Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

Sicherheitsupdate für das ecoPOWER 1.0 von Vaillant (Bild: BHKW-Infothek)Das Warten hat ein Ende: Nachdem die Computerzeitschrift c’t und die BHKW-Infothek im Februar die von einem Leser der BHKW-Infothek entdeckte Sicherheitslücke an das BSI und den BHKW-Hersteller Vaillant meldeten, tat sich lange Zeit wenig. Viel konnte Vaillant auch nicht tun, denn wie die c’t herausfand, lag die Ursache der Sicherheitslücke nicht bei Vaillant, sondern in der von Saia-Burgess hergestellten PCD-Steuerung des ecoPOWER 1.0, die laut Hersteller weltweit in etwa 200.000 Anlagen verbaut wurde.

Was war passiert?
Nachdem sich über Wochen keine Lösung abzeichnete zog Vaillant schließlich Anfang April die Notbremse und forderte alle Besitzer eines ecoPOWER 1.0 zur sofortigen Trennung der Internetverbindung auf. Vaillant informiert seine Kunden in einem Schreiben, dass “ein unberechtigter Fremdzugriff via Internet auf den Systemregler des ecoPOWER 1.0 möglich ist” und dass Betreiber einer betroffenen Heizung umgehend “den ecoPOWER 1.0 vom Internet […] trennen [sollen], indem sie den Netzwerkstecker aus dem Systemregler entfernen”. Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilte, war die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich war und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar waren.

ecoPOWER Firmware 2.05
Wie heise Security berichtet, hat der Steuerungshersteller Saia-Burgess vor wenigen Wochen mit der COSinus-Firmware in Version 1.22 endlich ein Sicherheitsupdate herausgebracht. Auch wenn die eigentliche Lücke mit diesem Update beseitigt wurde, raten die IT-Experten und auch der Steuerungshersteller selbst zu einer Abschirmung der Anlagen mittels verschlüsselten VPN-Tunneln.

Innenansicht des ecoPOWER 1.0 Systemreglers

Der Saia-Burgess Systemregler des ecoPOWER 1.0

Dieser Empfehlung folgt auch Vaillant und hat neben der Implementierung des Sicherheitsupdates in die aktuelle ecoPOWER-Firmware mit der Versionsnummer 2.05 in der vergangenen Woche auch mit der Auslieferung von VPN-Boxen an die Betreiber des Nano-BHKW begonnen. Die Installation der VPN-Boxen sowie des Firmware-Updates via SD-Karte soll im Rahmen der regulären Wartungstermine erfolgen. Einen Haken hat die Sache jedoch: Die Kunden können nach dem Update nicht mehr mit der iPad App oder dem heimischen Computer direkt auf die Heizung zugreifen. Vaillant arbeitet jedoch an einem Webservice, der einen komfortableren und sicheren Zugriff auf die stromerzeugende Heizung ermöglichen soll. Versierte Computernutzer können sich zudem mit dem kostenlosen Tool OpenVPN einen sicheren Zugang zur Heizung einrichten.

Für seine etwa 1.500 betroffenen Kunden, hat Vaillant unter der Rufnummer 0800-9999-3000 eine Hotline eingerichtet, die werktags von 8 bis 18 Uhr für weitere Informationen und Terminabsprachen erreichbar ist.

Weitere Meldungen zum Thema:
Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des ecoPOWER 1.0
Gefahr im Kraftwerk: Auch große BHKW sind betroffen!
Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen
Weitere Meldungen zu den stromerzeugenden Heizungen von Vaillant

Ein Artikel von Susanne Schneidereit
(Bilder: BHKW-Infothek)

 

3 Antworten auf Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

  1. Pingback: Heizungsfinder Forum

  2. Pingback: Gefahr im Kraftwerk: Auch große BHKW sind betroffen! | BHKW-Infothek

  3. Pingback: Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0 | BHKW-Infothek

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *