Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

      Hallo,

      ich habe heute einen Brief von Vaillant bekommen mit oben genanntem Titel. Man weist darin auf Sicherheitslücken im System hin und empfiehlt mir den Systemregler von Internet zu trennen !
      Ich werde außerdem aufgefordert dann die Störungsmeldungen und Wartungsaufforderungen selbst durchzuführen. Man ist bereit evtl. Durch den Partner Cervis entstandene Kosten für Erstellung der dyndns Einrichtung entstanden sind zu ersetzen.

      Das ist schon stark....

      Immerhin wird für in 8-10 Wochen eine Hard- und Softwarelösung angekündigt.

      Kennt jemand den Hintergrund. Ist das die hier schon öfter diskutierte Sicherheitslücke ? Gab es Vorfälle, die zum Handeln gezwungen haben?
      Immerhin würde jeder Rechtsanwalt den Stand der Technik einfordern....

      Wie werdet Ihr damit umgehen ?

      Gruß Ecojo
    • Ecojo schrieb:

      Hallo,

      ich habe heute einen Brief von Vaillant bekommen mit oben genanntem Titel. Man weist darin auf Sicherheitslücken im System hin und empfiehlt mir den Systemregler von Internet zu trennen !
      Ich werde außerdem aufgefordert dann die Störungsmeldungen und Wartungsaufforderungen selbst durchzuführen. Man ist bereit evtl. Durch den Partner Cervis entstandene Kosten für Erstellung der dyndns Einrichtung entstanden sind zu ersetzen.

      Das ist schon stark....

      Immerhin wird für in 8-10 Wochen eine Hard- und Softwarelösung angekündigt.

      Kennt jemand den Hintergrund. Ist das die hier schon öfter diskutierte Sicherheitslücke ? Gab es Vorfälle, die zum Handeln gezwungen haben?
      Immerhin würde jeder Rechtsanwalt den Stand der Technik einfordern....

      Wie werdet Ihr damit umgehen ?

      Gruß Ecojo


      @ ecojo
      hast du einen anderen brief bekommen ?
      bei mir steht nichts von stör und wartungsmeldunen, auch nichts von kostenerstattung, für was den erstattung ? weilvaillant nicht darauf zugreifen kann ? 8o

      wie ich damit umgehe ? :walklike:
      gruß daniel
      db Strom Wärme Wasser
      16356-Werneuchen-Wegendorfer Str. 51
      zertifizierter Vaillant ecoPOWER-Partner
      BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
      geplant für 2014: Vaillant Brennstoffzelle
    • Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger
      Ich gehe davon aus das Vaillant SW oder HW Modifikationen vornehmen wird um das Problem zu beheben. Für VW erwarte ich dies Kostenfrei (falls HW notwendig).

      Ich bin am überlegen noch eine Authentifizierung vor der Heizung bzw. meinem Dyndns Portal zu setzen damit man nicht gleich auf den Ecopower oder Solarlogger oder oder kommt. Am bestes mit generiertem PWD, das per Telefon bei mir abfragbar ist.
      PV 18,2kWp - BHKW EcoPower 1.0, 30kWh LiON Sunny Island System
      BMW i3 60Ah (Verbrauch ca. 13,8kWh/100km; SW: I001-16-07-506) - Familyblog: okedv.dyndns.org/wbb/blog
    • Ecojo schrieb:

      @daniel,

      Gemeint ist die Erstattung, falls man sich kostenpflichtig die sysdns hat einrichten lassen.

      Gruß Ecojo

      ?( denke immer noch das du einen anderen brief hast :whistling:
      bei mir steht nur was von hardware nachkaufen zum vorzugspreis..
      gruß daniel
      db Strom Wärme Wasser
      16356-Werneuchen-Wegendorfer Str. 51
      zertifizierter Vaillant ecoPOWER-Partner
      BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
      geplant für 2014: Vaillant Brennstoffzelle
    • alikante schrieb:

      scheinbar gibt es zwei Briefe, einer für VW Kunden und einer für Kunden ohne VW.

      Es gibt 3 Briefe. Auch noch einen an die Installateure.

      Bei VW-Kunden erfolgt ab der KW 22 ein kostenloser Umbau. Dies ist für die VW zwingend erforderlich.

