Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0

Der ecoPOWER-SystemreglerMit einer Parlamentarischen Anfrage möchte die Bundestagsfraktion der Grünen von der Bundesregierung detailliert Auskunft erhalten, wie diese die Gefährdung durch über das Internet verwundbare Industrieanlagen einschätzt. Hintergrund dieser Anfrage ist eine von der BHKW-Infothek aufgedeckte Sicherheitslücke im Systemregler der stromerzeugenden Heizung Vaillant ecoPOWER 1.0.

Mit ihrer parlamentarischen Anfrage (PDF) möchten die Grünen von der Bundesregierung nun erfahren, welche Maßnahmen aus Sicht der Regierung geeignet wären, um die Hersteller von IT- und Steuerungssystemen künftig stärker in die Verantwortung zu nehmen, sichere Produkte zu entwickeln und auch langfristig zeitnah Sicherheitsupdates für bekannte Lücken anzubieten. Die Hersteller von Hard- und Software stünden unter einem stetigen Kostendruck. „Nur wenn die Anbieter für mögliche Folgen der Security-Mängel ihrer Produkte auch das Haftungsrisiko tragen, entstünde ein echter Anreiz sichere Lösungen zu entwickeln und erkannte Probleme zügig zu beheben“, erklärte der Bundestagsabgeordnete Konstantin von Notz gegenüber heise online.

Wie sich durch eine auf unserer Veröffentlichung aufbauenden Recherche der Fachzeitschrift c’t herausstellte, war die Ursache der Sicherheitslücke des ecoPOWER 1.0 nicht im Hause Vaillant zu suchen, sondern ein im ecoPOWER 1.0 verbautes Steuerungsmodul des Schweizer Herstellers Saia-Burgess, welches auch in großen Industrieanlagen zum Einsatz kommt. Betroffen waren nach Angaben der c’t europaweit über 1.000 Anlagen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte, sollen alleine in Deutschland etwa 500 Anlagen verwundbar gewesen sein. Unter den Betroffenen befanden sich neben 300 Betreibern des ecoPOWER 1.0 auch Brauereien, Rechenzentren, ein Gefängnis und die Schließanlage eines Fußballstadions. Alle diese Anlagen konnten aufgrund der Sicherheitslücke einfach von Unberechtigten ferngesteuert werden – und sind zum Teil noch heute ungeschützt am Netz.

Zwar nahm die BHKW-Infothek bereits im Februar zusammen mit der c’t und dem BSI Kontakt mit Vaillant auf, bei dem durch Vaillant und das BSI informierten Regler-Hersteller Saia-Burgess tat sich jedoch bisher wenig. Vaillant hat schließlich seine Kunden über die Lücke informiert und in Ermangelung eines Sicherheitsupdates aufgefordert, einfach den Netzwerkstecker des Gerätes zu ziehen. Nachdem auch fast ein halbes Jahr nach der Information von Saia-Burgess noch immer kein Update verfügbar ist, installiert Vaillant den ecoPower-Betreibern im Rahmen der regelmäßigen Gerätewartung derzeit mit der ecoPOWER-Firmware in Version 2.04 ein eigenes Interimsupdate.


Demonstration der Sicherheitslücke und offizielle Stellungnahme von Vaillant

Interimsupdate für das ecoPOWER 1.0 von Vaillant (Bild: BHKW-Infothek)

Interimsupdate für das ecoPOWER 1.0 mit Netzwerksperre

Die von Vaillant selbst angepasste vorläufige Version der Reglersoftware umgeht das Problem, indem sie grundsätzlich den Netzwerkzugriff auf das ecoPOWER deaktiviert. Der BHKW-Betreiber kann jedoch für Fernwartungszwecke den Internetzugriff für genau eine Stunde über eine am Gerätetouchscreen zu betätigenden Befehl freischalten. Zudem hat Vaillant einen zusätzlichen Passwortschutz aktiviert, der vor dem verwundbaren Authentifizierungsdialog eingeblendet wird. Aufgrund dieser doppelten Absicherung bleibt allerdings auch bei einer kurzzeitigen Freischaltung des Reglers die Vaillant-iPad-App ausgesperrt, wie ein enttäuschter Betreiber der BHKW-Infothek mitteilte.

Saia-Burgess berichtete gegenüber der c’t indes, dass das Unternehmen auch nach fast einem halben Jahr noch immer mit Hochdruck an dem dringend benötigten Sicherheitsupdate arbeite. Auf einen genauen Veröffentlichungstermin konnte sich Saia-Burgess gegenüber der c’t allerdings leider nicht festlegen. Aber sofern „die Entwicklung weiterhin erfolgreich verläuft“, könne der kritische Sicherheitspatch voraussichtlich noch in diesem Monat erscheinen, verspricht das Unternehmen.

Aber auch wenn dieses Update von Saia-Burgess zur Verfügung steht, wird es nur noch wenige Wochen dauern, bis Vaillant das Update in seine Softwarelösung integriert hat. Mit einer Behebung der Beschränkungen durch das Interimsupdate ist für ecoPOWER-Betreiber daher nicht vor Mitte bis Ende Juli zu rechnen. Zwischenzeitlich plant Vaillant jedoch mit der ecoPOWER-Firmware in Version 2.05 bereits in den nächsten Wochen noch ein weiteres Interimsupdate herauszubringen, welches bereits auf einer Vorabversion des großen Sicherheitsupdates von Saia-Burgess basieren soll.

Fortschritte konnte Vaillant zwischenzeitlich jedoch bei der Entwicklung und Erprobung der angekündigten VPN-Boxen erzielen: „Die erste Lieferung der neuen VPN-Boxen ist bei uns eingetroffen. Nach der entsprechenden Parametrierung werden wir bereits in etwa zwei Wochen mit der Auslieferung an unsere Vollwartungskunden beginnen können. Sobald diese Sicherheitslösung bei einem Kunden installiert wurde, erübrigen sich auch die derzeit bestehenden Komforteinschränkungen durch das Interimsupdate“, berichtete der zuständige Vaillant Projektmanager gegenüber der BHKW-Infothek.

Für Vollwartungskunden werden die VPN-Boxen wie von Vaillant bereits angekündigt kostenlos zur Verfügung gestellt und auch durch einen Vaillant-Techniker vor Ort installiert. Die genauen Konditionen für Kunden ohne Vollwartungsvertrag plant Vaillant in Kürze bekanntzugeben.

Neuere Meldungen zum Thema:
-> Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken

(Bilder und Video: BHKW-Infothek)

Ein Artikel von Gunnar Micheel und Susanne Schneidereit

 

4 Responses to Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0

  1. Pingback: Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken | BHKW-Infothek

  2. Pingback: Ankündigung: Artikel im Entwickler Magazin Spezial "Internet of Things" - Dipl.-Inform. Carsten Eilers

  3. Pingback: Angriffsziel Internet of Things

  4. Pingback: Produktabkündigung: Vaillant beerdigt das ecoPower 1.0 | BHKW-Infothek

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.