Das Warten hat ein Ende: Nachdem die Computerzeitschrift c’t und die BHKW-Infothek im Februar die von einem Leser der BHKW-Infothek entdeckte Sicherheitslücke an das BSI und den BHKW-Hersteller Vaillant meldeten, tat sich lange Zeit wenig. Viel konnte Vaillant auch nicht tun, denn wie die c’t herausfand, lag die Ursache der Sicherheitslücke nicht bei Vaillant, sondern in der von Saia-Burgess hergestellten PCD-Steuerung des ecoPOWER 1.0, die laut Hersteller weltweit in etwa 200.000 Anlagen verbaut wurde.
Was war passiert?
Nachdem sich über Wochen keine Lösung abzeichnete zog Vaillant schließlich Anfang April die Notbremse und forderte alle Besitzer eines ecoPOWER 1.0 zur sofortigen Trennung der Internetverbindung auf. Vaillant informiert seine Kunden in einem Schreiben, dass “ein unberechtigter Fremdzugriff via Internet auf den Systemregler des ecoPOWER 1.0 möglich ist” und dass Betreiber einer betroffenen Heizung umgehend “den ecoPOWER 1.0 vom Internet […] trennen [sollen], indem sie den Netzwerkstecker aus dem Systemregler entfernen”. Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilte, war die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich war und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar waren.
ecoPOWER Firmware 2.05
Wie heise Security berichtet, hat der Steuerungshersteller Saia-Burgess vor wenigen Wochen mit der COSinus-Firmware in Version 1.22 endlich ein Sicherheitsupdate herausgebracht. Auch wenn die eigentliche Lücke mit diesem Update beseitigt wurde, raten die IT-Experten und auch der Steuerungshersteller selbst zu einer Abschirmung der Anlagen mittels verschlüsselten VPN-Tunneln.
Für seine etwa 1.500 betroffenen Kunden, hat Vaillant unter der Rufnummer 0800-9999-3000 eine Hotline eingerichtet, die werktags von 8 bis 18 Uhr für weitere Informationen und Terminabsprachen erreichbar ist.
Weitere Meldungen zum Thema:
– Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des ecoPOWER 1.0
– Gefahr im Kraftwerk: Auch große BHKW sind betroffen!
– Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen
– Weitere Meldungen zu den stromerzeugenden Heizungen von Vaillant
Ein Artikel von Susanne Schneidereit
(Bilder: BHKW-Infothek)
Pingback: Heizungsfinder Forum
Pingback: Gefahr im Kraftwerk: Auch große BHKW sind betroffen! | BHKW-Infothek
Pingback: Parlamentarische Anfrage zur Sicherheit von BHKW-Steuerungen und Neues zum Sicherheitsupdate für das ecoPOWER 1.0 | BHKW-Infothek