Eine allgemeine Veröffentlichung dieses Informationsblattes ist wohl nicht beabsichtigt gewesen.
Schon wieder ein Informationsleck ?? 
Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"
-
-
-
Diese Informationsblatt ist nur für Fachpartner mit Zugang zum Fachpartnernet und soll eine Hilfe zur Beantwortung von Kundenfragen sein. Eine allgemeine Veröffentlichung dieses Informationsblattes ist wohl nicht beabsichtigt gewesen.
Das ist jetzt nicht wahr, oder?! Liebe Firma Vaillant, können wir nochmal kurz über das Thema "Sicherheit" und "wie lege ich Informationen sicher ab" nachdenken...? Wobei die Informationen offensichtlich auch an HaustechnikDialog und SBZ-Online gegangen sind, dort stehen die gleichen "Wahrheiten".Passt grade so schön dazu: Unter http://www.vaillant.de/Service/Bedienungsanleitungen/ konnte man bis vor kurzem vier Dokumente zum 1.0 herunterladen: Betriebsanleitung für Betreiber, Fachhandwerker Betriebs- und Installationsanleitung (mit Fachhandwerker-“Kennwort“ 1234...), Betriebsanleitung für Fachhandwerker und Betriebsanleitung für Fachhandwerker Service-Software. Auf den letzten beiden prangt der dicke Hinweis: „Dieses Dokument darf nur an geschulte Fachhandwerker weitergegeben werden, die von Vaillant qualifiziert sind und erfolgreich an einer KWK-Modul-Schulung für Inbetriebnahme und Wartung bei Vaillant teilgenommen haben.“
... wohlgemerkt: Download ohne jede Anmeldung frei über die Vaillant-Webseite... -
Passt grade so schön dazu: Unter http://www.vaillant.de/Service/Bedienungsanleitungen/ konnte man bis vor kurzem vier Dokumente zum 1.0 herunterladen: Betriebsanleitung für Betreiber, Fachhandwerker Betriebs- und Installationsanleitung (mit Fachhandwerker-“Kennwort“ 1234...), Betriebsanleitung für Fachhandwerker und Betriebsanleitung für Fachhandwerker Service-Software. Auf den letzten beiden prangt der dicke Hinweis: „Dieses Dokument darf nur an geschulte Fachhandwerker weitergegeben werden, die von Vaillant qualifiziert sind und erfolgreich an einer KWK-Modul-Schulung für Inbetriebnahme und Wartung bei Vaillant teilgenommen haben.“
... wohlgemerkt: Download ohne jede Anmeldung frei über die Vaillant-Webseite...Dirk,
die betriebsanleitungen gehören zum gerät nicht den fachhandwerker, die hast du auch bezahlt
das heißt nicht das du sie auch benutzen darfst 
gruß daniel
-
...– prompt kommt dabei die Vaillant-Info “Internet-Sicherheit des Mikro-KWK-Systems ecoPOWER 1.0” heraus....
Jetzt weiss ich auch wo
"Kann durch das Ausschalten des BHKW ein Frostschaden verursacht werden?
Nein, das ist nicht möglich. Das Mikro-KWK-System beinhaltet immer ein zusätzliches Gas-
Brennwertheizgerät. Dieses würde automatisch aktiv werden. Schäden können nicht entstehen."herkommt - ich will nicht behaupten das da jemand lügt (absichtlich und wissentlich falsche Tatsachen wiedergibt) aber zumindest wird die Unwahrheit gesagt, da nicht jede Installation eine Therme beinhalten muss (auch wenn es letztes Jahr, als es das System nur als Komplettpakt gab, so war).
Was die "Doku" angeht finde ich es ein Witz das die jeder ohne PWD runterladen kann (wenn schon eingeschränkte Nutzer/Ziel-gruppe).
edit: scheint wir wären einer Meinung - Vaillant braucht eine Beratung wie man mit Sicherheitsthemen umzugehen hat.
-
Was die "Doku" angeht finde ich es ein Witz das die jeder ohne PWD runterladen kann (wenn schon eingeschränkte Nutzer/Ziel-gruppe).
Zur Beruhigung: Nach Hinweis auf der ISH hat Vaillant aufgeräumt, jetzt ist nur noch die Anleitung für den Endanwender frei herunterladbar. Bzw. nach den Erfahrungen der letzten Wochen: Ich habe sie über die Suche nicht mehr gefunden... -
-
Schon wieder ein Informationsleck
Man muss jetzt nicht übertreiben. Dieses Informationsblatt und die Betriebs- und Installationsanleitung beinhalten ja nicht gerade Top-Secret-Informationen und die Betriebs- und Installationsanleitung liegen ja auch jedem Gerät bei. Die Fachhandwerkerebene ist auch bei jedem Brennwertgerät für den Endanwender zugänglich. Das Passwort dient hier mehr dazu dem Anwender darauf aufmerksam zu machen, dass er hier Daten bzw. Einstellungen verändert, die über die üblichen Einstellungen wie z.B. Raumtemperatur kälter bzw. wärmer hinausgehen. Ich bin der Meinung, dass, wenn man ein Gerät gekauft hat, man damit machen kann was man will.Wenn jemand glaubt, dass man Informationen, die man jedem Gerät auch noch beilegt, auf nur einen bestimmten Personenkreis hier den Fachhandwerker beschränken kann, der glaubt auch an den Weihnachtsmann und Osterhase.
