Gefahr im Kraftwerk: Auch große BHKW sind betroffen!

Titelgrafik: Ausriss aus der ct Ausgabe 11/2013Sicherheitslücken finden sich nicht nur in Heizungsregelungen wie zuletzt beim ecoPOWER 1.0 (wir berichteten), sondern auch in weit größeren Heizkraftwerken, Gefängnisduschen, Rechenzentren und Brauereien. Denn solche Anlagen werden teilweise – wie auch das Vaillant ecoPOWER 1.0 – von einem Regler aus der PCD-Baureihe des zum Honeywell-Konzern gehörenden Herstellers Saia-Burgess kontrolliert. Wie die Zeitschrift c’t in ihrer neusten Ausgabe berichtet, lässt sich die von uns beschriebene Sicherheitslücke des ecoPOWER 1.0 nahtlos auch auf diese Großanlagen übertragen.

Der ecoPOWER-Systemregler

Leicht zu bedienen auch für Angreifer über das Netz

Neben dem Nano-BHKW ecoPOWER 1.0 trifft die Lücke nun unter anderem auch große Blockheizkraftwerke für die Fernwärmeversorgung von mehreren Städten und Gemeinden in ganz Europa. Während deren Betreiber gegenüber dem Fachmagazin c’t und dem ZDF heute-Journal mögliche Folgen der Sicherheitslücke wie die denkbare Beschädigung von Fernwärmepumpen und weitreichende Netzausfälle unumwunden zugeben, versuchte Vaillant nach unserer Veröffentlichung die Problematik klein zu reden. So schreibt Vaillant in einer offiziellen Stellungnahme: „Es ist aber nicht möglich, mutwillig einen unsicheren Betriebszustand zu erzeugen oder die Anlage zu beschädigen“, eine Aussage, der die BHKW-Infothek entschieden widersprechen muss.


Demonstration der Sicherheitslücke und offizielle Stellungnahme von Vaillant

Potentielle Angreifer erhalten durch die vorliegende Sicherheitslücke mit dem Benutzerlevel „Entwickler“ höchstmögliche Rechte und sind neben dem bloßen Ein- und Ausschalten der Anlage auch in der Lage, zahlreiche Parameter zu ändern – einschließlich solcher, die Vaillant selbst im Zugang für den eigenen Kundendienst nicht zugänglich macht. Ein vorstellbares Szenario bleibt beispielsweise die Anhebung der Vorlauftemperaturen auf ein Temperaturniveau von bis zu 80 °C, was bei bestimmten Flächenheizungen zu Schäden an der Bausubstanz führen kann, sofern im betreffenden Objekt kein zusätzlicher Temperaturbegrenzer zur Absicherung potentiell gefährdeter Heizkreise installiert wurde. Bei unseren Gesprächen mit Betreibern wurde uns bestätigt, dass solche Installationen bestehen. Und selbst bei Vaillant scheint man sich dessen bewusst zu sein. Denn obwohl die aktuelle Presseerklärung mögliche Schäden kategorisch ausschließt, warnt das Unternehmen in der aktuellen Anleitung der Steuerung für Vaillant-Fachhandwerker: „Hier können Sie eine minimale und eine maximale Vorlauftemperatur einstellen. Vorsicht! Sachbeschädigung durch hohe Vorlauftemperatur bei Fußbodenheizung! Vorlauftemperaturen über 40 °C können bei einer Fußbodenheizung zu Sachschäden führen. Stellen Sie die Vorlauftemperatur bei Fußbodenheizung nicht über 40 °C.“

Innenansicht des ecoPOWER 1.0 Systemreglers

Der Saia-Burgess Systemregler im ecoPOWER 1.0

Eine ähnliche Informationspolitik verfolgt Vaillant hinsichtlich der von uns beschriebenen Gefahren durch einen möglichen Wegfall der Frostschutzfunktion: „[Ein Frostschaden] ist nicht möglich. Das Mikro-KWK-System beinhaltet immer ein zusätzliches Gas-Brennwertheizgerät. Dieses würde automatisch aktiv werden. Schäden können nicht entstehen.“ Richtig ist hingegen, dass alle relevanten Sensoren wie beispielsweise der Außentemperaturfühler und auch Aktoren wie Pumpen und das Gas-Brennwertgerät vom betroffenen ecoPOWER 1.0 Systemregler angesteuert werden.

