News Alpha Innotec & Novelan: In Firmware hinterlegtes Passwort gefährdet Wärmepumpen

[Celticon]

EVU Sperre kann man easy an der Wärmepumpe brücken. Mach ich natürlich nicht, ist ja nicht erlaubt.
Bei meinem F30 Diesel nervt mich die Motor Start Stop Automatik auch gewaltig. Ließe sich halt auch easy wegcodieren, erlaubt ist aber leider auch das nicht.. also jedes mal zwei Knöpfchen drücken.

Was kommt noch alles in zu Zukunft? Man steht mit seinem digitalen Schlüssel an der Haustür und die russische Hackergruppe lässt einen nicht rein bis man schnell einen gewissen Betrag per Paypal zahlt und eine Pro Putin Meldung bei Social Media absetzt?

 

[Brati23]

Auch die Heizung wird heute fern gewartet wo möglich. Als Störungsmelder ist es schon noch praktisch für gewisse Firmen die das Servicenetz abdecken. Kenne mehrere Anlagen die so betrieben werden. Das läuft aber auf einem separaten Modem / Netz-Anschluss.

 

[wahli]

Der Fix hat vermutlich so lange gedauert:

• weil der Programmierer "Eschi" nicht mehr in der Firma tätig ist
• weil der build erst wieder eingerichtet werden musste und sich niemand mehr auskennt
• weil die Anlagen eh nicht übers Internet erreichbar sind (und wenn doch, ist der Besitzer Schuld)

 

[[VII]]

Warum ist so etwas am Internet angeschlossen? Richtig Smart mit dem Root Passwort

Die News fand ich Heute erstaunlich, ein Botnetz aus Smart Zahnbürsten

Die News hab ich hier auf CB vermisst.

Kann ich Dir sagen, da ich so eine Wärmepumpe von Novelan seit 2021 besitze und nutze. Der Hersteller bzw AIT zwingt mehr oder minder Nutzer dazu diese mit dem Internet zu verbinden, da ansonsten die 5 Jahres-Herstellergarantie nicht gewährt wird. Zieht vermutlich bei vielen Kunden. Ich hatte dem widersprochen und nach einem Telefonat mit dem Support trotzdem die 5 Jahre erhalten. Trotzdem keine angenehme Art.

 

[Nuklon]

Die Skandinavier haben seit Jahrzehnten Wärmepumpen und bei denen ist noch keiner erfroren. Ausgeschaltet sollen die in DE zu Hochlastzeiten ala früh 7-8 und Abends 19-21 Uhr. Von Nachts hat keiner geredet, das ist Angstmacherei der Schwurbler, so wie immer und immer ist bisher nichts davon eingetreten was den Energiesektor angeht.

Zurück zum Thema:
Eine Wärmepumpenfirma ist halt kein Google, die braucht halt mal länger im Releasezyklus, das ist bei so Spezialsoftware nix ungewöhnliches.

Selbst bei reinen Softwarebuden sind Releases mit Sicherheitspatches einmal im Jahr teilweise die Norm. Und viele freuen sich nur einmal im Jahr deployen und testen zu müssen.

Da kommen seitenlange Listen mit gefixten Sachen.

 

[KainerM]

Und bei uns gibt es Nachstromzähler, da purzelt einfach nix raus Tagsüber. Und das gibts seit Jahrzehnten.

Was ich lustig findeist die hohe Last der Wärmepumpen. Meine Luftwärmepumpe läuft bei -10⁰C mit ca. 1kW 2/3 des Tages. Gedämmtes Haus halt...
Aber selbst die dünnste Bude kühlt auch bei -20⁰C nicht innerhalb von ein paar Stunden nennenswert ab wenn man net heizt. Auch meine alte Wohnung im 10. Stock mit 12cm Ziegelwand nicht. Auch da sind die Radiatoren am Tag nur zwei, drei Mal aufgeheizt worden.

Und eie gesagt: wer das nicht aushält, muss seine Wärmepumpe halt mit normalem Strom betreiben, der kostet dann ein aar Cent mehr, kommt dafür rund um die Uhr an.

