Zonnepanelen te hacken: 'bedreiging voor energienetwerk'
Hackers kunnen de apparaten die de elektriciteit van zonnepanelen omzetten in stroom voor in huis gemakkelijk overnemen.
Door omvormers in groten getale uit te schakelen zouden aanvallers in theorie het Europese energienetwerk tijdelijk kunnen ontwrichten, doordat de vraag naar stroom groter wordt dan het aanbod. Dat gebeurde bijvoorbeeld in 2006, toen er door het afkoppelen van een hoogspanningskabel in Duitsland een tekort ontstond en daardoor een gedeelte van Noord-Brabant zonder stroom kwam te zitten.
Het ministerie van Economische Zaken gaat de kwetsbaarheden, die zijn ontdekt door een Nederlandse hacker, onderzoeken.
'Makkie voor hackers'
De kwetsbaarheden zijn ontdekt door Willem Westerhof van het Haarlemse beveiligingsbedrijf ITsec. In totaal vond hij 21 kwetsbaarheden waarmee deze zogeheten omvormers zijn over te nemen. "Het is voor hackers vrij gemakkelijk", vertelt hij aan de telefoon. Dergelijke aanvallen op vitale infrastructuur zijn overigens niet nieuw: beveiligingsbedrijf ESET ontdekte vorige maand een virus dat energiecentrales plat kan leggen.
Een woordvoerder van het ministerie zegt tegen De Volkskrant dat 'er maatregelen worden genomen als blijkt dat dit noodzakelijk is'. Er wordt daarvoor contact gehouden met netbeheerder Tennet, dat in Nederland het hoogspanningsnet beheert, en het Nationaal Cyber Security Centrum (NCSC).
0000 als wachtwoord
Volgens Westerhof is één van de grootste kwetsbaarheden van de omvormers het gebruik van standaard wachtwoorden, zoals 0000 of 1111, om toegang te krijgen tot deze apparaten. Die hoeven niet te worden veranderd, waardoor velen gewoon de standaardinstellingen behouden. Ook is de communicatie van en naar de omvormer niet beveiligd en checkt het apparaat niet of je aangepaste firmware installeert. Laatstgenoemde is interessant voor hackers, die daarmee de apparaten kunnen overnemen en uitschakelen.
De omvormers zijn ook verbonden met het wifi-netwerk van de eigenaar. Als het wifi-netwerk voldoende is beveiligd, dan is het lastig om er op afstand toegang tot te krijgen. Maar als je bijvoorbeeld uPnP, een verbindingsprotocol van routers, hebt ingeschakeld, kunnen aanvallers wel op afstand deze omvormers overnemen.
Al december gemeld
De fabrikant van de door Westerhof onderzochte omvormers, SMA, stelt tegen de Volkskrant dat er 'technische correcties worden uitgevoerd' om de kwetsbaarheden op te lossen. Dat vindt Westerhof veel te laat: hij kaartte de problemen al in december vorig jaar aan. "Het zal nog een hele flinke klus worden om deze apparaten voldoende te beveiligen", zegt hij.
De onderzochte omvormers kunnen via een firmware-update worden beveiligd, zegt Westerhof, maar SMA heeft nog geen update aangekondigd. Het probleem is volgens Westerhof dan ook nog lang niet opgelost: "Er zijn nog genoeg omvormers van andere bedrijven die ook niet goed zijn beveiligd. Het is echt een brancheprobleem.