Cookies erleichtern die Bereitstellung der Dienste auf dieser Website. Mit der Nutzung dieser Website erklären Sie sich mit dem Einsatz von Cookies einverstanden.

Alle
Foren
Hilfe, die NSA hat meine Heizung gehackt - EIB 300, KNX, LON, LCN
Verfasser:
Karl-Heinz Groß
Zeit: 10.05.2018 15:54:08
0
2645719
So oder ähnlich könnte es irgendwann in nächster Zukunft in der Zeitung mit den 4 großen, roten Buchstaben stehen.

Nachden jüngst das Smarthome der NRW-Landwirtschaftsministerin "angeblich" gehackt wurde und auf der nächsten ISH das Thema Smarthome DAS Thema sein wird, stellt sich mir nun die Frage: "Wie sicher ist Smarthome wirklich?"

Viessmanns Parameter liegen weitestgehend offen. Junkers / Buderus werden wohl folgen. Wie es bei den anderen läuft, ...?

Fakt ist jedenfalls, über die Parameter können sicherheitsrelevante Einstellungen verändert werden! Beispiel gefällig?

Der Pumpenvolumenstrom könnte auf 0 gesetzt werden, Die Brennerleistung auf 100% fest eingestellt werden. Mit den Apps von Google und Co. werden meine smartem Heizkörperventile geschlossen. Die TR- und die STB-Temperatur kann man auf über 100°C, also in den Bereich einer kleinen Dampfheizung bringen. Die Heizungsrohre sind gepresst. Dichtungen so manches Mal nur für 70°C zugelassen.

Oder ein etwas anderes Zenario: Abgasventilator auf 10%, Zündung aus, Gasregler auf "offen". Nach 10 Minuten Zündung.

Und das alles mit einem Hack auf mein ach so smartes Häuschen.

Wer kann sich den potentiellen Schaden nicht vorstellen, den ein Angriff verursachen könnte? Meinungen?

Verfasser:
Onkel2012
Zeit: 10.05.2018 16:24:06
0
2645726
Berechtigt sind so einige Sorgen sicherlich! Allerdings: Der STB ist immer ein mechanisches Bauteil und kann somit nicht per Hackangriff manipuliert werden. Dass in die Funktionen des Feuerungsautomaten eingegriffen werden kann, glaube ich auch nicht.
Was aber theoretisch schon ginge, wären sämtliche Heizkurven, Betriebsarten und Zeitprogramme zu manipulieren. Eventuell auch Frostschutzfuntionen und Einstellungen der Pumpe.
Daher halte ich von diesen Apps garnichts! Bei meiner UVR 1611 habe ich die Möglichkeit via VPN auf die Regelung zuzugreifen. Das halte ich für relativ sicher. Genutzt wird’s dennoch kaum.

Verfasser:
-lfx-
Zeit: 10.05.2018 17:06:26
9
2645731
Und das alles mit einem Hack auf mein ach so smartes Häuschen.

Wer zwingt einen denn diesen ganzen Blödsinn mitzumachen ?

Für meinen EFH-Kessel mit Viessmannsteuerung brauche ich keine Datenanbindung und einen Thermostaten werde ich wohl noch mit der Hand einstellen können.
Wenn ich in den Urlaub fahre stelle ich den Schalter aus. Dann habe ich Ruhe anstatt den ganzen Tag auf das Kratzbrett zu starren .

Das Leben kann so einfach und sicher sein wenn man nicht auf jeden neuen Quatsch abfährt.
Kostet viel weniger Zeit und spart viel Geld.

Wann kommen eigentlich die Menschen wieder auf die Idee vernünftig zu leben statt sich versklaven zu lassen ?

Verfasser:
hanssanitaer
Zeit: 10.05.2018 17:26:28
1
2645739
Der Threadtitel sagt schon alles: Reißerisch, ohne Aussagekraft und problemorientierung.

Wieso maßt man sich eigentlich an, dass die Entwicklungen der jüngeren Zeit so wahnsinnig manipulierbar sind? Schaut mal zurück ins letzte Jahrhundert, da konntest du dich neben den KVz setzen und alle Telefonate der Nachbarschaft mithören. Nannte sich Phreaking, ist dank moderner Digitaltechnologie ausgestorben.

Feuerungsautomaten (z.B. die UBA bei Buderus) arbeiten autark und verfügen nichtmal über eine "Wartungsschnittstelle" oder dergleichen, welche einen Zugriff auf die Firmware erlauben würden.

