Hast du eine Wärmepumpe der Firmen Alpha Innotec oder Novelan mit Luxtronic-Controller angeschlossen? Dann könnten deine Wärmepumpen von der enttarnten Sicherheitslücke betroffen sein. Schuld an dem Problem sind sogenannte Root-Passwörter, die von den Firmen fest in die Firmware kodiert wurden und dabei nur unzureichenden Schutz erhielten. Mithilfe dieser Passwörter können sich Hacker in deiner Wärmepumpe nicht nur anmelden, sondern könnten auch eigenen Code darauf ausführen. Es gibt jedoch gute Nachrichten: Wenn deine Wärmepumpe gefährdet ist, behebt jetzt ein Sicherheitsupdate das Problem.
Wärmepumpe gefährdet: Sicherheitsupdates schließen Lücke
Die Schwachstelle in der Firmware der Wärmepumpen von Alpha Innotec und Novelan entdeckte ein IT-Forscher mit dem Handle Jaarden auf Github. Innerhalb der Firmware fand er eine shadow-Datei mit einem 3DES-verschlüsselten Passwort. Für die Entschlüsselung dieses Passworts benötigte der Mann lediglich fünf Sekunden, um das Passwort in Klarnamen vor sich zu erhalten. Da auf Wärmepumpen wie den Modellen der beiden Firmen ein sogenannter SSH-Dienst läuft, konnte sich der IT-Forscher mithilfe dieses Passworts direkt auf der Wärmepumpe anmelden. Dadurch erhielt er Zugriff auf die Kernel-Informationen der Firmware der Wärmepumpen, die den Linux-Kernel 2.6.33.20 für die ARMv5-Prozessorarchitektur anzeigten.
Problematisch ist dieser Zugriff vor allem, weil er Hackern ermöglicht, eigenen Code auf den Wärmepumpen auszuführen. Dadurch wäre eine vollständige Fremdsteuerung deines Heizsystems möglich – inklusive einer mutwilligen Zerstörung. Denn Hacker könnten damit die Leistung der Wärmepumpe auch so manipulieren, dass der Verdichter unverhältnismäßig oft startet. Das hätte direkte Auswirkungen auf die Lebensdauer deines Heizsystems. Glücklicherweise reagierte das Unternehmen AIT, die Verantwortlichen hinter Alpha Innotec und Novelan, bereits auf das Sicherheitsrisiko. Am 31. Januar offenbarten sie die Sicherheitslücke gemeinsam mit dem IT-Forscher und veröffentlichten zugleich relevante Sicherheitsupdates.
Diese Firmware-Versionen sind nicht mehr verwundbar
Die Luxtronic-Controller der Alpha Innotec- und Novelan-Wärmepumpen sind nicht mehr verwundbar, wenn der Firmware-Stand 2.88.3, 3.89.0 sowie 4.81.3 oder höher aufweist. Hast du eine betroffene Wärmepumpe von diesen Marken mit deinem Netzwerk verbunden, solltest du die aktualisierte Firmware des Herstellers herunterladen und installieren. Dabei sei jedoch erwähnt, dass dies auf eigene Gefahr geschieht. Der Support der beiden Firmen soll Kunden jedoch beim konkreten Update unter Beibehaltung der Gewährleistung unterstützen. IT-Forscher Jaarden fand insgesamt 47 Wärmepumpen mit den verwundbaren Versionen im Netz.
Einige der Wärmepumpen sollen dabei sogar ohne zusätzlichen Schutz mit dem Internet verbunden worden sein. Um die eigenen Systeme vor einem äußeren Angriff zu schützen, empfiehlt es sich, den Zugriff auf ein VPN zu beschränken. Sowohl moderne Router wie die Fritz!Box mit Wireguard als auch zahlreiche VPN-Anbieter ermöglichen dir, dein Netzwerk und deine Geräte so zielgerichteter zu schützen. Je wichtiger das betroffene Gerät für dich und dein Zuhause ist, desto schwerer sollte es für Fremde sein, sich Zugang dazu zu verschaffen. Doch Achtung: Möchtest du zugleich von einer fernsteuerbaren Wärmepumpe profitieren, die dein Netzbetreiber aus der Ferne drosseln können soll, musst du dich mit deinem Netzbetreiber über die Möglichkeiten und Voraussetzungen abstimmen.
