Omvormers slecht beveiligd

Zonnepanelen eenvoudig te hacken: risico voor woningen én stroomnet

Door Stan Hulsen··Aangepast:
© ANPZonnepanelen eenvoudig te hacken: risico voor woningen én stroomnet
RTL

Handig: de opbrengst van je zonnepanelen bekijken op je smartphone of laptop. Maar de apparaten die dat mogelijk maken zijn vaak eenvoudig te hacken. Dat blijkt uit onderzoek van de Rijksinspectie Digitale Infrastructuur (RDI). De omvormers zijn noodzakelijk om zonne-energie om te zetten in bruikbare elektriciteit, maar zijn kwetsbaar als ze met het internet verbonden worden, wat vaak gebeurt om opgewekte zonne-energie te monitoren.

Volgens de toezichthouder zijn dit soort omvormers vaak onvoldoende beveiligd. Een hacker kan er in sommige gevallen zelfs voor zorgen dat ze niet meer werken, waardoor zonnepanelen nutteloos worden. Daarnaast zag de RDI dat het voor hackers mogelijk was om instellingen van het apparaat aan te passen. In het ergste geval kan dat leiden tot brand.

Als manipulatie op grote schaal gebeurt, kan dat zelfs leiden tot schade aan het stroomnet, waarschuwt de toezichthouder. Aangepaste instellingen kunnen de vraag en het aanbod op het elektriciteitsnet negatief beïnvloeden. Als dit bij veel omvormers tegelijk gebeurt, kan een black-out ontstaan: een gebied komt dan zonder stroom te zitten.

Lenen voor zonnepanelen levert vaak gratis geld op: 'Jammer dat mensen dit niet weten'
Lees ook

Lenen voor zonnepanelen levert vaak gratis geld op: 'Jammer dat mensen dit niet weten'

Onveilige omvormers kunnen door hackers ook worden gebruikt om binnen te dringen in het wifi-netwerk van de eigenaar. Daar kunnen ze op zoek naar persoonlijke informatie. Die kunnen ze stelen of doorverkopen, of gebruiken om mensen te chanteren.

Alle onderzochte omvormers kwetsbaar

De RDI controleerde acht omvormers op de beschikbaarheid van software-updates, het gebruik van standaardwachtwoorden die eenvoudig op internet te vinden zijn en zes andere aspecten. "Samen geeft dat een beeld van de cyberveiligheid", zegt Wessel Kleibergen, die het onderzoek leidde. "Geen van de apparaten bleek op álle onderdelen aan de norm te voldoen. Maar er is natuurlijk een verschil tussen dat één of alle aspecten niet volstaan."

Vorig jaar ging RTL Z langs bij het Agentschap Telecom (de oude naam van de Rijksinspectie Digitale Infrastructuur) om een kijkje te nemen in het laboratorium waar omvormers en andere 'slimme' apparaten getest worden:

Voor dit onderzoek bleken zeven van de acht omvormers geen updates te krijgen, of was het voor gebruikers moeilijk om die te installeren. Dat vergroot de kans dat er verouderde en dus kwetsbare software draait, zegt de RDI. Daarnaast gebruikten bijna alle omvormers een zwak standaardwachtwoord.

Bij drie omvormers liepen klanten ook een of meerdere privacyrisico's, bijvoorbeeld omdat persoonlijke gegevens onvoldoende beveiligd bleken.

De steekproef van de RDI betrof een derde van de merken die voor de Europese markt waren goedgekeurd toen het onderzoek in mei 2021 begon. De toezichthouder kon niet goed onderbouwen hoeveel omvormers van deze merken in Nederland actief zijn, en dus hoe groot het probleem ongeveer is.

Risico's eerder aangetoond

De kwetsbaarheid van zonnepaneelinstallaties die met het internet verbonden zijn, is al meerdere malen door Nederlanders aangetoond.

