Sicherheit Anno 1679

Wir gehen zurück in das Jahr des Herrn 1679. Dietrich aus Heddernheim errichtete mit seiner Holden in Butzbach gegenüber der Markuskirche ein stattlich‘ Haus, Scheune und Stall unter einem Dache gebauet. Als ihm folgendes widerfuhr:

Durchgang von Tenne zu StallEines Abends im Februar kam Dietrich spät an das Richtung Griedel gelegene Stadttor hin, so dass ihn die Wächter nur hineinlassen wollten, wenn er die richtige Parole nenne. Da er diese jedoch nicht kannte und draußen vor dem Tore übernachten musste, hatte Dietrich etwas Muße zum Nachdenken.

Auf dem Marktplatze hatte es bereits die Runde gemacht, dass die Butzbacher Wächter etwas fahrlässiger sind als die in Frankfurt. Dort muss man die Parole mit Kreide auf ein Täfelchen schreiben, dem Wächter geheim zeigen und dieser löschet sie sofort wieder, damit kein anderer die Parole erfahre. Die Butzbacher Wächter sind da nachlässiger, ihnen soll man das Geheimnis einfach sagen – so dass auch nebenstehende Taugenichtse die Parole abhören und damit in die Stadt gelangen können. Aber leider war in dieser Nacht keiner da, der die Parole kannte oder Dietrich mit in die Stadt nehmen konnte.

Die beiden Wächter wollten ihn aber nur mit Parole in die Stadt lassen. So hatte Dietrich mehr als genug Zeit die Ankündigung des Magistrats am Stadttor durchzusehen, in welcher dieser beschreibt, dass nur ehrbare Bürger hineingelassen würden, welche die geheime Parole kennen. Aber – da war ja noch etwas, klein und auf der Rückseite der Ankündigung geschrieben? Dietrich zückte seine Lupe – ein nicht ganz ungebräuchliches Gerät – und entzifferte die Nachricht auf der Ankündigung: „Katharina 1234“, „1234“ und „91128“ stand da geschrieben. Warum steht auf solch einem Zettel der Name Katharina? Das würde doch wohl nicht…?

Die verschlafenen Wächter wunderten sich etwas, dass Dietrich sie wieder ansprach. „Die Parole…“ – „Katharina 1234“ sprach er. „Warum nicht gleich so…“ brummelten die Wächter und öffnen eine Pforte im Stadttor. „Wenn ich Euch nun 1234 gesagt hätte…?“ – „Dann hättest Du als Handwerker in die Stadt gedurft, mit Werkzeug und Wagen…“ „Und 91128?“ – „Uuuiiii! Das ist aber ganz geheim! Das darfst Du gar nicht wissen, das ist doch die Parole vom Magistrat, damit kannst Du sogar ins Rathaus und die Schatzkammer!“

Müde aber ob dieser Erfahrungen etwas aufgeregt ging Dietrich zu seiner Holden hin zum Kirchplatz. Diese war wie er bestürzt ob so viel Unvernunft – schließlich lauern dauernd Taugenichtse vor den Toren der Stadt. Daher trat Dietrich gleich am nächsten Morgen vor den Magistrat, damit dieser mehr Sicherheit für seine Bürger schaffe. Es stellte sich heraus, dass das Übel noch viel übler wäre: Wo man am Griedeler Tor zumindest auf „Katharina“, den Namen der Frau des einen Wächters kommen musste, so kam man bei den anderen Toren allein durch Nennung von „Butzbach“ durch die Stadttore. Damit keiner aus dem Magistrat vor dem Tore lagern müsse, war aber vorsichtshalber „91128“ überall bekannt – und auch seit Errichtung der Tore niemals geändert worden…

„So was kann ja gar nicht passieren!“ – dachte ich auch. Bis ich durch einen Zufall – der obigen Erzählung nicht unähnlich – genau ein solches Loch im Zugriffsschutz unseres neuen ecoPower 1.0 Mikro-BHKW gefunden habe. Die BHKW sollen – zumindest für den Vollwartungsvertrag – über das Internet erreichbar sein, damit Störungsmeldungen und Wartungsinformationen ausgelesen werden können. Bei der Lupe handelte es sich keineswegs um ein „Hackerwerkzeug“, sondern eine einfache Erweiterung für den Internetbrowser. Und dank „Lupe“ kam tatsächlich fast „Katharina 1234“ zum Vorschein, als ich mir den Login-Dialog eines fremden ecoPower 1.0 angesehen habe. Die Kennworte sind wirklich „1234“ und im übertragenen Sinn „Butzbach“ (wer hat da grade „Vaillant“ gesagt?!) – das steht so auch in der Anleitung, die man unter Vaillant.de im Internet herunterladen kann. Bei der „91128“ habe ich nur die Zahlen geändert – was stimmt ist, dass dieses Kennwort offensichtlich bei allen Geräten das gleiche ist, nicht geändert wird (werden kann?) auch – und man kommt damit über das Internet mit Entwicklerzugang auf fremde ecoPower…

Sprich: Es sind viele Geräte betroffen, bei denen Hacker oder neugierige Nachbarn sehr leicht in die Heizungssteuerung eindringen können – und das wie ein Vaillant Entwickler.

