Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

  • Hallo,


    ich habe heute einen Brief von Vaillant bekommen mit oben genanntem Titel. Man weist darin auf Sicherheitslücken im System hin und empfiehlt mir den Systemregler von Internet zu trennen !
    Ich werde außerdem aufgefordert dann die Störungsmeldungen und Wartungsaufforderungen selbst durchzuführen. Man ist bereit evtl. Durch den Partner Cervis entstandene Kosten für Erstellung der dyndns Einrichtung entstanden sind zu ersetzen.


    Das ist schon stark....


    Immerhin wird für in 8-10 Wochen eine Hard- und Softwarelösung angekündigt.


    Kennt jemand den Hintergrund. Ist das die hier schon öfter diskutierte Sicherheitslücke ? Gab es Vorfälle, die zum Handeln gezwungen haben?
    Immerhin würde jeder Rechtsanwalt den Stand der Technik einfordern....


    Wie werdet Ihr damit umgehen ?


    Gruß Ecojo


  • @ ecojo
    hast du einen anderen brief bekommen ?
    bei mir steht nichts von stör und wartungsmeldunen, auch nichts von kostenerstattung, für was den erstattung ? weilvaillant nicht darauf zugreifen kann ? 8o


    wie ich damit umgehe ? :walklike:
    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger
    Ich gehe davon aus das Vaillant SW oder HW Modifikationen vornehmen wird um das Problem zu beheben. Für VW erwarte ich dies Kostenfrei (falls HW notwendig).


    Ich bin am überlegen noch eine Authentifizierung vor der Heizung bzw. meinem Dyndns Portal zu setzen damit man nicht gleich auf den Ecopower oder Solarlogger oder oder kommt. Am bestes mit generiertem PWD, das per Telefon bei mir abfragbar ist.

  • Daniel,


    Gemeint ist die Erstattung, falls man sich kostenpflichtig die sysdns hat einrichten lassen.


    Gruß Ecojo


    ?( denke immer noch das du einen anderen brief hast :whistling:
    bei mir steht nur was von hardware nachkaufen zum vorzugspreis..
    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • scheinbar gibt es zwei Briefe, einer für VW Kunden und einer für Kunden ohne VW.


    Es gibt 3 Briefe. Auch noch einen an die Installateure.


    Bei VW-Kunden erfolgt ab der KW 22 ein kostenloser Umbau. Dies ist für die VW zwingend erforderlich.


    Für die anderen Kunden steht ab der KW 26 eine Nachrüstkit zum Sonderpreis zur Verfügung. Der genaue Preis steht z.Z. noch nicht fest.


    Alle ab dem 01.07.2013 ausgelieferten Geräte werden serienmäßig damit ausgerüstet

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Liebe Betreiber eines ecoPOWER 1.0,


    bereits seit einigen Wochen steht die Redaktion unserer BHKW-Infothek zusammen mit dem heise Verlag und dem Bundesamt für Sicherheit in der Informationstechnik wegen der hinter den jetzt versandten Schreiben stehenden Problematik mit Vaillant in Verbindung. Der Inhalt des Schreibens variiert abhängig davon, ob ein Wartungsvertrag besteht, oder nicht. Insgesamt existieren vier verschiedene Varianten des Schreibens, da selbstverständlich auch der Fach- und Großhandel informiert werden muss.


    Wir empfehlen dringend allen Besitzern eines BHKW vom Typ ecoPOWER 1.0 der Aufforderung des Herstellers zur Trennung der Internetverbindung umgehend zu folgen.


    Am Montag wird ein detaillierter Hintergrundbericht die näheren Umstände beleuchten.


    Viele Grüße
    Der Vorstand des BHKW-Forum e.V.

  • Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.


    -> Zum Artikel und Video


    -

  • Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.


    An dem Video ist nicht auszusetzen aber die gezeigte Installation ist vorsichtig gesagt "nicht fachgerecht". Ich möchte da keine Wartung machen da die Wartungszugänge zugebaut sind und kann mir nicht vorstellen, dass ein Vaillant-Kundendienst dieses Gerät in Betrieb genommen hat. Die hätten die IB abgelehnt.


    An alle die noch ein Gerät installieren wollen: Bitte kein Beispiel daran nehmen. :!::!:

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger


    Hallo Gruß nach Backnang,


    Dein Gottvertrauen in allen Ehren! Mal sehen wann sie dein Bankacount hacken!


    Jetzt auch hier. Warum auch sollte gerade Vaillant hier besser sein als viele andere, viel größere companies wie MS, ADOBE oder die JAVA Vertreiber! Es hilft demnach nur noch: LAN Stecker ziehen!


    Zitat:
    "Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.


    Also jetzt wissen wir es: Es wurde unbedarft programmiert!


    Am 12 Feb 2013 verfasste ich eine kurzes Statement zum Thema Datensicherheit im Thread "Fernwartung durch Vaillant, wie funktioniert´s?" und outete mich als "Bedenkenträger".


    Viel Reaktionen warenn damals a la endurance. Auch einige "Profis" waren der Meineung: "Vaillant kann das schon".


    Sobald man die Abschottung des Hausnetzes aufgibt, ist man natürlich auf mehren Ebenen angreifbar. Wer garantiert, das der Zugriff nur auf den Systemregler beschränkt blleibt?


    Damit wären wir wieder beim Bankaccount.


    Gruß aus Heilbronn.