Kritische Sicherheitslücke ecoPOWER 1.0

ThorbenThorben Administrator
bearbeitet September 2013 in BHKW, Blockheizkraftwerk
Aus gegebenem Anlass eine Meldung der BHKW-Infothek. Kann man wie immer nur empfehlen die Seite.
Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0

Seit dem vergangenen Freitag erhalten Betreiber einer stromerzeugenden Heizung vom Typ ecoPOWER 1.0 ungewöhnliche Post vom Hersteller des Gerätes. Vaillant informiert seine Kunden mit diesem Schreiben, dass “ein unberechtigter Fremdzugriff via Internet auf den Systemregler des ecoPOWER 1.0 möglich ist” und dass Betreiber einer betroffenen Heizung umgehend “den ecoPOWER 1.0 vom Internet [...] trennen [sollen], indem sie den Netzwerkstecker aus dem Systemregler entfernen”. Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.


Die ganze Meldung findet ihr hier: Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0 | BHKW-Infothek

Wenn sich an der Sachlage etwas ändert oder ihr weitergehende Informationen habt, würden wir uns natürlich auch über eine kurze Nachricht freuen.
Administrator & Online-Redakteur
Heizungsfinder.de

Kommentare

  • verheizer Azubi
    bearbeitet May 2013 Beiträge: 14
    Thorben schrieb:
    Aus gegebenem Anlass eine Meldung der BHKW-Infothek. Kann man wie immer nur empfehlen die Seite.




    Die ganze Meldung findet ihr hier: Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0 | BHKW-Infothek

    Wenn sich an der Sachlage etwas ändert oder ihr weitergehende Informationen habt, würden wir uns natürlich auch über eine kurze Nachricht freuen.

    Da ist mir doch glatt entgangen, dass es hier schon einen Thread gab. Danke Thorben! Hat sich in der Zwischenzeit schon was ergeben? Hat jemand gehört, ob Vaillant die Sicherheitslücke geschlossen hat?
  • ThorbenThorben Administrator
    bearbeitet May 2013 Beiträge: 867
    Sieht nicht danach aus. Gab noch einen interessanten Follow-Up-Artikel in der Zwischenzeit:
    ...Sicherheitslücken finden sich nicht nur in Heizungsregelungen wie zuletzt beim ecoPOWER 1.0 (wir berichteten), sondern auch in weit größeren Heizkraftwerken, Gefängnisduschen, Rechenzentren und Brauereien. Denn solche Anlagen werden teilweise – wie auch das Vaillant ecoPOWER 1.0 – von einem Regler aus der PCD-Baureihe des zum Honeywell-Konzern gehörenden Herstellers Saia-Burgess kontrolliert. Wie die Zeitschrift c’t in ihrer neusten Ausgabe berichtet, lässt sich die von uns beschriebene Sicherheitslücke des ecoPOWER 1.0 nahtlos auch auf diese Großanlagen übertragen.

    Neben dem Nano-BHKW ecoPOWER 1.0 trifft die Lücke nun unter anderem auch große Blockheizkraftwerke für die Fernwärmeversorgung von mehreren Städten und Gemeinden in ganz Europa. Während deren Betreiber gegenüber dem Fachmagazin c’t und dem ZDF heute-Journal mögliche Folgen der Sicherheitslücke wie die denkbare Beschädigung von Fernwärmepumpen und weitreichende Netzausfälle unumwunden zugeben, versuchte Vaillant nach unserer Veröffentlichung die Problematik klein zu reden. So schreibt Vaillant in einer offiziellen Stellungnahme: “Es ist aber nicht möglich, mutwillig einen unsicheren Betriebszustand zu erzeugen oder die Anlage zu beschädigen”, eine Aussage, der die BHKW-Infothek entschieden widersprechen muss....

    Gefahr im Kraftwerk: Auch große BHKW sind betroffen! | BHKW-Infothek
    Administrator & Online-Redakteur
    Heizungsfinder.de
  • ThorbenThorben Administrator
    bearbeitet August 2013 Beiträge: 867
    Inzwischen hat sich dann doch etwas getan, wie die BHKW-Infothek berichtet:
    Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

    Das Warten hat ein Ende: Nachdem die Computerzeitschrift c’t und die BHKW-Infothek im Februar die von einem Leser der BHKW-Infothek entdeckte Sicherheitslücke an das BSI und den BHKW-Hersteller Vaillant meldeten, tat sich lange Zeit wenig. Viel konnte Vaillant auch nicht tun, denn wie die c’t herausfand, lag die Ursache der Sicherheitslücke nicht bei Vaillant, sondern in der von Saia-Burgess hergestellten PCD-Steuerung des ecoPOWER 1.0, die laut Hersteller weltweit in etwa 200.000 Anlagen verbaut wurde. [...]