Bussysteme wie KNX werden von verantwortungsvollen Planern physikalisch und softwareseitig gesichert. Die meisten Systeme sind werksseitig gesichert, keine Defaultpasswörter mehr, keine sinnlosen Portfreigaben, Zugriff weitestgehend über Herstellerportale, somit keine statischen Zugriffsmöglichkeiten.

Verfasser:
OldBo
Zeit: 10.05.2018 18:54:31
2
2645763
Zitat von hanssanitaer Beitrag anzeigen
Der Threadtitel sagt schon alles: Reißerisch, ohne Aussagekraft und problemorientierung.

Wieso maßt man sich eigentlich an, dass ......[...]

Na, die Anmaßung sehe ich eher darin, dass er meint, seine Heizung würde dem NSA interessieren ;>))

Verfasser:
samso
Zeit: 10.05.2018 21:11:46
1
2645801
Da meine Heizung nicht über die Technik verfügt mich denn ganzen Tag auf denn laufenden zu halten,muss sich meine Mutter davor setzen wenn ich nicht da bin.
Aufzuschreiben sind ,Takte,VL-RT Temperatur bei der jeweiligen AT.
Zu berichten ist stündlich per Sms.

Zum Muttertag gibt's ne neue Stoppuhr, die alte geht 10mm Sekunden falsch.

Seit gut zu Euer Mutter und spart euch die App.

Gruß Samso

Verfasser:
lukashen
Zeit: 10.05.2018 21:28:23
0
2645807
Zitat von Karl-Heinz Groß Beitrag anzeigen

Nachden jüngst das Smarthome der NRW-Landwirtschaftsministerin "angeblich" gehackt wurde [...]


Im Nachhinein stellte sich das als ein Gerät eines Familienangehörigen heraus, der versehentlich den kritischen Bericht über den Schweinemastbetrieb auf ihren Fernseher gestreamt hat. Eigentlich sehr peinlich, aber bei Fake-News bleiben halt die Unwahrheiten besser im Gedächtnis als die Wahrheit.

Das smart Home macht einfach das Gleiche durch wie die vernetzten Industrieanlagen seit 20 Jahren. Und die NSA wird es weniger interessieren als die professionelle Einbrecherbande, die durch die Sicherheitslücke der Überwachungskameras mal schnell schaut, ob die Luft rein ist...

Gruß

Verfasser:
mannebk
Zeit: 10.05.2018 21:30:36
3
2645809
Naja vieleicht weniger die NSA (nicht dem) :-)

Aber einen der auch deine Festplatte verschlüsseln würde und dich dann erpresst, und dank google location sharing oder google Bewertungen grad weiß, das dein Haus vermutlich ohne Aufsicht ist.

Ala, zahle 500 heute, oder morgen ist deine Heizung platt oder deine Stromrechnung um 1.000kwh höher oder what ever.

Und bevor du sagt, ja dann schalte ichs halt remote aus. der Hacker hat dich schon ausgesperrt, idealerweise auch gleich dein Zutrittkontrollsystem deaktiviert, so das dein Nachbar mit der Chipkarte gar nicht reinkommt um den Hauptschalter umzulegen und nen Schlüssel hast ihm ja nicht gegeben, weil er hat ja nen Chip, damit du siehtst ob er drin war oder nicht, oder er hat sich zwischen deine Handyapp und den Aktuator zuhause gehängt als Man in the middle und gaukelt dir vor, alles wäre fein während deine Gefrierkombi grad ausgegangen ist, und der Herd vollgas bruzelt und die Heizung die Wasserhähne mit 110°C Vorlauftemperatur grillt.

Und ja, ich hab u.A. nen online shop, ich weiß was da so geht, ich hab mein Haus auch offline oder wenns offline gar nicht geht zumindest über ne opensource Firewall ordentlich vom Netz getrennt und die vitalen Geräte noch weiter per MAC und IP Filter eingegrenzt und natürlich keine Kameras am Netz, die am Laptop/Handy tragen ne Kappe wenn ich nicht grad nen videochat mach oder Bilder knipse, meine 12TB Daten sind mehrfach redundant an mehrern Stellen versioniert und 8k verschlüsselt gespeichert... Selbst wenn hier einer physikalisch einbricht, kann er die Hardware raustragen, aber starten wird das System ohne mich Remote oder am Terminal nie mehr, verschlüsselungstrojanier sind mir egal, ich sichere meinen letzten Stand zurück und feddich. etc. Und natürlich ist alles per Kabel angebunden, von den Handys mal abgesehen.

