Hallo zusammen, Mein Hintergrund: Ich bin Qualitätsingenieur in einem größeren Cloud-Unternehmen, wo ich mir täglich selbst "die Hände schmutzig mache" - auch in Hinsicht auf Cybersecurity. In den knapp 35 Jahren in der Entwicklung und Qualitätssicherung habe ich in genug Abgründe gestarrt, um zu wissen, ab wann es brenzlig wird. Leider habe ich bislang - erfolglos - nach Informationen gesucht, die mich überzeugen könnten, eine mir angebotene Installation einer Viessmann Wärmepumpe durchzuführen und diese dann auch noch mit der Viessmann Cloud verbinden zu lassen, um durch Bezahlen mit meinen Daten in den Genuß einer längeren Garantie zu gelangen. Mein möglicher Heizungsbauer ( der auch 1999 die aktuelle Eurola Brennwertheizung installiert hat ) zuckte angesichts meiner Fragen nur hoffnungslos mit den Schultern ... Gefunden habe ich auf meiner Suche lediglich diverse Sicherheitslücken im Kontext von Vitogate 300 https://nvd.nist.gov/vuln/detail/CVE-2023-5222 ( Score 9.8 CRITICAL ) https://nvd.nist.gov/vuln/detail/CVE-2023-5702 ( Score 6.3 MEDIUM ) https://nvd.nist.gov/vuln/detail/CVE-2023-45852 ( Score 9.8 CRITICAL ) The vendor was contacted early about this disclosure but did not respond in any way. ( Offensichtlich auch nicht nach Aktualisierungen der Einträge 2024 ... ) ... und im Netz findet sich nirgends ein Hinweis, daß diese Schwachstellen behoben wurden. Nun ist Vitogate 300 kein Produkt für's Eigenheim. Wenn aber die Behebung von erheblichen Schwachstellen in Produkten für kommerzielle Kunden nach Jahren noch unklar ist, was kann ich für Produkte erwarten, die in Eigenheimen eingesetzt werden? Da meine Anfrage via eMail aus mir unverständlichen Gründen abgewiesen und ich hierher verwiesen wurde, wiederhole ich meine Fragen also hier öffentlich an die Firma Viessmann: Wie stellen Sie sicher, dass Software-Updates für Ihre Heizungen sicher und vertrauenswürdig sind? Welche Verfahren haben Sie implementiert, um die Integrität und Authentizität der Software-Updates zu überprüfen? Welche Maßnahmen haben Sie ergriffen, um Ihre Systeme und Daten vor Erpressungsangriffen zu schützen? Gibt es regelmäßige Sicherheitsüberprüfungen und Penetrationstests, um Schwachstellen zu identifizieren und zu beheben? Werden Mitarbeiter regelmäßig zum Thema Cybersicherheit weitergebildet? Wie gewährleisten Sie den Schutz sensibler Daten, die während der Nutzung Ihrer Heizungen gesammelt werden? Welche Verschlüsselungstechnologien, Chiffrieralgorithmen ( Transfer und Speicherung!) und Zugriffskontrollen setzen Sie ein, um die Datensicherheit zu gewährleisten? Was sind Ihre Richtlinien und Verfahren im Falle eines sicherheitsrelevanten Vorfalls? Wie informieren Sie betroffene Kunden und welche Schritte unternehmen Sie, um den Vorfall zu beheben und zukünftige Vorfälle zu verhindern? Wie regeln Sie die Haftung im Falle von Schäden, die durch Sicherheitsvorfälle oder Softwarefehler verursacht werden? Gibt es klare Haftungsausschlüsse oder -beschränkungen in Ihren Nutzungsbedingungen, und wie kommunizieren Sie diese an Ihre Kunden? Sobald der britischem Cybersecurity Bill in Großbritannien voll in Kraft getreten ist, kosten dort Verstöße bis zu 100000 Pfund / Tag. Eine Firma, die auch dort tätig ist, hat sicherlich auch Antworten auf obige Fragen bereits in der Schublade.
... Mehr anzeigen