-
Wie ist denn der Stand bei der Behebung dieser Sicherheitslücke. Es sollte doch dreistufig vorgegangen werden: jeder sollte dieses Schreiben von Vaillant erhalten. (Ich habe übrigens bis heute noch kein Schreiben bekommen).
Dann sollte ein Softwareupdate erfolgen. Läuft das schon bei jemand, evtl auch als BETA?Und als drittes sollte die hardwareseitige VPN-Lösung erfolgen. Auch da die Frage: gibt es schon Feldversuche oder besteht auch da wieder eine vereinbarte Schweigepflicht?
-
Die Fachhandwerkerebene ist auch bei jedem Brennwertgerät für den Endanwender zugänglich. Das Passwort dient hier mehr dazu dem Anwender darauf aufmerksam zu machen, dass er hier Daten bzw. Einstellungen verändert, die über die üblichen Einstellungen wie z.B. Raumtemperatur kälter bzw. wärmer hinausgehen. Ich bin der Meinung, dass, wenn man ein Gerät gekauft hat, man damit machen kann was man will.Wenn jemand glaubt, dass man Informationen, die man jedem Gerät auch noch beilegt, auf nur einen bestimmten Personenkreis hier den Fachhandwerker beschränken kann, der glaubt auch an den Weihnachtsmann und Osterhase.
ich finde es sogar gut das vaillant es so macht
denn die unterlagen gehören zum gerät ! was soll der handwerker mit den ganzen betriebsanleitungen 
auch kann es sein das der handwerker wechseln tut und ob der neue die anleitung hat
dem betreiber gehört das gerät + zubehör und er kann damit machen was er will
war eigentlich schon immer so, ist nicht neu 
garantie u. gewährleistung bei eingreifen in die fachhandwerkerebene ist ein anderes thema
aber haupsache auf vaillant meckern wie es auch gemacht wird, es wird keinen kunden gerecht gemacht gruß daniel
-
Es (mir, ich habe auch immer gern die FHW doku da die meisten FHW (sorry) weniger Ahnung haben als manche Endkunden) geht doch nicht um die Anleitung an sich, sondern darum das Vaillant verschiedene Zielgruppen ansprechen will/wollte, dies aber sicherheitstechnisch (Zugriff auf die info) nicht geschafft hat.
Weiterhin gehören PWDS nicht in eine Anleitung ohne klar in rot & fett darauf hinzuweisen, dass diese sofort zu aendern sind. -
Es geht doch nicht um die Anleitung an sich, sondern darum das Vaillant verschiedene Zielgruppen ansprechen will/wollte, dies aber sicherheitstechnisch (Zugriff auf die info) nicht geschafft hat.
Weiterhin gehören PWDS nicht in eine Anleitung ohne klar in rot & fett darauf hinzuweisen, dass diese sofort zu aendern sind.bei anderen herstellern steht das passwort auch drin
wo ist dein problem ?
auch sehe ich keinen grund das pw zu ändern, wer soll im efh daran rumspielen ?gruß daniel
-
-
Weil es eben Standard ist PWDs zu ändern, speziell wenn etwas im öffentlichen Netz hängt (so wie das für das Eco vorgesehen war/ist). Steht jedem frei die nicht zu ändern, aber damit der letzte D.pp das versteht sollte eben auf mögliche Gefahren hingewiesen werden.
-
Weil es eben Standard ist PWDs zu ändern
Aber nicht diese Passwörter. Hier sind zwei Sachen miteinander vermischt worden, die nicht hätten vermischt werden dürfen. Das FHW-Passwort dient eigentlich nur dazu an der Anlage selbst damit zu arbeiten unter der Premisse wie ich sie in Beitrag 90 beschrieben habe. Für den Netzwerk bzw. Internetzugang darf man diese nicht verwenden. Das ist aber gemacht worden. Hier steckt der FEHLER! Da muss man es z.B. mit einem VPN lösen und das darf nichts mit der Benutzerebene am Gerät zu tun haben. Erst wenn die gesicherte Verbindung steht darf es wieder so sein wie direkt am Gerät. -
Ich hätte früher darauf kommen können: Google ‘Vaillant und “Versuche mit externen Spezialisten haben ergeben”‘ – prompt kommt dabei die Vaillant-Info “Internet-Sicherheit des Mikro-KWK-Systems ecoPOWER 1.0” heraus. Das PDF ist weder über den Vaillant-Newsroom noch über die eco 1.0 Webseite abrufbar.
Mir wurde grade der Tipp gegeben, dass das PDF doch über die Vailant-Seite zum eco 1.0 ganz offiziell herunterladbar ist. Der Link befindet sich - zumindest aktuell - oben rechts in der Infobox. -
In den 19 Uhr "Heute" Nachrichten des ZDF kam die Story auch nochmal. Ist über deren Mediathek auch online abrufbar. Am Montag dann nochmal ganz ausführlich in der c't im Print.