Und ja ich mach auch das Handy aus wenn ich in einen Laden gehe, oder lass es gleich im Auto und ja ich fahr auch noch Autos ohne SMART Funktion und "5Sek Log" vor Crash etc.

Okay, diese Autos fahre ich weil z.B. ein Mercedes W123 von 1977 ein geiles Auto ist und es mir grad egal ist, das er so alle 350-450km den 80l Tank mit Super Plus leer macht. Mit Hänger gehts sogar noch schneller.

Als Shop-Betreiber tracke ich meine Kunden im Rahmen des legalen, und daher weiß ich was man selbst mit diesen sehr kastrierten Daten anstellen kann, ich selbst will nicht getrackt werden... weder online noch offline. Ich nutze meine Tracking Daten auch nur noch um Fehler zu beheben. Ansonsten werden die jeden Mittwoch gelöscht. Alles andere find ich unfair dem Kunden gegenüber.

Zugegebener Maßen ist das zum Teil mit ERHEBLICHEM Aufwand verbunden.

Aber es ist für MEIN persönliches Sicherheitsgefühl... mir ist es das Wert. jeder andere muss das für sich entscheiden.

was mir persönlich total unverständlich ist, wie man das Leben seiner Kinder 100% in Facebook dokumentieren kann. ICH würd meine Eltern für sowas lynchen. Aber vieleicht bin ich da einfach zu altmodisch. In 50 Jahren wissen wir mehr.

Jeder muss selbst wissen was er tut, man ist schließlich erwachsen und hell genug in der Birne um selbst nachzudenken.

Gruß Manne

Verfasser:
gnika7
Zeit: 10.05.2018 21:40:53
0
2645814
@Threadersteller
Smarthome ist ungleich Internetzugriff
Bussysteme ungleich Inernetanbindung

Ein smartes Haus muss nicht fernbedient werden.

Wenn du das verstanden hast, dann können wir gerne über die Sicherheit von fernbedienbaren Häusern diskutieren.

Grüße Nika

Verfasser:
Karl-Heinz Groß
Zeit: 11.05.2018 11:12:15
0
2645920
Erst mal Danke an alle, die sich trotz Vatertag dem Thema gewidmet haben.

@Onkel2012
Bin mir nicht sicher, ob der STB frei von Manipulationsmöglichkeiten ist. immerhin kann man bei Viessmann die Kesseltemperatur auf bis zu 130°C einstellen. Der STB ist mit 110°C angegeben. ???

@lfx und @samso: Recht habt ihr! Wer kann mir mal seine Mutter leihen?

@oldBo
Ist halt meinem Groß enwahnsinn geschuldet ;-))
O.K. Russia Today hat mich finanziert. Upps, jetzt liest die NSA garantiert mit.

@hanssanitaer
Bei den neuen Kisten ist der Feuerungsautomat soweit mir bekannt, sehr wohl in der Regelung integriert. Und die ist immerhin "nur" per Optokoppler auslesbar und z,T, parametrierbar. Wenn du aktuellere Informationen hast, immer her damit. Im Übrigen bin ich Problemologe und dadurch ausreichend qualifiziert mich problemorientiert Herausforderungen zu stellen. All right, reißerisch wars schon. Aber sonst diskutiert halt keiner mit. Daher ohne Aussage.

@lukashen: Wusste ich bereits vorher, aber korrekt, dass du es noch mal erwähnt hast.

@mannebk: Das spiegelt auch meine Erfahrung wieder.

@gnika7: Muss nicht, kann aber und wird wohl auch kommen.

Verfasser:
Onkel2012
Zeit: 11.05.2018 13:52:24
2
2645949
Ich habe nicht gesagt, dass der STB manipulationssicher ist, sondern sicher gegen einen Hackangriff.

Verfasser:
Automadrant
Zeit: 11.05.2018 22:01:33
0
2646042
Zitat:
Wer kann sich den potentiellen Schaden nicht vorstellen, den ein Angriff verursachen könnte?

Wer das *nicht* kann?
Jeder der glaubt man bräuchte Kühlschränke die Bilder ihres Inhalts ins Netz stellen, oder Waschmaschinen/Spülmaschinen die einem eine SMS senden wenn sie fertig sind, weil das ja so viel bringt wenn man außer Haus ist. Einige davon sehen es sicher als sinvoll an, ihre Heizung aus dem Urlaub parametrieren zu können.

Verfasser:
Karl-Heinz Groß
Zeit: 01.10.2018 08:47:21
0
2687406
Hat ja nicht lange gedauert.

