Die Vaillant-Heizungsanlagen des Typs ecoPower 1.0 enthalten ein hochkritisches Sicherheitsloch, durch das ein Angreifer die Anlage über das Internet ausschalten und potenziell beschädigen kann. In einem Informationsschreiben rät der Hersteller seinen Kunden daher zu einem drastischen Schritt: Sie sollen den Netzwerkstecker ziehen und auf den Besuch eines Servicetechnikers warten.

Vaillant ecoPOWER 1.0 (Bild: BHKW-Infothek)

Bei den für Ein- und Zweifamilienhäuser ausgelegten ecoPower-Anlagen handelt es sich um sogenannte Nano-Blockheizkraftwerke, die aus Gas nicht nur Wärme, sondern gleichzeitig auch Strom produzieren. Die Anlagen sind mit dem Internet verbunden und über ein Webinterface fernsteuerbar – sowohl von ihren Besitzern als auch von Service-Technikern. Allerdings schlummert in diesen Webinterface ein erhebliches Sicherheitsproblem, wodurch man sehr einfach an die Klartext-Passwörter für den Fernzugriff kommt.

Neben dem Kundenpasswort geben die Anlagen auf Zuruf auch das sogenannte Experten- und das Entwicklerpasswort aus; man kann also mit höchstmöglichen Rechten auf das System zugreifen und so etwa die Anlage im Winter ausschalten, wodurch es zu Frostschäden kommen kann. Durch das Erhöhen der Vorlauftemperatur kann es auch im Sommer zu Schäden kommen, sofern angeschlossene Flächenheizungen nicht über einen unabhängigen Temperaturbegrenzer verfügen.

Die Situation wird dadurch verschlimmert, dass sich die ecoPower-Anlagen bei einem DynDNS-Dienst des Herstellers anmelden. Man kann daher durch simples Herumprobieren sämtliche laufende Systeme aufspüren.

Entdeckt hat die Schwachstelle ein Leser der Branchenseite BHKW-Infothek, welche schließlich heise Security eingeschaltet hat. Gemeinsam mit der BHKW-Infothek konnten wir das Problem reproduzieren und mit Vaillant schließlich Lösungswege besprechen. Wir haben auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet, das sich daraufhin dafür eingesetzt hat, dass die Lücke geschlossen wird.

Bis der Service-Techniker mit dem Update vorbei kommt, hilft nur eins: Netzwerkkabel ziehen. (Bild: Vaillant)

Dabei ist herausgekommen, dass zunächst einmal sämtliche betroffene Kunden auf dem Postweg informiert werden. Das ist im Laufe der vergangenen Tage passiert. Die Kunden wurden aufgefordert, den Netzwerkstecker aus der Heizung zu ziehen. Im nächsten Schritt wird der Hersteller Techniker schicken, die die verwundbare Software gegen eine abgesicherte Version austauschen. Dazu wird die SD-Karte der Heizung ersetzt.

Darüber will hinaus will Vaillant in Kürze eine VPN-Box anbieten, welche die Verbindung zum Hersteller-Server verschlüsselt und dafür sorgen soll, dass die Anlage nicht mehr direkt über das Internet erreichbar ist. Für Kunden, die einen Wartungsvertrag abgeschlossen haben, soll auch diese Leistung kostenlos sein. Alle anderen können die Box für einen bislang nicht genannten Betrag erwerben. Der Hersteller hat eine Hotline eingerichtet, die werktags von 8 bis 18 Uhr erreichbar ist: 0800-9999-3000. (rei)