Honda zurücksetzen

Der Magistrat – pardon, der Hersteller Vaillant – hat jetzt öffentlich auf meinen Hinweis reagiert und alle Besitzer am letzten Freitag informiert, dass sie ihre BHKW aus dem Internet nehmen sollen. Wobei sicher auch sehr geholfen hat, dass sich Louis-F. Stahl von der BHKW-Infothek eingeschaltet hat, der wiederum von Anfang an im Kontakt zum Heise-Verlag und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) steht.

Bis heute haben wir die Lücke nicht veröffentlicht, damit Betreiber ihre ecoPower 1.0 aus dem Internet nehmen können. Mit den ersten Anfragen im BHKW-Forum zum Vaillant-Brief und der Nachricht in der BHKW-Infothek öffnen wir langsam die Büchse der Pandora und sind gespannt auf die Reaktionen. Wenn weitere Informationen publiziert werden, werde ich den Artikel hier weiter aus der Vergangenheit holen…

[Nachtrag 16.4.]

Die Nachricht ist jetzt etwa einen Tag raus – spannende 24 Stunden! Der befürchtete Heise-DoS auf die BHKW-Infothek ist ausgeblieben, Louis‘ Video auf Youtube hat gut 4.500 Hits. Und es gab interessante Diskussionen in verschiedenen Foren. Dazu ein paar Rückmeldungen:

„Auch ein Super-Duper-VPN ist nie ganz sicher!“

Ja. Korrekt. Mit ausreichend viel krimineller Energie, Technik, Brute Force etc. kann man jedes System irgendwann knacken. Aber: Die „Sicherheitsmaßnahmen“ – ich muss sie einfach in Hochkomma schreiben – die bisher beim ecoPower implementiert sind, sind unterirdisch.

Viele eco Besitzer wussten schon lange dass die Übertragung der Kennworte per http nicht sicher ist. Das ist die Geschichte, dass man dem Wächter die Parole sagt – das kann abgehört werden. Wenn ein Besitzer sein Kennwort eingibt, kann prinzipiell die Übertragung abgefangen und mitgelesen werden. Dieses Risiko besteht zum Beispiel, wenn ich über ein offenes WLAN aus dem Café heraus mein eco steuere. Simple Gegenmaßnahme: Die Übertragung wird verschlüsselt – man setzt zum Beispiel https ein (für Sicherheits-Experten: ich weiß, dass das sehr einfach dargestellt ist und auch nicht der Weisheit letzter Schluss!). Diese Lösung haben viele Nutzer Vaillant vorgeschlagen, bisher ohne Erfolg.

Warum dann jetzt die Welle? Warum hat sich Vaillant seit Anfang Februar endlich so viel Mühe gegeben eine Lösung zu bauen?

Weil das ganze noch schlimmer ist als gedacht. Kernschrott. Snake Oil. Unvorstellbar dämlich. Als ich drüber gestolpert bin, habe ich es erst nicht glauben können. Louis hat es auch geschrieben, nochmal: Man muss keinen Vaillant-Experten belauschen oder die Trivialpasswörter erraten – die Maschine schickt einem Angreifer die Kennworte. Im Klartext. Im Paket, damit man die Kennungen für den Vaillant-Experten, Fachhandwerker und Kunden gleich alle auf einmal auf dem Schirm hat. Und das jede Sekunde – damit man sie auch wirklich nicht übersehen kann.

„Wer seine Heizung ins Internet stellt, ist selbst schuld!“

Für den Vollwartungsvertrag ist der Anschluss des eco 1.0 ans Internet nach Vorgaben von Vaillant vorgesehen, ohne Internetanschluss kostet der Wartungsvertrag 108 € mehr:

Über den Internetanschluss des Kunden sollte die Einrichtung einer Fernüberwachung vorgenommen werden. Für den Anschluss des ecoPOWERSystems an den kundeneigenen Internetanschluss sowie das Einrichten der Verbindung ist Vaillant nicht verantwortlich. Vaillant stellt hierzu jedoch allgemeine Konfigurationshinweise zur Verfügung, die die technischen Voraussetzungen für die Fernüberwachung spezifizieren (siehe Anlage B). Die Fernüberwachung über den Internetanschluss des Kunden muss über die gesamte Vertragslaufzeit möglich sein. Vaillant übernimmt nicht die Kosten, die im Zusammenhang mit der Fernüberwachung entstehen (z.B. Telefonanschlusskosten). Ist eine dauerhafte Fernüberwachung über den Internetanschluss des Kunden für Vaillant nicht möglich, erhöht sich der jährliche Wartungspreis um 108,- EUR zzgl. MwSt.