Verfasser:
Solarzelle
Zeit: 01.10.2018 09:18:16
0
2687411
Ich halte die gesamte Anbindung von persönlichen Daten und Geräten an das Internet für extrem problematisch.

Das man etwas nicht nutzt, heißt ja nicht, dass die Schnittstelle nicht da ist.

Wenn dann mal alle einen digitalen Stromzähler haben, ist es aus mit der Sicherheit.

Jedoch glaube ich nicht, dass es ernsthafte Hacker auf Privatleute absehen werden, das sind dann eher ein paar Jungendliche.

Oder jene Hersteller von Sicherheitss-Hard- und Software hacken uns an, um dann deren Produkte zu verkaufen.

Die echten gesellschaftlichen Gefahren lauern hier:

Deutsche Kraftwerke im Visier von Hackern

Hackerangriff auf Deutsche Krankenhäuser

Die heimische Heizung interessiert da kaum jemand, dort könnten jedoch ein gut programmierter Trojaner Sauereien anrichten.

Verfasser:
Karl-Heinz Groß
Zeit: 25.11.2018 07:53:23
0
2710821
Zitat von gnika7 Beitrag anzeigen
Smarthome ist ungleich Internetzugriff
Bussysteme ungleich Internetanbindung

Ein smartes Haus muss nicht fernbedient werden.

Wenn du das verstanden hast, dann können wir gerne über die Sicherheit von fernbedienbaren Häusern diskutieren
Gerne. Das BSI hats übrigens auch erkannt

Verfasser:
Broll
Zeit: 25.11.2018 08:40:05
0
2710831
Klar ist: eine hohe Sicherheit muss gegeben sein, wenn man sich in der modernen Technik bewegt. Und leider sind einige hanebüchenen Lösungen schon im Markt gewesen, die alles andere als durchdacht und alles andere als sinnvoll waren. Ich erinnere mich da z.B. an ein Vaillant-Thema. Die Branche muss und wird lernen.

Neben der Technik gibt es auch noch den Nutzer. Und da es so einfach ist, immer auf den anderen zu zeigen ;-): wer hat sein WLAN gut verschlüsselt, den Zugangscode von werksseitig auf individuell geändert, die Firmware des Routers auf dem aktuellen Stand?

Wenn man faktenorientiert diskutieren möchte, sollte man konkrete Probleme ansehen und über Lösungen diskutieren. Ein allgemeines "das ist aber unsicher" hilft uns nicht weiter. Systeme werden - aktuell aber viel zu selten - professionell getestet. Und dann staunen die Marketingexperten über die "offenen Türen" - und haben erst dann Geld für das Verschließen der Lücken. Wäre schön, wenn demnächst z.B. Kühlschränke erst nach positiv durchlaufendem Test verkauft würden. Da!! könnte der BSI helfen, statt auf Klatschblattniveau zu denken.

Vielleicht wäre es ein guter Gedanke, die erkannten Schwachstellen klar zu benennen, um hier über Lösungen zu diskutieren. Ein "ich mach da nicht mit" ist möglich, aber dann friert z.B. das Ferienhaus auch mal durch. Es kann ja dann nicht um Hilfe rufen. Nur so als Beispiel...

Freundliche Grüße
Broll

Verfasser:
Karl-Heinz Groß
Zeit: 25.11.2018 09:40:53
0
2710851
Hier in dem Threet würd ich das schon gern mal "nur" allgemein diskutieren. Für Detailprobleme kann man ja einen neuen aufmachen.

Was war denn das damals mit Vaillant?

Interessant find ich die Kritik des ccc an der neuen Richtlinie des BSI. Vor allem die Forderung nach einem Mindesthaltbarkeitsdatum für Software.

Verfasser:
Schiedel
Zeit: 25.11.2018 09:50:59
0
2710858
Mal was zum Schmunzeln zum Thema:

--->KLICK<----

Verfasser:
Automadrant
Zeit: 27.11.2018 17:36:31
0
2712073
Ja - noch lacht man darüber. Mal schauen wie lange.

Verfasser:
Karl-Heinz Groß
Zeit: 15.01.2019 19:53:26
0
2735707
Die Baumaschinen hats bereits erwischt.

O.T. hab mich schlapp gelacht wie der Ehning (Extra3) mit seiner Schusseligkeit im Rahmen des Datenleak umgeht. Da könnten sich unsere Politiker mal ein Scheibe von abschneiden. Aber nein. Jetzt wo es sie mal selbst getroffen hat wird mal wieder nach schärferen Gesetzen geschriehen.