      Für die anderen Kunden steht ab der KW 26 eine Nachrüstkit zum Sonderpreis zur Verfügung. Der genaue Preis steht z.Z. noch nicht fest.

      Alle ab dem 01.07.2013 ausgelieferten Geräte werden serienmäßig damit ausgerüstet
      Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
      perdok.info/
      Oscar Perdok GmbH
      Gildeweg 14, 46562 Voerde
      Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)
    • Liebe Betreiber eines ecoPOWER 1.0,

      bereits seit einigen Wochen steht die Redaktion unserer BHKW-Infothek zusammen mit dem heise Verlag und dem Bundesamt für Sicherheit in der Informationstechnik wegen der hinter den jetzt versandten Schreiben stehenden Problematik mit Vaillant in Verbindung. Der Inhalt des Schreibens variiert abhängig davon, ob ein Wartungsvertrag besteht, oder nicht. Insgesamt existieren vier verschiedene Varianten des Schreibens, da selbstverständlich auch der Fach- und Großhandel informiert werden muss.

      Wir empfehlen dringend allen Besitzern eines BHKW vom Typ ecoPOWER 1.0 der Aufforderung des Herstellers zur Trennung der Internetverbindung umgehend zu folgen.


      Am Montag wird ein detaillierter Hintergrundbericht die näheren Umstände beleuchten.

      Viele Grüße
      Der Vorstand des BHKW-Forum e.V.
      BHKW-Forum e.V., Kirchdorf 80, 25335 Neuendorf
      Beratungstelefon des BHKW-Forums: 04121-9080509
      Die BHKW-Infothek: www.bhkw-infothek.de
      Über den Verein: bhkw-forum.org
    • Sicherheitslücke des ecoPOWER 1.0

      Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

      -> Zum Artikel und Video

      -
      BHKW-Forum e.V., Kirchdorf 80, 25335 Neuendorf
      Beratungstelefon des BHKW-Forums: 04121-9080509
      Die BHKW-Infothek: www.bhkw-infothek.de
      Über den Verein: bhkw-forum.org
    • BHKW-Forum schrieb:

      Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

      An dem Video ist nicht auszusetzen aber die gezeigte Installation ist vorsichtig gesagt "nicht fachgerecht". Ich möchte da keine Wartung machen da die Wartungszugänge zugebaut sind und kann mir nicht vorstellen, dass ein Vaillant-Kundendienst dieses Gerät in Betrieb genommen hat. Die hätten die IB abgelehnt.

      An alle die noch ein Gerät installieren wollen: Bitte kein Beispiel daran nehmen. :!: :!:
      Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
      perdok.info/
      Oscar Perdok GmbH
      Gildeweg 14, 46562 Voerde
      Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)
    • endurance schrieb:

      Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger

      Hallo Gruß nach Backnang,

      Dein Gottvertrauen in allen Ehren! Mal sehen wann sie dein Bankacount hacken!

      Jetzt auch hier. Warum auch sollte gerade Vaillant hier besser sein als viele andere, viel größere companies wie MS, ADOBE oder die JAVA Vertreiber! Es hilft demnach nur noch: LAN Stecker ziehen!

      Zitat:
      "Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.

      Also jetzt wissen wir es: Es wurde unbedarft programmiert!

      Am 12 Feb 2013 verfasste ich eine kurzes Statement zum Thema Datensicherheit im Thread "Fernwartung durch Vaillant, wie funktioniert´s?" und outete mich als "Bedenkenträger".

      Viel Reaktionen warenn damals a la endurance. Auch einige "Profis" waren der Meineung: "Vaillant kann das schon".

      Sobald man die Abschottung des Hausnetzes aufgibt, ist man natürlich auf mehren Ebenen angreifbar. Wer garantiert, das der Zugriff nur auf den Systemregler beschränkt blleibt?

      Damit wären wir wieder beim Bankaccount.

      Gruß aus Heilbronn.
      Eventuelle Schreibfehler bitte ich zu entschuldigen. ;-_
    • Hallo Doriar,

      Deine Nachricht am 12.2. habe ich sehr wohl gesehen, einen riesigen Schreck bekommen und gehofft, dass niemand über das Scheunentor-große Loch stolpert, das ich eine Woche vorher an Vaillant gemeldet hatte. Ich denke das ging allen so, die zu dem Zeitpunkt bereits geahnt haben was auf uns zukommt... und die deswegen auf Deinen Artikel nicht geantwortet haben.

