Fremdzugriff: Sicherheitslücke bei Vaillant-Heizungsanlagen

Bei den Vaillant Heizungsanlagen wurde eine gefährliche Sicherheitslücke festgestellt. Betroffen ist der Typ ecoPower 1.0. Das Sicherheitsloch ermöglicht es potentiellen Angreifern über das Internet auf die Heizungsanlagen zuzugreifen und diese zu beschädigen. Die aktuelle Empfehlung lautet daher die Heizungsanlagen solange vom Netz zu nehmen bis eine Überprüfung durch einen Servicetechniker stattgefunden hat.

Bei den betroffenen Anlagen des Typs ecoPower handelt es sich um Nano-Blockheizkraftwerke, die aus Gas sowohl Wärme als auch Strom produzieren können. Sie sind mit dem Internet verbunden und mit einem Webinterface vom Kunden und von Servicemitarbeitern aus der Ferne steuerbar. Genau bei diesem Webinterface besteht die entscheidende Schwachstelle, denn sie ermöglicht auch den ungewollten Fremdzugriff durch Dritte. Dadurch ist es möglich, dass sich potentielle Angreifer als Kunde oder sogar als Servicemitarbeiter authentifizieren und auf die Anlage zugreifen und diese manipulieren. So kann beispielsweise die Heizungsanlage abgeschaltet werden, wodurch es vor allem im Winter zu Frostschäden kommen könnte.

Durch die Anmeldung der ecoPower-Heizungen in einen DynDNS-Dienst des Herstellers, wird das Problem zusätzlich verschärft. Denn dies befähigt Unbefugte durch einfaches Ausprobieren sämtliche laufende Systeme zu erfassen.

Mittlerweile wurden alle Kunden per Post über die bestehende Sicherheitslücke informiert und dazu aufgefordert, die Netzstecker der betroffenen Anlagen zu ziehen und auf den Austausch der unsicheren Software durch einen Servicemitarbeiter zu warten. Dies soll durch den Wechsel der SD-Karte erfolgen.

Zusätzlich soll zukünftig eine VPN-Box, die die Zugriffe auf den Hersteller-Server verschlüsselt, für zusätzliche Sicherheit sorgen.

Quelle: heise online