Verfasser:
Kautabak
Zeit: 15.01.2019 20:02:01
2
2735714
Eine moderne Heizung in einem modernen Haus sollte eh 24/7 durchlaufen. Warum dann eigentlich Internetanbindung?

Verfasser:
gnika7
Zeit: 15.01.2019 20:17:57
0
2735723
Hi,

Zitat von Kautabak Beitrag anzeigen
Warum dann eigentlich Internetanbindung?

Eben, wozu braucht eine smarte Heizung Internet?

Ich bin immer wieder erstaunt, dass Leute nicht zwischen Smart Home und über Internet steuerbares Haus unterscheiden können. Es gilt
Smart Home!=Internetsteuerung,
insbesondere ein Smart Home braucht keine Internetanbindung und ein über Internet steuerbares Haus ist nicht unbedingt ein Smart Home.

Grüße Nika

Verfasser:
kathrin
Zeit: 15.01.2019 21:34:50
1
2735758
@Kautabak
Zitat von Kautabak Beitrag anzeigen
Eine moderne Heizung in einem modernen Haus sollte eh 24/7 durchlaufen. Warum dann eigentlich Internetanbindung?

Unsachliche Antworten:
- Weil man damit "in" ist und bei den Kollegen angeben kann (wobei Internet eigentlich schon out ist, heute muss es Steuerung per Smartphone App sein).
- Weil die Werbung sagt, dass man damit ganz VIEL Energie sparen. Und das stimmt doch ganz bestimmt für alle Häuser und alle Heizverteilungen!!!

Sachlichere Antworten resp. Gründe, wann eine Fernsteuerung sinnvoll sein kann:
- Ferienwohnungen (Ein-/Ausschalten von zuhause aus, und vor allem Überwachung)
- Unregelmässige oder unplanbare Arbeitszeiten und Abwesenheiten
- direkte Meldung an den HB bei Störungen, auch Eingriffmöglichkeit durch den HB aus der Ferne (die rundum-sorglos-Heizung - der HB regelt alles optimal und weiss schon, was der Heizung fehlt, bevor der Kunde merkt, dass eine Störung vorliegt). Für grosse Anlagen (MFH) kann das wirklich sinnvoll sein.

Meine Vermutung: die Hersteller können so bequem Daten sammeln und sie für die zukünftige Produktgestaltung nutzen. Das KANN positiv sein (Produktoptimierung), muss aber nicht. Mit grossen Datenmengen kann man vieles anfangen, aber nicht alles ist zum Wohl von Kunde und/oder Umwelt...

Nebenbei bemerkt sind längst nicht alle Häuser modern und haben eine moderne Heizung, sondern definitionsgemäss handelt es sich bei den meisten um Altbauten, viele davon schlecht gedämmt und mit Heizkörpern - da ist 24/7 öfters nicht optimal.

Risiko und Nutzen einer Möglichkeit für Fernsteuerung oder Fernabfrage muss jeder selber einschätzen. Auch, inwieweit er den Beteuerungen der Hersteller glaubt, eine bestimmte Anwendung sei sicher.


@Karl-Heinz Groß

Die Vaillant-Geschichte (von 2013) kannst du hier nachlesen:
https://www.heise.de/security/meldung/Vaillant-Heizungen-mit-Sicherheits-Leck-1840919.html

Schönen Abend + Gruss

Kathrin

Verfasser:
Karl-Heinz Groß
Zeit: 16.01.2019 18:25:47
0
2736162
Hallo Kathrin,

danke für den Link. Als sachlicher Grund gillt vielleicht noch die Forderung der EU nach intelligenten Häusern. Schade nur das meins einfach nur BLÖD ist ;-))

Aktuelle Forenbeiträge
RoBIM schrieb: Das Surren kommt vom E-Auto. Ausser dem kurzen "Klack" des Schützes herrscht Stille, seitens der Ladestation. Unser ZOE macht je nach Ladestromstärke unterschiedlich laute Geräusche. Da er aber beim...
ThomasShmitt schrieb: Gibt es eine Heizlastberechnung und welche Raumtemperaturen sind dort definitiert. Ansprechpartner ist im Zweifel dein Verwaltet bzw. eben mal die eigenen Unterlagen durchforsten. Wenn da irgendwo...
ANZEIGE
Hersteller-Anzeigen
Pumpen, Motoren und Elektronik für
Steuerung und Regelungen
Hersteller von Armaturen
und Ventilen
Die ganze Heizung aus einer Hand
Website-Statistik