Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

  • Liebe Betreiber eines ecoPOWER 1.0,

    bereits seit einigen Wochen steht die Redaktion unserer BHKW-Infothek zusammen mit dem heise Verlag und dem Bundesamt für Sicherheit in der Informationstechnik wegen der hinter den jetzt versandten Schreiben stehenden Problematik mit Vaillant in Verbindung. Der Inhalt des Schreibens variiert abhängig davon, ob ein Wartungsvertrag besteht, oder nicht. Insgesamt existieren vier verschiedene Varianten des Schreibens, da selbstverständlich auch der Fach- und Großhandel informiert werden muss.

    Wir empfehlen dringend allen Besitzern eines BHKW vom Typ ecoPOWER 1.0 der Aufforderung des Herstellers zur Trennung der Internetverbindung umgehend zu folgen.

    Am Montag wird ein detaillierter Hintergrundbericht die näheren Umstände beleuchten.

    Viele Grüße
    Der Vorstand des BHKW-Forum e.V.

  • Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

    -> Zum Artikel und Video

    -

  • Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.


    An dem Video ist nicht auszusetzen aber die gezeigte Installation ist vorsichtig gesagt "nicht fachgerecht". Ich möchte da keine Wartung machen da die Wartungszugänge zugebaut sind und kann mir nicht vorstellen, dass ein Vaillant-Kundendienst dieses Gerät in Betrieb genommen hat. Die hätten die IB abgelehnt.

    An alle die noch ein Gerät installieren wollen: Bitte kein Beispiel daran nehmen. :!::!:

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger


    Hallo Gruß nach Backnang,

    Dein Gottvertrauen in allen Ehren! Mal sehen wann sie dein Bankacount hacken!

    Jetzt auch hier. Warum auch sollte gerade Vaillant hier besser sein als viele andere, viel größere companies wie MS, ADOBE oder die JAVA Vertreiber! Es hilft demnach nur noch: LAN Stecker ziehen!

    Zitat:
    "Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.

    Also jetzt wissen wir es: Es wurde unbedarft programmiert!

    Am 12 Feb 2013 verfasste ich eine kurzes Statement zum Thema Datensicherheit im Thread "Fernwartung durch Vaillant, wie funktioniert´s?" und outete mich als "Bedenkenträger".

    Viel Reaktionen warenn damals a la endurance. Auch einige "Profis" waren der Meineung: "Vaillant kann das schon".

    Sobald man die Abschottung des Hausnetzes aufgibt, ist man natürlich auf mehren Ebenen angreifbar. Wer garantiert, das der Zugriff nur auf den Systemregler beschränkt blleibt?

    Damit wären wir wieder beim Bankaccount.

    Gruß aus Heilbronn.

    Eventuelle Schreibfehler bitte ich zu entschuldigen. ;-_

  • Hallo Doriar,

    Deine Nachricht am 12.2. habe ich sehr wohl gesehen, einen riesigen Schreck bekommen und gehofft, dass niemand über das Scheunentor-große Loch stolpert, das ich eine Woche vorher an Vaillant gemeldet hatte. Ich denke das ging allen so, die zu dem Zeitpunkt bereits geahnt haben was auf uns zukommt... und die deswegen auf Deinen Artikel nicht geantwortet haben.

    Klar könnte man die These vertreten, dass es sowieso nie ein 100% sicheres System geben kann. LAN-Kabel ab = "Air Gap". Abgesehen davon dass Vaillant für den Vollwartungsvertrag die Internetverbindung quasi vorschreibt - sonst kostet der Vollwarter ja deutlich mehr - gibt es aber auch andere Anwendungsfälle, bei denen der Zugriff von Außen sinnvoll ist. Und dafür akzeptiere ich ein gewisses Risiko. Aber die bisher eingebaute sicherheitstechnische Umsetzung beim eco 1.0 ist so... ähm... "speziell", dass das Risiko absolut nicht tragbar ist.

    Mit VPN, Direktverbindung nur zu Vaillant etc. kann ich das Risiko gut mitgehen - unser eco ist mit Feldtest-VPN seit letzter Woche wieder im Netz. (Hoffentlich probiert' jetzt niemand unsere Kiste zu hacken... :rolleyes: )

    Viele Grüße

    Dirk

  • Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

    -> Zum Artikel und Video

    -

    Und mittlerweile bei heise:
    http://www.heise.de/newsticker/mel…ck-1840919.html

    The H (englisch):
    http://www.h-online.com/security/news/…ms-1842489.html

    Tweakers (niederländisch):
    http://tweakers.net/nieuws/88506/c…binterface.html

    :wacko:

  • DORIAR

    In glaube du unterschätzt mein sicherheitsbewusstsein. Mein heimnetz ist mit NAT und Proxy inklusive Firewall abgesichert. Kritische sw laeuft in eigenen virtuellen Umgebungen etc.
    Wenn ich mich aber ueber jede sicherheitsluecke aufregen wuerde waere ich tot, an Herzkasper gestorben.
    Die vaillant sw haette bei mir keine Freigabe bekommen höchstens mit den entsprechenden hinweisen in den releasenotes. Da sind auch sonst noch genügend Bugs drin, auch sicherheitsirrelevante. Leider ist bananensoftware heute quasi Standard.

    Wenn ich jetzt VPN lese kommt bei mir die frage auf wie das genau technisch realisiert werden soll.

    Apropos bankaccount, der ist mir eBen wichtiger als Heizung, bisher war ja auch nicht klar was alles offen liegt. Mt den heutigen Infos kommt das Eco bei mir auch nicht ans Netz (nicht direkt jedenfalls).

  • Nachtrag: prinzipiell ist jedes System knackbar solange es einen Zugangspunkt gibt - immer eine Frage des Aufwandes.
    Wieviel Aufwand jemand treibt hängt wohl von der Zielsetzung und dem möglichen Benefit ab. Heizungen zu hacken halte ich jetzt erstmal für wenig lukrativ somit wird es weniger potentiell "motivierte" Einbrecher geben. Wenn der Aufwand aber nahe null geht (wie in diesem Fall) wird es kritisch.

    Aus meiner Sicht ist Sicherheit immer verbunden mit einem Abwägen von Risiken und Kosten/Aufwaenden zu Risikominimierung und dem eigenen "Komfortbedarf".

    Vaillant hat definitiv geschlampt, da gibt es kein vertun. Trotzdem bin ich positiv überrascht, dass Vaillant reagiert bevor alle Medien das issue veröffentlicht haben. Die eine oder andere Firma haette das versucht auszusitzen und gewartet wie groß denn der Sturm der Entrüstung wird.