Viessmann Vitocal 250-A: 200+ Open-Source-Pakete verbaut – und dann alles abgeriegelt. Fakten, Fragen und eine moralische Betrachtung.

JonnyMouse — Sat, 04 Apr 2026 08:12:28 GMT

Viessmann Vitocal 250-A: 200+ Open-Source-Pakete verbaut – und dann alles abgeriegelt

Fakten, Schlussfolgerungen und eine moralische Betrachtung zum TCU301-Gateway der Viessmann E3-Generation.

Dieser Post ergänzt die laufende Diskussion um die abgeschaltete Developer-API (PACKAGE_NOT_PAID_FOR seit 10.02.2026) um eine weitere Perspektive: Was steckt eigentlich in dem TCU301-Gateway, das in unseren Geräten verbaut ist – und welche Software läuft darauf?

Hinweis zur Methodik

Dieser Post kennzeichnet jede Aussage explizit:
[FAKT] – Direkt technisch verifiziert und reproduzierbar
[SCHLUSS] – Logische Folgerung aus Fakten, aber nicht direkt bewiesen
[FRAGE] – Offene Frage, von außen nicht klärbar
[MEINUNG] – Persönliche Bewertung

Alle Messungen wurden lokal im eigenen Netzwerk durchgeführt (nmap vollständiger TCP-Portscan aller 65.535 Ports, curl auf Port 80, nc-Verbindungstests).

Was wir wissen (Fakten)

[FAKT] Das TCU301-Gateway betreibt auf Port 80 eine Lizenzseite mit allen verwendeten Open-Source-Paketen. Diese ist gesetzlich vorgeschrieben und von uns vollständig ausgelesen worden.

[FAKT] Lizenzverteilung (Anzahl Lizenz-Referenzen, direkt gezählt):

GPL-2.0-or-later 133 ← größte Gruppe BSD-3-Clause 67 GPL-2.0-only 61 MIT 46 LGPL-2.1-or-later 39 BSD-2-Clause 22 ISC 12 Apache-2.0 10 LGPL-2.1-only 8 LGPL-2.0-only 6 MPL-2.0 2 EPL-2.0 2 ... weitere ~50 ───────────────────── Gesamt: 460+ davon 194x GPL, 53x LGPL

[FAKT] Installierte Pakete (Auszug, direkt aus der Lizenzseite):

Linux Kernel 6.1.28 GPL-2.0-only bash GPL-2.0-or-later busybox GPL-2.0-only systemd LGPL-2.1-or-later mosquitto EPL-2.0 ← MQTT-Broker libmosquitto1 EPL-2.0 zeromq MPL-2.0 openssh BSD/ISC openssh-sshd BSD/ISC ← SSH-Daemon installiert openssh-sftp-server BSD/ISC avahi-daemon LGPL-2.1-or-later dnsmasq GPL-2.0-or-later can-utils GPL-2.0-only can-isotp GPL-2.0-only iptables (+~100 Module) GPL-2.0-or-later connman GPL-2.0-only glibc LGPL-2.1-or-later swupdate GPL-2.0-or-later optee-client BSD-2-Clause ← TEE / Secure Boot Client optee-os-stm32mp BSD-2-Clause tf-a-stm32mp BSD-3-Clause ← ARM Trusted Firmware u-boot-stm32mp GPL-2.0-or-later ... (200+ Pakete gesamt)

[FAKT] Portscan aller 65.535 TCP-Ports (nmap -sS -sV -p- --open -T4, lokal durchgeführt):

Port 80/tcp HTTP OFFEN → statische Lizenzseite, kein API Port 22/tcp SSH CLOSED → openssh-sshd installiert, aber blockiert Port 1883/tcp MQTT CLOSED → mosquitto installiert, aber blockiert Port 4712/tcp EEBus CLOSED → embedded-websocket-library installiert, blockiert Port 13400/tcp DoIP CLOSED → nicht erreichbar 72 weitere Ports: silently gefiltert (aktive Firewall)

[FAKT] Verbindungstest (nc -zv) bestätigt für alle oben genannten Ports: „Connection refused“. Der HTTP-Server auf Port 80 gibt keinen Server:-Header zurück – die Webserver-Software ist nicht identifizierbar.

Was wir schlussfolgern (nicht direkt bewiesen)

[SCHLUSS] mosquitto ist als MQTT-Broker-Paket installiert. Da Port 1883 nach außen geschlossen ist, wird es – falls aktiv – nur intern verwendet. Wofür genau, ist von außen nicht einsehbar.

[SCHLUSS] openssh-sshd ist als Paket installiert, Port 22 nach außen geschlossen. Ob der Daemon aktiv läuft und ob Viessmann ihn für Fernwartung nutzt, können wir nicht von außen bestätigen.

[SCHLUSS] optee-client, optee-os-stm32mp und tf-a-stm32mp (ARM Trusted Firmware) sind installiert – das ist die klassische Secure-Boot-Kette für STM32MP-Prozessoren. Ob Secure Boot aktiv ist und das Einspielen modifizierter Software verhindert, ist von außen nicht verifizierbar.