[Quelle: Wartungsvereinbarung mit Funktionsgewährleistung für ecoPOWER 1.0, Firma Vaillant Deutschland GmbH & Co. KG]

Ein BHKW ist halt auch keine ganz normale Heizung – darin werkelt ein kleiner Gasmotor, der regelmäßige Wartung braucht und auch vergleichsweise fehleranfälliger ist als eine Brennwert-Therme oder ein Kühlschrank. Dafür ist es nicht schlecht, dass die eco’s kostengünstig aus der Ferne gewartet werden können – was sich ja auch positiv auf den Preis für den Wartungsvertrag und damit auch die Verbreitung der BHKW auswirkt.

„Meinen Kühlschrank hänge ich ja auch nicht ans Netz!“

Ein BHKW sollte man optimal „fahren“: Strom einspeisen rechnet sich bei kleinen BHKW leider kaum, so viel Strom selbst nutzen wie möglich ist das Ziel. Dafür ist es sinnvoll, dass das BHKW dann Strom produziert, wenn man ihn auch selbst verbraucht. Und dass in der Nacht wenn weniger als 1kW Strom verbraucht wird lieber die Gastherme läuft – die hat man beim ecoPower 1.0 üblicherweise nämlich zusätzlich. Ins Internet braucht das BHKW dafür nicht, eine Steuerung per Hausautomatisierung, iPad und co kann aber sinnvoll sein. Und ja: Da ist auch der Modelleisenbahn-Spieltrieb dabei, ich geb’s ja zu 😉

„Nie wieder Vaillant ecoPower?!“

Nein, vielleicht sogar im Gegenteil „ja“. Sicherheitstechnisch ist die aktuelle Implementierung wirklich selten dämlich. Auch die Prozesse und Regeln müssen dringend verbessert werden – und das nicht nur für die BHKW, sondern alle Geräte bei Vaillant, die irgendwie ins Netz sollen / können. Bei Vaillant hat vermutlich niemand damit gerechnet, dass mal eine Heizung so viel Aufmerksamkeit auf heise.de, Twitter und co bekommt. Aber wenn in Zukunft ein Ingenieur bei Vaillant vor Sicherheitsthemen warnt, hört man ihm hoffentlich etwas mehr zu als vor ein paar Monaten. Man rechnet die Mehrkosten für Security, Tests, Hardware gegen den Aufwand den man jetzt dabei hat, vielleicht tausend Anlagen einzeln anzufahren und umzurüsten. Wäre das Problem erst in einem Jahr herausgekommen, wären die Umrüstkosten mehr als doppelt so hoch geworden.

… und nebenbei: jetzt wissen wenigstens alle Heise-Leser, was ein Mikro-BHKW ist 😉

[Noch ein Nachtrag – 16.4.]

Vaillant hat Spiegel-Online gegenüber behauptet, dass eigentlich kaum etwas passieren kann. Ein Angreifer könnte höchstens die ecoPower ausschalten, aber keinen größeren Schaden anrichten. Auch wäre es ja verboten in fremde eco einzubrechen – also gar kein Problem?! Wie war das noch…

Weil Vaillant weiterdenkt

[Nachtrag vom 2. Mai]

Jetzt ist auch der nächste Teil der Geschichte veröffentlicht: Die ecoPOWER 1.0 waren nur die warme Spitze des Eisbergs. Viel heftiger ist, dass auch Industrieanlagen betroffen sind – daher ist auch das BSI beteiligt bei der Schadensbegrenzung. Die c’t Redaktion hat betroffene Systeme mit Shodan aufgespürt: Ein Gefängnis. Eine Brauerei. Das Fernwärmenetz für einen Ort im Schwarzwald. Ein Rechenzentrum. Ein Fußballstadion. Eine Klebstofffabrik. Dass die c’t in der nächsten Ausgabe auf mehreren Seiten darüber berichtet wusste ich schon – aber dass das ganze in die heute-Nachrichten kommt: Heftig – aber berechtigt. Mal sehen, wer die Geschichte noch bringt und was noch passiert…

43 comments to Sicherheit Anno 1679

Leave a Reply