Fernwartung Sicherheitslücke bedroht Hightech-Heizungen

Hochmoderne Heizanlagen des deutschen Herstellers Vaillant haben ein Sicherheitsproblem - sie lassen sich übers Internet abschalten, womöglich beschädigen. Das notwendige Update kann nur von einem Techniker installiert werden. Bis der kommt, empfiehlt der Hersteller drastische Maßnahmen.

Von

Mikro-Blockheizkraftwerk Vaillant ecoPower 1.0: Update per Speicherkarte
Vaillant

Mikro-Blockheizkraftwerk Vaillant ecoPower 1.0: Update per Speicherkarte


Mehrere hundert Kunden des Heizanlagenherstellers Vaillant haben in den letzten Tagen beunruhigende Post bekommen. In einem Infoschreiben forderte die Firma Betreiber von Heizungen des Typs ecoPower 1.0 dazu auf, am Steuergerät der Anlage das Netzwerkkabel abzuziehen. Der Grund für die ungewöhnliche Aufforderung ist eine Sicherheitslücke im sogenannten Systemregler, also der Steuereinheit der Anlage. Laut heise.de könnten Angreifer die Anlage via Internet abschalten und womöglich beschädigen.

Der Hersteller bezeichnet die ecoPower 1.0 als Familienkraftwerk. Im Grunde handelt es sich um die Miniaturausgabe eines Blockheizkraftwerks, das Heizwärme, Warmwasser und Strom zugleich erzeugt. Die Anlage kann nicht nur am Gerät selbst, sondern auch per iPad-App gesteuert werden. Außerdem lässt sie sich mit dem Internet verbinden. Damit haben Vaillant-Techniker die Möglichkeit zur Fernwartung und der Besitzer kann via Webbrowser Temperatureinstellungen ändern und die komplette Anlage, oder einzelne Komponenten, an- und abschalten.

Diese Option bereitet nun die Probleme. "Die BHKW-Infothek" berichtet, dass es Dritten möglich ist, sich über diese Schnittstelle gegenüber der Heizung als Besitzer, Techniker oder gar Entwickler zu identifizieren und die Einstellungen zu manipulieren. Laut heise.de ist es "sehr einfach, an die Klartext-Passwörter für den Fernzugriff" zu kommen. Vom Computer Emergency Response Team (CERT) der Bundesverwaltung wurde die Sicherheitslücke als "grundsätzlich kritisch" eingestuft.

Entdeckt hatte die Lücke im Februar der Besitzer einer ecoPower 1.0, dem ungewöhnlicher Datenverkehr aufgefallen war. Er hatte "Die BHKW-Infothek" informiert und gemeinsam mit dem Portal Vaillant benachrichtigt. Das Unternehmen habe daraufhin eine Arbeitsgruppe gebildet, die eine Lösung für das Problem erarbeitet hat, schreiben die Experten.

Sicherheits-Update durch Techniker

Anders als bei PC oder Smartphones lässt sich der Fehler in der Vaillant-Anlage aber nicht mit einem einfachen Update vom Anwender selbst beheben. Stattdessen ist ein Technikerbesuch fällig, bei dem die bisherige Betriebssoftware der Anlage durch eine neue Version ersetzt wird. Der Vorgang selbst erscheint simpel: Laut heise.de muss dazu lediglich die SD-Speicherkarte der Heizung ausgetauscht werden. Vaillants Rat einfach den Netzwerkstecker zu ziehen, ist eine sichere, wenn auch ungewöhnliche Methode, um bis dahin Fremde vom Rechenwerk der Heizung fernzuhalten.

Wie viele Anlagen von dem Problem betroffen sind, lässt sich nicht eindeutig beziffern. Insgesamt habe man bisher rund 800 der circa 16.000 Euro teuren ecoPower 1.0 verkauft, sagt Vaillant-Sprecher Jens Wichtermann SPIEGEL ONLINE. Die seien alle grundsätzlich per iPad steuerbar, das allerdings nur innerhalb des heimischen W-Lan. Der Webzugriff sei generell für Anlagen aktiviert, deren Besitzer einen sogenannten Vollwartungsvertrag abgeschlossen haben, der auch die Fernwartung enthält. Insgesamt handelt es sich dabei um 120 Nutzer. Unklar ist allerdings, wie viele Anlagen auch ohne einen solchen Wartungsvertrag mit dem Netz verbunden sind.

