt. Es ist trivial einfach eine derartige Funktion zu
implementieren, in der ausgelieferten Firmware oder eine Firmware mit
dieser Funktion nachzuschieben.

De facto muss man davon ausgehen, dass fernabgeschaltet werden kann,
bei boesem Willen letztendlich der chinesischen Regierung, wenn man die
Geraete nicht vom Internet isoliert betreibt.

Post by Georg Schwarz
wenn es so gestaltet ist.

Da niemand in die Geraete und Cloudservices wirklich reinsehen kann,
muss man davon ausgehen. Und ja, ich hielte es fuer sinnvoll, wenn sich
die EU-Kommission dieses Themas annimmt (indem sie z.B. die Firmware
auditieren laesst.).

Post by Georg Schwarz
na wie praktisch, dann muss man ja gar keinen Tanker mehr in die Ostsee
schicken, um dort m?hsam mit dem Anker nach einem Unterseekabel zu
fischen. Da kann man viel bequemer und zielgerichteter (und
gro?fl?chigerer) bei Bedarf ausknipsen.

Ja, ist so.

Post by Georg Schwarz
Auch kommerziell interessant. Dagegen w?ren Verschl?sselungstrojaner
echt oldschool.

Kommerziell insofern schwierig, weil meist der Kontext und die
Metadaten fehlen. Sicher wird es die eine Funksteckdose geben, die einen
Riesenschaden veranstalten kann, wenn man sie ausschaltet, aber in 99%
der Faelle wird man nur die Weihnachsbeleuchtung von Tante Erna oder den
Kuechenspot von Hobbykoch Fritz abdrehen.

Die Wechselrichter sind, wenn man sie grossflaechig erwischt, sicher ein
viel viel lohnenderes Ziel.

/ralph -- sorry Umlautproblem im Terminal, das ich gerade nicht
diagnostizieren kann.

Marcel Mueller

2025-02-02 17:04:52 UTC

Post by Ralph Aichinger
Da niemand in die Geraete und Cloudservices wirklich reinsehen kann,
muss man davon ausgehen. Und ja, ich hielte es fuer sinnvoll, wenn sich
die EU-Kommission dieses Themas annimmt (indem sie z.B. die Firmware
auditieren laesst.).

Letzteres wäre nur das nächste Bürokratiemonster. Faktisch müsste jetzt
jedes Firmwareupdate erst durch einen Zertifizierungsprozess. Das
einzige, was man damit erreicht ist, dass es keine Firmẃareupdates mehr
gibt, weil ökonomisch nicht abbildbar. Und schaden würde es mangels
flächendeckender Kontrollmöglichkeit nur den Guten.

Post by Georg Schwarz
Auch kommerziell interessant. Dagegen w?ren Verschl?sselungstrojaner
echt oldschool.

Spannender ist es, wenn man damit größere Verbraucher wie
Kaffeemaschinen, Wasserkocher oder Elektroherde einschalten kann. Ohne
passenden Inhalt sorgen die zuweilen auch mal für eine Heißsanierung.

Post by Ralph Aichinger
Die Wechselrichter sind, wenn man sie grossflaechig erwischt, sicher ein
viel viel lohnenderes Ziel.

Ack. Alleine die Gleichzeitigkeit von größeren Schaltvorgängen reicht
zur Destabilisierung des Netzes.

Marcel

Ralph Aichinger

2025-02-02 17:56:44 UTC

Post by Marcel Mueller
Letzteres wäre nur das nächste Bürokratiemonster. Faktisch müsste jetzt
jedes Firmwareupdate erst durch einen Zertifizierungsprozess. Das
einzige, was man damit erreicht ist, dass es keine Firmẃareupdates mehr
gibt, weil ökonomisch nicht abbildbar. Und schaden würde es mangels
flächendeckender Kontrollmöglichkeit nur den Guten.

Bin nicht sicher, ob dem so ist. Notfalls macht man es nur ab einer
gewissen Gefährlichkeitseinschätzung, also z.B. den Wechselrichter ab
800W, nicht aber den Duftzerstäuber fürs Klo oder die smarte Zahnbürste.

Post by Marcel Mueller
Spannender ist es, wenn man damit größere Verbraucher wie
Kaffeemaschinen, Wasserkocher oder Elektroherde einschalten kann. Ohne
passenden Inhalt sorgen die zuweilen auch mal für eine Heißsanierung.

Wer sowas an ein Billig-China-Teil für 9 Euro hängt, der lebt sowieso
gefährlich.

Post by Marcel Mueller
Ack. Alleine die Gleichzeitigkeit von größeren Schaltvorgängen reicht
zur Destabilisierung des Netzes.

Ja, und die Verwirrung, bis klar ist, was überhaupt passiert ist. Stell
ich mir unlustig vor.

/ralph

Wendelin Uez

2025-02-03 17:00:58 UTC

Post by Ralph Aichinger
Wer sowas an ein Billig-China-Teil für 9 Euro hängt, der lebt sowieso
gefährlich.

Das Risiko ist erst recht auch bei Hochpreisgeräten gegeben.

In der Luftfahrt, wo jedes Schräubchen zertifiziert sein muß und selbst eine
Kaffeemaschine locker einen fünfstelligen Betrag kostet, gibt es einen regen
Handel mit Falsifikaten, und das nicht nur bei Wegwerfprodukten, sondern
auch bei sicherheitsrelevanten Komponenten, wo man absolut sicher sein kann,
daß im Versagensfalle bis ins Kleinste nachgeforscht wird, eine Fälschung
also garantiert auffliegen wird - und trotzdem wird munter gefälscht.

