- AustraliaEnglish
- BelgiumDutchFrench
- BrasilPortuguese
- BulgariaBulgarian
- CanadaEnglish
- Greater ChinaSimplified ChineseTraditional Chinese
- CzechCzech
- FinlandFinnish
- FranceFrench
- Germany (Global)GermanEnglishFrenchSpanish
- GreeceGreek
- HungaryHungarian
- IndiaEnglish
- ItalyItalian
- IrelandEnglish
- JapanJapanese
- IsraelHebrew
- KoreaKorean
- LuxembourgFrench
- MalaysiaMalaysian
- MexicoSpanish
- Middle East & AfricaEnglish
- NetherlandsDutch
- PolandPolish
- PortugalPortuguese
- RomaniaRomanian
- SlovakiaCzech
- SpainSpanish
- South AmericaSpanish
- South AsiaEnglish
- South East AsiaEnglish
- SwedenSwedish
- ThailandThai
- TurkeyTurkish
- UkraineUkrainian
- United KingdomEnglish
- United States of AmericaEnglish
Aktuelle Sicherheitshinweise
Bitte beachten Sie auch Hinweise und Dokumentationen in unserem Dokumentenarchiv.
27.01.2025 | Clickjacking Schwachstelle in Sunny Webbox
Ein Sicherheitsforscher hat entdeckt, dass in den betroffenen Produkten Sunny Webbox / Sunny Webbox with Bluetooth eine Clickjacking-Schwachstelle im Web-Frontend existiert. Ein Angreifer könnte den Benutzer dazu bringen, Klicks auf eine bösartige Website auszuführen, bei der es sich scheinbar um die WebUI des betroffenen Produkts handelt. Die betroffenen Produkte werden nicht mehr unterstützt (End-of-Life 2015-12-31).
Ein Benutzer kann dazu gebracht werden, unerwünschte Aktionen auf anderen Systemen auszuführen, während er einen Klick auf die Webbox WebUI erwartet.
Ersetzen Sie die nicht mehr unterstützte Sunny Webbox / Sunny Webbox with Bluetooth durch den SMA Data Manager M oder SMA Data Manager L. Bitte beachten Sie die technischen Informationen zur Umstellung, die Sie unter https://www.sma-sunny.com/en/how-to-replace-old-data-logger/ finden.
Wenn Sie Ihre Webbox nicht durch einen SMA Data Manager M oder L ersetzen können, isolieren Sie das betroffene Netzwerksegment, indem Sie den gesamten eingehenden Netzwerkverkehr blockieren. Konfigurieren Sie Ihr Netzwerk insbesondere niemals so, dass eine Portweiterleitung an die SMA Webbox zulässig ist.
Weitere Details, einschließlich der Beratung, finden Sie unter https://certvde.com/en/advisories/VDE-2024-075
27.01.2025 | Cross Site Request Forgery Schwachstelle im SMA Cluster Controller
Ein Sicherheitsforscher hat eine Cross Site Request Forgery (CSRF, XSRF) Schwachstelle im SMA Cluster Controller entdeckt. Die betroffenen Produkte werden nicht mehr unterstützt (End-of-Life 2018-06-30).
Die Schwachstelle kann es einem Angreifer ermöglichen, einen schädlichen Link an einen authentifizierten Benutzer zu senden, um Aktionen mit den Berechtigungen des Benutzers auf dem betroffenen Gerät auszuführen.
Ersetzen Sie den nicht mehr unterstützten Cluster-Controller durch SMA Data Manager M oder SMA Data Manager L. Bitte beachten Sie die technischen Informationen zur Umstellung, die Sie unter https://www.sma-sunny.com/en/how-to-replace-old-data-logger/
Wenn Sie Ihren Cluster Controller nicht durch einen SMA Data Manager M oder L ersetzen können, isolieren Sie das betroffene Netzwerksegment, indem Sie den gesamten eingehenden Netzwerkverkehr blockieren. Konfigurieren Sie Ihr Netzwerk insbesondere nicht so, dass eine Portweiterleitung an den SMA Cluster Controller möglich ist. Vermeiden Sie den Zugriff auf Internetressourcen, während Sie beim Clustercontroller angemeldet sind.
Weitere Details einschließlich Advisory finden sich unter https://certvde.com/en/advisories/VDE-2024-020
27.11.2024 | SQL-Injection Schwachstelle in SMA Sunny Central
In SMA Sunny Central Wechselrichtern mit Firmware-Versionsnummern < 10.01.18.R gibt es eine authentifizierte (Administrationsrechte) SQL-Injection-Schwachstelle auf dem Administrationspanel, die den Zugriff auf eine Datenbank ermöglicht. Bei der Datenbank, auf die zugegriffen werden kann, handelt es sich um eine Protokolldatenbank, in der Messdaten für eine grafische Darstellung gespeichert werden.
Weitere Details einschließlich Advisory finden sich unter https://certvde.com/en/advisories/VDE-2024-074.
13.07.2023 | Cybersicherheitsvorfall „MOVEit“
Information zum Cybersicherheitsvorfall „MOVEit“
Im Juni 2023 wurde bei SMA ein Cybersicherheitsvorfall im Zusammenhang mit der Software MOVEit identifiziert. Das betroffene System wurde umgehend abgeschaltet, anhand der erfolgreich etablierten Prozesse zur Cybersecurity untersucht und entsprechende Sofortmaßnahmen eingeleitet. Eine Schadensanalyse ergab, dass keine personenbezogenen Daten und keine geschäftskritischen Daten betroffen sind, da es sich um ein von unseren Kernsystemen isoliertes System handelte. Eine Datenverschlüsselung fand nicht statt.
Aus dem Vorfall ergeben sich keine Risiken für SMA Geschäftspartner und Mitarbeitende.
Sollten Sie Fragen zu diesem oder anderen Cybersecurity-Themen haben, schreiben Sie eine E-Mail an Information-Security@sma.de.
20.12.2021 | Schwachstelle Log4Shell
Wie in den Medien weltweit kommuniziert, gibt es derzeit einen Cybersecurity-Vorfall (CVE-2021-44228, https://nvd.nist.gov/vuln/detail/CVE-2021-44228). Dieser ermöglicht es Angreifern, auf den Zielsystemen schadhafte Programmcodes auszuführen und diese darüber zu kompromittieren.
SMA Wechselrichter sowie die SMA Monitoring-Portale sind von dem aktuellen Vorfall nicht betroffen, allerdings können einzelne andere SMA Produkte betroffen sein. Für diese stellt SMA kurzfristig automatische Software-Updates zum Schließen der Schwachstelle bereit. Um es Angreifern zu erschweren, verwundbare Systeme anzugreifen, wird SMA die entsprechenden Produkte und Versionen erst nach dem Ausrollen der automatischen Updates bekanntgeben.
Betreiber von SMA Large-Scale-Systemen, deren Systeme nicht dem automatischen Update unterliegen, werden direkt vom SMA Service kontaktiert und die Installation der Updates nach Abstimmung durchgeführt.
Weitere Informationen zu diesem Sachverhalt finden Sie in der SMA Herstellerklärung →. Diese wird fortlaufend aktualisiert.
Sollten Sie noch Fragen haben, kontaktieren Sie bitte die SMA Information-Security@sma.de.
Wir arbeiten mit Hochdruck daran, das Problem zu beheben und bitten eventuelle damit verbundene Unannehmlichkeiten zu entschuldigen.