"Illegales Vorgehen"

Vaillant hält Befürchtungen für unbegründet, ein Angreifer könnte Schaden anrichten, indem er die Heizung beispielsweise bei Frost abschaltet oder im Sommer überheizen lässt. Man habe die Fernsteuerungsfunktionen ausgiebig getestet und könne nun "das mutwillige Erzeugen von unsicheren Betriebszuständen oder die Möglichkeit einer Beschädigung der Anlage ausschließen". Selbst wenn es gelingt die Heizung zu deaktivieren seien Frostschäden ausgeschlossen, "weil das obligatorische Zusatzheizgerät dies nicht zulässt", erklärt Vaillant-Sprecher Wichtermann.

Um potentiellen Eindringlingen künftig den Zugang zu den Heizanlagen unmöglich zu machen, will das Unternehmen es nicht nur bei einem Software-Update belassen. Stattdessen will man in den Anlagen zusätzlich eine VPN-Box installieren, über die der Netzzugang verschlüsselt hergestellt wird. Für Kunden mit Wartungsvertrag ist diese Ergänzung kostenlos, künftig soll sie Teil des Wartungspakets sein.

Ohnehin aber scheint man bei Vaillant davon auszugehen, dass niemand versuchen wird, die Lücke auszunutzen. Dazu müsste man "hohen Aufwand" betreiben und bräuchte "fortgeschrittenes IT-Fachwissen". Vor allem aber, so heißt es in einem Statement des Unternehmens, wäre dies ein "illegales Vorgehen". EcoPower-1.0-Nutzern, die sich trotzdem informieren möchten, stellt das Unternehmen unter 0800-9999-300 eine kostenlose Hotline zur Verfügung - von 8 bis 18 Uhr.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 68 Beiträge
Alle Kommentare öffnen
Seite 1
spon-facebook-10000215408 16.04.2013
1. Merkwürdig
Fernwartung , Hacken, Steuerung durch den Anwender ...allles per Internet möglich. Aber ein simpler Softwareupdate nicht. Und ne SD-Karte verschicken die der Anwender wechselt geht auch nicht. Muss man das verstehen ??
whocaresbutyou 16.04.2013
2. drastische Maßnahme
Zitat von sysopVaillantHochmoderne Heizanlagen des deutschen Herstellers Vaillant haben ein Sicherheitsproblem - sie lassen sich übers Internet abschalten, womöglich beschädigen. Das notwendige Update kann nur von einem Techniker installiert werden. Bis der kommt, empfiehlt der Hersteller drastische Maßnahmen. http://www.spiegel.de/netzwelt/gadgets/vaillant-sicherheitsluecke-bedroht-hightech-heizungen-a-894665.html
drastische Maßnahmen... den Internetstecker der Heizung ziehen... Ich hatte ja mit "ausschalten" oder "Notbetrieb" gerechnet, aber gleich die gesamte Heizung vom Internet trennen?? Drastisch... ;o)
Thorongil 16.04.2013
3.
Fachwissen vorausgesetzt wird sowieso niemand irgendwas damit machen wollen, denn es ist ja verboten. Niemand tut verbotene Dinge. Alles kein Problem.
M. Michaelis 16.04.2013
4.
Kleiner Vorgeschmack auf das was uns mit den sog. Power Grids bzw intelligten Stromnetzen droht. Viel Spass.
OskarVernon 16.04.2013
5. Na, wie schön:
Zitat von sysopVaillantHochmoderne Heizanlagen des deutschen Herstellers Vaillant haben ein Sicherheitsproblem - sie lassen sich übers Internet abschalten, womöglich beschädigen. Das notwendige Update kann nur von einem Techniker installiert werden. Bis der kommt, empfiehlt der Hersteller drastische Maßnahmen. http://www.spiegel.de/netzwelt/gadgets/vaillant-sicherheitsluecke-bedroht-hightech-heizungen-a-894665.html
Da hat man im Hause Vaillant wohl nicht daran gedacht, dass solche Anlagen unabhängig von der Inanspruchnahme staatlicher Förderung meldepflichtig sind. Keineswegs auszuschließen also, dass die bloße Möglichkeit des Onlinezugriffs auf Steuerung und Nutzungsdaten obrigkeitliche Begehrlichkeiten weckt... oO
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.