Absurd sich vorzustellen das jemand Zuhause sitzt und ständig die Einträge im Haushaltsbuch durcheinander bringt… oder solange den Ofen ein und ausschaltet bis dieser den Geist aufgibt. Und wer weiß, wenn der „Besucher“ einem nicht freundlich gesonnen ist, könnte der mit dem eingeschalteten Ofen schlimmes anrichten. Aber selbst so Kleinigkeiten wie das rauf und runter machen der Rollos an den Fenstern könnte Probleme geben. Vom einschalten sämtlicher Elektrogeräte in der Abwesenheit der eigentlich Hausbewohner ganz zu schweigen…
Aber zum Glück lassen wir niemanden in unsere Wohnungen der uns so auf den Nerv gehen könnte… glauben wir wenigstens!
Vermutlich glauben auch die Besitzer einer Vaillant ecoPOWER 1.0 (das ist ein ziemlich cooles Blockheizkraftwerk für den Keller) das sie niemanden rein lassen. Wie heute allerdings zu lesen war, täuscht dieser Glaube wenigstens in einigen Bereichen. Wie Heise. de heute schrieb, weisen die Heizungen einen eklatanten Mangel auf der es ermöglicht, die Passwörter aus der Ferne in Klarschrift zu lesen. Und nicht nur die der Kunden. Auch die Supervisor-Passwörter sind auslesbar. Was für Folgen das im Detail haben kann, weiß ich nicht weil ich von Heizungen keine Ahnung habe. Aber ich schätze, es sind dann doch mehr als im Artikel beschrieben. Auf jeden Fall kann es unangenehm für die Bewohner werden wenn irgendwer sich von außen an der Anlage zu schaffen macht.
Das schlimme in diesem Fall, dürfte die verbreitete Ahnungslosigkeit der Benutzer sein. Es ist wahrscheinlich, das die meisten Menschen sich nicht wirklich im klaren darüber sind, das der Fernzugriff des Herstellers letztlich über das Internet funktioniert. Und das eben keine besonderen Maßnahmen getroffen wurden um das System wenigstens ein bisschen zu verstecken. Stattdessen macht es den Anschein, als wären die Anlagen über ein normales Webinterface erreichbar. Damit Vaillant die Geräte ansprechen kann, melden die ihre aktuelle IP-Adresse an einen DynDNS-Dienst. Vermutlich wurden nicht einmal die abgehörten Ports angepasst um es den Skriptkiddies ein bisschen schwerer zu machen. Von Verschlüsselung habe ich ebenfalls kein Wort gelesen. Erst jetzt, nachdem der schlimmste Fall eingetreten ist, will man seitens des Herstellers darauf reagieren und ein VPN-Gateway anbieten über das die Geräte dann mit dem Hersteller kommunizieren können. Gut – allerdings zu spät wie ich finde.
Aber hier ist auch das grundsätzliche Problem vieler Bereiche angesiedelt. Die Vernetzung im Haus und dem alltäglichen Leben schreitet voran. Und nur ein Bruchteil der Menschen die es einsetzt, hat auch nur einen Hauch von Ahnung davon. Die wenigsten wissen, welche Informationen sie veröffentlichen und welche Gefahren entstehen, wenn diverse Systeme und Geräte über das Internet verfügbar sind. Im Falle dieser Heizung sind Schäden am Baumaterial möglich. Oder diverse andere, mehr oder weniger dramatische Dinge. Das bringt einen nicht um. Im wahrsten Sinne des Wortes. Aber es verursacht unnötige Kosten und mitunter Gefahren für dritte. Womit sich die Frage der Verhältnismäßigkeit stellt. Ist es das alles wert? Und üben wir Verbraucher genug Druck auf die Hersteller aus damit die Produkte entwickeln die als sicher angesehen werden können? Wie wollen den Komfort. Ohne Frage ist es angenehm, das halbe Haus von der Couch über das Telefon steuern zu können. Und es wird spannend werden, wenn unsere Waschmaschine Mittags von alleine anfängt zu waschen weil dann der meiste Strom aus erneuerbaren Energien gewonnen wird und somit günstig ist. Aber was passiert, wenn irgendwo ein Fehler gemacht wurde? Wenn jemand unsere Waschmaschine ansteuern kann ohne das wir das wollen? Wir verlieren Geld… Und bei Kühlschrank? Und und und… Neben der Gefahr der typischen Denial of Service Attacke – also dem defacto Stilllegen der Systeme – bestehen noch viele andere Gefahren auf die ich im Moment nicht mal komme.
Die Vernetzung der Anlagen wird zunehmen. Das wollen wir Konsumenten so. Und die Anbieter und Hersteller wollen es, weil es für die vieles leichter macht. Aber wir sollten bei all den schönen Features immer darauf achten, das wir nicht den Überblick verlieren. Das wir nicht irgendwann da stehen, und keine Ahnung haben, welches unserer technischen Geräte nun eigentlich im Internet hängt und welches nicht. Und wenn man keine Lust auf so was hat, sollte man es sein lassen. Das gilt für den Router Zuhause von dem die Telekom erzählt, man dürfte den Fernzugriff nur deaktivieren wenn man das Gerät gekauft hat… und das gilt für die Heizung und diverse andere Gerätschaften.
Ich habe Verständnis dafür das viele nicht wissen, welches Gerät auf welchen Wegen vernetzt ist. Aber dann fragt jemanden. Macht euch Notizen… verwendet sichere Passwörter und seit konsequent wenn es darum geht nein zu sagen. Dienste die ihr nicht nutzt, müssen nicht zwingend funktionieren. Und wenn, kann man sie im Bedarfsfall immer noch gezielt wieder aktivieren!
Benny