Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

  • ok, mag sein das vaillant kunden für wartungsverträge haben will, nur ist das eher zum vorteil der kunden, oder weißt du das der eco 1.0 10 jahre ohne reparaturen auskommt ?


    Daniel, Du verstehst mich irgendwie immer falsch. Oder Du willst mich immer falsch verstehen?!


    Aber nochmal der Versuch, Dir eine sinnvolle Antwort zu geben: Alle hier im Forum wissen, dass jedes BHKW in 10 Jahren auch mal Reparaturen braucht. Die Frage ist, ob sich ein Vollwartungsvertrag rechnet, ob ein VW sinnvoll ist um das Risiko zu reduzieren, wie die Preisentwicklung des Vaillant-Vollwarters ist etc. In wie weit das zum Vorteil der Kunden ist, hängt von der Betrachtungsweise ab.


    Wir haben jedenfalls einen Vollwarter bei PowerPlus / Vaillant abgeschlossen. Daran kannst Du erkennen - wenn Du magst - dass ich nicht daran glaube, dass ein eco ohne Reparaturen auskommt...


  • Daniel, Du verstehst mich irgendwie immer falsch. Oder Du willst mich immer falsch verstehen?!


    Aber nochmal der Versuch, Dir eine sinnvolle Antwort zu geben: Alle hier im Forum wissen, dass jedes BHKW in 10 Jahren auch mal Reparaturen braucht. Die Frage ist, ob sich ein Vollwartungsvertrag rechnet, ob ein VW sinnvoll ist um das Risiko zu reduzieren, wie die Preisentwicklung des Vaillant-Vollwarters ist etc. In wie weit das zum Vorteil der Kunden ist, hängt von der Betrachtungsweise ab.


    Wir haben jedenfalls einen Vollwarter bei PowerPlus / Vaillant abgeschlossen. Daran kannst Du erkennen - wenn Du magst - dass ich nicht daran glaube, dass ein eco ohne Reparaturen auskommt...


    ich hab dich schon verstanden ;)
    ich denke auch das es nicht ohne reparaturen geht, und bei den preis von 400 euro sind ca. 180 euro materialkosten dabei...
    vorteil des kunden ist die funktionsgarantie..ich glaub nicht das du einen motor oder wr bezahlen willst..

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • Ich hatte auch vor einiger Zeit auch einen Vollwartungsvertrag beantragt.
    Gestern hat Vaillant angerufen:
    "Es dauert noch ein wenig, die Verträge werden gerade inhaltlich neu erstellt. Wenn das fertig ist, bekomme ich ihn zugeschickt."
    Kennt jemand die Änderungen ???

  • Oh, danke Hovi. Dann kann ich wenigstens den Grund ahnen, dass ich noch kein Vertragsangebot zugeschickt bekommen habe. Ich habe in der letzten Nacht noch mal bei Power Plus einen Vertrag angefordert.

  • Ich hatte auch vor einiger Zeit auch einen Vollwartungsvertrag beantragt.
    Gestern hat Vaillant angerufen:
    "Es dauert noch ein wenig, die Verträge werden gerade inhaltlich neu erstellt. Wenn das fertig ist, bekomme ich ihn zugeschickt."


    ich hab vor ca. 6 wochen eins bekommen ( hat 2 tage gedauert), da war zumindest nicht die rede davon, des es überarbeitet wird


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • ich hab vor ca. 6 wochen eins bekommen ( hat 2 tage gedauert), da war zumindest nicht die rede davon, des es überarbeitet wird


    Wieder nur eine Vermutung, ich weiss ;). Aber die Überarbeitung könnte etwas mit dem Sicherheitsproblem und der Änderung am VPN-Zugang zu tun haben. Die Absätze die bisher zum Internetzugang im Vertrag standen, dürften bei der neuen Lösung nicht mehr passen. Eventuell wird Vaillant ja auch die Anbindung per UMTS - wie bei uns verbaut - in Zukunft als Option anbieten und erweitert den Vertrag entsprechend?

  • Mir wäre es wichtig, dass die Wartung ohne extra Kosten auch bei schon belegtem Port HTTP, HTTPS oder schon vorhandenem VPN geht.


  • Wieder nur eine Vermutung, ich weiss ;). Aber die Überarbeitung könnte etwas mit dem Sicherheitsproblem und der Änderung am VPN-Zugang zu tun haben. Die Absätze die bisher zum Internetzugang im Vertrag standen, dürften bei der neuen Lösung nicht mehr passen. Eventuell wird Vaillant ja auch die Anbindung per UMTS - wie bei uns verbaut - in Zukunft als Option anbieten und erweitert den Vertrag entsprechend?


    denke mal das du mit deiner vermutung richtig liegst ;) da muss der vertrag geändert werden..
    ich halte nur das sicherheitsproblem für überbewertet |__|:-)
    auch das dafür eine internetverbindung erforderlich ist |__|:-)


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • auch das dafür eine internetverbindung erforderlich ist


    Da stimme ich Dir zu: Aus meiner Sicht muss ein BHKW nicht zwingend aus dem Internet verfügbar sein, damit eine Fernwartung durch den Hersteller möglich ist. Dazu gäbe es andere, einfacher absicherbare Verfahren. Oben ist zum Beispiel mal die "antiquierte" Analogleitung zum Einwählen von außen genannt worden wie sie für Server üblich war / ist. Oder dass die Geräte nur bei Bedarf angewählt werden oder sich beim Herstellen anmelden. Bei Vaillant sind ja mehrere Schritte geplant, damit das Gesamtsystem optimiert und immer besser abgesichert werden soll. Ich bin gespannt, welche Schritte wann tatsächlich bei Kunden - und besonders auch auf den bereits installierten Geräten - ankommen.


    ich halte nur das sicherheitsproblem für überbewertet


    Ich habe die Welle losgetreten, da ich das anders sehe. Viele Sicherheitsrisiken waren früher schon bekannt: http statt https, Maschine ist 24x7 im Internet, Java-App mit kaputten Zertifikaten, Standardkennworte, von Vaillant vorgegebenes dyndns. Und dann kam Anfang Februar dazu, dass die Kiste quasi offen ist.


    Da es Vaillant jetzt sehr herunterspielt und es in der Presse und Foren häufig falsch wiedergegeben wurde: Es geht nicht darum dass man die Kennworte mitsniffen kann. Man muss nicht abwarten bis sich ein Vaillant Experte einloggt und dann das (Standard!) Kennwort mitlesen. Man ruft einfach die Java-App des fremden eco auf - und dann überträgt der alle Kennworte im Klartext etwa 2x pro Sekunde an den PC des Angreifers. Das ist unfassbar schlecht implementiert [man denke sich hier bitte deutlich undiplomatische Formulierungen] und beweist, dass beim Design Sicherheit NIE ein Thema war. Nein, dafür braucht man nicht "kriminelle Energie" und "IT Expertenwissen". Das können heute 10jährige mit Google und etwas Spieltrieb. Oder dass irgendwer ein "How-to hack a eco" ins Netz stellt - das leider viel zu kurz wäre: Man braucht 4-5 Schritte, da ist die Installation der nötigen Software schon drin.


    Zum Risiko: Oben habe ich schon geschrieben dass ich auch nicht nachvollziehen kann, warum Vaillant behauptet dass die eco nur ausgeschaltet werden können. Mindestens kann man sie so umkonfigurieren dass der Besitzer im Kalten sitzt, dann noch die Kennworte verstellen - und es dauert schon ein bisschen, bis ein Techniker vor Ort ist und die Kiste wieder zum Laufen bringt. Weil man natürlich vorher auch die IPs verbastelt hat. Ja, manche Kunden können das vielleicht fixen - aber es reicht nicht die Anweisung "schalten Sie die Heizung halt am roten Knopf wieder ein!" wie man das aus Vaillants Presseinfo herauslesen kann. Und ich wette dass noch viel mehr geht, mindestens auch ein Hardware-Schäden, wahrscheinlich auch Schäden am Gebäude wegen Einfrieren der Leitungen oder vielleicht Überhitzung der Fußboden/Wandheizung.


    "Aber das macht doch niemand, weil das verboten ist!" (freie Wiedergabe der Aussage von Vaillant gegenüber der Presse). Bei Vaillant gibt es also keine Schlösser an den Türen, keine Werksausweise, weil ja keiner ins Werk reingeht der das nicht darf - weil das verboten ist? Warum brauchen wir dann am eco überhaupt Kennworte, es reichen doch drei Buttons "Kunde", "Fachhandwerker", "Vaillant". Es ist ja verboten, dass der Kunde auf "Vaillant" klickt - wer würde das dann tun?!


    Kids finden es sicher auch cool, "Klingeljagd" (bei den Nachbarn an Haustürklingel läuten und dann abhauen) durch "ecoJagd" zu ersetzen. Dabei stellt man dem Nachbarn, der gestern von seiner neuen Heizung geprahlt hat, einfach mal das Warmwasser zum Duschen ab. Oder spielt "Heizung-Crashen" bei irgendwem auf der Welt. Einfach weil es geht. In der IT ist das schon lange schmerzlich bekannt - bei Heizungsbauern wird es Zeit, dass sie es auch lernen. Offensichtlich.

