Climate Solutions Community

Hallo,   vor ein paar Tagen hat die US-Amerikanische CISA (Staatliche Cyber Defense Agency) eine öffentliche Sicherheitswarnung (Security Advisory) zur Vitogate 300 veröffentlicht. Die Schwere der Auswirkungen einer Sicherheitslücke wird mit einer standardisierten Kennzahl (CVSS-Score) von 0 bis 10 angegeben. Wobei 0 "kein Risiko" entspricht und 10 einem IT-Security Super-GAU (quasi eine nukleare Kernschmelze). Je nach Berechnungsverfahren ist für diese Lücke der CVSS-Score 9,3 bzw. 9,8 (salopp: hier also quasi nur knapp an einer nuklearen Kernschmelze entlanggeschraddelt).   Hier der Link: https://www.cisa.gov/news-events/ics-advisories/icsa-24-254-01   Üblich ist, dass die Hersteller zuerst informiert werden, damit sie die Möglichkeit eines Bugfixes haben um die Lücken zu schließen bevor jedes Script-Kiddy sie dann auch ausnutzen will, und erst wenn der Bugfix zu den Kunden "ausgerollt" wurde, wird es dann veröffentlicht. So auch hier, mit der Software 3.x wurden die Lücken geschlossen.   Worum es mir aber eigentlich geht: Wenn ich mir die im Report genannten Lücken durchlese steht da u.a.  Use of Hard-coded Credentials CWE-798 Ein Programmierer hat also ein Passwort oder einen Schlüssel fest in den Programmcode eingebaut und jeder der das kennt, kann darüber bei allen Geräten mit der betreffenden Softwareversion zugreifen.   Seit 1988 (als durch einen solchen Fehler bei Internet-Routern das damalige Internet praktisch lahmgelegt wurde, ja ich bin etwas älter und kann mich noch gut daran erinnern, es war ein prägendes Erlebnis) weiß man, dass fest einkodierte Passwörter/Zugangsdaten eine ganz, ganz schlechte Idee sind und spätestens seit 30 Jahren weiß man auch in DE, dass das nicht mehr Stand der Technik ist.   Nun zeigt mir meine langjährige Berufserfahrung in vielen Firmen, bei denen IT/OT-Sicherheit nicht zum traditionellen Kerngeschäft gehört (dazu zähle ich jetzt mal Heizungshersteller wie Viessmann, auch wenn ich keine internen Einblicke bei Viessmann habe), dass dort Programmierer von IT/OT-Sicherheit maximal nur Halbwissen haben und nie nur bei einer Komponente schlampen (oder keine Ahnung haben), sondern bei allen Projekten an denen sie beteiligt sind. Und wenn es in einer Firma keinen internen IT-Security-Review gibt (bei dem solche Dinge auffallen müssten), dieses auch immer die gesamte Softwarepalette betrifft.   Ich finde dazu leider keine Infos bei Viessmann (oder hier im Forum). Wie ist das bei Viessmann geregelt?  Wo finde ich eine verbindliche Info der Sicherheitslücken und der Firmwareversionen, mit denen diese gefixt wurden?   Die Frage, ob es unentdeckte Sicherheitslücken gibt, ist ja Grund falsch. Weil es sie immer gibt. Die wesentlich wichtigere Frage ist: Wie wird Transparenz hergestellt? Oder wird sowas aus Arroganz oder Eitelkeit verschwiegen? Auf welche Art und Weise werden die davon betroffenen Kunden informiert und die Software gefixt?   Viessmann möchte ja anscheinend alle Kunden in die Viessmann-Cloud "zwingen" (weil lokale Steuerungsmöglichkeiten anscheinend vernagelt wurden/werden).   Ich habe eine im Mai 2024 neu installierte Vitocal 250-A, die bisher nicht in der Viessmann-Cloud hängt. Weil mir bisher niemand erklären konnte, welche technischen Sicherheitsmaßnahmen und welches Change-Management es in der Viessmann-Cloud gibt, so dass z.B. eine Heizungsfirma (der ich den Zugriff möglicherweise erlauben würde) zwar alles ansehen kann, aber ohne meine Zustimmung nichts ändern kann. Oder, dass es z.B. ein für mich einsehbares, lückenloses Protokoll "Wer hat über die Cloud bei meiner Anlage wann welche Änderung gemacht" gibt.   Gibt es dazu eine "echte" Dokumentation der TOMs (technische und organisatorische Maßnahmen) der Sicherheit der Viessmann-Cloud? Außer "vertrauen sie uns, wir können das" habe ich bisher nichts gefunden/gehört.    Und gibt es irgendwo eine für mich einsehbare Stelle, in der im Rahmen des Change-Management die veröffentlichten Firmware-Versionen mit den darin enthaltenen Änderungen und Bug-Fixes konkret aufgeführt sind?   Bisher habe ich dazu nichts gefunden. Hat jemand vielleicht dazu konkrete Infos?   Danke (auch für die Geduld, bis hierhin gelesen zu haben)   ... Mehr anzeigen

