Was würden wir eigentlich ohne den CCC machen?
Die bekommen viel zu wenig Wertschätzung.
Wer die Arbeit für unterstützenswert hält, kann Mitglied werden.
Not so fun fact: In den Kommentaren bei Heise gibt's auch Berichte von Leuten, deren Solaranlagen von Nachbarn sabotiert wurden.
Besonders bedenklich, weil Manipulation auch Brände auslösen können oder per Firnware-Update der Wechselrichter dauerhaft unbrauchbar (gebrickt) werden kann, und das auch eine Drohne im Vorbeifliegen kann. Bei einem Marktanteil von 20% ist letzteres auch ein Risiko für's Stromnetz.
Nachbarn sabotiert wurden.
Manipulation auch Brände auslösen können
...und wenn es eine enge Nachbarschaft ist, dann brennen die sabotierenden Nachbarn auch gleich selber mit ab, und Darwin lässt schön grüßen.
In Deutschland verhindern das die Brandschutzvorschriften meistens. Es muss schon sehr blöd zugehen, dass man ein Nachbargebäude nicht halten kann.
Zum Stromnetz steht ja das im Artikel:
Auch staatliche Aufsichtsbehörden winkten ab: Mögliche plötzliche Leistungseinbrüche im Gigawatt-Bereich durch ein koordiniertes Abschalten von Solaranlagen könnten von den Netzbetreibern abgefangen werden.
Kann nicht einschätzen, ob das stimmt.
Solaranlagen machen das ständig. Liegt an den Clouds.
Das verteilt sich aber und ist nicht so abrupt.
Nun, es ist ein Unterschied, ob da über Stunden eine Sturmfront aufzieht, oder Gigawatt an Kapazität gleichzeitig abgeschaltet werden. In Spanien hat's letztes Jahr nicht geklappt.
Und wenn das Stromnetz auf Sicherheit vor Sabotage ausgelegt wäre, wären solche Produkte gar nicht erst am Markt.
Und wenn das Stromnetz auf Sicherheit vor Sabotage ausgelegt wäre, wären solche Produkte gar nicht erst am Markt.
Das halte ich für einen Irrtum, denn es gibt ja allgemeine technische Prüfungen, aber die gehen eben nicht so tief in den "Hacking"-Bereich, so dass die Angreifbarkeit der Geräte eben erst jetzt "hinterher" bekannt geworden ist.
Auch zu bedenken: hier ist nicht irgendeine zentrale Netz-Steuerung anfällig, sondern das Kleinzeug in privaten Anlagen.
Irgendwann mal werden vielleicht solche tiefgreifenden IT-Prüfungen schon vor einer Marktzulassung Pflicht und auch überall durchgesetzt, z.B. der EU Cyber Resilience Act zeigt schon in diese Richtung, also aus der "reinen" IT hinaus in alle IT-benutzenden Industrien hinein.
Kommt drauf an, in der Größenordnung eines Blocks eines großen Kohlekraftwerks sollte mindestens drin sein, also so 1 GW. Für gewöhnlich spielen die Netzbetreiber täglich mögliche Szenarien durch um vorbereitet zu sein.
Ja, ist scheiße, und der Hersteller sollte schnell nachbessern Aber Sicherheitslücken, die nur lokal ausgenutzt werden können, sind nur bedingt kritisch. Denn sie bedeuten physische Anwesenheit und das skaliert für einen Angreifer sehr schlecht.
Aber Sicherheitslücken, die nur lokal ausgenutzt werden können, sind nur bedingt kritisch.
Im Zeitalter von Drohnen, die sogar über Kernkraftwerken und Flughäfen erscheinen, ist "lokal" ein dehnbarer.... oder exakter komprimierbarer Begriff.
Skaliert trotzdem nicht, auch eine Drohne hat begrenzte Reichweite und ein Angriff braucht ggf. Zeit, die physisch vor Ort verbracht werden muss.
Das ist dann interessant, wenn man jemanden speziellen erwischen will, aber taugt nix für die Masse.
Typische Reaktion von chinesischen Herstellern:
Hersteller Hoymiles reagierte im Rahmen des Disclosure-Prozesses irritiert bis gar nicht und stellte bisher keinen Patch zur Verfügung.
Habe sogar mal beruflich mit sowas zu tun gehabt. Dieser Hersteller hat dann ne ChatGTP Antwort zur IT-Sicherheit gemailt. Zweite und dritte Bulletpoint von „was wir alles für IT-Sicherheit machen“ war exakt der Vorfall. Nicht mal die Grütze durchlesen tun die, bevor die antworten.
Mein Learning: Bei chinesischen Produkten fangen die Probleme erst an, wenn du sie gekauft hast.
DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz
Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
___
Zusätzliche Regeln aus „Lessons learned":
- Postet hier zu allen Themen, die euch interessieren (soweit sie den anderen Regeln genügen)
- Posts oder Antworten, die einen Archive[.]today (oder eines der Derivate) beinhaltet, werden kommentarlos gelöscht
- Es werden Posts zum Thema Nahost / Palästina/Israel hier auf Dach gelöscht.
- Dasselbe gilt für Wahlumfragen à la Sonntagsumfrage.
- Bitte Titel von Posts nur sinnerweiternd und nicht sinnentstellend verändern. Eigene Meinungen gehören in den Superkommentar oder noch besser in einen eigenen Kommentar darunter.
- Youtube Videos bitte nicht ohne eine zusätzliche Zusammenfassung posten
___
Einsteigertipps für Neue gibt es hier.
___
Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org
___