Marcel Mueller

2025-02-02 01:45:07 UTC

Bei uns mussten wir die Registrierung der Anlage selbst aktiv
durchführen. Heißt, die telefoniert dann nach Hause (wenn man sie lässt).

Wenn eine solche Verbindung besteht, dann spielen die natürlich auch
Firmwareupdates ein. Das kann theoretisch alles mögliche sein. Praktisch
hat so mancher Hersteller einfach Bugs beim MPPT o.ä. gefixt. Und hier
gab es vor einem dreiviertel Jahr für einen knapp 1 Jahr alten Balkon-WR
ein Firmware-Upgrade auf 800W.

Gegen ein Brick-Update spricht, das die Dinger oft eine recht lange
Herstellergarantie haben. 10-20 Jahre sind schon drin. Und das wäre dann
natürlich ein Garantiefall. Wenn sich der Hersteller quer stellt, ist
eine China-Garantie natürlich auch nichts wert.

Aber man hat auch schon von Fällen gehört, wo bestimmte
Firmwareversionen immer mal wieder sporadische Ausfälle verursacht
haben. Manchmal haben die Leute das aber auch selber verbaselt, z.B.
durch falsches Grid-Profile.

Aber man kann zumindest sagen, dass üblicherweise kein ökonomisches
Interesse daran besteht, die Anlagen zu sabotieren.
Wenn man Bedenken hat, und die Anlage stabil läuft, muss man die
Netzverbindung halt kappen. Dann ist natürlich auch die buntige
Auswertung in der Herstellercloud weg.

Marcel

Arno Welzel

2025-02-02 08:51:52 UTC

So, wie es der Hersteller vorsieht. Im Zweifelsfall schlechter als man
denkt.

Wie es bei IoT-Kram halt üblich ist: bei der Einrichtung muss der
Besitzer dem Kram einen Internetzugang geben (WLAN, LAN) und darüber
meldet sich der Kram dann bei einem Server des Anbieters. Und der kann
da über diese Verbindung Dinge damit machen.

--
Arno Welzel
https://arnowelzel.de

Ralph Aichinger

2025-02-02 09:02:53 UTC

Post by Arno Welzel
Wie es bei IoT-Kram halt üblich ist: bei der Einrichtung muss der
Besitzer dem Kram einen Internetzugang geben (WLAN, LAN) und darüber
meldet sich der Kram dann bei einem Server des Anbieters. Und der kann
da über diese Verbindung Dinge damit machen.

Und ich denke wir sollten uns da keine Illusionen machen, das heutige
"China wird da nix böses machen, die wollen ja weiterhin Geschäfte mit
uns machen" ist ungefähr vergleichbar mit der Einschätzung der Russen
von vor der Ukraine-Invasion. Letztendlich wissen wir nicht, ob nicht
nächstes Jahr das kommunistische Festland-China Taiwan überfällt und
wir uns in einem fur uns alle schwer auszuhaltenden Konflikt mit denen
sind. Die Russen haben uns letztendlich kaum was verkauft als Gas und
Virenscanner. Bei China sieht es etwas anders aus.

/ralph

Alexander Schreiber

2025-02-02 13:19:08 UTC

Gazprom war ein absolut zuverlässiger Lieferant und Handelspartner, auf
den man sich verlassen konnte und das auch recht blind tat ... bis halt
Putin den Krieg gegen die Ukraine vom Zaun gebrochen hat und meinte, er
könnte Westeuropa mit den Gas-Lieferungen von Gazprom erpressen "Lasst
mich ihn Ruhe in der Ukraine rauben und mordbrennen, oder ihr friert!".

Post by Ralph Aichinger
Letztendlich wissen wir nicht, ob nicht
nächstes Jahr das kommunistische Festland-China Taiwan überfällt und
wir uns in einem fur uns alle schwer auszuhaltenden Konflikt mit denen
sind. Die Russen haben uns letztendlich kaum was verkauft als Gas und

"Russia is a gas station pretending to be a nation" - da ist schon was
dran.

Post by Ralph Aichinger
Virenscanner. Bei China sieht es etwas anders aus.

China hat aber auch stärkere Abhängigkeiten von Importen. Lebensmittel
sind 7% von Chinas Importen. Davon 90% der Sojabohnen (und ohne die geht
die Fleischproduktion[0] deutlich runter - gerade wenn sich immer mehr
Chinesen daran gewöhnt haben, häufiger Fleisch essen zu können) sind
importiert. Dazu kommt die Fragilität der heimischen Fleischversorgung,
u.a. mal eben die Hälfte (!) der nationalen Schweinebestände wegen
Krankheit[1] keulen ist nicht ohne Folgen.

Und China beobachtet sehr genau, wie sich der Krieg gegen die Ukraine auf
Russland auswirkt.

Ganz nettes Paper dazu:
https://www.armyupress.army.mil/Journals/Military-Review/English-Edition-Archives/July-August-2022/Critelli/

Umgekehrt sollte man aber auch beachten, dass China mittlerweile Primär-
quelle für viele von der Industrie im Westen benötigten Materialen ist,
zuletzt u.a. der Hauptlieferant für Zellulose zur Herstellung von Nitro-
zellulose.

Man liest sich,
Alex.

Man liest sich,
Alex.

[0] Primär (75%) Schweine, die vor allem mit Mais und Sojabohnen - beides
massiv importiert - gefüttert werden.
[1] Hoch infektiöse asiatische Schweinepest, mehrere Ausbrüche in den
letzen Jahren.

--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison

Marcel Mueller

2025-02-02 17:14:05 UTC