In einem Versuch ist es uns zusammen mit einem ecoPOWER-Betreiber gelungen, dem Systemregler unter anderem durch Änderung des aktiven Hydraulikschemas vorzutäuschen, dass er keine Heizkreise ansteuern könne. Weiterhin war es dank einem entsprechenden Temperaturoffset möglich, dem System eine um 15 Kelvin wärmere Außentemperatur vorzutäuschen. Noch dazu ließen sich relevante Pumpen in der regulären Fachhandwerkerebene sperren. Auch zu diesen Möglichkeiten finden sich eindeutige Formulierungen im Fachhandwerkerhandbuch, die sich keineswegs mit der beschwichtigenden Presseerklärung zur Sicherheitslücke decken: „Vorsicht! Mögliche Beschädigung der Anlage! Der Systemregler wird mit der Einstellung ‚System ecoPOWER 1.0 HS 1‘ ausgeliefert. Die Anlage kann durch ein falsch angegebenes Hydraulikschema beschädigt werden.“

An dieser Stelle bleibt jedoch festzuhalten, dass Vaillant das eigentliche Problem mit der Installation eines Patches durch den Kundendienst vor Ort sowie zusätzlich der Einrichtung eines VPN-Gateways bei Kunden mit einem Vollwartungsvertrag versprochen hat und auch bei der Analyse des Problems engagiert und offen vorgegangen ist. Warum das Unternehmen dieses vorbildliche Krisenmanagement jetzt zugunsten einer Kultur des Kleinredens und Verharmlosens aufgegeben hat, können wir nicht nachvollziehen.

BHKW-Steuerung BR06 mit LAN von KW Energie

BHKW-Steuerung BR06 mit LAN von KW Energie

Das Security-Desaster um des ecoPOWER 1.0 hat allerdings auch eine positive Seite: Andere BHKW-Hersteller haben nun das Thema Sicherheit für sich erkannt und rücken von den bisher üblichen Standardpasswörtern ab. Vor wenigen Minuten informierte das Unternehmen KW Energie seine Fachhandwerker und Servicepartner, dass mit der neusten Softwareversion keine Standardpasswörter mehr verwendet werden. Für den Fernzugriff auf das Anlageninterface sollen nun individuelle Passwörter bestehend aus Buchstaben, Zahlen und Sonderzeichen verwendet werden. Dafür wurde eigens eine neue Bildschirmtastatur entwickelt. Weiterhin fordert KW Energie seine Kunden auf, das eigene Kundenpasswort zu ändern, dessen Eingabe auch bei einer Bedienung direkt am Gerät erforderlich ist. Der Zugang zur Fachhandwerkerebene sei hingegen bei KW Energie bereits seit vielen Jahren nur mit anlagenspezifischen und zeitlich beschränkten Einmalpasswörtern möglich, wie der Hersteller in seinem Rundschreiben mitteilt (PDF).

Weitere Details zu der Sicherheitslücke des auch im ecoPOWER 1.0 verbauten PCD-Reglers von Saia-Burgess sowie den betroffenen Großanlagen vom Heizkraftwerk über Gefängnisse bis hin zu Fußballstadien und Brauereien erfahren Sie im Artikel „Gefahr im Kraftwerk“ – zu lesen in der aktuellen Ausgabe 11/2013 der Zeitschrift c’t, die ab heute im Zeitschriftenhandel erhältlich ist.

Neuere Beiträge zum Thema:
-> Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0
-> Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

Nachrichten: Weitere Meldungen zu aktuellen Presseberichten
(Titelgrafik: Ausriss aus der c’t Ausgabe 11/2013)

Ein Artikel von Susanne Schneidereit und Louis-F. Stahl

 

5 Responses to Gefahr im Kraftwerk: Auch große BHKW sind betroffen!

  1. Jens sagt:

    Hallo
    Das mit dem Sicherheitsproblem haben andere BHKW Hersteller schon längst behoben.
    MWM und 2G haben USB Dongles und Jenbacher glaube ich auch.

    MfG
    Jens

    • BHKW-Infothek sagt:

      Lieber Jens,

      solche Dongels sind in der Branche absolut üblich, werden jedoch nur für die Authentifizierung des berechtigten Servicepersonals am Gerät eingesetzt. Das fragliche Thema ist jedoch die Absicherung der Datenfernkommunikation der Geräte mittels VPN-Tunnel oder anderer Verschlüsselung und ohne Standardpasswörter. Bei den von Dir genannten Herstellern haben wir die Sicherheit (noch) nicht im Detail beleuchtet. Für eine Prüfung aller am Markt erhältlichen Geräte fehlt uns nur leider die Kapazität.

      Schöne Grüße
      Susanne

  2. Pingback: heizungsfinder.de | Kritische Sicherheitslücke ecoPOWER 1.0

  3. Pingback: Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken | BHKW-Infothek

  4. Pingback: Angriffsziel Internet of Things

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.