  • von it hab ich nicht soviel ahnung....nur weiß ich das keiner vor meinen haus steht und sich ins bhkw haken tut...( ich war noch nie on )
    mag in einer großstadt anders sein. ?(
    nur was hat derjenige davon ?
    das vaillant keine it spezillisten sind ist normal...
    deswegen versteh ich das nicht das der wartungsvertrag mit dem internet gekoppelt ist...weg den mist |__|:-)

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • Daniel, alles kein Problem: Du bist nicht allein ;) Denn offensichtlich geht es (zu) vielen Mitarbeitern bei Vaillant so wie Dir. Zum Glück aber nicht allen, denn einige Mitarbeiter wissen nicht erst seit Anfang Februar dass die bisher eingesetzte Lösung aus Sicht der Heizungstechnik sehr innovativ, IT-technisch aber Steinzeit ist.


    Denk bitte nicht an den Menschen der mit dem Notebook im Auto vor Deinen Haus parkt und Dir Böses will. Es geht meist nicht darum Dich genau zu treffen. Denk an Scriptkiddies die einfach mal zig-tausende PC mit Viren verseuchen, weil sie wissen wie das geht. Bei laut Vaillant 120 Geräten mit Vollwartungsvertrag oder geschätzt 800 verbauten ecoPower ist das noch relativ uninteressant, bei hoffentlich irgendwann einigen tausend Geräten wird es spannender. Aber auch jetzt sollte Vaillant (ich mag den Claim "Weil Vaillant weiterdenkt" ;) ) doch bitteschön die allerbanalsten Sicherheitsansätze umsetzen, oder siehst Du das anders?


    Nebenbei: Ich bin fest davon überzeugt, dass man prinzipiell die IT-technischen Mängel auch bei Bestandsgeräten sehr gut lösen kann. Alternativen die IT-technisch auf dem neusten Stand wären, aber in der Heizungstechnik massive Probleme hätten, wären viel schwerer zu retten!

  • Moin,


    ich stimme Dirk42 voll zu, es braucht keinen Grund nur lange Weile und Spieltrieb damit sich irgendwer von irgendwo auf der Welt einhackt. Diese Lücke muß geschlossen werden und zumindest nach dem heutigen Stand "dicht" sein.
    Klar für echte Hacker mit genügend krimineller Energie stellt der heutige Stand kein Problem dar, aber die beschäftigen sich hoffentlich nicht mit unseren Eco sondern mit dem Pentagon oder Atomkraftwerken.
    Das Vaillant sich nun windet und zur Schadensbegrenzung in den "Dementi - Modus" wechselt war leider vorauszusehen - wer gibt schon öffentlich zu Bockmist gebaut zu haben. Ich denke und hoffe das Vaillant hinter den Kulissen paar auf den Sack bekommen hat, schlieslich war das Bundesamt für DingsBums ( BSI ) involviert.


    mfg

  • IT-technisch aber Steinzeit ist.


    Die Internet-Lösung wurde kurz vor der Auslieferung der ersten Seriengeräte kreiert. Man hatte vorher die alte Vaillantlösung vorgesehen, die es bereits für größere Heizsysteme gab. Daher hatte sich die Auslieferung auch um mehrere Monate verzögert. Vaillant wollte das Modernste für ihr neues Produkt, bekam es auch von dem Zulieferer aber der hat wohl kein Gedanken an die Sicherheit verschwendet. Stand wohl nicht im Pflichtenheft. Vaillant ist eben kein IT-Sicherheitsspezialist. Das die aber sehr schnell und mit Spezialisten das Problem anpacken, sollte man positiv sehen.


    Fehler macht jeder, es kommt nur darauf an wie man damit umgeht.

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Hallo,
    ich halte die Diskussion , ob das wirklich ein Risiko ist etc. für überflüssig. Hier kann man unterschiedlicher Meinung sein.


    Ich habe für viel Geld das modernste Nano BHKW auf dem Markt gekauft, mit Fernwartung über Internet inclusive.
    Die Hochglanzbroschüren von Vaillant erzeugen hierzu die entsprechende Erwatungshaltung...


    Ich erwarte also hier einfach dass dies nach dem Stand der Technik gegen Unbefugte abgesichert ist. Alles andere ist Pfusch !


    Gruß Ecojo