[SCHLUSS] 133 Pakete sind „GPL-2.0-or-later“ lizenziert – sie dürfen unter GPL-3.0 genutzt werden. Ob Viessmann sie als GPL-2.0 oder GPL-3.0 einsetzt, ist nicht dokumentiert, macht aber einen erheblichen lizenzrechtlichen Unterschied.

Was wir nicht wissen (offene Fragen)

[FRAGE] Läuft mosquitto aktiv als Daemon? Für welchen Zweck? (Interne IPC? Cloud-Kommunikation? Nur installiert, nicht aktiv?)

[FRAGE] Nutzt Viessmann SSH-Fernzugriff auf die Geräte im Feld? Oder ist SSH nur für lokalen Werkszugang vorhanden?

[FRAGE] Ist Secure Boot aktiv und verhindert es den Austausch von LGPL-Bibliotheken? Das wäre eine mögliche LGPL-Verletzung.

[FRAGE] Welche GPL-Version wählt Viessmann für die „or-later“-Pakete? GPL-2.0 oder GPL-3.0? Das ist entscheidend für die Tivoization-Frage.

[FRAGE] Hat Viessmann eigene Patches an GPL-Paketen (Linux-Kernel, can-isotp) vorgenommen, ohne diese zu veröffentlichen?

Die lizenzrechtliche Dimension

Formal erfüllt Viessmann die Mindestanforderungen: Lizenzseite vorhanden, Lizenztexte zugänglich. Es gibt jedoch Graubereiche:

1) LGPL und Bibliotheksaustausch [FRAGE/SCHLUSS]
Die LGPL erlaubt die Einbettung in proprietäre Produkte – aber unter einer Bedingung: Nutzer müssen die LGPL-Bibliothek gegen eine modifizierte Version austauschen können. 53 LGPL-lizenzierte Pakete sind verbaut (glibc, systemd, avahi u.a.). Falls der TEE-Stack (OP-TEE) oder Secure Boot den Austausch verhindert, wäre das eine mögliche LGPL-Verletzung. [FRAGE] Das können wir von außen nicht abschließend beurteilen.

2) Tivoization und GPL-3.0 [SCHLUSS/FRAGE]
GPL-3.0 §6 („Installation Information“) verpflichtet Hersteller von Consumer Products dazu, Installationsanweisungen für modifizierte Software bereitzustellen – explizit um Fälle wie diesen zu verhindern. GPL-2.0 hat diese Klausel nicht. 133 der verwendeten Pakete sind „GPL-2.0-or-later“ – also potenziell GPL-3.0-pflichtig. Ob Viessmann sie als GPL-2.0 oder GPL-3.0 einsetzt, ist nicht dokumentiert [FRAGE]. Zuständig für solche Fragen: https://sfconservancy.org/copyleft-compliance/

3) Was eindeutig ist [FAKT + MEINUNG]
Viessmann veröffentlicht keine eigenen Beiträge zurück an die Open-Source-Community, betreibt ein vollständig abgeriegeltes Gerät auf gemeinschaftsentwickelter Software, und bewirbt es im Verkaufsprospekt (9444 803-2 DE, Stand 09/2025) als „offene Plattform für alle digitalen Services“.

Die moralische Dimension [MEINUNG]

Open-Source-Software lebt davon, dass Nutzende – auch kommerzielle – etwas zurückgeben: Code, Dokumentation, Bug-Reports. Viessmann baut ein Gerät auf ~200 Open-Source-Paketen auf, spart damit erhebliche Entwicklungskosten, gibt nichts zurück, riegelt das Gerät vollständig ab und schaltet die einzige externe Schnittstelle (Developer-API) am 10.02.2026 ab – während im Verkaufsprospekt noch „nahtlose Smart-Home-Integration“ versprochen wird. Das steht im direkten Widerspruch zum Geist der Software, auf der das Gerät läuft. Das ist unsere Meinung – jede und jeder kann das selbst bewerten.

Reproduzierbarkeit

Alle Fakten können von jedem TCU301-Besitzer selbst nachgeprüft werden (IP des eigenen Geräts einsetzen):

Weiterführende Kontakte

GPL/LGPL-Compliance:
Software Freedom Conservancy – https://sfconservancy.org
FSFE (Free Software Foundation Europe) – https://fsfe.org/contact/

Irreführende Werbung (§5 UWG):
Wettbewerbszentrale – mail@wettbewerbszentrale.de
Verbraucherzentrale BW – info@vz-bw.de

Thema "Viessmann Vitocal 250-A: 200+ Open-Source-Pakete verbaut – und dann alles abgeriegelt. Fakten, Fragen und eine moralische Betrachtung." in Konnektivität

Viessmann Vitocal 250-A: 200+ Open-Source-Pakete verbaut – und dann alles abgeriegelt. Fakten, Fragen und eine moralische Betrachtung.