Ans Netz sollte eine Wärmepumpe trotzdem nicht... So wie meine Solaranlage: da hängt ein Logger dran, der an einer Seriellen Schnittstelle mithört. Reden kann der nicht. Im schlimmsten Fall weiß ein Hacker also, dass ich jetzt mein Auto angesteckt habe, oder dass bei mir die Sonne scheint

Mfg

 

[DNS81]

Warum so weit denken? Wenn das Stromnetz überlastet ist, wird die Wärmepumpe durch den Netzbetreiber abgeschaltet, solltest du nicht genug Strom in deinen Stromspeicherkästen in deinem Haus haben.

Und diese Wahrheit, kann man jederzeit nachlesen. Das ist keine "Scheißhausparole". Aktuell "geht das nur", wenn man einen "Wärmepumpentarif" bucht, für die Zukunft wird es aber für alle so sein.

Genannt, wird es EVU-Sperre.

mfg

Wo bitte genau kann man das nachlesen?

 

[Knighty]

§14a Anlagen... Man sollte allerdings zu Ende lesen: Wärmepumpen, Wallboxen f. E-Mobilität, Energiespeicher und auch EEG-Anlagen müssen regelbar sein. Jede der Kategorien wird jedoch getrennt von den anderen behandelt und es wird pro Kategorie auf 4,2kW "gedrosselt", esseiden das Gerät ist zu alt und kann nicht geregelt werden, dann würde sie tatsächlich abgeschaltet werden. Allerdings muss der Netzbetreiber, regelt er zu oft ab, irgendwann zwangsläufig sein Netz ausbauen, damit nicht mehr abgeregelt werden muss. Das wird auch strangweise betrachtet und dient der Netzstabilität. Und wie gesagt betriff das auch Erzeugungsanlagen, die Geschichte funktioniert nämlich in beide Richtungen.

edit: für solche Anlagen, die der Kunde regelbar macht, erhält er übrigens reduzierte Netzentgelte... selbst wenn nie geregelt werden sollte.
Alles weitere im Haushalt kann und wird nicht geregelt oder abgeschaltet!

 

[Gamefaq]

Bei The Big Bang Theory haben die chinesischen Hacker Sheldon und Co. geärgert, indem sie ihnen das Licht ausgeschaltet haben.

Korrektur. Keine Hacker. Sie haben den Zugriff freiwillig online freigegeben und es dann Penny gezeigt die drauf hin fragte warum? Wie warum? Warum man das tun sollte? Und sie antworteten "weil sie es können..." was mittlerweile Online die Standard Antwort geworden ist warum jemand etwas tut...schlicht weil er es kann...

EDIT: Ich war mal so frei "weil ich es kann"

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Chinaquads]

Was wollen sie machen, den Bivalenzpunkt abändern?

 

[Bish]

Warum braucht eine Wärmepumpe dauerhaften Netzwerkzugang?
Ernst gemeinte Frage...

Ganz einfach, zur Fernwartung. Ich selbst betreue und überwache über 100 Heizungssysteme verschiedener Hersteller der Zeitaufwand für Anfahrten entfällt und die Fehlersuche vom Bürostuhl gestaltet sich ziemlich entspannend. luv it. Die kunden steuern ihre Geräte heutzutage bevorzugt per App.

 

[Boimler]

Auf jeden Fall spannend, dass einige Wärmepumpen direkt übers Internet ansteuerbar waren. Das würde ich tatsächlich nicht so machen wollen.

 

[SSD960]

Lösung : Vom Internet trennen is der Bug gefixt wurde.

 

[madmax2010]

Linux [...] 2.6.33.20 #3 PREEMPT Wed Oct 24 14:25:34 CEST 2018 armv5tejl GNU/Linux

Alter..

 

[Espero]

@madmax2010
Ich bitte um noch ein paar Worte mehr Erklärung. Selbst mit Suchmaschine sagt mir deine Linux-Meldung (noch) nichts.