    Hier die Quelle incl. der Nummer für die Kundenhotline: Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken | BHKW-Infothek
    Administrator & Online-Redakteur
    Heizungsfinder.de
  • jospr63 Meister
    bearbeitet September 2013 Beiträge: 2,758
    Thorben schrieb:
    Inzwischen hat sich dann doch etwas getan, wie die BHKW-Infothek berichtet:



    Hier die Quelle incl. der Nummer für die Kundenhotline: Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken | BHKW-Infothek


    Sorry, aber ich selbst halte die angeblich geschlossene Sicherheitslücke für noch immer nicht geschlossen. Man hat lediglich die Datenleitung zu den Handys gekappt und das war es auch schon. Nur wenn man viele kleine Dinge zentral steuern möchte, kommt man immer wieder irgendwie am anderen Ende zu einer Zentrale und wenn viele kleine Dinge eine Aufgabe erledigen sollen, muss die Zentrale das auch steuern können. Die Frage ist halt nur wie? Am Einfachsten über das Internet natürlich. Nur hier ist auch die größte Schwachstelle.
    Ich möchte hier nur einmal in Erinnerung rufen, wie es die USA geschafft haben die Iranischen Atomanlagen mittels eines kleinen Programm zu sabotieren. Es ist zwar ein genialer Gedanke, wenn man alles zentral steuern kann, aber man teilt unweigerlich sein Wissen mit denen, die man eigentlich gar nicht mit Wissen füttern möchte.
    Ich selbst stehe der totalen Vernetzung der Energiewirtschaft mehr als skeptisch gegenüber. Sie macht uns alle anfälliger und die Totalausfälle sind vorprogrammiert.
    Auch kann ich nur jedem raten, der meint alles und immer unter Kontrolle haben zu müssen via Handy ect., das zu unterlassen. Eines guten Tages findet sich ein Scriptjunky, der meint meine Anlage steuern zu müssen. Auch wenn die Jugend heutzutage kaum zu etwas zu bewegen ist, aber wenn es darum geht irgendwie Schaden anzurichten, dann ist auf sie Verlass.
    Wer sich selbst eine Heizung baut, baut nie wieder eine!W
  • ThorbenThorben Administrator
    bearbeitet September 2013 Beiträge: 867
    jospr63 schrieb:
    Ich möchte hier nur einmal in Erinnerung rufen, wie es die USA geschafft haben die Iranischen Atomanlagen mittels eines kleinen Programm zu sabotieren. Es ist zwar ein genialer Gedanke, wenn man alles zentral steuern kann, aber man teilt unweigerlich sein Wissen mit denen, die man eigentlich gar nicht mit Wissen füttern möchte.
    Ich selbst stehe der totalen Vernetzung der Energiewirtschaft mehr als skeptisch gegenüber. Sie macht uns alle anfälliger und die Totalausfälle sind vorprogrammiert.
    Auch kann ich nur jedem raten, der meint alles und immer unter Kontrolle haben zu müssen via Handy ect., das zu unterlassen. Eines guten Tages findet sich ein Scriptjunky, der meint meine Anlage steuern zu müssen.

    Stehe der ganzen "Alles muss online sein / Internet der Dinge" - Geschichte eigentlich auch sehr kritisch gegenüber. Gebe zu > ich hab auch ein Cleverfon. Für manche Dinge einfach zu praktisch. Aber was Du oben ansprichst geht mir auch des Öfteren durch den Kopf. Und wir sind in der Hinsicht ja eigentlich noch ganz am Anfang. Wenn man sich anschaut, wie sich manche Entscheider die vernetzte Energiewirtschaft in Zukunft vorstellen, kann einem unter DEM Gesichtspunkt manchmal schon Angst & Bange werden. Meine Heizung wird nun außer der Exfreundin wahrscheinlich niemand ansteuern wollen, aber es schafft einfach sehr kritische Angriffspunkte. Wie man nun gerade eher volatile Energiequellen wie PV, Wind usw. aber nun OHNE solche dynamischen Systeme schaffen und regeln kann und will, ohne solche Lücken zu schaffen... tja. Ich hab so den Eindruck das weiß eigentlich noch keiner so recht.
    Administrator & Online-Redakteur
    Heizungsfinder.de
  • PascalW Administrator
    bearbeitet September 2013 Beiträge: 144
    Ich muss mich hier glaube ich in dem Fall als Neutrum dazustellen. Ich bin was die ganze "Versmartung" des Heimnetzes-Sache angeht auch sehr zwiegespalten. Einerseits muss ich sagen, ich bin ziemlicher Technik-Junkie in Bezug auf so Automatisierungsgeschichten via Smartphone und weiteren mobilen Endgeräten (das kann Thorben denke ich auch lachend bestätigen) und finde den rasanten technischen Fortschritt von heute mehr als interessant. Andererseits ist die Vernetzung, wie Ihr beide schon angebracht habt, sehr anfällig für äußere Einflüsse. Man will hier nicht die NSA-Verschwörungstheorien schüren, aber wenn mal einer den Hack seines Lebens hinlegt und den Knopf drückt...Und da ich hier schon hart übertreibe, weise ich mal auf die Redundanz von absolut realitätsnahen Filmepen wie "Stirb Langsam 4.0" und "Fight Club" hin :-D so... da sagt Ihr glaub ich nix mehr zu.

    Nein aber spaß beiseite. Ich persönliche gehe leider viel zu oft mit sensiblen Daten im Internet zu halbherzig um. Ich weiß nicht, ob dass dem allgegenwärtigen Internet in seiner Maße zuzuschreiben ist oder etwas anderem. Ich glaube aber auch einfach, dass zukünftige Generationen immer weiter vernetzt sein werden und das Überall, aber gleichzeitig nicht auf den Umgang mit seinen eigenen Daten sensibilisiert werden. Das Internet ist für junge Leute einfach da. Und solange Facebook noch erreichbar ist, schert sich keiner um die Sicherheitseinstellungen in anderen Endgeräten, zu denen nun eben auch die Heizung gehören kann.
    Administrator & Online-Redakteur
    Heizungsfinder.de
Anmelden oder Registrieren, um zu kommentieren.