      Klar könnte man die These vertreten, dass es sowieso nie ein 100% sicheres System geben kann. LAN-Kabel ab = "Air Gap". Abgesehen davon dass Vaillant für den Vollwartungsvertrag die Internetverbindung quasi vorschreibt - sonst kostet der Vollwarter ja deutlich mehr - gibt es aber auch andere Anwendungsfälle, bei denen der Zugriff von Außen sinnvoll ist. Und dafür akzeptiere ich ein gewisses Risiko. Aber die bisher eingebaute sicherheitstechnische Umsetzung beim eco 1.0 ist so... ähm... "speziell", dass das Risiko absolut nicht tragbar ist.

      Mit VPN, Direktverbindung nur zu Vaillant etc. kann ich das Risiko gut mitgehen - unser eco ist mit Feldtest-VPN seit letzter Woche wieder im Netz. (Hoffentlich probiert' jetzt niemand unsere Kiste zu hacken... :rolleyes: )

      Viele Grüße

      Dirk
    • BHKW-Forum schrieb:

      Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

      -> Zum Artikel und Video

      -


      Und mittlerweile bei heise:
      heise.de/newsticker/meldung/Va…erheits-Leck-1840919.html

      The H (englisch):
      h-online.com/security/news/ite…ting-systems-1842489.html

      Tweakers (niederländisch):
      tweakers.net/nieuws/88506/cv-k…heid-in-webinterface.html

      :wacko:
      Aktuelle Meldungen vom BHKW-Forum e.V.
      -> bhkw-infothek.de/nachrichten/
      BHKW-Videos vom BHKW-Forum e.V.
      -> youtube.com/user/DasEcoTeam
    • @doriar

      In glaube du unterschätzt mein sicherheitsbewusstsein. Mein heimnetz ist mit NAT und Proxy inklusive Firewall abgesichert. Kritische sw laeuft in eigenen virtuellen Umgebungen etc.
      Wenn ich mich aber ueber jede sicherheitsluecke aufregen wuerde waere ich tot, an Herzkasper gestorben.
      Die vaillant sw haette bei mir keine Freigabe bekommen höchstens mit den entsprechenden hinweisen in den releasenotes. Da sind auch sonst noch genügend Bugs drin, auch sicherheitsirrelevante. Leider ist bananensoftware heute quasi Standard.

      Wenn ich jetzt VPN lese kommt bei mir die frage auf wie das genau technisch realisiert werden soll.

      Apropos bankaccount, der ist mir eBen wichtiger als Heizung, bisher war ja auch nicht klar was alles offen liegt. Mt den heutigen Infos kommt das Eco bei mir auch nicht ans Netz (nicht direkt jedenfalls).
      PV 18,2kWp - BHKW EcoPower 1.0, 30kWh LiON Sunny Island System
      BMW i3 60Ah (Verbrauch ca. 13,8kWh/100km; SW: I001-16-07-506) - Familyblog: okedv.dyndns.org/wbb/blog
    • Nachtrag: prinzipiell ist jedes System knackbar solange es einen Zugangspunkt gibt - immer eine Frage des Aufwandes.
      Wieviel Aufwand jemand treibt hängt wohl von der Zielsetzung und dem möglichen Benefit ab. Heizungen zu hacken halte ich jetzt erstmal für wenig lukrativ somit wird es weniger potentiell "motivierte" Einbrecher geben. Wenn der Aufwand aber nahe null geht (wie in diesem Fall) wird es kritisch.

      Aus meiner Sicht ist Sicherheit immer verbunden mit einem Abwägen von Risiken und Kosten/Aufwaenden zu Risikominimierung und dem eigenen "Komfortbedarf".

      Vaillant hat definitiv geschlampt, da gibt es kein vertun. Trotzdem bin ich positiv überrascht, dass Vaillant reagiert bevor alle Medien das issue veröffentlicht haben. Die eine oder andere Firma haette das versucht auszusitzen und gewartet wie groß denn der Sturm der Entrüstung wird.
      PV 18,2kWp - BHKW EcoPower 1.0, 30kWh LiON Sunny Island System
      BMW i3 60Ah (Verbrauch ca. 13,8kWh/100km; SW: I001-16-07-506) - Familyblog: okedv.dyndns.org/wbb/blog