  • Al in 2016 ontdekte hacker Willem Westerhof dat omvormers van het Duitse merk SMA eenvoudig te hacken zijn, onder meer door het gebruik van het standaardwachtwoord 0000.
  • In juni 2018 kwam IT'er Sjoerd van der Hoorn er per toeval achter dat hij met wat technische kennis inzage kreeg in namen, adressen en e-mailadressen van tienduizenden mensen met Omnik-omvormers. Het merk maakte gebruik van monitoringsplatform SolarMAN.
  • Begin 2022 ontdekte IT'er Danny Post - ook per toeval - dat hij op een nóg makkelijkere manier namen en woonadressen van andere SolarMAN-klanten kon bekijken, zonder daarvoor in te loggen. "Je kon de omvormers niet aanpassen, maar wel aardig wat gegevens bemachtigen", laat hij RTL Nieuws weten.

De helft van de omvormers die de RDI bekeek, voldeed niet aan de eisen rond wachtwoorden, software-updates én een veilige internetverbinding. Volgens de RDI zijn de resultaten van deze vier apparaten daarmee 'zeer kritiek voor de cyberveiligheid van het elektriciteitsnet, woningen en burgers'.

"Dat is stevige taal", zegt Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD), een organisatie die op eigen initiatief ook dit soort kwetsbaarheden opspoort. "Een omvormer kost al gauw honderden euro's. Het is zorgelijk dat geen enkele van hen voldoet. Als iemand dat misbruikt, kan dat voor allerlei problemen zorgen, ook voor ons stroomnet. Dat is waar we allemaal bang voor zijn."

Het DIVD onthulde een jaar geleden nog dat een openbaar wachtwoord toegang gaf tot een beheerderspaneel van SolarMAN, een Chinees bedrijf dat software levert om de opbrengst van tienduizenden zonnepanelen in Nederland te monitoren. Die waren daardoor kwetsbaar voor sabotage.

Advies: verander het wachtwoord

De RDI adviseert om omvormers zelf na te lopen op digitale veiligheid. "Een deel heb je zelf in de hand", zegt Kleibergen van de RDI. "Ga naar de website of app om een sterk wachtwoord in te stellen en beschikbare updates te installeren. Kijk ook kritisch naar de gegevens die je prijsgeeft: is het echt nodig dat jouw adres afstaat? Want ook daarmee kan het misgaan."

"Als je er niet uitkomt, is het in de praktijk het makkelijkst om contact op te nemen met je installateur. Die geeft vaak al de handleiding af", zegt Kleibergen. "De fabrikant is verantwoordelijk, maar die kan ook in het buitenland zitten. En adresgegevens kloppen niet altijd."

De eisen waarop de RDI controleerde, zijn op dit moment nog niet wettelijk verplicht. Dat is pas vanaf augustus 2024 het geval. De toezichthouder is van plan om na dat moment opnieuw onderzoek te doen. Omvormers die dan niet aan de eisen voldoen, kunnen dan verboden worden. Ook kunnen fabrikanten boetes krijgen.

RDI houdt merken voor zich

De Rijksinspectie Digitale Infrastructuur onderzocht de digitale kwetsbaarheid van acht omvormers. Een daarvan is de X1 3.3 AIR van het merk SolaX. Die kan met een extra apparaatje met het internet verbonden worden. Die dongle wordt ook met een standaardwachtwoord geleverd.

SolaX zegt tegen RTL Nieuws dat deze omvormer al twee jaar niet meer in productie is en niet meer verkocht wordt. "Het advies voor klanten met een wifi-dongle is om dit wachtwoord te wijzigen naar een sterk wachtwoord", laat het bedrijf verder weten. Hoe de omvormer op andere aspecten van het RDI-onderzoek scoorde, is niet bekend.

De RDI zegt ook niet welke andere omvormers zijn onderzocht en hoe elk apparaat scoorde. Ook wil de toezichthouder geen namen van andere fabrikanten noemen. RTL Nieuws kon de bedrijven daardoor niet om een reactie vragen.

"Het is jammer dat hier weinig transparantie over is", zegt Breedijk van het DIVD. "Ik begrijp dat de RDI niet alles kan publiceren, omdat er maar een beperkt aantal is onderzocht. Zo kun je misschien onbedoeld een voordeel geven aan andere merken. Maar mensen die zonnepanelen willen aanschaffen, kunnen deze informatie nu niet meewegen in hun keuze."

Lees meer over
Rijksinspectie Digitale InfrastructuurHackenTechnologieZonnepaneelDigitale veiligheidZonne-energie