Ergänzung (7. Februar 2024)

Ah, jetzt: die verlinkte CVE-Schwachstelle aus dem Beitrag... ok

 

[JoeyTai]

Was ein bekloppter Anfängerfehler, das ist sowas von 90er Jahre.. 🤯

 

[MalWiederIch]

Ja, das ist die Grundgefahr, wenn man sein Haus "smart" haben möchte.

Nicht wirklich, nur wenn die Geräte direkt (!) im Netz hängen - was in den allermeisten Fällen nicht der Fall ist.

Wenn alles im Internet hängt

Tut es idR nicht. Somit ist idR auch keine SSH Verbindung etc. möglich.

dann ist auch alles potentiell gefährdet

Eben soweit wie dein Rechner der auch nur im LAN hängt … im besten Fall trennt man mit VLANs.

. Und ja, man geht erstmal davon aus, dass das nicht passieren wird ... bis dann eben doch eine solche Lücke aufploppt und sich alles ändert.

Eben wie bei jeder Sicherheitslücke?!?

Es gibt keine absolute Sicherheit, vor allem nicht in Industriebereichen, die bis vor wenigen Jahren mit dem Internet nichts zu tun hatten

In welcher Welt? „bis vor wenigen Jahren“

, keine Erfahrung besitzen und keine umfangreiche Entwicklungsabteilung für Cybersecurity etc.

Die braucht es nicht wirklich um so etwas wie in der News zu unterbinden …

Ergänzung (8. Februar 2024)

Geht ja gar nicht mal so sehr ums smart haben wollen, manchmal geht es auch einfach nicht mehr anders. Neue Geräte sind manchmal einfach nicht mehr ohne smarte Funktion zu bekommen oder überhaupt bedienbar. Leider.

Hast du keinen Router?

 

[Michael-Menten]

In welchem Jahr wird es wohl zum ersten Blackout kommen ausgelöst durch übernomme Wärmepumpen, E-Autos bzw. Haus-USV/Akkus, Trockner, Backofen, etc. (alles was schlagartig große Laständerungen verursachen kann)?

Nur 1 mio. Geräte mit 5kW jeweils hast sind das bereits 5 GW an Last die du abwerfen oder anschalten kannst als Angreifer. Da viele Geräte auch einen Standort haben kannst du sogar schön geographisch/räumlich das ganze optimieren.
Wenn das richtung 10 mio. Geräte geht wird es unbequem.

 

[Boimler]

Wahrscheinlich in dem Jahr, in dem jeder Mensch die Kompetenz und die Lust hat, seinen kompletten Hausstand per SSH vom Strand auf Mallorca aus direkt zu steuern. Also nie.

 

[Elderian]

Ich habe hier eine betroffene Wärmepumpe, allerdings schon mit neuerer Firmware. Diese habe ich im Herbst vom Installateur aufgespielt bekommen, allerdings nicht wegen dieser Sicherheitslücke, sondern ganz profan weil dieser sich davon Verbesserungen bei einer von mir beanstandeten Funktion erhoffte.
SSH ist auch aus dem LAN nicht möglich. Ob es das vorher war, weiß ich nicht. Ich denke daher, dass die einzelnen Geräte vermutlich nach und nach aktualisiert worden sind bzw. Noch werden.

Die "Internetverbindung" finde ich Recht praktisch: ich bekomme eine Nachricht, wenn sie Heizung einen Fehler hat und kann schnell drauf reagieren. Aufgrund der Trägheit des Systems könnte das ansonsten durchaus dauern, man geht ja unter Umständen nicht jeden Tag an seiner Heizung vorbei und sieht die Fehler-Lampe leuchten.

In welchem Jahr wird es wohl zum ersten Blackout kommen ausgelöst durch übernomme Wärmepumpen, E-Autos bzw. Haus-USV/Akkus, Trockner, Backofen, etc. (alles was schlagartig große Laständerungen verursachen kann)?

Was passiert in Deutschland aktuell jeden Morgen? Kinder gehen in die Schule, Eltern in die Arbeit. Da laufen Kaffeemaschinen, Mikrowellen, Herde, Warmwasserboiler etc. an. Sollte es knapp werden, wird die EVU-Sperre das stabilisieren. Ich mache mir da keine Sorgen.