Hallo,   hier mein erster (etwas länglich geratener) Beitrag im Forum. Weil ich zu dem Thema bei der Suche nicht fündig geworden bin. Im Mai 2024 wurde in unserem EFH die Ölheizung durch eine Vitocal 250-A (251.A13) mit 600 Liter Pufferspeicher Vitocell 120-E mit Frischwassermodul Vitotrans 353 ersetzt.   Alle Heizkörperventile (wir haben nur Heizkörper, keine Fußbodenheizung) wurden durch für den hydraulischen Abgleich einstellbare Thermostat-Ventile Heimeier V-Exakt II ersetzt.   Von der Heizungsfirma wurde der hydraulische Abgleich berechnet und durchgeführt (stimmte aber nicht mal im Ansatz mit dem tatsächlichen Rohrnetz überein, aber das ist ein anderes Thema).   Das Problem: Seit der Inbetriebnahme haben wir sehr laute Durchflussgeräusche an den HK-Ventilen. Mit einem Schallpegelmessgerät habe ich an mehreren HK-Ventilen (auch nach Abzug von Messungenauigkeit) über 40 dB(A) gemessen.   Laut technischer Doku von Heimeier ist das weit außerhalb der "normalen" Durchflussgeräusche. Als mögliche Fehlerursachen für zu laute Ventilgeräusche werden von Heimeier "Differenzdruck zu hoch", "Luft in der Heizungsanlage" sowie "Heizkörper/Ventil wird in falscher Richtung durchströmt" genannt.   Von der Heizungsfirma wurden testweise mal die Durchflussbegrenzungen aller HK-Ventile auf "offen" gestellt, seit dem ist es nicht mehr ganz so laut, aber immer noch zu laut.   Falsche Durchströmrichtung durch Ventil/HK und Luft in der Heizungsanlage kann ich inzwischen nach mehreren Prüfungen (von mir und der Heizungsfirma) ausschließen.   Also scheint nur "Differenzdruck zu hoch" bzw. zu hohe Pumpen(förder)Leistung übrig zu bleiben.   Nach Rücksprache mit der Heizungsfirma habe ich an der Vitocal 250-A über die Einstellebene die PWM-Parameter/Pumpenleistung/Förderhöhe reduziert. Ohne Erfolg.   Nach meiner Nachfrage, ob evtl. das PWM-Steuersignalkabel von der Vitocal 250-A zur HK-Umwälzpumpe (wir haben einen einzigen Heizungskreis) nicht angeschlossen wurde und ein Monteur der Heizungsfirma raus kam um das bei uns zu prüfen, stellte sich dann nach der Gehäuseöffnung heraus, dass kein Steuerkabel angeschlossen ist.   Erst DANACH stellte sich dann heraus, dass die HK-Umwälzpumpe überhaupt kein Leistungs-PWM-Steuersignal von der Vitocal bekommt, weil sie keine externe Regelmöglichkeit hat und von der Steuerung nur ein/ausgeschaltet wird. (bei Sommerbetrieb aus, sonst immer ein).   Es handelt sich um eine (mit Viessman Label versehene) Wilo Para 25/6-43/SC bei der man drei Betriebsarten mit jeweils drei festen Leistungsstufen einstellen kann und die eine maximale Förderhöhe von 6 Meter und eine Leistung von 43 Watt hat.   In praktisch jedem Ratgeber hatte ich gelesen, dass für einen korrekten hydraulischen Abgleich (neben vielen anderen Dingen) auch die richtige Einstellung der Pumpenförderhöhe notwendig ist. Nie im Traum hätte ich gedacht, dass bei einer in 2024 installierten Wärmepumpe von Viessmann das überhaupt gar nicht geht. Aber das nur am Rande.   Nach dieser etwas länglichen Einleitung nun meine Frage an Euch: Gibt es, außer "Pumpe überdimensioniert", noch andere, evtl. wahrscheinliche(re) Gründe für die seit der Umstellung extrem laut gewordenen Durchströmgeräusche?   Ich danke Euch für Eure Hilfe und die Geduld, bis hierhin gelesen zu haben.   ... Mehr anzeigen