Nachdem publik wurde, dass es bei Mikro-KWK-Geräten von Vaillant zu unerlaubten Eingriffen von außen über das Internet gekommen sei, hat der Hersteller Gegenmaßnahmen ergriffen und ein Statement hierzu formuliert, das wir hier ungekürzt veröffentlichen:
Versuche mit externen Spezialisten haben ergeben, dass ein unberechtigter Fremdzugriff auf den Systemregler des Mikro-KWK-Systems Ecopower 1.0 möglich ist. Dies erfordert jedoch einen hohen Aufwand, fortgeschrittenes IT-Fachwissen und illegales Vorgehen. Nach Bekanntwerden der unberechtigten Zugriffsmöglichkeit haben wir alle betroffenen Anlagenbetreiber, Vertriebspartner und Fachhandwerkspartner persönlich angeschrieben und umfassend informiert. Parallel haben wir Maßnahmen ergriffen, die Zugriffsmöglichkeit zu unterbinden. Dies ist zum jetzigen Zeitpunkt erfolgt. Antwort auf die wichtigsten Fragen im Überblick:
Was kann von außen gesteuert werden?
Ein Hacker mit erheblichen IT-Kenntnissen könnte ein BHKW, das am Internet angeschlossen ist, unbefugter Weise an- oder ausschalten bzw. die Temperatur verändern. Es ist aber nicht möglich, mutwillig einen unsicheren Betriebszustand zu erzeugen oder die Anlage zu beschädigen.
Wie sollen sich Anlagenbetreiber verhalten?
Als Erstmaßnahme empfehlen wir das BHKW physisch vom Internet zu trennen (Netzwerkstecker entfernen). Dies ist eine Vorsichtsmaßnahme. Betroffen ist nur ein kleinerer Teil der installierten Geräte, da nicht alle der BHKW mit dem Internet verbunden sind. Kunden, die Ihre Anlage mit dem Internet verbunden haben, bspw. weil sie einen Wartungsvertrag abgeschlossen haben, bekommen von uns kurzfristig eine zusätzliche VPN-Box für einen verschlüsselten Internetzugang installiert. Dies ist für die Kunden selbstverständlich kostenfrei. Ein unberechtigter Zugriff ist dann nicht mehr möglich.
Kann durch das Ausschalten des BHKW ein Frostschaden verursacht werden?
Nein, das ist nicht möglich. Das Mikro-KWK-System beinhaltet immer ein zusätzliches Gas-Brennwertheizgerät. Dieses würde automatisch aktiv werden. Schäden können nicht entstehen.
Sind auch weitere Vaillant Produkte betroffen?
Nein, wir haben dies geprüft und können dies ausschließen.
Was haben Sie unternommen, damit in Zukunft so etwas nicht wieder passiert?
Als dauerhafte Lösung setzen wir fortan auf eine serienmäßige hardwarebasierte Lösung, die mittlerweile zur Verfügung steht. Diese gewährleistet höchstmögliche Sicherheit. Das erforderliche Bauteil kann nachgerüstet werden. Neue Anlagen werden serienmäßig mit der Lösung ausgestattet. Selbstverständlich standen wir bei der Problemlösung in einem engen Dialog mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI). Die beschriebene Vorgehensweise wurde vom Bundesamt als zielführend bewertet.
Wer beantwortet mir als Anlagenbetreiber weiterführende Fragen?
Wir haben eine kostenlose Info-Hotline eingerichtet, um Fragen rund um das Thema Ecopower 1.0 und Datenfernkommunikation zu beantworten. Die Hotline ist täglich von 8 Uhr bis 18 Uhr unter der Nummer 0800 9999 300 erreichbar.